Draadloos

Uitleg draadloos en het zo veilig mogelijk maken.

 

Inleiding

Een draadloos netwerk beveiligen is een stap die mensen vaak achterwege laten bij het aanleggen van een draadloos netwerk.
Veel mensen kopen de benodigde apparatuur, sluiten het aan, halen een schakelaar om en er is internet.
Dat is een reden dat een groot percentage van de draadloze toegangspunten in Nederland niet of niet goed beveiligd zijn.
In dit artikel beschrijf ik een aantal gevaren van draadloos internet en een aantal manieren om een draadloos netwerk te beveiligen.

Draadloos is kwetsbaar

De toegang tot een draadloos netwerk gaat via een wireless access point (ook wel AP genoemd).
Binnen het bereik van het wireless access point kan een computer “die voorzien is van een draadloze netwerkkaart” toegang krijgen tot het draadloze netwerk.
Voor een thuisgebruiker betekent dit, dat bijvoorbeeld de buren toegang kunnen krijgen tot het draadloze netwerk.
Ook voor bedrijven is het beveiligen van hun draadloos netwerk momenteel een zeer ‘hot’ onderwerp.
In de VS en tegenwoordig ook in Nederland moeten bedrijven zich zelfs actief beschermen tegen “wardrivers”
(Mensen die met een laptop rondrijden om (eventueel onbeveiligde) draadloze netwerken op te zoeken.)
Als thuisgebruiker moet je zelf bepalen of je een draadloos netwerk wilt beveiligen en hoe.
Laat je het netwerk volledig open, dan zullen omwonenden dit snel merken, omdat hun draadloze netwerkkaarten
het signaal van jouw draadloze router of AP kunnen ontvangen.
Het is dan een kwestie van muisklikken voordat ze op jouw internetverbinding surfen.
Naast alleen surfen kan een ongewenste bezoeker ook toegang proberen te krijgen tot andere computers die gebruik maken van de draadloze router of AP.
Als deze computers niet voorzien zijn van een firewall (beveiligingsprogramma) dan wordt het de inbreker allemaal wel erg gemakkelijk gemaakt.

Encryptie op een draadloos netwerk

Met encryptie kun je een draadloos netwerk beveiligen.
Encryptie, ofwel versleuteling, zorgt ervoor dat informatie die over het netwerk vliegt beschermd is door een sleutel.
Weet je de sleutel, dan mag je meepraten. Weet je hem niet, dan kom je er niet zomaar op.
Op een netwerk worden pakketjes die over het netwerk vliegen voorzien van zo’n sleutel (of eigenlijk een slot).
De meeste routers zijn tegenwoordig standaard uitgerust met WEP encryptie en WPA encryptie.

WEP encryptie

WEP staat voor Wired Equivalent Privacy. WEP encryptie wordt door velen als te zwak gezien voor het beveiligen van een netwerk.
Dat is niet onterecht. Een WEP sleutel is namelijk vrij gemakkelijk te kraken. (zie informatie onder het knopje media)
Een WEP sleutel wordt aangemaakt op basis van een gedeelde sleutel die op elke computer hetzelfde is én een ‘initilization vector’.
De intitialization vector of IV is bij WEP vrij kort, namelijk 24 bits.
Dit betekent dat het relatief kort duurt voordat twee datapakketjes versleuteld zijn met dezelfde IV.
Hierdoor reizen er om de zoveel tijd (afhankelijk van de drukte op het netwerk) pakketjes over het netwerk die op elkaar lijken.
Door deze pakketjes op te vangen wordt het voor een hacker mogelijk om een gemeenschappelijke eigenschap te ontdekken: de netwerksleutel.
En zo kan hij/zij toegang krijgen tot het netwerk.

WPA encryptie instellen

De procedure om je draadloos netwerk te beveiligen met WPA encryptie (Wi-Fi Protected Access) lijkt op die van WEP encryptie.
WPA-PSK staat voor WPA Pre-Shared Key.
Dit is een mechanisme voor het overzenden van sleutels tussen computers.
In een professionele omgeving wordt vaak met een speciale server gewerkt die dit proces afhandelt zoals een RADIUS server.
TKIP staat voor Temporal Key Integrity Protocol.
TKIP is in feite het werkpaard achter WPA. TKIP zorgt voor de daadwerkelijke encryptie van de pakketjes die over het netwerk reizen.
Dit is momenteel voor thuisgebruikers de beste manier om een draadloos netwerk te beveiligen,
omdat het veilig is en omdat het goed ondersteund wordt door verschillende fabrikanten.
AES is een verbeterde encryptievorm, maar wordt nog niet ondersteund door de meeste access points.

MAC adressen filteren

MAC adressen filteren is een beveiligingsmethode die vaak in combinatie met encryptie gebruikt wordt.
Een MAC adres (ook wel ‘hardware adres’ of ‘fysiek adres’ genoemd) is een adres dat uniek is voor elk netwerkapparaat.
Het MAC adres is een hexadecimale code van twaalf tekens, bijvoorbeeld 00:A4:37:B9:33:C1.
De MAC Filter kan gebruikt worden om toegang tot het netwerk toe te zeggen of juist te blokkeren. In feite is het erg gemakkelijk.
(Ook deze beveiliging is niet 100% veilig en is dus ook te omzeilen.)

SSID broadcast

Als SSID broadcast aan staat dan zendt het access point om de paar seconden de netwerknaam (SSID) uit.
Zo worden computers in de buurt snel op de hoogte gesteld van het netwerk.
SSID broadcast is handig in een omgeving waar computers snel van netwerk moeten kunnen wisselen.
In een thuisnetwerk is dit meestal overbodig.

Router wachtwoord

De router zelf kun je ook beveiligen met een wachtwoord.
Draadloze routers hebben vaak een standaard wachtwoord als ze van de fabriek komen.

Stappen die nodig zijn om uw draadloos netwerk beter te beveiligen

1. Zorg dat uw netwerk is beveiligd met minimaal WPA of beter.
2. Zorg dat uw SSID Broadcast uitstaat en geen naam gebruikt die kan herleiden tot u zelf.
3. Zorg voor een sterk netwerksleutel zoals bijvoorbeeld “Test123@work!”.
4. Eventueel een macfilter om toegang moeilijker te maken.
5. Tijden van draadloos bepalen, dat deze niet altijd aanstaat als deze toch niet gebruikt wordt.
6. Netwerk sleutel eens per maand wijzigen. Check hieronder de veiligheid van de sleutel.
7. Static ip adres instellen zodat de kwaadwillende gebruiker ook het ip adres moet achterhalen.
8. Default router password wijzigen.

Elk van bovenstaande beveiligingsmaatregelen helpt je de veiligheid van je draadloos netwerk te verbeteren.
Maar hou goed in de gaten dat als ze er de tijd voor hebben alles kunnen kraken.


Neem de proef op de som en neem contact met ons op.