Hjälp med uppbyggnad av LAN till villa (framförallt klientskydd och firewall).

Permalänk
Medlem

Hjälp med uppbyggnad av LAN till villa (framförallt klientskydd och firewall).

Hej!

Efter att ha sett @nikka prata om klientskydd i hans senaste video så fick det mig att fundera på hur jag sätter upp ett bra grundskydd för nätverket hemma i villan.

Som det ser ut just nu, så kör vi på en Asus ac68u, och hade egentligen bara tänkt att uppgradera tills vidare med en ubiquiti ac pro för att få till lite bättre wifi på övervåningen. Men efter klippet så började ja fundera på om jag inte borde skydda mig lite bättre.

Frågorna då är om den inbyggda firewallen i ac68an räcker, samt det lilla som ja har för mig finns i windows? Eller borde ja köpa en USG som ja sätter direkt på fibern och sen vidare från den in i asus routern? Går det bra att göra så eller får ja dubbla nätverk och strulet som följer med det då? Alternativt skita i asusen (är föräldrarkontrollen ja är ute efter i den) och bara köra usgen? Kommer vara mobiltelefoner, ps4 xbox one och allt övrig utrustning man normalt har i huset så det fina hade ju varit en rejäl bra skydd som täcker så mycket som möjligt?

Sen klientskydd(får inte säga antivirus haha) så antar jag att det egentligen bara finns att installera det på de PC vi har i hushållet, en firewall eller USG skyddar inte mot det som om att det vore ett stort filter för alla anslutna enheter i nätverket utan det är bara att köpa ett par licenser till datorerna som gäller?

Hoppas någon tar sig lite tid och guidar lite lätt i denna djungel.

Visa signatur

"It is our attitude at the beginning of a difficult task which, more than anything else, will affect its successful outcome." - William James

Permalänk
Medlem

Din router duger fint. samt windows firewall.

Så länge du specifikt är attackerad av någon så behöver du inte oroa dig. Ladda inte ner skumma saker. Gå inte in på skumma länkar. Klicka inte på skumma mail du inte förväntat dig få så kommer du aldrig ha problem.

Dom flesta sakerna kan du aldrig komma undan som en vanlig privat användare utan att köpa in enterprise prylar. Men det finns ju heller ingen större anledning att ha sånt heller om du inte sitter på information som är extremt känsligt.

TL;DR - Din router fungerar bra, ha på dina brandväggar och gör inte skumma saker på nätet så kommer du förmodligen aldrig stöta på problem.

Om du vill ha lite extra "Quality of Life" skydd kan jag rekommendera dig sätta upp en Pihole.
https://pi-hole.net/

Visa signatur

Gaming :Define R5 | X370-PRO | Ryzen 2600 | RTX2080 | 16GB DDR4 3200MHz 14CL | SSD: 960 EVO M.2 500GB & 850 PRO 500GB
Media: Node 304 | B350m | Ryzen 2700X | 16GB DDR4 | 24TB HDD | 870 EVO NvME 500GB

Permalänk
Medlem
Skrivet av Ohdear:

Din router duger fint. samt windows firewall.

Så länge du specifikt är attackerad av någon så behöver du inte oroa dig. Ladda inte ner skumma saker. Gå inte in på skumma länkar. Klicka inte på skumma mail du inte förväntat dig få så kommer du aldrig ha problem.

Dom flesta sakerna kan du aldrig komma undan som en vanlig privat användare utan att köpa in enterprise prylar. Men det finns ju heller ingen större anledning att ha sånt heller om du inte sitter på information som är extremt känsligt.

TL;DR - Din router fungerar bra, ha på dina brandväggar och gör inte skumma saker på nätet så kommer du förmodligen aldrig stöta på problem.

Om du vill ha lite extra "Quality of Life" skydd kan jag rekommendera dig sätta upp en Pihole.
https://pi-hole.net/

Jag föreslår att du tittar på "Så fungerar..." en gång till.

Permalänk
Medlem

@Hubertus: Windows Firewall räcker för att skydda dig mot scriptkiddies, blir du angripen av någon som vet vad som håller på med, kommer förbi de andra skydden.

Windows Firewall är faktiskt bra uppdaterad numera och man behöver inte betala dyra pengar som för Nod32 som sponsrade senaste "Så fungerar...."
När jag säger bra, så menar jag givetvis relativt, som de andra av-programmen, mot 0-day osv, det finns miljontals exploits som ännu inte blivit 0day, som ingen av programmen skyddar dig mot, eller brandväggar heller för den delen.
Har du en FW med sandbox läge till sin IPS, så kan du generera egna signaturer på misstänkta filer, men inte heller de brandväggarna är helt säkra.

