Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

Skydda företagets nätverk

Publicerad: 2024-10-02

Senast ändrad: 2024-10-30

Dagens företagsnätverk skiljer sig markant från de traditionella företagsnätverken. Molntjänsternas framväxt och det ökande distansarbetet har förändrat företagsnätverken i grunden. Behovet av att skydda företagets nätverk är dock oförändrat, och i den här artikeln går vi igenom vad små och medelstora företag måste tänka på för att hålla sina nätverk säkra.

Nätverkets uppbyggnad

Nästintill alla företag har åtminstone någon form av internt nätverk. De allra minsta företagen använder vanliga konsumentroutrar och bygger sina nätverk på samma sätt som privatpersoner bygger sina hemnätverk. I ett sådant företag fungerar routern dels som en brandvägg, dels som en trådlös accesspunkt.

Brandväggen separerar det interna företagsnätverket från internet och fungerar som ett första skyddslager mot automatiserade attacker. Accesspunkten skickar ut trådlösa nätverk och låter medarbetarna koppla upp sina bärbara datorer, surfplattor och mobiler.

I lite större företag delas routerns roll upp mellan flera nätverksenheter såsom brandväggar, switchar och accesspunkter. Vanligtvis väljer företaget nätverksenheter från samma tillverkare och samma produktserie så att nätverksenheterna kan centralhanteras, det vill säga installeras, konfigureras och uppdateras från ett samlat administrationsgränssnitt.

Dokumentera företagsnätverket

Oavsett storlek på nätverket bör företaget ha en förteckning över all utrustning som är ansluten till företagsnätverket. Just större nätverket är, desto viktigare är förteckningen. I förteckningen bör enheternas produkttillverkare, produktmodell, fysisk installationsplats, underhållspolicy samt ansvarig person framgå. Företaget bör också, på regelbunden basis, säkerställa att förteckningen är aktuell och fullständig.

Skärmavbild av administrationsgränssnitt för företagsnätverk. Översikten listar tre accesspunkter som heter Entré, Konferensrum och Mötesrum.

Ju större nätverket är, desto viktigare är det att ha god översikt.

Förteckningen över företagsnätverket kan vara en simpel tabell i ett dokument som listar alla nätverksenheter. Centralhanteringslösningar listar automatisk alla administrerade nätverksenheter, inklusive produkttillverkare och produktmodell, så att arbetet underlättas i företag med många nätverksenheter.

Byt ut standardlösenord

De allra flesta nätverksenheter har en administrationswebbplats eller -app för att ändra inställningar. Det administrationsgränssnittet måste skyddas mot obehörig åtkomst.

Produkter som inte centralhanteras har ofta förkonfigurerade administrationskonton med kända standardlösenord, till exempel ”admin” eller ”password”. 

Dessa standardlösenord ska bytas mot unika lösenord som uppfyller företagets lösenordspolicy (se Välj rätt lösenordspolicy för företaget ). Lösenordet till en nätverksenhets administrationsgränssnitt får aldrig vara samma lösenord som används för att ansluta till det trådlösa nätverket.

Skärmavbild av administrationsgränssnitt för konsumentrouter. Fälten för att byta administrationslösenordet är markerade.

Kom ihåg att byta administrationslösenorden till alla nätverksenheter som har ett administrationsgränssnitt.

Byte av standardlösenord är viktigt även om företaget är litet och alla medarbetare litar på varandra. Om en av medarbetarnas datorer infekteras med ett virus kan den datorn i sin tur infektera nätverksenheter som skyddas med välkända standardlösenord.

Åtgärden berör alla nätverksenheter som har ett administrationsgränssnitt som går att nå utan att ansluta via en centralhanteringslösning. Nätverksanslutna skrivare, övervakningskameror och uppkopplade mötesskärmar är exempel på berörda produkttyper som är lätta att glömma bort.

Skapa fler administrationskonton

Om nätverksenheterna har stöd för flera administrationskonton ska nya sådana skapas för varje medarbetare som behöver administratörsrättigheter. Om flera medarbetare behöver tillgång till inloggningsuppgifterna till ett och samma administrationskonton ska lösenordet bytas när en av medarbetarna byter tjänst eller lämnar företaget.

Det bästa är om nätverksenheterna administreras via ett gränssnitt för central hantering. Då kan alla berörda medarbetare logga in med egna användarkonton. Medarbetarnas rättigheter kan styras på användarnivå och alla ändringar kan loggbokföras.

