Rutere og datasikkerhet privat

(Sist oppdatert 14.04.2023 @ 23:35 av Bjørn Roger Rasmussen.)

Datasikkerhet og hacking

Digi.no har på sin nettside publisert en artikkel med tittelen: “Bredbåndsrutere: Halvparten av bredbåndskundene vet ingenting om rutersikkerhet”. Artikkelen referer til og bygger på en britisk undersøkelse, som altså avslører at “folk flest”, eller i hvert fall halvparten av befolkningen, har liten eller nesten ingen kjennskap til og kunnskaper rundt IT-sikkerhet relatert til sin private Internett-oppkobling og ruter.

Selv om det refereres til en engelsk undersøkelse er det vel liten grunn til å tro at situasjonen er så annerledes i Norge. Mange kobler seg på nett med en ruter uten å tenke noe særlig på datasikkerheten. Ofte beholdes standard passord for administrativ innlogging, ruteren er mulig å administrere fra det store Internett, SSID endres ikke, enkelte setter ikke en gang på kryptering/passord på wifi-tilgangen osv. Og enda sjeldnere er det at brukerne holder fastvaren (firmwaren) til ruteren oppdatert til enhver tids siste tilgjengelige versjon, da mange ikke en gang kjenner til at dette er mulig og nødvendig.

Vi nordmenn elsker teknologi, tekniske duppe-dingser, bredbånd og nettjenester/digitalisering. Samtidig er vi nordmenn muligens litt naive og godtroende? Det er absolutt god grunn til å rette fokus mot sikkerheten knyttet opp mot våre bredbåndlinjer og rutere.

Litt folkeopplysning om grunnleggende datasikkerhet kunne nok ha vært på sin plass blant den norske befolkningen!

Noen begrepsavklaringer

Det kan være naturlig å forta noen begrepsavklaringer før artikkelen fortsetter:

  • Ruter (engelsk: router): En ruter er en maskin (“boks”) som håndterer forbindelse mellom ulike nettverk, og boksen har ansvaret for å videresende nettverkspakker til rett nett basert på ruting-tabeller. Jf. informasjon hos Wikipedia eller Store norske leksikon. (Noen kaller ruteren feilaktig for et modem, jf. dumme bokser for oppkobling i “gamle” dager.)
  • Gateway (norsk: “inngangsport”): Jf. ruteren. En noe mer avansert boks som gjør det en ruter gjør og litt til. Oversetting mellom ulike protokoller osv. Jf. informasjon hos Wikipedia.
  • Brannmur (engelsk: firewall): Program- eller maskinvare som skal beskytte IKT-utstyret mot omverdenen, kontrollerer trafikken mellom eksternt og internt nett, avvise/stoppe uønsket trafikk/angrep/innbrudd. Jf. informasjon hos Store norske leksikon.
  • Switch (norsk: svitsj): Boks/enhet for nettverksfordeling mellom flere enheter. Styrer/sender trafikken til rett enhet. Jf. informasjon hos Wikipedia.
  • Fastvare (engelsk: firmware): Program/internprogram som startes opp når “boksen” eller enheten blir slått på/startet opp, enhetens operativsystem. “Permanent” innebygget programvare, som blant annet tar seg av styringen av funksjonaliteten til enheten. Jf. informasjon hos Store norske leksikon.
  • Trådløs kryptering: Sikrer kommunikasjonen med bruk av sikkerhetsnøkler. Uten nødvendige nøkler blir overført informasjon helt meningsløs. Jf. informasjon hos Wikipedia.
  • Datasikkerhet, informasjonssikkerhet og IT/IKT-sikkerhet er egentlig tre ulike ord for delvis den samme problematikken. Jf. informasjon hos Wikipedia.
  • Cybersikkerhet dreier seg om sikring av ting (infrastruktur, IKT-utstyr m. m.) som er sårbare for angrep, f. eks. rutere.
  • Informasjonssikkerhet handler til syvende og sist om å sikre konfidensialitet (hindre tilgang for uvedkommende), integritet (hindre endring/sletting fra uautoriserte personer) og tilgjengelighet (sikre tilgjengelighet til enhver tid for dem som har rett til/behov for opplysningene).

