• Velkommen til blogg.brr.no!


    Dette er Bjørn Roger Rasmussen sin private blogg som publiseres fra Flatraket! Bloggen fungerer som en ventil for eiers (sterke) meninger, protester, interesser og engasjement.

    Overflatisk gladblogging finner du lite av her! Noen av temaene til denne bloggen er kristendom, "protest kristendom" (kritisk kristen), IKT, foto og litt politikk. Se undersiden "Om bloggen" for mer informasjon.

    Bilder er tilgjengelig i mitt fotogalleri på adressen foto.brr.no. Et lite utvalg med bilder er også tilgjengelig nederst i denne bloggen. Oversikt over alle mine nettsider er tilgjengelig via denne oversikten (lenke).

    Takk for at du avlegger bloggen og eventuelt bildegalleriet et besøk!

    Bjørn Roger Rasmussen, Flatraket 19.08.2018.


Rutere og datasikkerhet privat

(Sist oppdatert: 30.04.2018)

Datasikkerhet og hacking

Digi.no har på sin nettside publisert en artikkel med tittelen: “Bredbåndsrutere: Halvparten av bredbåndskundene vet ingenting om rutersikkerhet”. Artikkelen referer til og bygger på en britisk undersøkelse, som altså avslører at “folk flest”, eller i hvert fall halvparten av befolkningen, har liten eller nesten ingen kjennskap til og kunnskaper rundt IT-sikkerhet relatert til sin private Internett-oppkobling og ruter.

Selv om det refereres til en engelsk undersøkelse er det vel liten grunn til å tro at situasjonen er så annerledes i Norge. Mange kobler seg på nett med en ruter uten å tenke noe særlig på datasikkerheten. Ofte beholdes standard passord for administrativ innlogging, ruteren er mulig å administrere fra det store Internett, SSID endres ikke, enkelte setter ikke en gang på kryptering/passord på wifi-tilgangen osv. Og enda sjeldnere er det at brukerne holder fastvaren (firmwaren) til ruteren oppdatert til enhver tids siste tilgjengelige versjon, da mange ikke en gang kjenner til at dette er mulig og nødvendig.

Vi nordmenn elsker teknologi, tekniske duppe-dingser, bredbånd og nettjenester/digitalisering. Samtidig er vi muligens litt naive og godtroende? Det er absolutt god grunn til å rette fokus mot sikkerheten knyttet opp mot våre bredbåndlinjer og rutere.

Litt folkeopplysning om grunnleggende datasikkerhet kunne nok ha vært på sin plass blant den norske befolkningen!

Noen begrepsavklaringer

Det kan være naturlig å forta noen begrepsavklaringer før artikkelen fortsetter:

    • Ruter (engelsk: router): En ruter er en maskin (“boks”) som håndterer forbindelse mellom ulike nettverk, og boksen har ansvaret for å videresende nettverkspakker til rett nett basert på ruting-tabeller. Jf. informasjon hos Wikipedia eller Store norske leksikon. (Noen kaller ruteren feilaktig for et modem, jf. dumme bokser for oppkobling i “gamle” dager.)
    • Gateway (norsk: “inngangsport”): Jf. ruteren. En noe mer avansert boks som gjør det en ruter gjør og litt til. Oversetting mellom ulike protokoller osv. Jf. informasjon hos Wikipedia.
    • Brannmur (engelsk: firewall): Program- eller maskinvare som skal beskytte IKT-utstyret mot omverdenen, kontrollerer trafikken mellom eksternt og internt nett, avvise/stoppe uønsket trafikk/angrep/innbrudd. Jf. informasjon hos Store norske leksikon.
    • Switch (norsk: svitsj): Boks/enhet for nettverksfordeling mellom flere enheter. Styrer/sender trafikken til rett enhet. Jf. informasjon hos Wikipedia.
    • Fastvare (engelsk: firmware): Program/internprogram som startes opp når “boksen” eller enheten blir slått på/startet opp, enhetens operativsystem. “Permanent” innebygget programvare, som blant annet tar seg av styringen av funksjonaliteten til enheten. Jf. informasjon hos Store norske leksikon.
    • Trådløs kryptering: Sikrer kommunikasjonen med bruk av sikkerhetsnøkler. Uten nødvendige nøkler blir overført informasjon helt meningsløs. Jf. informasjon hos Wikipedia.
    • Datasikkerhet, informasjonssikkerhet og IT/IKT-sikkerhet er egentlig tre ulike ord for delvis den samme problematikken. Jf. informasjon hos Wikipedia.
    • Cybersikkerhet dreier seg om sikring av ting (infrastruktur, IKT-utstyr m. m.) som er sårbare for angrep, f. eks. rutere.
    • Informasjonssikkerhet handler til syvende og sist om å sikre konfidensialitet (hindre tilgang for uvedkommende), integritet (hindre endring/sletting fra uautoriserte personer) og tilgjengelighet (sikre tilgjengelighet til enhver tid for dem som har rett til/behov for opplysningene).