Visa signatur

*Citera för svar*
Work smart, not hard.

Permalänk
Medlem
Skrivet av Purrfected:

@Hubertus: Windows Firewall räcker för att skydda dig mot scriptkiddies, blir du angripen av någon som vet vad som håller på med, kommer förbi de andra skydden.

Windows Firewall är faktiskt bra uppdaterad numera och man behöver inte betala dyra pengar som för Nod32 som sponsrade senaste "Så fungerar...."
När jag säger bra, så menar jag givetvis relativt, som de andra av-programmen, mot 0-day osv, det finns miljontals exploits som ännu inte blivit 0day, som ingen av programmen skyddar dig mot, eller brandväggar heller för den delen.
Har du en FW med sandbox läge till sin IPS, så kan du generera egna signaturer på misstänkta filer, men inte heller de brandväggarna är helt säkra.

Om man nu blir angripen av en sur nörd, vad kan den personen i fråga göra då? Gå in och ändra filer i datorn?

Permalänk
Medlem

@AGI: Beror ju på vad dom använder för exploits, men hamnar du i ett botnätverk så ligger du där, vanligen så har de en keylogger med, den tar snapshots på ssl sessioner som bankinloggningar mm.
Oftast blir du sen efter en viss tid skördad och det är först då programmet skickar ut information till hosten, därav svårt att hitta för brandväggar då ingen trafik skickas innan man tas ur bruk i botnätverket, innan det så kan du användas till som jumphost eller ip-bouncing vid overflow attacker eller bruteforcing, sista är rätt ovanligt numera, men händer ju att det sker med bottar som attackera random servrar, oftast med rainbow tables.
Finns ju även de botnätverk som installerar bitcoin miners av olika slag på din dator.
Men att få tillgång till alla dina filer är inte ovanligt.

Visa signatur

*Citera för svar*
Work smart, not hard.

Permalänk
Medlem
Skrivet av Hubertus:

Jag föreslår att du tittar på "Så fungerar..." en gång till.

Förklara gärna vad du menar.

Visa signatur

Gaming :Define R5 | X370-PRO | Ryzen 2600 | RTX2080 | 16GB DDR4 3200MHz 14CL | SSD: 960 EVO M.2 500GB & 850 PRO 500GB
Media: Node 304 | B350m | Ryzen 2700X | 16GB DDR4 | 24TB HDD | 870 EVO NvME 500GB

Permalänk
Medlem
Skrivet av Purrfected:

@Exiler: Beror ju på vad dom använder för exploits, men hamnar du i ett botnätverk så ligger du där, vanligen så har de en keylogger med, den tar snapshots på ssl sessioner som bankinloggningar mm.
Oftast blir du sen efter en viss tid skördad och det är först då programmet skickar ut information till hosten, därav svårt att hitta för brandväggar då ingen trafik skickas innan man tas ur bruk i botnätverket, innan det så kan du användas till som jumphost eller ip-bouncing vid overflow attacker eller bruteforcing, sista är rätt ovanligt numera, men händer ju att det sker med bottar som attackera random servrar, oftast med rainbow tables.
Finns ju även de botnätverk som installerar bitcoin miners av olika slag på din dator.
Men att få tillgång till alla dina filer är inte ovanligt.

Jag förstår. Detta gäller väl dock bara om jag lyckas själv ladda ner något och installera det?

Kan de bara genom en ipadress/liknande komma åt min dator eller andra viktiga grejer?

Permalänk
Medlem
Skrivet av AGI:

Jag förstår. Detta gäller väl dock bara om jag lyckas själv ladda ner något och installera det?

Kan de bara genom en ipadress/liknande komma åt min dator eller andra viktiga grejer?

Det går men är sällan värt jobbet och risken, din isp har en del skydd, din router en del och Windows en del.
Har du något bättre känsligt material så skaffa en air gap men tiden det tar att ta sig in till dig personligen även om mycket kortare än hos ett företag är ju inte värt det eller en utmaning för den som attackerar.
Vill någon väldigt kunnig jävlas med dig specifikt så kanske men då lär den ju inte bara gå den vägen.

Man skyddas även delvis av massan, dvs det sker men risken att det sker dig är extremt liten pga hur många som finns online.

Edit.
Har du brandväggar och inte massa tjänster rullandes på hemma server riktad mot nätet kan du oftast utgå från att ingen är ute efter dig. Det är som att gå på stan, det finns en risk för attack eller ficktjuvar men risken för dig är liten och blir väldigt mycket mindre med bara basic skydd/tankesätt.

