Kotiverkon sydän on reititin, mutta se jää usein vähimmälle huomiolle tietoturvasta puhuttaessa. Monet meistä vaihtavat puhelimen ja tietokoneen salasanat säännöllisesti, mutta reititin saattaa puksuttaa samoilla oletusasetuksilla vuosia. Tämä on riski, sillä reititin toimii portinvartijana kaikelle kodin liikenteelle. Hakkereille suojaamaton reititin on helppo kohde, jonka kautta he voivat päästä käsiksi muihin laitteisiin.
Nykyaikainen koti on täynnä älykkäitä laitteita lampuista jääkaappeihin. Nämä niin sanotut IoT-laitteet ovat usein tietoturvaltaan heikkoja ja alttiita hyökkäyksille. Jos yksikin tällainen laite saastuu, koko kotiverkko on vaarassa. Onneksi perusasetusten muuttaminen vie vain hetken ja parantaa suojausta merkittävästi.
Perusasetukset haltuun heti
Ensimmäinen askel on vaihtaa reitittimen hallintapaneelin oletussalasana. Valmistajat käyttävät usein samoja tunnuksia, kuten ”admin” ja ”password”, kaikissa laitteissaan. Kuka tahansa voi löytää nämä tiedot verkosta sekunneissa. Valitse tilalle pitkä ja uniikki salasana, jota et käytä muualla.
Päivitysten merkitystä ei voi korostaa liikaa tietoturvassa. Valmistajat julkaisevat jatkuvasti korjauksia uusiin haavoittuvuuksiin, jotka muuten jäisivät auki. Tarkista reitittimen hallintasivulta, onko laiteohjelmisto (firmware) ajan tasalla. Jos laite tukee automaattisia päivityksiä, kytke ne välittömästi päälle mielenrauhan varmistamiseksi.
Langattoman verkon nimeä eli SSID-tunnusta kannattaa myös miettiä tarkasti. Älä käytä nimeä, joka paljastaa reitittimen merkin tai mallin hyökkääjälle. Myös oma nimi tai kotiosoite on syytä jättää pois verkon nimestä. Generic-tyyppinen nimi on turvallisin valinta, sillä se ei anna turhia vihjeitä.
Vahvempi salaus suojaa
WPA3 on uusin ja turvallisin standardi langattoman verkon salaamiseen. Se korjaa monia edeltäjänsä WPA2:n tunnettuja heikkouksia, kuten alttiuden sanastohyökkäyksille. Mikäli reitittimesi ja laitteesi tukevat WPA3-salausta, ota se käyttöön välittömästi. Se tekee verkon murtamisesta huomattavasti vaikeampaa ja hitaampaa.
Kaikki vanhemmat laitteet eivät välttämättä toimi uuden standardin kanssa. Tällöin voit käyttää ”Mixed Mode” -tilaa, joka sallii sekä WPA2- että WPA3-yhteydet. Varmista kuitenkin, että käytössä on aina AES-salausmenetelmä vanhentuneen TKIP:n sijaan. Salaus on välttämätön suoja, jotta naapurit tai ohikulkijat eivät näe liikennettäsi.
WPS-toiminto on monessa reitittimessä päällä oletuksena helpottamassa laitteiden yhdistämistä. Se on kuitenkin merkittävä tietoturvariski, sillä sen PIN-koodi on helppo murtaa automaattisilla työkaluilla. Kytke WPS pois päältä ja yhdistä uudet laitteet perinteisesti kirjoittamalla salasana. Tämä pieni vaiva estää suuren osan automaattisista murtoyrityksistä.
Eristä laitteet toisistaan
Vierasverkon luominen on yksi tehokkaimmista tavoista suojata tärkeimmät tietosi. Voit luoda erillisen Wi-Fi-verkon, jota vieraat ja älylaitteet käyttävät pääverkon sijaan. Näin ollen esimerkiksi saastunut älylamppu ei pääse keskustelemaan työkoneesi tai verkkopankkisi kanssa. Eristäminen estää haittaohjelmien leviämisen laitteesta toiseen kotiverkon sisällä.
