Folk, der arbejder med netværkssikkerhed, vil sige, at det første skridt mod et supersikkert hjemmenet består i at droppe WiFi, men der er andre muligheder, hvis det ikke er muligt.

Mange mennesker indstiller deres netværks service set identifier (ssid) til deres familienavn. Et hurtigt kig i telefonbogen vil i mange tilfælde fortælle enhver, hvad husstandens adresse er. Hvis man scanner efter netværk, kan man se, hvilke husstande der slukker deres WiFi-routere om natten, og hvilke der har dem tændt døgnet rundt. Afvigelser fra dette mønster kan afsløre tidspunkter på året, hvor beboerne er på ferie, og deres hjem er forladt.

Gem dit netværk

Gem dit netværk for browsere ved ikke at offentliggøre dets ssid. Enhver, der vil koble sig på, er nødt til på forhånd at kende netværkets navn. Reducer også din WiFi-routers strømoutput til dens laveste indstilling. Udvid netværkets dækning med en WiFi-repeater, og indstil også dens strømoutput så lavt som muligt. Hvis det er muligt, skal du forbinde router og repeater med et kabel, således at kun de dele af dit hjem, der har brug for WiFi-dækning, får den. Fugtige omgivelser absorberer radiobølger. Undersøg derfor, om der er signallæk i tørt vejr.

Slå mac-filtrering af adresser til på din router, så kun dine computere kan gå på netværket. Det er også mere sikkert at give afkald på bekvemmeligheden ved dhcp og bruge fas-te ip-adresser, men husk, at dhcp viderebringer information om din internetudbyders dns-servere. Hvis du dropper dhcp, er du nødt til at indstille dem manuelt.

For at forhindre din udbyder i at have nem adgang til din dns-anmodninger kan du bruge en alternativ dns-tjeneste såsom OpenDNS. Dens offentlige dns-servere har ip-adresserne 208.67.222.222 og 208.67.220.220. Du kan muligvis ikke læse dens krypterede indhold, men du kan konstatere tilstedeværelsen af fremmede data, herunder hver eneste pakkes fjernkilde og destination. Trafiksnifferen Wireshark er branchestandarden, og den kan du finde på www.wireshark.org.

Efter at have installeret den og den tilknyttede WinPcap-software skal du køre Wireshark og vælge en netbrugerflade for at begynde at overvåge trafikken. En gang imellem vil du se pakker, der ikke er fra dit netværk. Du kan se, hvem der ejer deres kilde og destination, ved at skrive dem ind i et omvendt dns-værktøj som det, der findes på http://remote.12dt.com.

En digital petriskål

Ved hjælp af virtualisering kan du sikre dig, at enhver hemmelig spyware, som du kommer ud for, bliver afsløret – også selvom din antivirus overser den – i den digitale udgave af en petriskål.

Den gratis software Virtual Box fra Sun Microsystems er en fortræffelig måde at komme i gang på (www.virtualbox.org/wiki/Downloads). Efter installationen skal du oprette en ny virtuel maskine, installere dit os og ønskede applikationer. Så tager du et snapshot af den virtuelle maskine. Gem alle dine data på en speciel virtuel filserver (eller en rigtig filserver – Virtual Box giver fuld netværksadgang). Gendan så snapshottet, hver gang du logger på, for at sikre, at dit miljø er rent.

Hver gang du installerer ny software, skal du gendanne snapshottet, installere softwaren og tage et nyt snapshot. Brug det nye snapshot til at skrue tiden tilbage dag for dag. Hvis man skruer tiden tilbage, modarbejder man spyware, men hvis din hardware ikke kan tage virtualisering, skal du vide, hvilke programmer der kører, og hvilke sites de er forbundet til. Professionelle sikkerhedseksperter foretrækker Windows’ gratis Sysinternals-suite, navnlig Process Explorer (www.bit.ly/2QxebL).

Process Explorer kræver ikke installation og kan ligge på en usb-nøgle. Kør den, og dobbeltklik på en proces for at se, hvad den kan, herunder de forbindelser, den har til eksterne sites.

Demilitariseret politik

Det er en standardprocedure at oprette en ”demilitariseret zone” (dmz) mellem internettet og det interne net. Her anbringer man alle de servere, der kræver en ekstern og en intern tilstedeværelse.

Et demilitariseret netværk adskiller internettet og et internt netværk.