Bredbåndkunden eller brukeren

Kundens eller brukeres manglende kjennskap til eller kunnskap rundt datasikkerhet kan absolutt være en utfordring og et problem. Mange brukere har blitt noe mer kritiske til å trykke på ukjente lenker og til å åpne suspekte vedlegg som kommer via e-post, men IKT-teknisk sikkerhet med fornuftig oppsett av ruter, brannmur, trådløst nett etc. står det nok dårligere til med.

Sangen “Ola Nordmann” av gruppa Plumbo: “Det beste som han veit ja det er ny teknologi. Han har iPhone, flatskjerm og Nintendo Wii.”

 

IT-sikkerhet (datasikkerhet/informasjonssikkerhet) er egentlig et helt eget stort fagfelt for spesielt interesserte. Det kan ikke forventes at den enkelte nettbruker har dyp kunnskap innenfor temaet. Fagområdet informasjonssikkerhet er stort og komplekst, og stadig dukker det opp nye former for trusler. Det kan absolutt være utfordrende for meningmannen å beskytte og å administrere sitt IKT-utstyr på en fornuftig måte. Imidlertid kan brukerne læres opp og bevisstgjøres til å kunne nok til å ivareta helt grunnleggende sikkerhet.

Ruteren (hjemmesentralen) min sitt grensesnitt

Det virker som om mange ikke kjenner til nødvendigheten av å holde ruteren sin oppdatert med nyeste mulig fastvare (firmware). Her må det nok folkeopplysning til. Vi har blitt vant med å “patche” Windows (legge inn Windows-oppdateringer), men ikke alle tenker på at tilsvarende bør gjøres på ruteren. Nye versjoner av fastvaren slippes ofte for å tette oppdagede sikkerhetshull.

Den enkelte bør ha helt grunnleggende kunnskap rundt oppsett av ruter og trådløst. Standard administrativt passord (til administrativ web-side) bør endres til et selvvalgt passord med litt kompleksitet, og å ha åpent for administrasjon av ruter fra det store Internett kan i de fleste tilfeller med fordel slås av. Videre må oppsettet av trådløst nett internt i boligen sikres gjennom selvvalgt SSID (nettverksnavn, Service Set IDentifier) og kryptert oppkobling/forbindelse. Tjenester/funksjonalitet på ruteren som ikke benyttes kan slås av (tips: UPnP og WPS), og det er en selvfølge at brannmur bør stå påslått og ikke være konfigurert som en hullete sveitserost. Slike enkelte og banale tiltak øker IT-sikkerheten med mange hakk!

Målet med alle slike tiltak er å hindre uvedkommende tilgang til nettet og dataene man måtte ha liggende. Hacking, kybernettangrep (cybernettangrep) og andre former for datainnbrudd / datakriminalitet eller misbruk av Internett-forbindelsen ønskes unngått. Det er ikke særlig kult med data på avveie eller at Internett-forbindelsen man har blir brukt av uvedkommende til ulovligheter og kriminelle handlinger. Datakommunikasjonen bør absolutt sikres.

Enkelte tenker nok at hjelp fra en datakyndig ungdom (fjortis) er tingen for å få ting satt riktig opp og sikret. Tja. Mange av dagens unge er uredde for teknologien og er flinke innenfor sine interesseområder, men jeg er slettes ikke sikker på at alle av dem er flinke når det gjelder datasikkerhet. En teknologifrelst ungdom er muligens ikke det beste valget man har. Akkurat når det gjelder sikkerhet kan det være en fordel å være litt skeptisk, kritisk, mistroende til verdenen rundt oss og helst litt små-paranoid.

Mer og mer av livene våre og tjenestene vi benytter oss av finnes på og skjer via nettet. Det blir mer og mer nett-tjenester og nettverkstilkoblede enheter. Ikke minst fører tingenes Internett (IoT, Internet of Things) til at denne utviklingen finner sted. Ellers omfavner mange av oss ulike sky-tjenester. Samtidig blir trusselbildet stadig mer komplisert og komplekst, og flere og flere nye (typer) trusler dukker opp. Sannelig ikke helt lett å henge med i denne utviklingen!

En god del av skylden for manglende datasikkerhet rundt i landets husholdninger vil jeg legge over på produsentene av nettverksutstyr og leverandørene av Internett-aksess:

Produsentene har skylda

Noe av skylden for manglende sikkerhet på rutere og Internett-forbindelser kan legges på produsenten av nettverksutstyr slik som rutere (routere). Slettes ikke alle bredbåndsrutere er særlig intuitive og enkle å konfigurere, og enkelte av “boksene” har kompliserte måter for å holde utstyret oppdatert og sikret på. Det kan f. eks. på enkelte enheter være en forholdsvis komplisert, tidkrevende og risikofull affære å oppdatere fastvaren (firmware), så jeg synes ikke det er rart at nesten ingen gjør dette.

Det lanseres støtt og stadig nye rutere. Folk flest bytter ikke ut disse enhetene hele veien. Det er tålig dumt at mange produsenter slutter alt for tidlig å gi ut oppdateringer på utgåtte modeller. Da blir man sittende der med skjegget i postkassen med en usikker enhet som ikke kan oppdateres uten å skifte ut hele boksen.