Skickades från m.sweclockers.com

Visa signatur

"One is always considered mad, when one discovers something that others cannot grasp."
- Ed Wood

Permalänk
Medlem
Skrivet av Ohdear:

Förklara gärna vad du menar.

Du kan ju börja med att förklara vad skumma saker är och hur man känner igen dem. De som sprider skadeprogram har lärt sig att sprida dem på ett diskret sätt. Du kan inte se om en sida är skum eller inte.

Permalänk
Avstängd

En märkesrouter som en Asus AC68 har ett fungerande program för att ta fram nya firmware som täpper till säkerhetshål.
Sen är det då upp till användaren att se till att man kör senaste firmware!!

Ubiquiti har likaså ett fungerande system för uppdateringar av firmware, upp till användaren att ha koll på att det finns en ny version.

Alla Windowsdatorer har också en bra hantering via Windows Update, så sköter man uppdateringarna så är det minimala risker.

Sen kan man ju undvika Internets bakgator inkl toktankning från suspekta ställen.

Summa summarum så är det ganska enkelt och man kan ju lägga in i sin kalender att ha koll på det här minst någon gång i månaden!

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Permalänk
Medlem
Skrivet av Hubertus:

Du kan ju börja med att förklara vad skumma saker är och hur man känner igen dem. De som sprider skadeprogram har lärt sig att sprida dem på ett diskret sätt. Du kan inte se om en sida är skum eller inte.

För att komma till skumma sidor måste du gå till skumma länkar. Skumma länkar brukar komma i skumma mail. Är mailet inte skummt kan du alltid få fram länken från den hyperlänkade texten i mailet utan att gå in på sidan i sig, ett exempel är att "hovra" över länken för att se ifall den faktiskt går till "swedbank.se" och inte till "swedensbankerino.com".

Har man bra common sense så kommer man lätt undan majoriteten av phising försök. Men många kan du helt enkelt inte skydda dig ifrån som en vanlig konsument för det finns inget värde i det om man jämför mot ett stort företag.

De mesta bluffmail som kommer till konsumenter är så pass lätta att se hur fake dom är att det borde åka ner direkt i skärpkorgen.

De som vill sprida mycke "Skada" fokuserar på företag och inte privatpersoner generellt.

Visa signatur

Gaming :Define R5 | X370-PRO | Ryzen 2600 | RTX2080 | 16GB DDR4 3200MHz 14CL | SSD: 960 EVO M.2 500GB & 850 PRO 500GB
Media: Node 304 | B350m | Ryzen 2700X | 16GB DDR4 | 24TB HDD | 870 EVO NvME 500GB

Permalänk
Medlem

Grejen jag känner med att ja kollar lite på detta är att vi har ju även larm för inbrott och brandlarm kopplat till central i fall något skulle hända. Men jag känner ju att larmet inte stoppar proffsen som av någon anledning vill in och ta något, medans brandlarmet är väldigt skönt att det automatiskt larmar ifall något händer.

Lite samma tänker jag då vid firewall och intrångsskydd. Jag vill säkra mig mot mupparna som försöker och jobbarsig, medans om nu proffsen vill in på vårat nät så kommer dom in.
Jag klarar mig, men grabben 12 år kanske inte riktigt har samma omdöme och säkerhetstänk så därav försöker jag säkra upp det till good enough standard.

Men känns om ja kan köra vidare på de firewalls som jag har, och så får jag köpa ett lite bättre skydd ja installerar på hans dator. Så känns det som ja har täckt upp så mycket jag igentligen behöver. Även skapa ett gästnätverk som hans kompisar kan få tillgång till.

Men fortsätt gärna diskutera och kom med tips, allt är ju välkommet

Visa signatur

"It is our attitude at the beginning of a difficult task which, more than anything else, will affect its successful outcome." - William James

Permalänk
Hedersmedlem
Skrivet av Holic:

Grejen jag känner med att ja kollar lite på detta är att vi har ju även larm för inbrott och brandlarm kopplat till central i fall något skulle hända. Men jag känner ju att larmet inte stoppar proffsen som av någon anledning vill in och ta något, medans brandlarmet är väldigt skönt att det automatiskt larmar ifall något händer.

Lite samma tänker jag då vid firewall och intrångsskydd. Jag vill säkra mig mot mupparna som försöker och jobbarsig, medans om nu proffsen vill in på vårat nät så kommer dom in.
Jag klarar mig, men grabben 12 år kanske inte riktigt har samma omdöme och säkerhetstänk så därav försöker jag säkra upp det till good enough standard.

