Telearbetning hemifrån är här för att stanna, vi har alla en router med en internetanslutning för att utföra alla arbetsuppgifter, och även fritid, styr hemautomatiseringsenheter och alla åtgärder som kräver en internetanslutning. Det är dock möjligt att du i ditt arbete hanterar viktig och konfidentiell information, i dessa fall rekommenderas det starkt att göra vissa konfigurationer på routern för att få högsta möjliga säkerhet i hemmiljön. Idag i denna artikel kommer vi att ge dig alla nycklar för att skydda ditt nätverk så bra som möjligt.
I denna handledning kommer vi att förklara allt du behöver göra på din hemrouter. Beroende på vilken router du använder är det troligt att du inte har samma konfigurationsalternativ som vi lär dig, men du kommer att kunna göra de allra flesta av dessa rekommendationer. Idealet i en hemmiljö skulle vara att kunna segmentera nätverket i VLAN och olika delnät, styra kommunikationen mellan de olika delnäten med en router / brandvägg, och till och med tillämpa säkerhetspolicyer på switcharna när du ansluter via kabel.
Denna typ av routrar / brandvägg och hanterbara switchar med avancerade säkerhetsalternativ riktar sig dock till ett område med små och medelstora företag, och är i allmänhet mycket dyrare än inhemsk utrustning, av den anledningen kommer vi att hålla oss till alternativ för specifik konfiguration som vi kan hitta i hemrouter.
Allmänna nätverksinställningar
Det ideala skulle vara att ha två internetanslutningar med motsvarande router kommer den ena anslutningen att vara avsedd för arbete, och den andra Internet -anslutningen kommer att vara avsedd för personligt bruk av Internet -anslutningen. På detta sätt kommer vi inte att ha personliga och arbetsteam ”blandade” i samma nätverk, dessutom kommer vi att ha en internetanslutning som är speciellt avsedd för arbete, så vi kommer att ha all fiberoptisk bandbredd till vårt förfogande. Den negativa delen är att vi kommer att behöva anställa en extra internetanslutning, vanligtvis är husen förberedda i PAU för att ha en enda internetanslutning via FTTH och inte flera, så nya ledningar måste läggas för installation. Vi skulle också behöva betala för två internetanslutningar, om inte företaget täcker kostnaden för den extra internetanslutningen.
Men med en internetanslutning och en router som gör det möjligt att skapa olika nätverk (huvud- och gäst) kan vi göra detta utan problem med en enda internetanslutning. Det första vi måste göra för att säkerställa den kommunikation vi gör medan vi arbetar på distans är att dela huvudnätverket i två nätverk . Ett nätverk kommer att vara särskilt avsett för anslutning av distansarbete, till exempel en dator, bärbar dator via WiFi eller arbetsmartphone. Det andra nätverket är specifikt avsett för anslutning av hemenheter, till exempel personliga smartphones, smart -TV, konsoler, röstassistenter och andra enheter med liknande egenskaper.
I följande exempel kommer vi att använda en AVM FRITZ! Box 7590 router, en av de bästa hemroutrarna för sin hårdvara och för dess kompletta FRITZ! OS -operativsystem, som kommer att ge oss ett stort antal konfigurationsalternativ, dessutom har den tyska tillverkaren förbättrat sin firmware för att även fokusera på distansarbete hemifrån.
Installation av trådbundet nätverk
I routerns huvudmeny kan vi se alla enheter som är anslutna, både från huvud -LAN- och WiFi -nätverket, samt från gästnätverket, både från LAN och från WIFi. En mycket viktig egenskap är att FRITZ! Box -routrar gör det möjligt att skapa ett subnät för LAN och WiFi separat från huvudnätverket, på så sätt kommer vi att ha ett specifikt delnät för huvudnätet där vi kommer att ansluta telearbeidsutrustningen och även ett undernät av gäster för att ansluta resten av enheter i vårt hem.
I avsnittet ” Lokalt nätverk / nätverks / Nätverkskopplingar ”Vi kan se statusen för var och en av enheterna som är anslutna till det lokala hemnätverket, här kan vi styra vilka enheter som är anslutna och till och med mata ut dem så att de inte har internetåtkomst eller åtkomst till hemnätverket. trådbundna eller trådlösa enheter.
