Kotiverkon ja reitittimen tietoturva | Traficom
Siirry pääsisältöön
Liikenne- ja viestintävirasto

Kotiverkon ja reitittimen tietoturva

Reititin on portti kotiverkkoomme ja sen turvallisuus on avainasemassa. Ilman reititintä kotiverkon laitteet olisivat suoraan yhteydessä internetiin niin kuin talo ilman lukittua ovea. Reititin on siis välttämätön osa turvallista verkkoympäristöä. Tässä ohjeessa käymme läpi perusasiat reitittimen tietoturvasta, jotta voit suojella kotiverkkoasi ja henkilökohtaisia tietojasi.

Reititin on kotiverkon keskeinen suojamuuri, joka erottaa kodin laitteet julkisesta internetistä. Sen tärkein tehtävä on estää suorat yhteydet ulkopuolelta yksittäisiin laitteisiin kuten tietokoneisiin, puhelimiin tai älykotilaitteisiin. Jos laite liitettäisiin suoraan julkiseen verkkoon ilman reititintä, se olisi alttiina internetin liikenteelle kuten hyökkäysyrityksille, haittaohjelmille ja luvattomille kirjautumisyrityksille.

Reititin hallinnoi liikennettä sisäverkon ja internetin välillä sekä piilottaa verkon laitteet ulkopuolisilta käyttäen niin sanottua NAT-toimintoa (Network Address Translation). Tämä tarkoittaa, että ulkoverkkoon näkyy vain reitittimen oma osoite, ei yksittäisten laitteiden osoitteita. Näin ulkopuoliset eivät voi helposti kohdistaa hyökkäyksiä suoraan tiettyihin laitteisiisi.

Lisäksi reititin mahdollistaa palomuurin ja muiden suojausominaisuuksien käytön. Se voi estää haitallista liikennettä ja tarjota suojaa myös silloin, kun verkkoon liitetään useita eri valmistajien laitteita, joilla ei kaikilla ole yhtä vahvaa tietoturvaa. Älä liitä yksittäisiä laitteita suoraan julkiseen verkkoon, koska niissä ei ole reitittimen tarjoamia suojausmekanismeja. Reitittimen tarpeellisuus koskee myös taloyhtiöiden yhteisiä laajakaistaliittymiä tai taloon tulevia valokuitupäätteitä.

Miksi minun laitteeni tai kotiverkkoni kiinnostaisi rikollisia?

Rikolliset etsivät käsin tai automatisoidusti verkosta haavoittuvia, eli murtautumiselle alttiita laitteita, kuten kotireittimiä. Kaapattuja verkkolaitteita käytetään esimerkiksi palvelunestohyökkäysten tekemiseen. Hajautetut palvelunestohyökkäykset (DDoS, Distributed Denial of Service) ovat usein toteutettu ohjaamalla suurta määrää kaapattuja verkkolaitteita.

Kaapattuja verkkolaitteita voidaan käyttää hyökkäykseen kohdemaan lähdeosoitteiden avulla. Kotimaan operaattorin verkosta tuleva haittaliikenne ei ole niin helposti havaittavissa, kuin selvästi ulkomaiselta osoitteelta tuleva. Palvelunestohyökkäyksetkin torjutaan usein estämällä hetkellisesti ulkomailta tuleva liikenne. Tällöin kotimaassa kaapattu laite jää huomiotta. Tämä on hyvä esimerkki siitä, miksi yksittäinen kaapattu laite kotimaan verkosta ei välttämättä herätä heti huomiota erilaisissa säännöissä, joita tietoliikenteen valvonnassa käytetään.

Palvelunestohyökkäysten lisäksi kaapattuja verkkolaitteita voidaan käyttää kyberrikollisuuden ja vakoilun jälkien peittelyyn. Kun haitallinen toiminta verkossa ohjataan useampien kuluttajalaitteiden kautta, on todellisen alkuperän selvittäminen ja siten tekijöiden jäljille pääseminen haastavaa. Turvaamalla omat laitteensa voi siis itsensä suojaamisen lisäksi osallistua  suomalaisen yhteiskunnan kyberturvallisuuden edistämiseen.

