Rosvot ulos kodin Wi-Fi-verkosta
Julkaistu 2025-10-24
Anteeksi, olisiko hetki aikaa keskustella kotiverkon segmentoinnista?
Wi-Fi-yhteyden pystyttäminen kotiin ei vaadi muuta kuin nettiliittymän hankkimisen ja reitittimen kiinnittämisen johdolla seinään. Valitettavasti ratkaisu ei suoraan pakasta vedettynä ole kovin turvallinen, joten jaan tässä kirjoituksessa muutaman vinkin verkkonsa turvallisuudesta ja yksityisyydestä kiinnostuneille.
Aloitan neuvoni kaikkein yksinkertaisimmista, joita pidän pakollisina toimina ihan kaikille, ja päätän ne vaativimpiin, jotka sopivat teknisesti edistyneemmille harrastajille. Ohjeet on tarkoitettu niille, jotka jakavat Wi-Fi-yhteyden reitittimellä – puhelimestaan nettiä jakavat eivät pysty muokkaamaan samoja asetuksia. Asetukset on tarkoitettu tehtäväksi reitittimessä (ja kolmoskohdassa myös erikseen hankittavassa lisälaitteessa), enkä ota tässä bloggauksessa kantaa selaimen tai tietokoneen asetuksiin.
Taso 1
Riski: Joku pääsee luvatta verkkoosi tai jopa reitittimesi ohjelmistoon, mikä voi mahdollistaa verkkoliikenteesi salakuuntelun, murtautumisen tietokoneellesi tai reitittimesi valjastamisen kyberhyökkäyksiin osana bottiverkkoa.
Toimenpide: Vaihda reitittimen hallintapaneelin käyttäjätunnus ja salasana. Tehdasasetuksilla käyttäjätunnukset ja salasanat ovat usein helposti arvattavia, tai ne saattavat olla netissä kenen tahansa löydettävissä. Joskus käyttäjätunnus ei ole vaihdettavissa, jolloin voit kokeilla luoda uuden pääkäyttäjätunnuksen ja poistaa vanhan käytöstä. Salli pääsy hallintapaneeliin ainoastaan johdolliselle yhteydelle tietokoneelta reitittimeen, ei Wi-Fin eikä varsinkaan netin (WAN-portti) kautta.
Vaihda myös verkon nimi (SSID) ja salasana. Verkon nimi voi paljastaa, mitä reititintä käytät ja miltä operaattorilta olet hankkinut sen. Älä aseta verkkosi nimeksi omaa nimeäsi.
Huolehdi, että salausprotokolla on mieluiten WPA3 tai vähintään WPA2:n ja PSK:n yhdistelmä – ei missään nimessä WEP tai WPS – ja poista Universal Plug and Play (UPnP) käytöstä. Päivitä reitittimen laiteohjelmisto ja varmista, että automaattiset päivitykset ovat päällä.
Pro tip: Älä poista laitteeseen kiinnitettyä salasanatarraa, koska tarvitset sitä, jos joudut palauttamaan reitittimen tehdasasetuksiin!
Taso 2
Riski: Jokin Wi-Fi-verkossasi olevista laitteista altistuu tietokonevirukselle tai joutuu hakkeroiduksi, jolloin muutkin laitteet ovat vaarassa. Kaikki samassa verkossa olevat laitteet tietävät toisistaan ja näkevät toisensa, ja haittatoimijan on mahdollista liikkua laitteesta toiseen. Valvontakamerat ja kodin älylaitteet voivat olla helppoja hyökkäysreittejä, joiden kautta saattaa päästä käsiksi esimerkiksi tietokoneeseen.
Toimenpide: Segmentoi verkko eli jaa se pienempiin aliverkkoihin. Reitittimen asetuksista verkon voi todennäköisesti jakaa ainakin kahteen osaan, jolloin henkilökohtaiset tietokoneet ja puhelimet ovat turvassa robotti-imurin korkkaavilta pahantekijöiltä. Reitittimestä riippuen langalliset ja langattomat verkot voi mahdollisesti erottaa toisistaan, jolloin vaihtoehtojen määrä kasvaa. Jos vieraasi tarvitsevat Wi-Fiäsi, heille pitäisi osoittaa vieraille varattu verkko.
Pro tip: Huolehdi kaikkien verkossa olevien laitteiden ohjelmistopäivityksistä ja vahvoista salasanoista, jolloin ne eivät ole yhtä alttiita haittaohjelmille.
Taso 3
Riski: Toimintasi netissä paljastaa sinusta pitkällä aikavälillä paljon asioita ja kerryttää digitaalista profiiliasi esimerkiksi Googlen keräämänä. Joka kerta, kun kirjoitat nettisivun osoitteen selaimen osoiteriville, selain lähettää kyselyn DNS-palvelimelle, joka muuttaa verkkotunnuksen (esim. suomi.fi) IP-osoitteeksi (esim. 99.83.224.170) yhteydenottoa varten – ja se palvelin saattaa olla Googlen.
Edellä mainitun lisäksi suuri osa nettisivustoista välittää tietoa mainostajille (esim. Googlelle ja Metalle) evästeiden tai näkymättömän pienten seurantapikseleiden kautta ja vähät välittää yksityisyydestäsi.
Toimenpide: Asenna Raspberry Pi -tietokoneeseen Pi-hole-ohjelmisto, joka toimii mainosblokkerina ja tarvittaessa myös DNS-palvelimena. Pi-hole parantaa elämänlaatuasi poistamalla mainokset koko kotiverkosta ja vaikeuttamalla sinuun ja laitteisiisi kohdistuvaa seurantaa.
Jos et halua hankkia Raspia, voit asettaa DNS-palvelinten IP-osoitteet reitittimeen. Turvallisia vaihtoehtoja ovat esimerkiksi Quad9:n osoitteet 9.9.9.9 ja 149.112.112.112 sekä OpenDNS:n 208.67.220.220 ja 208.67.222.222.
Pro tip: Asentamalla VPN:n reitittimeen salaat kaikkien kotiverkossasi olevien laitteiden IP-osoitteen ja voit myös vaihtaa geolokaation toiseen maahan.