I avsnittet ” Lokalt nätverk / Nätverk / Nätverkskonfiguration ”Är där vi kan aktivera” Gäståtkomst ”för LAN -port 4, alla enheter som vi ansluter via kabel till denna port kommer att placeras i det dedikerade delnätet speciellt för gäster. Om du behöver ansluta mer än en enhet via kabel till routern är det lämpligt att köpa en 5 eller 8-portars hanterbar switch, beroende på våra behov måste vi köpa en med fler portar eller färre portar.
Längst ner i föregående meny kan vi klicka på knappen «IPv4 -adresser», det är här vi kommer att ha konfigurationen av huvudnätverket, i vårt fall är det 192.168.188.0/24 subnät med motsvarande DHCP -server. Strax nedan har vi standardkonfigurationen för gäst -WiFi -nätverket, som har ett 192.168.189.0/24 subnät med motsvarande DHCP -server.
Alla datorer som vi ansluter till huvudnätverket kommer att ha en IP 192.168.188.X och datorerna som vi ansluter till gästnätverket (antingen via kabel eller WiFi) kommer att ha ett 192.168.189.X -nätverk. Därför, när vi ska ansluta de olika enheterna i vårt hem till gäst -WiFi -nätverket, rekommenderas det starkt att titta på vilken IP -adress routern har angett, för att se till att vi är i rätt delnät.
En annan konfiguration som vi måste göra för att upprätthålla vår säkerhet och integritet när vi surfar på Internet är DNS över TLS nås denna konfiguration genom ” Internet / åtkomstdata / DNS -server ”. Denna router stöder DoT -standarden, eller även känd som DNS över TLS, tack vare detta protokoll kommer alla DNS -förfrågningar som vi gör att krypteras från punkt till punkt, från vår router till DNS -servern som vi definierar, i exemplet nedan kan du se Google och Cloudflare DNS -servrar.
Andra routerinställningar finns i ” Internet / filter / Prioritera " sektion. I den här menyn kan vi konfigurera olika applikationer så att de har högsta prioritet, till exempel VoIP -samtal, videosamtal med olika program eller någon annan användning som vi gör för att fungera. Beroende på prioriteten för dessa applikationer kan vi placera dem i "Realtid, prioritet eller bakgrund".
I det nedre området finns en riktigt intressant konfiguration, ” hastighet i det lokala nätverket ”Kommer vi att kunna reservera en bandbredd för huvudnätverket för att alltid ha högsta möjliga prioritet. Detta system består i att, om Wi -Fi -gästnätet används kraftigt, begränsas Internet -anslutningen till dessa enheter automatiskt genom att reservera en viss procentandel av bandbredden för huvudnätet. Om huvudnätverket inte används kommer routern att kunna tillhandahålla all bandbredd till gäst -WiFi -nätverket, men så snart det finns trafik tillbaka på nätverket kommer den att prioritera dessa anslutningar från det lokala huvudnätverket.
I ” Internet / filter / listor ”Kan vi konfigurera en lista med filter för att tillåta eller neka vissa webbplatser med deras domän eller IP -adresser. Dessutom kan vi också konfigurera routerns interna brandvägg i smygläge, för att få bästa möjliga säkerhet genom att blockera alla paket som når Internet WAN utan att tidigare ha begärt det. Vi kan också filtrera andra typer av trafik som t.ex. e-mail på port 25, netBIOS, Teredo och WPAD.
Slutligen, om du behöver öppna hamnar för att utföra en aktivitet med vårt arbetsteam, i " Internet / Tillåt åtkomst / Vidarebefordra portar ”Hittar du alla konfigurationsalternativ. Som standard är UPnP -protokoll (autonom port forwarding) är ur funktion Av säkerhetsskäl, om vi vill aktivera det måste vi gå enhet för enhet för att aktivera det. Utan tvekan en stor säkerhetspolitik.
När vi har sett alla konfigurationer på kabelnivå som vi kan göra med denna router, kommer vi att se vilka konfigurationer vi har tillgängliga i WiFi-nätverket.
