LiveZilla Live Help

Sociale Media

Gesponserde Links

E-mailadres

 

 

wifi-op-slot

 

 

10 stappen voor WiFi beveiliging

De makkelijkste manier om een WiFi draadloos netwerk aan te leggen is de zogenaamde 'out-of-the-box' methode. Je koopt een WiFi router, sluit je (kabel of adsl) modem aan, eventueel de drivers voor de adapter voor je computer installeren, de boel aanzetten en klaar. De meeste routers die tegenwoordig verkocht worden, werken al op deze manier.
Lekker makkelijk: geen instellingen, geen gedoe met termen die je niet snapt, het werkt gewoon. Maar echt veilig is deze methode uiteraard niet: sterker, het is de meest onveilige manier om een netwerk in te richten.

 

Bovenstaand scenario levert prachtige open netwerken op: zoek in een willekeurige straat met een laptop naar draadloze toegang en je hebt grote kans dat je van meerdere netwerken gebruik kunt maken...
Gelukkig zijn er legio manieren om je netwerk wel veilig - of in ieder geval veiliger - in te richten. Met de volgende stappen kun je je draadloos netwerk beveiligen. Uiteraard hoef je niet alle stappen te volgen: beveiliging is een afweging tussen gemak en veiligheid. Hoe veiliger, hoe minder gemak, en vice versa.


1. Routerinstellingen

a. SSID
b. Broadcast
c. Login aanpassen

2. Toegangscontrole

a. Static IP
b. MAC-filtering
c. Encryptie
d. WEP
e. WPA
f. WPA - PSK
g. WPA - 802.1X / EAP
e. WPA2

 

 

 SSID

Een SSID (Service Set IDentifier) is een naam die je aan je draadloos netwerk geeft. Een draadloze router heeft standaard een SSID, die meestal samenhangt met het merk. Wanneer je deze standaard waarde niet verandert, is er op zich geen man overboord, maar al dan niet kwaadwillenden kunnen wel direct zien over welke hardware je beschikt, en mogelijke kwetsbaarheden in die hardware uitbuiten. Even aanpassen dus: dan loop je ook niet het risico dat je per ongeluk van het netwerk van de buren - die toevallig dezelfde router in de aanbieding kochten - gebruikt.



 Broadcast

Een draadloos toegangspunt (AP: access point) zendt standaard constant zijn SSID uit: hier ben ik, en zo heet ik. Computers kunnen die broadcast opvangen en verbinding maken met het AP. Vaak is het handig om in eerste instantie het broadcasten aan te laten, zodat je makkelijk het - aangepaste - SSID van je router kunt vinden en de verbinding kunt instellen. Nadat alles goed werkt, is het echter aan te bevelen het broadcasten uit te schakelen: je eigen hardware kan je router wel vinden, maar anderen zien niet direct je netwerk.

 


 Login aanpassen

Het SSID, broadcasten en latere instellingen pas je in de regel allemaal aan via een webinterface met je draadloze router. Vaak moet je in je browser naar een intern adres - meestal 192.168.x.x - surfen, inloggen en je instellingen aanpassen. Die webinterface heeft meestal een login: je moet een gebruikersnaam en wachtwoord intikken om toegang tot je router te krijgen. De standaard login (vaak admin/admin) is echter meestal erg makkelijk te raden: er zijn zelfs complete lijsten met logins. Door deze login-gegevens direct aan te passen, voorkom je niet alleen dat derden de configuratie van je router (en daarmee je netwerk) kunnen zien, je voorkomt ook dat je configuratie aangepast kan worden, waardoor je zelfs buitengesloten van je eigen netwerk zou kunnen worden.

 


 Static IP

Er zijn twee manieren waarop computers met een router kunnen communiceren: de router geeft elke computer zelf een IP-adres (uniek adres binnen een netwerk), of alle computers gebruiken een vast IP-adres. De eerste methode is standaard: elke pc die de router 'ziet', krijgt automatisch een IP-adres, zodat met de router gecommuniceerd kan worden. Computers van buiten je netwerk kunnen op deze manier echter ook gemakkelijk een IP-adres van de router krijgen, en deel uit gaan maken van je netwerk: niet direct een gewenste situatie. Beter is het alle computers een vast IP-adres te geven en deze adressen toegang tot je router te geven. Ongeoorloofde adressen kunnen zo geen toegang tot je netwerk krijgen.

 


 Mac-Filtering

Naast het bovengenoemde IP-adres heeft elke netwerkkaart (draadloos, bedraad, maar ook bijvoorbeeld bluetooth hardware) een vast mac-adres. Een mac-adres (Media Access Control) is een uniek nummer, dat voor geen twee netwerkkaarten hetzelfde is. Anders dan het IP-adres, is een mac-adres niet (gemakkelijk) te wijzigen. Daarom is het raadzaam de mac-adressen van computers (of eigenlijk de netwerkkaarten) toegang tot je router te geven, en andere adressen toegang te weigeren. Dit principe heet mac-filtering en is op vrijwel elke draadloze router aanwezig.