En del rutere leverer med svært dårlige standardinnstillinger satt på boksen fra fabrikk. Som utgangspunkt burde standardinnstillingene ha vært satt strengere og tryggere enn det som ofte er tilfellet. Intuitive veivisere (oppstart) som man TVINGES til å gå gjennom og som setter bra sikkerhet på boksen kan være en god løsning.

Internett-leverandørene har skylda

Internett-leverandørene (ISP-ene, Internet service provider) frifinnes heller ikke. Det er ikke alltid at disse gjør livet så lett for sine kunder. En del ting er vi IKT-tekniske kunder i enkelte tilfeller forhindret fra å kunne gjøre eller utføre.

Selv er jeg f. eks. Enivest-kunde. Jeg har tilgang og muligheter for å gå inn på min ruter (gateway, “hjemmesentral”), men bare med bruker-tilgang. Jeg kan gjøre endringer i oppsett av trådløst oppsett samt endre passordet for standard-brukeren, men jeg har ikke muligheter for å oppdatere fastvaren (firmware) eller styre brannmur-innstillingene. Slike administrative ting styres av ISP. Pr. nå er fastvaren ikke all verdens gammel og brannmuren ser tilsynelatende ut til å fungere greit. Jeg må bare stole på at Enivest har gode rutiner for å hindre misbruk av den administrative tilgangen de har, og at de vil (automatisk) holde boksen min oppdatert i tiden framover med fastvareoppdateringer.

Jeg hadde lenge en eldre ruter (gateway, hjemmesentral) av fabrikatet Tilgin, også denne levert av Enivest og under deres administrasjon. Denne hadde på slutten ikke mottatt oppdateringer på fastvaren på nærmere 3 år. Denne begynte jeg virkelig å føle meg utrygg på. Litt klaging rundt dette medførte at jeg fikk tilsendt en ny og en mer moderne enhet i forbindelse med oppgradering av hastigheten på linja.

I og med at jeg kjører en nettside (testside) fra min stasjonære PC hjemme har jeg laget litt hull i brannmuren. Jeg hadde nemlig muligheter med standard-brukeren å sette på “port forwarding” (portvideresending). Så tcp-port 80 (http) og 443 (https) blir videresendt inn i nettet mot den stasjonære datamaskinen pr. dags dato.

Her i bloggen har jeg en artikkel som heter “Tekniske løsninger nettsider + Internett-linje”. Der har jeg, for spesielt interesserte, skrevet litt mer om min Internett-løsning.

Inteno EG400 gateway/router

Pr dags dato har jeg en Inteno EG400 gateway som Enivest har sendt ut til meg, koblet opp mot min fiberlinje for Internett. Ofte brukes begrepet hjemmesentral om slike enheter. Enheten fungerer som gateway, ruter og brannmur, og den har innebygd støtte for telefoni, trådløst og switch-funksjonalitet (4 porter). Get Box Mikro (IPTV) er også koblet opp mot enheten.

Ifølge informasjon på nettet skal enheten ha følgende sikkerhetstiltak:

  • Brannmur (firewall) på Inteno EG400 som ifølge produsent støtter:
    • NAT, DMZ and ALGs
    • Stateful Packet Inspection (SPI) with DOS protection – Ping of Death, SYN Flood LAND
    • Protection against IP and MAC address spoofing
    • UPnP NAT traversal and VPN / IPSec pass-through
  • Trådløst nett er selvsagt kryptert/sikret med WPA2 Personal (PSK), dvs. Wi-Fi Protected Access versjon 2 sammen med “Pre-Shared Key” (forhåndsdelt nøkkel).

Avsluttende kommentarer

Datakommunikasjonen og nettverksutstyret, inkluder rutere, må beskyttes. Ingen ønsker å bli utsatt for hacking, datainnbrudd eller lammende angrep. Eventuelle vellykkede forsøk hvor sikkerheten blir kompromittert kan gå på personvernet løst.

Økt bevisstgjøring og økte kunnskaper om datasikkerhet er høyst nødvendig ute blant folk flest! Samtidig er det ikke bare-bare for folk flest å henge med i den rivende teknologiske utviklingen samt ha noenlunde oversikt over alle nye former for trusler som dukker opp langsmed. Det er en utfordrende og omfattende jobb å holde IKT-utstyret og informasjonen beskyttet!

Lenker:

Utskrift
Tagged , , , , , , , , , , , , , .Bokmerk permalink.

Om Bjørn Roger Rasmussen

Ta en titt på undersiden "Om bloggen" for mer informasjon om bloggforfatter. Les ellers mer om meg, Bjørn Roger Rasmussen (BRR), på min personlige nettside: https://www.brr.no/

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *




  • Bilder, bilder og mer bilder! Et foto forteller mer enn tusen ord!

    Lenke til fotogalleriet - foto.brr.no:

    foto.brr.no