Sørg for, at du altid logger ud, når du forlader pc’en. Hvis du har brug for at forblive logget på, skal du kodeordsbeskytte pauseskærmen og sætte den til at slå til efter en kort periode, for eksempel fem minutter. Husk at ændre alle kodeord regelmæssigt.

Test din firewall

Hvordan ved man, om ens firewall virker ordentligt? Man kan afprøve den med en ekstern tjeneste, der bliver brugt af professionelle sikkerhedsfolk

Din Windows- eller Linux-firewall kører, som den skal, men kan den effektivt blokere for forbindelser og data, og kan den holde din identitet så hemmelig som muligt? Det ved man først, når man afprøver det. Desværre kræver det megen viden at undersøge firewallsikkerhed.

Der er imidlertid nogle gratis onlinetjenester, der kan hjælpe. Den gratis ShieldsUP! fra Gibson Research Corporation er en god test af firewallsikkerhed (www.grc.com/intro.htm). Den rummer også masser af oplysninger om de test, den kører, og hvad dens resultater betyder.

1. Dns-information
Klik på linket ’ShieldsUP!’ under ’Hotspots’ på hovedsiden. Den første side rummer en samling nyttig information om det dns-navn, der bliver brugt til at identificere dit netværk.

Test din firewall

2. Fildeling
Klik på ’File sharing’ for at afprøve, om den kan se port 80 åben på din computer. Det er en god indikation af, at den er blevet kompromitteret og leverer indhold – muligvis dine egne filer.

3. Fælles porte
Klik på ’Common ports’. Det scanner de mest hyppigt brugte porte på din computer og leder efter svar. Hvis det ikke finder nogen, siger den, at du er i stealth-tilstand.

4. Serviceporte
Klik på ’All service ports’. Det scanner de første 1.056 portnumre. Det er ”privilegerede” porte, der bliver brugt af større tjenester, og de skal alle være i stealth-tilstand.

5. Besked-spam
Kør Messenger, og klik på ’Messenger spam’ for at se, om din pc er beskyttet mod spam over port 135. Skriv en besked, og klik ’Spam me with this note’. Den bør ikke komme frem i Windows 7.

6. Browser-headers
Til sidst skal du undersøge, hvad din browser siger om din pc, ved at klikke på ’Browser headers’. De kan ofte være meget afslørende for en tredjepart, når de bliver sendt via en ukrypteret forbindelse.

Forstå routerlogs

Din WiFi-router kan være en nyttig kilde til information om dit netværk

Et sted i styrekonsollen har din WiFi-router en funktion, der sætter dig i stand til at undersøge systemloggen, men du skal muligvis grave lidt for at finde den. Standarden for de fleste logfiler er syslog. Syslog blev oprindelig brugt på Unix, hvor den migrerede med Linux til moderne pc-netværk.

I en syslog-formateret log er der tre felter for hvert punkt. Det første er PRI, der består af to tal. Det første tal er punktets alvorskode, der går fra 0 (krise) til 7 (debug). Den anden er facilitetskoden, der henviser til den del af systemet, der sender beskeden.

Den anden del af punktet er headeren. Den indeholder tidsstempel og ip-adresse (eller dns-navn) for det system, der genererer fejlen. Det er nyttigt, fordi syslog kan indsamle statistik fra et helt netværk.

Routerlogs kan være et uvurderligt værktøj til at spore uønskede gæster og netværksproblemer.

Forstå routerlogs

Den tredje del af punktet indeholder navnet på det program, der logger beskeden, og selve beskeden.

Hvis nogen prøver at cracke dit ssid, får du meddelelser, der beskriver forsøg på forbindelse. Men hvis det lykkes nogle at få adgang til dit netværk, vil du pludselig se, at der bliver noteret dhcp-anmodninger. Hvis en af dem svarer til ip-adresserne på dine andre computere, ved du, at nogen er trængt ind. Du skal også holde øje med fejlslagne loginforsøg. De viser, at nogle prøver at gætte sig frem til routerens administrator-kodeord.

Det er umagen værd at aflæse routerens log regelmæssigt, dels for at finde eventuelle mistænkelige forbindelsesanmodninger eller fejl, dels for at få en dybere forståelse for dit netværk og dets forbindelse med internettet. Hvis der sker noget upassende, kan du forstå det og afvise det.