Alla funktioner som möjliggör fjärradministration av brandväggar (inkl. routrar) utan att ansluta via en företagsanpassad molntjänst ska vara avslagna. De flesta sårbarheter som upptäcks i brandväggar går enbart att utnyttja av angripare i det lokala nätverket. Om brandväggen tillåter fjärradministration kan brandväggen attackeras av angripare från hela internet.

Installera säkerhetsuppdateringarna

Allanätverksenheter måste underhållas. Flera gånger om året släpper nätverksprodukttillverkarna säkerhetsuppdateringar som åtgärdar säkerhetsbrister i deras produkters mjukvara. Dessa uppdateringar kallas också firmware-uppdateringar.

För att hålla företagets nätverk säkert ska säkerhetsuppdateringarna installeras så snart som möjligt.

Skärmavbild av administrationsgränssnitt för konsumentrouter. Fliken för att uppdatera mjukvaran visas.

Kom ihåg att hålla alla nätverksenheter uppdaterade med den senaste mjukvaran.

Uppdateringarna installeras genom nätverksenheternas administrationsgränssnitt eller via en centralhanteringslösning. Från dessa brukar det också gå att aktivera automatisk uppdatering, så att säkerhetsuppdateringarna installeras automatiskt på natten när eventuella omstarter inte påverkar någons arbete.

Kontrollera att enheter underhålls

Förr eller senaste slutar tillverkare att underhålla gamla nätverksenheter (produkterna når ”end-of-life”). När en enhet inte längre underhålls av sin tillverkare bör enheten tas ur drift. Om detta inte är möjligt ska ett undantag dokumenteras i nätverksförteckningen tillsammans med vilka åtgärder som har vidtagits för att kunna fortsätta använda enheten (till exempel spärra enhetens möjlighet att ansluta till internet).

Företaget ska regelbundet kontrollera att alla nätverksenheter underhålls av sin tillverkare och har de senaste säkerhetsuppdateringarna installerade.

Skydda det trådlösa nätverket

Genom åren har det funnits flera standarder för att skydda trådlös nätverkstrafik mot obehörig avlyssning. De två äldsta standarderna, WEP och WPA, klassas numera som osäkra av både Microsoft och Apple.

Företagets interna nätverk ska därför skyddas med någon av de efterföljande standarderna: WPA2 eller WPA3. Många företag väljer nätverk med stöd för WPA2-standarden trots att en efterföljare har släppts. Detta beror på att långt ifrån alla trådlösa nätverksenheter har stöd för WPA3.

De flesta trådlösa nätverk kan konfigureras för att stödja ”WPA2 eller senare”. Det innebär att WPA3-kompatibla enheter kan ansluta på säkrast möjliga vis medan äldre enheter utan WPA3-stöd kan ansluta med WPA2. För att dra nytta av alla säkerhetsfördelar som WPA3 ger måste dock stöd et för WPA2 stängas av.

Skärmavbild av administrationsgränssnittet för ett företagsnätverk. Alternativen WPA1, WPA2 och WPA3 visas.

Företagets trådlösa nätverk ska skyddas med WPA2 eller WP3.

Delade lösenord

I de allra minsta företagen skyddas trådlösa nätverk på samma sätt som i hemnätverk, det vill säga med ett delat lösenord som alla medarbetare har sparat i sina datorer, surfplattor och mobiler. Om en medarbetare lämnar företaget ska det delade lösenordet därför bytas ut. På grund av risken för att någon medarbetare råkar läcka det delade lösenordet bör lösenordet också bytas periodiskt.

I företag med många medarbetare kan inte it-säkerheten upprätthållas om de trådlösa nätverken skyddas med ett delat lösenord. I större företag bör medarbetarna i stället logga in på de trådlösa nätverken med användarunika användarnamn och lösenord.

Då behöver inte alla medarbetares trådlösa enheter konfigureras om bara för att en av medarbetarna råkar läcka sitt lösenord. Denna lösning (kallad WPA2/WPA3 Enterprise) bör därför alltid väljas i stället för konsumentlösningen med delat lösenord (kallad WPA2 PSK/WPA3 SAE) när möjligheten finns.

Skärmavbild av administrationsgränssnittet för ett företagsnätverk. Alternativet ”WPA Enterprise with WPA3” är markerat.