Moni reititin tarjoaa asetuksen ”AP Isolation”, joka estää langattomia laitteita näkemästä toisiaan. Tämä on erinomainen lisäturva erityisesti vierasverkossa, jossa et voi olla varma muiden laitteiden puhtaudesta. Kotiverkko muuttuu näin joukoksi erillisiä saarekkeita yhteisen avoimen tilan sijaan.
UPnP-ominaisuus kannattaa myös poistaa käytöstä useimmissa tapauksissa. Se antaa laitteiden avata portteja reitittimen palomuuriin automaattisesti ilman käyttäjän lupaa. Vaikka se helpottaa pelikonsoleiden käyttöä, se on myös portti haittaohjelmille internetistä kotiisi. Manuaalinen porttiohjaus on työläämpää, mutta huomattavasti turvallisempaa hallintaa.
DNS ja suodatus
Internet-palveluntarjoajasi DNS-palvelin ei välttämättä ole nopein tai turvallisin vaihtoehto. Voit vaihtaa reitittimen asetuksiin tietoturvaan keskittyvän DNS-palvelimen, kuten Quad9 tai Cloudflare for Families. Nämä palvelut estävät automaattisesti pääsyn tunnetuille haitallisille sivuille jo verkkotasolla. Tämä antaa suojan kaikille verkon laitteille, myös niille, joihin ei voi asentaa virustorjuntaa.
Jotkut reitittimet sisältävät itsessäänkin tietoturvaominaisuuksia, kuten haitallisen liikenteen suodatuksen. Nämä ominaisuudet analysoivat tulevaa dataa ja estävät hyökkäysyritykset ennen kuin ne saavuttavat laitteesi. Jos valmistaja tarjoaa tällaisia palveluita, ne on suositeltavaa pitää aktiivisina. Moderni reititin on parhaimmillaan aktiivinen palomuuri eikä vain passiivinen silta.
Laitteen hallintaportaali on syytä pitää saavuttamattomissa internetin puolelta. Varmista, että ”Remote Management” tai vastaava asetus on pois päältä. Hallinta-asetuksiin pitäisi päästä vain kotiverkon sisältä käsin tai fyysisellä kaapelilla. Tämä poistaa yhden merkittävimmistä reiteistä, joita etähakkerit hyödyntävät.
Tarkistuslista turvalliseen reitittimeen
Kotiverkon suojaaminen on jatkuva prosessi, mutta näillä toimenpiteillä pääset pitkälle. Seuraava lista auttaa varmistamaan, että kriittisimmät kohdat on huomioitu. Käy asetukset läpi ja merkitse ne tehdyiksi.
- Vaihda hallintapaneelin oletussalasana vahvaksi ja uniikiksi.
- Päivitä laiteohjelmisto uusimpaan versioon ja salli automaattipäivitykset.
- Ota käyttöön WPA3-salaus tai vähintään WPA2-AES.
- Luo erillinen vierasverkko IoT-laitteille ja vierailijoille.
- Poista WPS-toiminto ja UPnP-automaatio käytöstä.
- Vaihda verkon nimi (SSID) sellaiseksi, joka ei paljasta henkilötietoja.
- Määritä tietoturvaan painottuva DNS-palvelin (esim. 9.9.9.9).
- Estä hallintapaneelin käyttö internetin (WAN) kautta.
Pidä huolta verkostasi
Pieni säännöllinen vaivannäkö pitää kotisi digitaalisen puolustuksen kunnossa. Tarkista asetukset ja päivitykset muutaman kuukauden välein. Teknologia kehittyy ja uusia haavoittuvuuksia löytyy, mutta valveutunut käyttäjä on aina askeleen edellä. Hyvin suojattu reititin on paras vakuutus digitaalista arkeasi varten.