Bredbåndkunden eller brukeren

Kundens eller brukeres manglende kjennskap til eller kunnskap rundt datasikkerhet kan absolutt være en utfordring og et problem. Mange brukere har blitt noe mer kritiske til å trykke på ukjente lenker og til å åpne suspekte vedlegg som kommer via e-post, men IKT-teknisk sikkerhet med fornuftig oppsett av ruter, brannmur, trådløst nett etc. står det nok dårligere til med.

Sangen “Ola Nordmann” av gruppa Plumbo: “Det beste som han veit ja det er ny teknologi. Han har iPhone, flatskjerm og Nintendo Wii.”

 

IT-sikkerhet (datasikkerhet/informasjonssikkerhet) er egentlig et helt eget stort fagfelt for spesielt interesserte. Det kan ikke forventes at den enkelte nettbruker har dyp kunnskap innenfor temaet. Fagområdet informasjonssikkerhet er stort og komplekst, og stadig dukker det opp nye former for trusler. Det kan absolutt være utfordrende for meningmannen å beskytte og å administrere sitt IKT-utstyr på en fornuftig måte. Imidlertid kan brukerne læres opp og bevisstgjøres til å kunne nok til å ivareta helt grunnleggende sikkerhet.

Ruteren (hjemmesentralen) min sitt grensesnitt

Det virker som om mange ikke kjenner til nødvendigheten av å holde ruteren sin oppdatert med nyeste mulig fastvare (firmware). Her må det nok folkeopplysning til. Vi har blitt vant med å “patche” Windows (legge inn Windows-oppdateringer), men ikke alle tenker på at tilsvarende bør gjøres på ruteren. Nye versjoner av fastvaren slippes ofte for å tette oppdagede sikkerhetshull.

Den enkelte bør ha helt grunnleggende kunnskap rundt oppsett av ruter og trådløst. Standard administrativt passord (til administrativ web-side) bør endres til et selvvalgt passord med litt kompleksitet, og å ha åpent for administrasjon av ruter fra det store Internett kan i de fleste tilfeller med fordel slås av. Videre må oppsettet av trådløst nett internt i boligen sikres gjennom selvvalgt SSID (nettverksnavn, Service Set IDentifier) og kryptert oppkobling/forbindelse. Tjenester/funksjonalitet på ruteren som ikke benyttes kan slås av (tips: UPnP og WPS), og det er en selvfølge at brannmur bør stå påslått og ikke være konfigurert som en hullete sveitserost. Slike enkelte og banale tiltak øker IT-sikkerheten med mange hakk!

Målet med alle slike tiltak er å hindre uvedkommende tilgang til nettet og dataene man måtte ha liggende. Hacking, kybernettangrep (cybernettangrep) og andre former for datainnbrudd / datakriminalitet eller misbruk av Internett-forbindelsen ønskes unngått. Det er ikke særlig kult med data på avveie eller at Internett-forbindelsen man har blir brukt av uvedkommende til ulovligheter og kriminelle handlinger. Datakommunikasjonen bør absolutt sikres.

Enkelte tenker nok at hjelp fra en datakyndig ungdom (fjortis) er tingen for å få ting satt riktig opp og sikret. Tja. Mange av dagens unge er uredde for teknologien og er flinke innenfor sine interesseområder, men jeg er slettes ikke sikker på at alle av dem er flinke når det gjelder datasikkerhet. En teknologifrelst ungdom er muligens ikke det beste valget man har. Akkurat når det gjelder sikkerhet kan det være en fordel å være litt skeptisk, kritisk, mistroende til verdenen rundt oss og helst litt små-paranoid.

Mer og mer av livene våre og tjenestene vi benytter oss av finnes på og skjer via nettet. Det blir mer og mer nett-tjenester og nettverkstilkoblede enheter. Ikke minst fører tingenes Internett (IoT, Internet of Things) til at denne utviklingen finner sted. Ellers omfavner mange av oss ulike sky-tjenester. Samtidig blir trusselbildet stadig mer komplisert og komplekst, og flere og flere nye (typer) trusler dukker opp. Sannelig ikke helt lett å henge med i denne utviklingen!