Om möjligt bör företag skydda sina trådlösa nätverk med WPA2/WPA3 Enterprise.

Sätt upp ett dedikerat gästnätverk

För att kunna upprätthålla it-säkerheten får enbart företagets utrustning anslutas till företagsnätverket. För att erbjuda gäster möjlighet att ansluta datorer, surfplattor och mobiler till internet kan företaget sätta upp ett gästnätverk. Samma gästnätverk kan medarbetare dra nytta av om de vill ansluta privat utrustning som inte används i jobbet.

Ett gästnätverk är ett trådlöst nätverk som är separerat från företagsnätverket. Enheter som kopplas upp mot gästnätverket kan inte kommunicera med enheter som är anslutna till företagsnätverket eller vice versa. Gästnätverket skyddas också med ett eget lösenord. Det lösenordet bör bytas periodiskt eftersom det delas med gäster.

Företagets datorer, surfplattor och mobiler ska aldrig ansluta till gästnätverket eftersom det kan sakna säkerhetsfunktioner som skyddar alla enheter som ansluter via det interna företagsnätverket. I värsta fall kan gästnätverket avlyssnas av gäster som har kommit över gästnätverkets lösenord.

Begränsa internetåtkomsten

Även om allt fler nätverksprodukter förlitar sig på molntjänster är det långt ifrån alla nätverksprodukter som faktiskt behöver kunna ansluta till internet. Företaget kan minska de nätverksrelaterade riskerna genom att begränsa vilka nätverksprodukter som får ta emot anslutningar från internet eller ansluta ut på internet.

I de allra minsta företagen (de som har en konsumentrouter) kan begränsningen göras med hjälp av routerns föräldrakontrollsfunktioner. I de lite större företagen med företagsanpassade brandväggar kan de berörda nätverksenheterna läggas i ett eget virtuellt nätverk (VLAN) som saknar internetåtkomst.

Öppna inga brandväggsportar i onödan

En brandvägg fungerar som en ventil. Enheter i företagets lokala nätverk får ansluta ut på internet genom brandväggen. Enheter ute på internet får däremot inte ansluta in till enheter i företagets lokala nätverk.

Om företaget har någon typ av server i det lokala nätverket kan brandväggens ventilliknande funktion orsaka anslutningsproblem för distansarbetare. Brandväggen förhindrar exempelvis att medarbetare ansluter över internet in till en fillagringsserver (NAS) eller videoövervakningsserver (NVR) i företagets lokala nätverk. För att möjliggöra detta kan en port behöva öppnas i brandväggen, så att medarbetarna kan ansluta på distans.

Företaget bör undvika att öppna portar i företagsbrandväggen. Brandväggens uppgift är att skydda enheterna i företagets lokala nätverk. Om företaget öppnar en port i brandväggen exponeras den berörda servern mot internet, så att både medarbetare och angripare kan ansluta till servern på distans.

Använd en VPN-tunnel

Företaget bör i stället, om möjligt, låta medarbetarna ansluta till servern via en VPN-tunnel. Många av dagens fillagringsservrar och videoövervakningsservrar stödjer också molnbaserade sammankopplingstjänster som låter medarbetare ansluta till servrarna utan behov av VPN-tunnlar eller portöppningar.

Om alternativ saknas bör företaget begränsa vilka IP-adresser som får ansluta in via de öppna portarna, så att inte portarna lämnas öppna för hela världen. De öppna portarna ska dokumenteras. Företaget ska också på regelbunden basis se över vilka portar som är öppna och stänga portarna som inte längre behöver vara öppna.

Sammanfattning

  • Ju större företagsnätverket är, desto viktigare är det att dokumentera allt som ingår i det.
  • Alla standardlösenord som nätverksenheter levereras med måste bytas ut.
  • Mjukvaran (firmware) i många nätverksenheter behöver hållas uppdaterad, precis som operativsystemet i datorer och mobiler.
  • Trådlösa nätverk ska skyddas med WPA2- eller WPA3-standarden. Större företag bör använda Enterprise-versionen av WPA2- eller WPA3-standarden.
  • Gäster ska aldrig släppas in i företagets interna nätverk. Det går att erbjuda gäster wifi-uppkoppling genom att sätta upp ett dedikerat gästnätverk.
  • Inga portar får öppnas i företagets brandvägg om det inte är nödvändigt.