Tärkeimmät tietoturva-asetukset

Tietoturvan kannalta on tärkeää kytkeä verkkokaapelit reitittimen portteihin oikein. Älä kytke päätelaitteitasi suoraan seinässä olevaan verkkopistokkeeseen, vaan käytä välissä reititintä!

Nyrkkisääntö on, että internet kytketään laitteen WAN-porttiin ja sisäverkon laitteet LAN-portteihin. Vaikka tuotteiden valmistuksessa pyritään esimerkiksi porttien nimeämisen ja värikoodauksen osalta yhdenmukaisuuteen, vaihtelua on silti paljon. Kytkennät kannattaa aina varmistaa laitteen käyttöohjeista.

WAN-portin kautta reititin yhdistetään internetiin. Tähän porttiin tulisi liitää ainoastaan huoneiston internet-yhteyden kaapeli. Tämä kaapeli tulee yhteyden toteutustavasta riippuen joko suoraan talojakamosta, DSL-modeemin kautta tai esimerkiksi kuituyhteyden tapauksessa operaattorin kuitusovittimesta.

LAN-porttien kautta internet-yhteyden tarvitsevat laitteet yhdistetään kodin sisäverkkoon. Näihin portteihin yhdistetään esimerkiksi tietokoneet ja tulostimet. Voit myös käyttää reitittimen langatonta WLAN-ominaisuutta laitteiden yhdistämiseen.

Huoneiston saapuvan internet-yhteyden kaapelia ei saa liittää reitittimen LAN-porttiin. Tämä kytkentä käytännössä ohittaa reitittimen suojaukset ja altistaa muut lähiverkon laitteet suoraan internet-verkosta tulevalle haitalliselle liikenteelle.

On tärkeää, että kaikki kodin laitteet on kytketty suojattuun sisäverkkoon, eivätkä ne ole suoraan yhteydessä ulkoiseen verkkoon.

Olet voinut saada omalta internet-palveluntarjoajaltasi erillisiä kytkentäoheita internet-yhteyteesi liittyen. Tutustu niihin huolellisesti ja toimi saamasi ohjeistuksen mukaan.

Reitittimen etähallinta on suurin yksittäinen riski laitteen tietoturvalle. Joissakin reitittimissä on hyödyllisiä etähallintaominaisuuksia, mutta samalla ne heikentävät verkon tietoturvaa. Jos laitteen asetuksissa on hyväksytty etähallinnan mahdollisuus, antaa se hyökkääjälle mahdollisuuden hallinnoida laitetta etänä ja käyttää sitä omiin tarkoituksiinsa.

Etähallinan mahdollisuus tulee ottaa pois päältä. Laitteen asetuksissa etähallinnan asetus voi löytyä esimerkiksi termeillä "remote access", "remote management", "remote admin". Ominaisuutta saatetaan käyttää tietyissä tapauksissa kotiverkkoon pääsyyn etäältä, mutta tavalliselle käyttäjälle ei ole tarvetta pitää kyseistä ominaisuutta päällä.

Reitittimiin on yleensä kirjattu oletustunnukset, joilla reitittimen hallintaportaaliin pääsee kirjautumaan. Tunnusten jättäminen oletusarvoisiksi on tietoturvariski ja portaaliin kirjautuessa on suositeltavaa muuttaa tunnuksen salasana vahvemmaksi.

Rikolliset pyrkivät jatkuvasti löytämään aukkoja eli ohjelmistohaavoittuvuuksia laitteiden järjestelmissä hyväksikäyttääkseen niitä. Päivitykset ovat tapa paikata aukkoja. Kotireitittimen päivitykset on tärkeää pitää ajan tasalla, jotta vanhojen ohjelmistoversioiden korjattuja haavoittuvuuksia ei päästä käyttämään hyväksi. Osaan reitittimistä teleyritykset tarjoavat automaattisia päivityksiä, mutta osan merkkien ja mallien järjestelmistä joutuu käyttäjä päivittämään itse. Päivitykset ovat ladattavissa laitteen hallintasivulta tai valmistajan sivuilta. Tarkista siis reitittimesi merkki sekä malli, ja yritä löytää valmistajan sivuilta ajantasaisin versio, mikäli sitä ei ole tarjolla suoraan hallintaliittymästä.