En god del av skylden for manglende datasikkerhet rundt i landets husholdninger vil jeg legge over på produsentene av nettverksutstyr og leverandørene av Internett-aksess:

Produsentene har skylda

Noe av skylden for manglende sikkerhet på rutere og Internett-forbindelser kan legges på produsenten av nettverksutstyr slik som rutere (routere). Slettes ikke alle bredbåndsrutere er særlig intuitive og enkle å konfigurere, og enkelte av “boksene” har kompliserte måter for å holde utstyret oppdatert og sikret på. Det kan f. eks. på enkelte enheter være en forholdsvis komplisert, tidkrevende og risikofull affære å oppdatere fastvaren (firmware), så jeg synes ikke det er rart at nesten ingen gjør dette.

Det lanseres støtt og stadig nye rutere. Folk flest bytter ikke ut disse enhetene hele veien. Det er tålig dumt at mange produsenter slutter alt for tidlig å gi ut oppdateringer på utgåtte modeller. Da blir man sittende der med skjegget i postkassen med en usikker enhet som ikke kan oppdateres uten å skifte ut hele boksen.

En del rutere leverer med svært dårlige standardinnstillinger satt på boksen fra fabrikk. Som utgangspunkt burde standardinnstillingene ha vært satt strengere og tryggere enn det som ofte er tilfellet. Intuitive veivisere (oppstart) som man TVINGES til å gå gjennom og som setter bra sikkerhet på boksen kan være en god løsning.

Internett-leverandørene har skylda

Internett-leverandørene (ISP-ene, Internet service provider) frifinnes heller ikke. Det er ikke alltid at disse gjør livet så lett for sine kunder. En del ting er vi IKT-tekniske kunder i enkelte tilfeller forhindret fra å kunne gjøre eller utføre. Jeg oppfatter det slik at ISP har et visst ansvar som den proffe part i kundeforholdet for endepunktsikkerheten.

Selv er jeg f. eks. Enivest-kunde. Jeg har tilgang og muligheter for å gå inn på min ruter (gateway, “hjemmesentral”), men bare med bruker-tilgang (user-tilgang, ikke admin-tilgang). Jeg kan gjøre endringer i oppsett av trådløst oppsett samt endre passordet for standard-brukeren, men jeg har ikke muligheter for å oppdatere fastvaren (firmware) eller styre brannmur-innstillingene. Slike administrative ting styres av ISP. Pr. nå er fastvaren ikke all verdens gammel og brannmuren ser tilsynelatende ut til å fungere greit. Jeg må bare stole på at Enivest har gode rutiner for å hindre misbruk av den administrative tilgangen de har, og at de vil (automatisk) holde boksen min oppdatert i tiden framover med fastvareoppdateringer.

Oppdatering: Selv med nyere og mer moderne ruter i hus måtte jeg “mase” på kundestøtten hos Enivest for å få oppdatert fastvaren høsten 2019. Jeg tok kontakt etter at det hadde gått godt over året uten noen som helst oppdateringer. Oppdatering ble lagt inn på ruteren etter at jeg hadde dialog med min ISP, så nå i oktober 2019 har i hvert fall ruteren / hjemmesentralen en fastvare (firmware) datert det herrens år 2019. Ifølge Enivest skulle oppdateringer bli rullet ut automatisk til kundene, men dette har tydeligvis ikke skjedd hos meg.

Oppdatering februar 2020: Nok en gang har jeg “klaget min nød” til Enivest om gammel fastvare (firmware) på modemet / ruteren, hvor jeg fikk som svar: “Modem som vi levera blir oppdatert 1-2 gangar i året som er normalt på slikt utstyr, ved oppdatering av modem vil den og bli reset til grunnkonfigurasjon.” Kjempe-beroliget er jeg ikke av dette svaret, da mange sikkerhetshull kan dukke opp på ett år.

Ny oppdatering februar 2020: Opprinnelige ruter havarerte! Ny boks, ruter, modem, hjemmesentral eller gateway som jeg fikk tilsendt til erstatning for den ødelagte fra min ISP var av samme typen som den forrige, dvs. Inteno EG400. Her går ting fra vondt til verre når det gjelder fastvareversjon og oppdateringsrate.

