Informationssäkerheten i hemnätet och routern | Traficom
Hoppa till huvudinnehåll
Transport- och kommunikationsverket

Informationssäkerheten i hemnätet och routern

Ett modem eller en router är en port till vårt hemnät. Därför är det särskilt viktigt att skydda dem. Apparaterna kan antingen vara separata eller så kan en apparat fungera både som ett modem och som en router. I denna anvisning går vi igenom grunderna för routrars informationssäkerhet för att du ska kunna skydda ditt hemnät och dina personliga uppgifter.

På den här sidan presenterar vi de viktigaste informationssäkerhetsinställningarna som du bör beakta i hemmets nätutrustning:

  • Deaktivera möjligheten till hantering av routern på distans utanför det egna nätverket eller säkerställ att det är säkert.
  • Byt standardlösenordet.
  • Uppdatera utrustningen – aktivera automatiska uppdateringar.

Routern kan hanteras via hanteringsportalen som du kan öppna genom att skriva routerns IP-adress i webbläsarens adressfält på din dator och logga in med ADMIN-användarkoden, som du hittar på routern. Beroende på routerns inställningar kan inloggningen i portalen kräva att datorn är kopplad till routerns nät. Du hittar IP-adressen för hantering av routern till exempel i routerns bruksanvisning eller etikett. Lösenordet står på routern, om du inte redan bytt det.

Varför skulle brottslingar vara intresserade av min utrustning eller mitt hemnät?

Brottslingar söker sårbarheter i nätet manuellt eller automatiserat. Kapad nätutrustning används exempelvis för att utföra överlastningsangrepp. Distribuerade överbelastningsattacker (DDoS, Distributed Denial of Service) genomförs ofta med kapad utrustning genom att styra den. Brottslingarna använder nätutrustning också för att dölja sina spår eller göra angrepp med en källadress i mållandet. Skadlig trafik från en inhemsk operatörs nät kan inte upptäckas lika lätt som skadlig trafik som klart härstammar från en utländsk adress. Överlastningsangrepp avvärjs ofta genom att tillfälligt förhindra trafik från utlandet. I detta fall upptäcks kapad inhemsk utrusting inte. Detta är ett bra exempel på varför en enskild kapad enhet i det inhemska nätet inte nödvändigtvis genast väcker uppmärksamhet i olika regler som används för att övervaka datatrafik.

De viktigaste informationssäkerhetsinställningarna

Tumregeln är att internet kopplas till enhetens WAN-port och det interna nätets enheter till LAN-portarna. Variationen är stor även om man vid tillverkningen av produkterna strävar efter att till exempel namnge portarna och färgkoda dem på ett enhetligt sätt. Det är klokt att alltid läsa enheternas bruksanvisningar så att enheterna kopplas rätt.

Det är viktigt ur ett datasäkerhetsperspektiv att nätkablarna kopplas rätt till dessa portar.

Routern ansluts till internet via WAN-porten. Endast kabeln för lägenhetens internetanslutning ska kopplas till denna port. Beroende på hur förbindelsen genomförs kommer denna kabel antingen direkt från fördelningspunkten, via ett DSL-modem eller, om det är fråga till exempel om en optisk fiberanslutning, från operatörens fiberadapter.

Enheter som behöver internetuppkoppling via LAN-portarna kopplas till hemmets inomhusnät. Till dessa portar kopplas till exempel datorer och skrivare.

Kabeln för lägenhetens inkommande internetanslutning får inte kopplas till routerns LAN-port. Detta förbigår i praktiken routerns skydd och utsätter den övriga utrustningen i lokalnätet för skadlig trafik direkt från internet-nätet.

Det är viktigt att alla enheter i hemmet är anslutna till ett skyddat inomhusnät och inte är direkt anslutna till det externa nätverket.

Du kan ha fått separata kopplingsanvisningar från din internetleverantör. Läs dem noggrant och följ de angivna instruktionerna.

