Hur säkert är ditt hemmanätverk?

78% drar jag till med.

Pfsense som brandvägg, unifi accesspunkt. WPA2+3, inget WPS.
Separat VLAN + SSID för (begränsad mängd) iot-artade saker.
Ett par utvalda tjänster exponerade på WAN: wireguard och ssh.
Installerar uppdateringar åtminstone veckovis.
Slumpade långa lösenord (lagrade i Bitwarden).

Säkert nog, använder WPA2 för routern duger fint än så länge. Men har olika lösenord till allt tillsammans med Keepass, och sen så har jag något sunt förnuft.

T.ex. https://security.stackexchange.com/questions/1606/are-mac-add... kan vara läsvärt för den som eventuellt undrar

Får notis från Sonos och på mobilen om någon okänd enhet ansluter till nätverket. Det lär filtrera bort det mesta.

Samt det vanliga; brandvägg, wps2, Bitwarden etc

UPnP är en ganska viktig komponent såfort man ska hosta t.ex. online-spel från sitt nätverk, för att slippa hålla på och klabba med att manuell öppna/stänga rätt portar så att allt fungerar.

Vad är risken specifikt med att ha UPnP igång?

Hypotetiskt är ju tanken med UPnP så vitt jag vet högre säkerhet genom att de nödvändiga portarna bara ska vara öppna när de behövs, till skillnad från manuell administration av portar som både är tidskrävande och lätt att glömma -- särskilt när man inte kör någon permanent server.

Skadlig mjukvara är såklart fri att öppna portar utåt också om UPnP är igång, men min uppfattning är nog att den absoluta majoriteten av all malware installeras av användaren själv (genom exempelvis social ingenjörskonst).

Det handlar inte om det är viktigt att stänga av UPnP specifikt, poängen är att minimera attackytor OCH hålla saker uppdaterade OCH inte använda standardlösenord osv.

1. Program/enheter som du inte vill ska vara åtkomliga från internet öppnar portar till sig själv. Programmet kanske är gammalt och innehåller kända sårbarheter.

2. Man kan tänkas kunna lura program att öppna portar mot andra saker på ditt nätverk. Så t ex att man lurar ditt spel att öppna porten som leder till Remote Desktop på din dator.

Ingen aning

Förhoppningsvis rätt säkert. Segmenterade nät med vlan, brandvägg av gedignare sort. Wifi väldigt nedstrypt, bland annat.

Grundproblemet med UPnP är väl just att det fungerar helt utan autentisering samtidigt som att själva funktionen är att släppa in trafik genom brandväggen från vadsomhelst på Internet in till maskiner i användarens lokala nätverk.

Även på det sätt det faktiskt är tänkt att användas så kan alla enheter på det lokala nätverket släppa in vadsomhelst utifrån in till vadsomhelst på det lokala nätet, utan att någon människa är godkänt eller är medveten om vad som skett.
Lätt för en mjukvara man kanske inte helt litar på som användaren ändå kört på sin dator/telefon/något att öppna brandväggen för något värre syfte, eller för den delen någon iot-enhet som man kanske inte riktigt bör lita på... osv. Den öppnade porten lever kvar åtminstone en tid även om mjukvaran som öppnade har slängts ut.

Sedan har det ju förekommit direkta fel som att routers levererats med UPnP exponerat på WAN, osv. Direkt katastrof i sådana fall.

Hemmanätverket uppfyller alla relevanta punkter i listan, och mer utöver det, men 100% säkert blir det förstås ändå aldrig.

Eftersom sniff + spoof av mac-adresser är enkelt så finns det dock ingen större mening att filtrera på det av säkerhetsmässiga skäl, det ger bara en falsk känsla av säkerhet.

Hmm ingen aning men skulle gissa på mera säkert än dom flesta starka lösenord överallt (Bitwarden) och har en pi-hole server som rensar upp lite annat mög på linan med olika black lists osv

Mer än så orkar jag inte lägga tid och ork på

Gött att se folket i kommentarerna tar sina hemmanät mer seriöst än stora företag i landet skyddar sin infrastruktur

Tycker ni är för hårda på Macfiltrering, klart det inte stoppar någon som specifikt vill in på ditt nät. Men du slipper folk som på något sätt har lösenordet men inte nog med motivation för att spoofa mac utan hellre bara tar nästa mål.

För tydlighets skull så försöker jag på intet vis konvertera "alla" till att ge sig in på ett liknande spår, men jag skulle ändå anse att det är sunt *om* man har intresset.

Både sunt i avseendet att man ger sig själv bättre möjligheter att börja ta kontroll över sin egen situation (istället för att helt förlita sig på någon annans omdöme, vilket ju dessutom typiskt primärt drivs av kortsiktiga mål som att undvika supportfrågor och att sälja så många enheter som möjligt till folk som inte vet vad de behöver), och att man börjar bygga modulärt (istället för en närmast "magisk" apparat med en massa separata funktioner integrerade i samma skal och därmed läggs till/tas bort som en enhet).

Jag ser det som till stor del jämförbart med valet att köpa en märkesdator eller att bygga en dator helt från standardkomponenter. Alla har inte intresset att bry sig, men folk på Sweclockers kan nog relatera till att det kanske allra mest tillgängliga valet absolut kan ha negativa konsekvenser (enhörningskomponenter, extra mycket crapware förinstallerat), även om båda datorerna går att använda.
(Där jämförelsen haltar mest är att mjukvaran i huvudsak är densamma i datorexemplet och även utbytbar på ett helt annat sätt, vilket gör skillnaden mindre. Så släng in "enhörningsmjukvara" också för bättre balans.)

Skulle nog dra till med någorlunda säkert även om det finns förbättringspotential.
Har starka slumpmässiga lösenord (hanterade med bitwarden) till i stort sett allt utom det allra viktigaste(mail, bitwarden mm), de använder starka unika lösenord.
På nätverket har jag separerat alla IoT enheter (t.ex smarttv och liknande) på ett eget isolerat VLAN, samt satt upp ett lösenordsskyddat separat gästnätverk till mina besökare/kompisar. Kör två pihole som filtrerar bort en del reklam och liknande på nätverket. Tvingar även all dns trafik genom pihole för alla enheter, även t.ex. LG Soundbar som är hårdkodad för googles DNS.
Den största säkerhetsrisken är väl sambon, även om jag jobbar på att utbilda henne, har nyss fått henne att gå över till bitwarden och köra unika lösenord nästan överallt.
Har funderat på att sätta upp en MAC whitelist men inte fått tummen ur ännu.

Definitivt en god konceptuell idé att dela in smarta prylar i ett gästnät, men hur löser ni styrning av sådana enheter via telefon eller Google home eller liknande?

Jag har inte så många smarta enehter, men jag har löst det genom attsätta upp brandväggsregler i routern som tillåter mina vanliga enheter att kommunicera med enheter på vlan för de smarta enheterma, och de kan svara på anrop som initeras från mitt "vanliga" vlan, men inte kontakta det annars. Detta gäller endast för kommunikation på specika portar också.