Men känns om ja kan köra vidare på de firewalls som jag har, och så får jag köpa ett lite bättre skydd ja installerar på hans dator. Så känns det som ja har täckt upp så mycket jag igentligen behöver. Även skapa ett gästnätverk som hans kompisar kan få tillgång till.

Men fortsätt gärna diskutera och kom med tips, allt är ju välkommet

Se till att hans windowskonto inte har admin-rättigheter så begränsar du kraftigt vad han kan ställa till med. https://m.windowscentral.com/how-use-windows-10-non-admin-and...

Skickades från m.sweclockers.com

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk
Medlem

@Aphex: Det är sant, det ska ja göra med.

Visa signatur

"It is our attitude at the beginning of a difficult task which, more than anything else, will affect its successful outcome." - William James

Permalänk
Medlem

En kompis berättade till mig att man ska tänka "Istället för att förhindra att dom kommer in vilket dom kommer göra om dom verkligen vill. Förhindra vad dom kommer åt istället".

Ta bort admin behörigheter är en bra början som Aphex föreslog. Sedan sätta behörigheter på data som du bedömmer är känslig så din son inte kommer åt dom är också bra att göra.

Visa signatur

Gaming :Define R5 | X370-PRO | Ryzen 2600 | RTX2080 | 16GB DDR4 3200MHz 14CL | SSD: 960 EVO M.2 500GB & 850 PRO 500GB
Media: Node 304 | B350m | Ryzen 2700X | 16GB DDR4 | 24TB HDD | 870 EVO NvME 500GB

Permalänk
Hedersmedlem
Skrivet av Holic:

Grejen jag känner med att ja kollar lite på detta är att vi har ju även larm för inbrott och brandlarm kopplat till central i fall något skulle hända. Men jag känner ju att larmet inte stoppar proffsen som av någon anledning vill in och ta något, medans brandlarmet är väldigt skönt att det automatiskt larmar ifall något händer.

Lite samma tänker jag då vid firewall och intrångsskydd. Jag vill säkra mig mot mupparna som försöker och jobbarsig, medans om nu proffsen vill in på vårat nät så kommer dom in.
Jag klarar mig, men grabben 12 år kanske inte riktigt har samma omdöme och säkerhetstänk så därav försöker jag säkra upp det till good enough standard.

Men känns om ja kan köra vidare på de firewalls som jag har, och så får jag köpa ett lite bättre skydd ja installerar på hans dator. Så känns det som ja har täckt upp så mycket jag igentligen behöver. Även skapa ett gästnätverk som hans kompisar kan få tillgång till.

Men fortsätt gärna diskutera och kom med tips, allt är ju välkommet

Om du är intresserad av en brandvägg som specifikt designats för säkerhet finns det en uppsjö, dock främst riktade till företag. Check Point och Sophos är två märken som dyker upp i mitt hvuud. Dock är det ju lite andra priser än en random Asus-router.

Visa signatur

SWECLOCKERS.COM :: If Quake was done today ::
WS: Gigabyte Z690 UD DDR5 :: Core i5 12600K :: 32 GB RAM :: Geforce RTX 3060 Ti :: 10 GbE NIC :: AOC C32G1 32" :: Seagate FireCuda 530 1TB :: Deepcool Matrexx 55
NAS: SM X10-SLM-F :: Mellanox Connect2X SFP+ :: Intel XL710-QDA1 QSFP+

Permalänk
Medlem
Skrivet av Ohdear:

För att komma till skumma sidor måste du gå till skumma länkar. Skumma länkar brukar komma i skumma mail. Är mailet inte skummt kan du alltid få fram länken från den hyperlänkade texten i mailet utan att gå in på sidan i sig, ett exempel är att "hovra" över länken för att se ifall den faktiskt går till "swedbank.se" och inte till "swedensbankerino.com".

Har man bra common sense så kommer man lätt undan majoriteten av phising försök. Men många kan du helt enkelt inte skydda dig ifrån som en vanlig konsument för det finns inget värde i det om man jämför mot ett stort företag.

De mesta bluffmail som kommer till konsumenter är så pass lätta att se hur fake dom är att det borde åka ner direkt i skärpkorgen.

De som vill sprida mycke "Skada" fokuserar på företag och inte privatpersoner generellt.

Malware, och phishing, via mail är oftast lättigenkännliga och går fort att sålla från de legitima, för den som känner till varningsteckena. En 12-åring, eller för den delen någon med begränsade tekniska kunskaper, har mycket lägre success rate än exempelvis du och jag. Vi behöver utbilda våra medmänniskor, men även säkra våra system så långt det går för att hålla oss säkra från det vi misslycks att genomskåda.