Den nye enheten kjører følgende fastvareversjon:

  • EG400-WU21U_ENIV3.14.1RC7-180604_1415

Dette tolker jeg på følgende måte: EG400 er modellen på boksen, mens ENIV nok er en forkortelse for min ISP, dvs. Enivest. Boksen kjører en fastvareutgave tilpasset dem, som blant annet innebærer at deres logo dukker opp inne på enhetens web-side. Videre står det blant annet 180604, som jeg tolker til å være datoen 04.06.2018. Når dette skrives viser kalenderen sånt ca. medio februar 2020. Fastvaren er da ca. 1 1/2 år gammel! Ikke helt bra sikkerhetsmessig!

Oppdatering september 2020: Endelig har Enivest foretatt et “rykk” når det gjelder fastvare. Pr. medio september kjører ruteren med denne versjonen: EG400-X-ENIV-4.3.5.70-R-200708_1301. Jeg tolker det til at dette er en fastvare-versjon datert sommeren 2020. Imidlertid er det samme fastvare (firmware) som fortsatt kjøres pr. februar 2021. Og akkurat den samme fastvaren er i bruk pr. 31.10.2021, så nå har det gått noe over året uten nye oppdateringer (Fy, Enivest!).

Oppdatering januar 2022: Etter å ha tatt kontakt med Enivest kundestøtte 11.01.2022 fikk jeg ENDELIG oppdatert fastvaren (firmware) et hakk! Svaret fra ISP: “Vi driv no i desse dagar å oppgraderar EG400 modem med ein nyare fastvare. Eg har for ordens skuld oppgradert ditt modem no. Det er ingen kjente sikkerhetshull med desse modema pr. dags dato.” Ifølge ruterens hjemmeside: “Firmware Version: EG400-X-ENIV-4.3.6.130-R-211229_1534”. Altså: En fastvare-oppdatering fra 29.12.2021 lagt inn på min ruter. En annen bra “bivirkning” av oppdateringen er at det igjen er mulig å ha et selvvalgt “user”-passord.

Oppdatering mars 2022: Inteno-boksen er historie, og den har blitt erstattet av en ruter / modem / hjemmesentral fra Zyxel (modell EX5401). Det virker som om denne enheten blir hyppigere oppdatert med fastvare enn det som har vært tilfellet med de tidligere boksene. Får nesten bare stole på at boksene administreres noenlunde ok av Enivest, og at de er sikre nok for et hjemmenettverk. Mer om Zyxel-løsningen i annen artikkel.

 

Web-grensesnittet på Inteno EG400.

 

Med dagens oppsett – låst fra Enivest sin side – får jeg IKKE muligheter for å endre user-passordet på boksen, og i hvert fall Chrome-nettleseren liker dette heller dårlig:

Inteno EG400, Enivest, user-bruker og passord.

 

Ganske dårlig at man ikke kan få lov til å sette et selvvalgt passord for administrasjon av “boksen” (boksens innebygde web-side). Videre er det snakk om et latterlig dårlig standard-passord. Enivest har vel tenkt at man ikke kan gjøre all verdens skade med bare user-tilgang, men likevel. Gjester eller besøkende – som har blitt gitt trådløs nett-tilgang – kan med enkle midler lage litt kluss for meg og husholdningen hvis de måtte ønske.

Mens jeg ventet på nytt modem februar 2020 hadde jeg i drift en ruter / et modem som jeg fikk låne, som var av en litt nyere modell enn det jeg skriver om nedenfor:

Jeg hadde lenge en eldre ruter (gateway, hjemmesentral) av fabrikatet Tilgin, også denne levert av Enivest og under deres administrasjon. Denne hadde på slutten ikke mottatt oppdateringer på fastvaren på nærmere 3 år. Denne begynte jeg virkelig å føle meg utrygg på. Litt klaging rundt dette medførte at jeg fikk tilsendt en ny og en mer moderne enhet i forbindelse med oppgradering av hastigheten på linja.

I og med at jeg kjører en nettside (testside) fra min stasjonære PC hjemme har jeg laget litt hull i brannmuren. Jeg hadde nemlig muligheter med standard-brukeren å sette på “port forwarding” (portvideresending). Så tcp-port 80 (http) og 443 (https) blir videresendt inn i nettet mot den stasjonære datamaskinen pr. dags dato. Akkurat dette oppsettet er ikke Enivest helt glad for.