Vissa routrar har egenskaper som kan vara praktiska och nyttiga men försämrar informationssäkerheten i nätet. Om du har aktiverat möjligheten till hantering på distans kan brottslingarna ändra inställningarna på distans om de lyckas få tillträde till routern. Det rekommenderas att man deaktiverar möjligheten till hantering på distans (Remote access). I vissa fall kan funktionen användas för att ta sig in i hemnätet på distans, men en vanlig användare behöver inte hålla funktionen aktiverad.

Routrar är vanligtvis försedda med standardkoder för inloggning i routerns hanteringsportal. Användning av standardkoderna är en informationssäkerhetsrisk och det rekommenderas att man byter ut lösenordet mot ett starkare när man loggar in i portalen.

Brottslingar försöker kontinuerligt hitta luckor, det vill säga programsårbarheter i utrustningens system för att kunna utnyttja dem. Sårbarheter kan korrigeras genom uppdateringar. Det är viktigt att hålla hemroutern uppdaterad för att brottslingarna inte ska kunna utnyttja korrigerade sårbarheter i gamla programversioner. Teleföretag erbjuder automatiska uppdateringar för vissa routrar, men systemen i routrarna av vissa märken och modeller måste uppdateras manuellt. Uppdateringarna kan laddas ned i routerns hanteringsportal eller på tillverkarens webbplats. Kontrollera alltså din routers märke och modell och försök hitta den senaste versionen på tillverkarens webbplats om den inte direkt finns tillgänglig i hanteringsportalen.

Med SSID, det vill säga service set identifier (routerns standardnamn), avses ett trådlöst hemnäts domännamn. Med hjälp av det kan man skilja WLAN-nätverk i samma område från varandra. Hemnätets standardnamn kan avslöja routerns tillverkare och därigenom hjälpa angriparen att veta om routern eventuellt är sårbar. Det rekommenderas att man ger routern ett namn som inte gör det möjligt att direkt identifiera dess läge eller ägare. SSID kan bytas genom att logga in i routerns hanteringsportal. Observera att om du har smarta apparater eller automatik i ditt hem ska du också uppdatera det nya namnet eller lösenordet på dessa enheter för att de ska fortsätta fungera.

En brandvägg är en slags digital motsvarighet till trafikpolis som övervakar nätets gränser enligt regler som fastställts på förhand. Med hjälp av den kan man hindra fastställd trafik från att komma in i nätet eller lämna det. Det är rekommendabelt att hålla hemrouterns brandvägg aktiverad. Du kan kontrollera brandväggens status och inställningar i routerns hanteringspanel. Brandväggen finns vanligtvis under hanteringspanelens avsnitt ”Firewall”. Kontrollera att brandväggen är aktiverad. Om routerns tillverkare erbjuder till exempel egenskaper som skyddar routern mot olika angrepp lönar det också sig att aktivera dem. Allmänt taget är det bra att justera brandväggens funktion så att den förhindrar alla onödiga förbindelser.

Det är möjligt att kryptera de uppgifter som skickas via nätet. Genom att göra detta hindrar du andra från att se vad du gör eller från att få dina personliga uppgifter. Om du vill kryptera ditt hemnät ska du uppdatera routerns inställningar till antingen WPA3 Personal eller WPA2 Personal. Du kan kontrollera om inställningarna i fråga är aktiverade i din router i routerns hanteringsportal, exempelvis under “Encryption options”. Om ingen av de ovan nämnda teknikerna är tillgänglig är routern redan i slutet av sin livscykel.

En omstart av routern kan åtgärda problem med nätets funktion och hastighet, eftersom den rensar routerns cacheminne. Omstart har också en väsentlig fördel med tanke på informationssäkerheten.

Om det på routern finns en skadlig programvara kan den förbli dold och fungera i bakgrunden utan att användaren upptäcker den. Omstarten kan avbryta de skadliga processerna. Skadlig programvara kan också avlägsnas från routern genom att återställa routern till fabriksinställningarna. Det är ändå viktigt att kontrollera de övriga enheterna i nätet för smittor.