WiFi-nätverkskonfiguration
Den första rekommendationen vi kan göra är att använda olika SSID för varje frekvensband, på så sätt kan du ansluta till det som passar dig bäst. Om du inte vill oroa dig för vilket frekvensband du ska ansluta till, inaktivera alternativet “Olika namn för trådlösa nätverk i 2.4 GHz- och 5 GHz-banden” för att ha Smart Connect eller Bandstyrning. Denna konfiguration påverkar inte säkerheten på något sätt, det är en funktionalitet som gör att vi inte behöver oroa oss för vilket frekvensband vi ska ansluta till.
I ” Säkerhet ”-Delen är där vi måste välja WPA-läge, det rekommenderas att välja WPA2-Personal eller WPA3-Personal om tillgängligt. I det här fallet är FRITZ! Box låter dig välja WPA2 + WPA3 så att WiFi-klienter ansluter sig till den bästa säkerheten, men för praktiska ändamål är det som om du använder WPA2-Personal, eftersom en angripare kan utföra en nedgraderingsattack och tvinga anslutningen med WPA2 och fånga handskakningen för att knäcka lösenordet.
Alternativet " De aktiva trådlösa enheterna som visas här kommer att kunna kommunicera med varandra ”. Med tanke på att vi i huvudnätverket ska ansluta arbetslagen, spelar det ingen roll att ha denna funktion aktiverad, men du kan inaktivera den för att förhindra att WiFi -klienter i huvudnätverket kommunicerar med varandra.
Smakämnen WPS -protokollet, av säkerhetsskäl, är det alltid lämpligt att inaktivera det , det spelar ingen roll att det bara fungerar med routerns fysiska WPS -knapp, vi inaktiverar det för att aldrig använda det.
När det gäller gäst -WiFi -nätverket är det här vi kommer att ansluta alla enheter i vårt hem, till exempel IP -kameror, smarta kontakter, Smart TV och personliga smartphones. Vi aktiverar gästens WiFi -nätverk och väljer alternativet ” Privat gäståtkomst till det trådlösa nätverket “, För att behöva ange ett åtkomstlösenord, som om det vore det huvudsakliga WiFi -nätverket.
I konfigurationen av gäst -WiFi -nätverket måste vi ange ett SSID, välja typ av kryptering WPA2 + WPA3 och även lösenfrasen, logiskt måste vi välja ett robust lösenord enligt god praxis för att använda lösenord.
I botten kan vi tillåta WiFi -enheter att kommunicera med varandra, detta är bara orienterat mot gästens WiFi -nätverk, där de olika trådlösa klienterna kommer att kunna kommunicera med varandra. Det betyder inte att om vi aktiverar det här alternativet kan de kommunicera från gästens WiFi -nätverk till huvudnätverket.
När vi väl har sett konfigurationen av WiFi -nätverket, både huvudnätverket och gästnätverket, kommer vi att se andra konfigurationer som ska göras för att säkerställa distansarbete.
Andra konfigurationer som ska göras
Andra konfigurationer som ska göras på nätverksnivå för att vara säkra, är att ändra administratörslösenordet för att komma åt routern, på detta sätt kommer vi att se till att ingen kan komma åt routerns administration utom vi. I vissa routrar som FRITZ! Box, vi kan skapa olika användare / lösenord med olika behörigheter, om det är nödvändigt att komma åt VPN, NAS och andra tjänster, som du kan se här:
Och vi kan till och med konfigurera ytterligare parametrar för att bekräfta att vissa konfigurationer ska göras, om någon går in via WiFi till routerns administration, även om vi är oss själva, om vi gör någon konfiguration kommer vi att bli ombedd att bekräfta, antingen genom en fysisk knapp eller en andra autentiseringsfaktor med Google Authenticator , för att skydda routerkonfigurationen.
Som du har sett kan vi säkert kommunicera i vårt hem och med vårt hems internetanslutning, men det är lämpligt att göra vissa inställningar på vår router för att skydda arbetsutrustning som datorer, bärbara datorer, på nätverksnivå. eller smartphones. Om vi ska arbeta på distans är det möjligt att vårt företag har försett oss med en VPN -anslutning, detta är en extra säkerhetsåtgärd så att all trafik från vår dator till företagets VPN -server krypteras och autentiseras, vilket ger oss extremt datasekretess till extrem.
