Fråga
Är jag utsatt för en routerattack? Vi har nyligen haft problem med att vår internethastighet är låg och att signalen kommer och går, så jag tänkte göra en fabriksåterställning av routern och försöka försöka få ordning på den.
När jag ändå var inloggad i routern bestämde mig för att jag bara skulle kontrollera systemloggen lite snabbt och jag hittade en hel massa konstigheter. Hela loggen var fylld med sådant här:
Login attempt for nonexistent user from …
Client trying multiple usernames from …
Bad password attempt for ’admin’ from …
DoS Attack: SYN/ACK Scan from …
DoS Attack: RST Scan from …
Plus lite varianter på detta. Är det något jag borde oroa mig för? Ska jag försöka få internetleverantören att ge mig en ny IP-adress? Jag gjorde en IP-sökning på en av de angivna IP-adresserna i loggen och fick besked om att den kommer från Ukraina.
Jag återställde routern och bytte lösenord. Den fungerar nu bättre, men jag ser fortfarande en hel del sådant här i loggen. Vad göra?
Bert
Svar
Routerattack är inte rätt ord – alla som någon gång tittar i sina routerloggar ser sådant här, men de flesta gör aldrig det. Världen är full av automatiska system som försöker ta sig in överallt där det finns en IP-adress som svarar. I normalfallet är det ingenting att bry sig om, det är bara så det är.
Att din internetanslutning fungerar bättre efter återställningen kan betyda att din router faktiskt var komprometterad, men behöver absolut inte göra det. En fabriksåterställning löser ofta väldigt många problem, oavsett om det gäller en router eller något annat.
Skydda dig
Men fabriksinställningarna för en vanlig hemmarouter är inte alltid de säkraste, utan är tänkta att vara så enkla och hanteringsvänliga som möjligt. Så om du är orolig för en förnyad routerattack finns det några saker du kan göra för att förbättra säkerheten:
- Ändra namn och lösenord för administratörsanvändaren. Hur ofta loggar du in? Välj ett riktigt långt lösenord – det är mycket viktigare än att det är komplicerat.
- Kör du en VPN-server i routern? Samma sak gäller för lösenordet där.
- Hur ofta administrerar du din router utifrån? Stäng av internettillgång till webbgränssnittet.
- Uppdatera till senaste firmware.
- Stäng av tjänster som Telnet och SSH, liksom mindre vanliga protokoll som SNMP och HNAP, om de råkar finnas i din router.
- Stäng av UPNP om det inte är absolut nödvändigt. Behöver du bara öppna någon enstaka port för åtkomst utifrån är det säkrare att göra det manuellt. UPNP kan öppna alla möjliga portar utan din vetskap.
- Om routern har ett gästnätverk och du inte behöver det för just gäster, använd det i stället för Internet of Things-enheter, så att de är åtskilda från ditt vanliga nätverk.
- Se till att alla enheter i nätverket är säkra. Det finns gott om exempel på attacker som utnyttjar datorer och annat bakom routern för att komma åt den inifrån.
- Ändra routerns interna IP-adress från standardvarianterna 192.168.0.1 eller 192.168.1.1 till något mer komplicerat som exempelvis 192.168.55.33.
- Testa öppna portar och din routersäkerhet med någon tjänst som till exempel Gibson Researchs Shields Up: www.grc.com.
IP-adressen du får från din leverantör är förmodligen dynamisk, vilket innebär att den kan ändras om du inte använder den på ett tag. Statiska adresser är mycket dyrare och ingår normalt inte i privatabonnemang. Så att be om en ändring är ingen idé.
Men håll fortsatt koll på dina loggar.