Omstarten gör också att ändringarna i routern och dess inställningar aktiveras i alla enheter som använder routern.

I många routrar kan man skapa ett gästnät med ett eget namn och lösenord. Nya nät kan skapas i hanteringsportalen. Där kan du också fastställa namn (SSID) och lösenord för dem. Det kan finnas små skillnader mellan olika tillverkare med tanke på skapandet av gästnät men processen är i huvuddrag densamma. Det är också möjligt att kryptera nätets förbindelser på samma sätt som i det egentliga hemnätet. Skapandet av ett gästnät är en bra informationssäkerhetsåtgärd av flera skäl:

  • Ett separat namn och lösenord innebär att färre människor har inloggningsuppgifterna för dit primära WiFi-nätverk.
  • Om en enhet med en skadlig programvara ansluter sig till nätet, kan den skadliga programvaran sannolikt inte sprida sig från gästnätet till andra enheter.
  • Du kan också skapa ett separat gästnät för IoT-enheter. Alla IoT-enheter har inte en omfattande informationssäkerhet, vilket innebär att om en IoT-enhet hackas eller läcker information, äventyrar detta inte nödvändigtvis alla enheter i hemnätet.

Kontrollera hur ditt hemmanät syns på internet

Det första steget för att reda ut hemmanätets synlighet är att ta reda på den offentliga IP-adressen för din internetanslutning. Den offentliga IP-adressen är som namnet säger den adress som identifierar enheterna i ditt nät för andra internetanvändare. I många routrar som använder mobilt bredband går förbindelsen via en så kallad nätadressöversättning (NAT Network Address Translation), vilket betyder att hemmarouterns externa (WAN) adress i verkligheten ännu inte är en offentlig IP-adress.


– Du hittar din offentliga IP-adress
  – I routerns inställningar
  – På adressen på https://bittimittari.fi/sv (kom ihåg att stänga av en eventuell VPN-förbindelse när du testar)
      1. Välj "Gå till mätningen"
      2. Välj "Inled mätningen" och vänta tills mätningen är klar
      3. När mätningen är klar väljer du "Tekniska uppgifter" lägre ner på sidan.
      4. Du hittar din offentliga IP-adress under: "IP-adress" (t.ex. IPv4: 123.134.245.67 eller IPv6: 2001:4860:4860:0:0:0:0:8888 eller 2001:4860:4860::8888)

När du har fått reda på din offentliga IP-adress kan du kontrollera adressens synlighet till exempel via tjänsterna Shodan eller Censys.

Om du använder en IPv4-adress (t.ex. 123.134.245.67):

– https://search.censys.io/hosts/xxx.yyy.zzz.vvv/ (ersätt xxx.yyy.zzz.vvv med den IP-adress du fått i steg 1)

– https://www.shodan.io/host/xxx.yyy.zzz.vvv (ersätt xxx.yyy.zzz.vvv med den IP-adress du fått i steg 1)

Om du använder en IPv6-adress (t.ex. 2001:4860:4860:0:0:0:0:8888 eller 2001:4860:4860::8888):

– https://search.censys.io/hosts/abcd:ef01:2345:6789:abcd:ef01:2345:6789 (Ersätt exempeladressen med din egen IP-adress)

– https://www.shodan.io/host/abcd:ef01:2345:6789:abcd:ef01:2345:6789 (Ersätt exempeladressen med din egen IP-adress)


Tjänsterna innehåller inte alltid samma information, därför är rekommendationen att kontrollera uppgifterna i båda tjänsterna. I största delen av situationerna är det i regel bäst att hemmanäten är helt dolda på internet. Om du vill använda hemmanätets tjänster via distansförbindelser ska särskild noggrannhet fästas vid tjänsternas offentliga synlighet.

Söktjänsternas vy över hemmanätet visar ingenting mot det offentliga nätet. Om resultaten av söktjänsterna avviker från bilderna är det bra att fundera på om vissa tjänster avsiktligt är öppna mot det offentliga nätet.

Sidan är senast uppdaterad