Her i bloggen har jeg en artikkel som heter “Tekniske løsninger nettsider + Internett-linje”. Der har jeg, for spesielt interesserte, skrevet litt mer om min Internett-løsning.

Inteno EG400 gateway/router

Pr dags dato har jeg en Genexis (Inteno) EG400 gateway som Enivest har sendt ut til meg, koblet opp mot min fiberlinje for Internett. Ofte brukes begrepet hjemmesentral om slike enheter. Enheten fungerer som gateway, ruter og brannmur, og den har innebygd støtte for telefoni, trådløst og switch-funksjonalitet (4 porter). Get Box Mikro (IPTV) er også koblet opp mot enheten.

Ifølge informasjon på nettet skal enheten ha følgende sikkerhetstiltak:

  • Brannmur (firewall) på Inteno EG400 som ifølge produsent støtter:
    • NAT, DMZ and ALGs
    • Stateful Packet Inspection (SPI) with DOS protection – Ping of Death, SYN Flood LAND
    • Protection against IP and MAC address spoofing
    • UPnP NAT traversal and VPN / IPSec pass-through
  • Trådløst nett er selvsagt kryptert/sikret med WPA2 Personal (PSK), dvs. Wi-Fi Protected Access versjon 2 sammen med “Pre-Shared Key” (forhåndsdelt nøkkel).

Enhetens operativsystem eller fastvare er av typen iopsysWrt, som igjen delvis bygger på OpenWrt. Inteno har hovedkontor i Sverige, men produksjonen av utstyr finner selvsagt sted i Kina.

Inteno EG400 web-side bunntekst.

 

Takk og pris for skyen!

Mer og mer havner nå etter hvert i skyen. Når det gjelder sikkerhet er det vel helst grunn til å si takk og pris for akkurat skyen, og overfor utviklingen mot at det meste leveres som tjenester via internett!

De som tilbyr skytjenester er stort sett opptatt av å innføre gode sikringstiltak for sine tjenester. Det er snakk om kryptert kommunikasjon mellom skyen og lokalt utstyr, og det er gode (og nødvendige!) sikkerhetstiltak for tilgang (tilgangskontroll) til lagrede data. Dataene blir som oftest også vernet mot virus og andre uhumskheter, og det foreligger gjerne sikkerhetskopier og versjonskontroll. Å koble seg til et usikret trådløst nett har heller ikke så stor risiko som tidligere, og og med at de fleste tjenester er tålig bra sikret. En del av kompleksiteten rundt sikkerhet flyttes fra lokalt utstyr og ut i skyen.

Om en klientmaskin står bak en ruter med manglende sikkerhet og dårlig brannmur blir noe mindre farlig i den nye verdenen. Forutsatt at sikringstiltakene i skyen er gode gjør det noe mindre enn før om den lokale datamaskinen er den reneste virusfarmen. Skytjenestene vil normalt sett stoppe og beskytte mot mange av uhumskhetene.

Selvsagt skal man absolutt ikke glemme lokal sikkerhet og sikkerhetstiltak, men i en del tilfeller blir vi privatpersoners manglende fokus på datasikkerhet delvis reddet av skyen.

Avsluttende kommentarer

Datakommunikasjonen og nettverksutstyret, inkluder rutere, må beskyttes. Ingen ønsker å bli utsatt for hacking, datainnbrudd eller lammende angrep. Eventuelle vellykkede forsøk hvor sikkerheten blir kompromittert kan gå på personvernet løst.

Økt bevisstgjøring og økte kunnskaper om datasikkerhet er høyst nødvendig ute blant folk flest! Samtidig er det ikke bare-bare for folk flest å henge med i den rivende teknologiske utviklingen samt ha noenlunde oversikt over alle nye former for trusler som dukker opp langsmed. Det er en utfordrende og omfattende jobb å holde IKT-utstyret og informasjonen beskyttet!

Lenker:

image_printUtskriftsvennlig versjon
Del dette:
Tagged , , , , , , , , , , , , , .Bokmerk permalink.

Om Bjørn Roger Rasmussen

Ta en titt på undersiden "Om bloggen" for mer informasjon om bloggforfatter. Les ellers mer om meg, Bjørn Roger Rasmussen (BRR), på min personlige nettside: https://www.brr.no/

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

  • Spamkommentarer blokkert