 Encryptie

Aangezien al je internetverkeer op een draadloos netwerk 'door de lucht' gaat, kun je je voorstellen dat die gegevens makkelijk door derden kunnen worden onderschept. Denk aan je logingegevens voor internetbankieren: niet direct iets wat je graag aan iedereen laat zien. Om je gegevens veilig te houden, kun je encryptie gebruiken: het versleutelen van je data. Encryptie werkt kort gezegd door gegevens met een sleutel te coderen: de sleutel geeft aan hoe de gegevens door de verzender aangepast moeten worden. Wanneer de ontvanger dezelfde sleutel heeft, kan deze de versleutelde gegevens ontcijferen en de originele gegevens weer leesbaar maken.




 WEP

De meest basale vorm van versleuteling in een draadloos netwerk is WEP: Wired Equivalent Privacy. Deze methode is echter zeer makkelijk te kraken, en alleen aan te raden als je oudere hardware hebt, die geen sterkere encryptie aankan. WEP kent twee varianten: 64-bit met een sleutellengte van 40 bits, en 128-bits, met een sleutellengte van 104 bits. Beide WEP-varianten zijn onveilig en snel gekraakt dus af te raden als beveiliging van uw draadloze netwerk. Gebruik het alleen als het niet anders kan.

 


 WPA

WPA (Wi-Fi Protected Access) is een stuk veiliger dan WEP. Er zijn verschillende soorten WPA, maar ze hebben alle een groot voordeel ten opzichte van WEP: de gebruikte sleutel. Waar WEP een vaste sleutel gebruikt die nooit verandert, maakt WPA gebruik van tkip: temporal key integrity protocol. De sleutel verandert constant, dus als iemand gegevens met een sleutel onderschept, kan die sleutel niet gebruikt worden om latere pakketjes gegevens te ontcijferen. Ook de controle op echtheid van gegevenspakketjes is bij WPA beter dan bij WEP.




 WPA - PSK

Voor de meeste netwerken thuis is WPA met PSK het meest geschikt: PSK staat voor Pre-Shared Key mode. Alle computers in het netwerk gebruiken dezelfde 'passphrase' (een wachtwoord dat uit meerdere woorden bestaat: veiliger dan een enkel woord) om de sleutel (key) voor encryptie te genereren. Let wel: de sleutels waarmee de gegevens worden gecodeerd, worden wel via de tkip methode - steeds een wisselende sleutel dus - verstuurd.

 


 WPA - 802.1X / EAP

Deze vorm van WPA is eigenlijk alleen geschikt voor grotere netwerken, zoals bij bedrijven. In plaats van een zelfde sleutel voor alle gebruikers in het netwerk, wordt de verdeling van sleutels geregeld door een derde partij: meestal een radius-server. Zo krijgen alle clienten een aparte, eigen encryptiesleutel die tussen de client en server wordt uitgewisseld en gecontroleerd. EAP (Extensible Authentication Protocol) kent weer een aantal 'smaken', vaak door fabrikanten ontwikkeld.

 


 WPA2

WPA2 is de implementatie van 802.11i: de opvolger van de eerdere standaarden voor WiFi. Deze methode is het meest veilig, aangezien zowel de sleutels als de encryptie (middels het sterke AES: Advanced Encryption Standard) is geregeld. AES is lastig te kraken: hacks op goed geïmplementeerde AES systemen zijn niet bekend. Een nadeel is wellicht dat niet alle hard- en software WPA2 ondersteunt: voor Windows XP is sinds april 2005 ondersteuning voor WPA2 uitgebracht. Mocht u problemen hebben uw netwerk te beveiligen met WPA of WPA2 dan heeft u waarschijnlijk niet het derde servicepack van Windows XP geïnstalleerd. Servicepack 3 van Windows XP vindt u via de link. 



Veiligheid en privacy van je draadloze netwerk verbeteren

Elk van bovenstaande WiFi beveiligingsmaatregelen helpt je de veiligheid en privacy van je draadloze netwerk te verbeteren. Natuurlijk werkt slechts één enkele stap niet om je netwerk te beveiligen. Elke stap biedt weer net iets meer veiligheid. Maar bedenk altijd: net als bij een ketting is beveiliging zo sterk als de zwakste schakel. En bedenk ook dat met name encryptie je netwerk iets trager maakt: het kost nu eenmaal meer bandbreedte en rekenkracht om gegevens versleuteld te versturen.

 
We hebben 123 gasten online