SSID eli service set identifier (reitittimen oletusnimi) tarkoittaa langattoman lähiverkon verkkotunnusta. Sen avulla voidaan erottaa samalla alueella olevat WLAN-verkot toisistaan. Kotiverkon oletusnimi voi paljastaa reitittimen valmistajan ja tätä kautta myös auttaa hyökkääjän jäljille siitä, onko kyseinen reititin mahdollisesti haavoittuvainen. Suosituksena on nimetä reititin niin, ettei siitä pysty suoraa identifioimaan sen sijaintia tai omistajaa. SSID:n voi vaihtaa kirjautumalla reitittimen hallintaportaaliin. Huomioithan, että mikäli kotonasi on älylaitteita tai automatiikkaa - sinun tulee päivittää uusi verkkonimi tai salasana myös näille laitteille toiminnan jatkumiseksi.

Palomuuri on ikään kuin digitaalinen vastine liikennepoliisille, joka valvoo verkon rajoja ennalta luotujen sääntöjen puitteissa. Sen avulla voidaan estää määriteltyä liikennettä pääsemästä verkkoon tai poistumasta verkosta. Kotireitittimen palomuuri on hyvä olla käytössä ja sen tilan, sekä asetukset voi tarkistaa reitittimen hallintapaneelista. Palomuuri löytyy yleensä hallintapaneelin kohdasta “Firewall”. Tarkista, että palomuuri on laitettu päälle ja mikäli reitittimen valmistaja tarjoaa esimerkiksi erilaisilta hyökkäyksiltä suojaavia ominaisuuksia, on nekin suositeltavaa ottaa käyttöön. Yleisesti on hyvä säätää palomuuri estämään ylimääräiset, tarpeettomat yhteydet.

Verkon kautta lähetetyt tiedot on mahdollista salata. Näin muiden on mahdotonta nähdä, mitä teet, tai saada henkilökohtaisia tietojasi. Jos haluat salata kotiverkkosi, päivitä reitittimen asetukset joko WPA3 Personal- tai WPA2 Personal -asetuksiin. Mikäli haluat tarkistaa onko kyseiset asetukset päällä reitittimessäsi, voit tehdä sen reitittimen hallintaportaalissa, josta ne löytyvät esimerkiksi “Encryption options” alta. Mikäli kumpaakaan edellä mainituista tekniikoista ei ole käytössä, alkaa reititin olemaan jo käyttöikänsä lopussa.

Reitittimen uudelleen käynnistäminen voi korjata verkon toimivuuteen ja nopeuteen liittyviä ongelmia, sillä se putsaa uudelleen käynnistämisen yhteydessä reitittimen välimuistin. Sillä on myös tietoturvan kannalta oleellinen hyöty.

Jos reitittimeen on päässyt haittaohjelma, voi se jäädä piiloon ja toimia taustalla ilman, että käyttäjä huomaa sitä. Uudelleenkäynnistäminen voi keskeyttää haittaohjelmien prosessien toiminnan. Reitittimeen tarttuneen haittaohjelman voi saada pois palauttamalla reitittimen tehdasasetuksiin. On kuitenkin tärkeää tarkistaa verkossa olleet muut laitteet tartuntojen varalta.

Uudelleenkäynnistämisellä saadaan myös aikaan reitittimeen ja sen asetuksien muutosten voimaan astuminen kaikissa sitä käyttävissä laitteissa.