Det är direkt livsfarligt att skriva att den enda vägen till "skumma sidor" är att användaren klickar på "skumma länkar". Visst stämmer det att professionella angripare ofta riktar sig mot företag, men i slutändan är användarbasen trots allt de som drabbas hårdast, antingen direkt eller indirekt. Det finns många legitima sidor med skadligt innehåll, antingen medvetet eller omedvetet.

Fundera över följande scenario. Sweclockers missar att uppdatera sin brandvägg, vilket resulterar i att en gammal exploit eller zero-day ger en väg in för ett automatiserat angreppssystem. Väl inne, byter boten ut samtliga länkar mot en direktlänk som leder till malware. Undersöker du alltid alla länkadresser innan du klickar på dem på dina mest besökta sidor? Förmodligen inte. Du har just surfat till en legitim site, utan att ha klickat på skumma länkar i skumma mail, och trots det infekterats.

Medvetenhet är en stor del av den digitala säkerheten, men det är inte sällan datorer infekteras trots felfritt beteende från användaren. Det finns helt enkelt för många faktorer som användaren själv inte kan påverka.

Permalänk
Medlem
Skrivet av Belzer:

Malware, och phishing, via mail är oftast lättigenkännliga och går fort att sålla från de legitima, för den som känner till varningsteckena. En 12-åring, eller för den delen någon med begränsade tekniska kunskaper, har mycket lägre success rate än exempelvis du och jag. Vi behöver utbilda våra medmänniskor, men även säkra våra system så långt det går för att hålla oss säkra från det vi misslycks att genomskåda.

Det är direkt livsfarligt att skriva att den enda vägen till "skumma sidor" är att användaren klickar på "skumma länkar". Visst stämmer det att professionella angripare ofta riktar sig mot företag, men i slutändan är användarbasen trots allt de som drabbas hårdast, antingen direkt eller indirekt. Det finns många legitima sidor med skadligt innehåll, antingen medvetet eller omedvetet.

Fundera över följande scenario. Sweclockers missar att uppdatera sin brandvägg, vilket resulterar i att en gammal exploit eller zero-day ger en väg in för ett automatiserat angreppssystem. Väl inne, byter boten ut samtliga länkar mot en direktlänk som leder till malware. Undersöker du alltid alla länkadresser innan du klickar på dem på dina mest besökta sidor? Förmodligen inte. Du har just surfat till en legitim site, utan att ha klickat på skumma länkar i skumma mail, och trots det infekterats.

Medvetenhet är en stor del av den digitala säkerheten, men det är inte sällan datorer infekteras trots felfritt beteende från användaren. Det finns helt enkelt för många faktorer som användaren själv inte kan påverka.

Bra skrivet Håller med på samtliga punkter. Men det jag menar egentligen är att i det scenariot som du beskrev så finns det inte mycket användarna kan göra i form av "Köpa in säkerhets utrustning". Det är redan kört för användarna på Sweclockers om detta skulle hända och det man kan göra är istället begränsa vad som kan läcka ut från din egna miljö genom behörigheter etc.

Visa signatur

Gaming :Define R5 | X370-PRO | Ryzen 2600 | RTX2080 | 16GB DDR4 3200MHz 14CL | SSD: 960 EVO M.2 500GB & 850 PRO 500GB
Media: Node 304 | B350m | Ryzen 2700X | 16GB DDR4 | 24TB HDD | 870 EVO NvME 500GB

Permalänk
Medlem

@Belzer: Håller helt med, bra skrivet.

Det jag försöker få fram med mina tankar i denna tråden är inte att skydda mig som om ja vore en bank eller något som faktiskt är en måltavla för diverse grupper, snarare att försöka se igenom ett normalt hushålls behov av säkerhet och skydd. För normalt användande. Lite som tänket man har med huset att ha ett godkänt lås på dörr och liknande, larm, uppkopplad brandvarnare. Allt för att ha ett fullgott skydd, vilket jag inte riktigt vet vad det är när det kommer till IT.

Men det är sant att jag behöver nog lära övriga i hushållet mer om hur man faktiskt ska tänka och agera på olika konstiga mail och sidor. Jag får utbildningar då och då på jobbet från vår ITavdelning, samt även våra kunders egna som vi måste gå. Givetvis inte på hackernivå, men mer lagom nivå, ett bra grundskydd så att säga.

Stor effekt senaste klippet från nikka gjort på mig i alla fall haha.

Visa signatur

"It is our attitude at the beginning of a difficult task which, more than anything else, will affect its successful outcome." - William James