Monissa reitittimissä voit määrittää vierasverkon, jolla on eri nimi ja salasana. Hallintaportaalissa on mahdollista luoda uusi verkko ja määrittää sille nimi (SSID), sekä salasana. Vierasverkkojen luomisessa voi olla pieniä eroja eri valmistajien välillä, mutta pääpiirteittäin se tapahtuu samalla tavalla. Verkon yhteyksien salaaminen on myös mahdollista samalla tavalla, kuin varsinaisessa kotiverkossa. Vierasverkon määrittäminen on hyvä tietoturvatoimi useastakin syystä:

  • Erillinen nimi ja salasana tarkoittaa, että yhä harvemmalla ihmisellä on ensisijaisen Wi-Fi-verkkosi kirjautumistiedot.
  • Mikäli verkkoon liittyy haittaohjelman sisältävä laite, ei haittaohjelma todennäköisesti pääse leviämään vierasverkkoa pidemmälle muihin laitteisiin.
  • Oma vierailuverkko voi olla omistettu myös IoT-laitteiden käyttöön. Kaikki IoT-laitteet eivät ole tietoturvaltaan kattavia, joten mikäli IoT-laite hakkeroidaan tai se vuotaa tietoa, ei tämä välttämättä vaaranna kaikkia kotiverkon laitteita.

Näin tarkistat kotiverkkosi näkyvyyden internettiin

Ensimmäinen vaihe kotiverkkosi näkyvyyden selvittämisessä on selvittää internet-yhteytesi julkinen IP-osoite. Julkinen IP-osoite on nimensä mukaisesti se, josta verkkosi laitteet näkyvät muille internetin käyttäjille. Monissa mobiililaajakaistaa käyttävissä reitittimissä yhteys kulkee niin kutsutun osoitteenmuunnoksen (NAT Network Address Translation) kautta, jolloin kotireitittimen ulkoinen (WAN) osoite ei todellisuudessa ole vielä julkinen IP-osoite.


- Voit tarkastaa julkisen IP-osoitteesi 
  - Reitittimesi asetuksista
  - https://bittimittari.fi/fi (Ulkoinen linkki) osoitteista (muista ottaa mahdollinen VPN-yhteys testin ajaksi pois päältä)
      1. Valitse "Siirry mittaukseen"
      2. Valitse "Aloita mittaus" ja odota mittauksen valmistuminen
      3. Mittauksen valmistuttua valitse alareunasta "Tekniset tiedot"
      4. Katso julkinen IP-osoitteesi kohdasta: "IP-osoite" (esim. IPv4: 123.134.245.67 tai IPv6: 2001:4860:4860:0:0:0:0:8888 tai 2001:4860:4860::8888)

Kun olet saanut selville julkisen IP-osoitteesi, voit tarkastella kyseisen osoitteen näkyvyyttä esimerkiksi Shodan- tai Censys-palveluiden kautta.

Jos käytät IPv4-osoitetta (esim 123.134.245.67):

- https://search.censys.io/hosts/xxx.yyy.zzz.vvv/ (korvaa xxx.yyy.zzz.vvv vaiheessa 1 saamallasi IP-osoitteella)

- https://www.shodan.io/host/xxx.yyy.zzz.vvv (korvaa xxx.yyy.zzz.vvv vaiheessa 1 saamallasi IP-osoitteella)

Jos käytät IPv6-osoitetta (esim. 2001:4860:4860:0:0:0:0:8888 tai 2001:4860:4860::8888):

-https://search.censys.io/hosts/abcd:ef01:2345:6789:abcd:ef01:2345:6789 (Korvaa esimerkkiosoitteen tilalle oma IP-osoitteesi)

-https://www.shodan.io/host/abcd:ef01:2345:6789:abcd:ef01:2345:6789 (Korvaa esimerkkiosoitteen tilalle oma IP-osoitteesi)


Palvelut eivät sisällä aina samoja tietoja, joten on suotavaa tarkastaa tiedot kummastakin palvelusta. Suurimmissa osissa tilanteita kotiverkoista ei lähtökohtaisesti ole hyvä näkyä mitään julkisen internetin puolelle. Silloin kun kotiverkon palveluita halutaan käyttää etäyhteyksien kautta, tulee palveluiden julkiseen näkyvyyteen kiinnittää erityistä huolellisuutta.

Hakupalveluiden näkymä missä sisäverkosta ei näy julkiverkkoon mitään. Mikäli hakupalvelujen tulokset poikkeavat kuvista, on hyvä miettiä ovatko tietyt palvelut tarkoituksella auki julkiverkkoon.

Sivu on viimeksi päivitetty