Beveiliging draadloos netwerk

Trefwoorden: WPA, WEP, Encryptie, Draadloos, Wireless, Netwerken, SSID, Router, Access Point, Beveiliging

1. Inleiding


Doordat draadloos internet meer en meer geïnstalleerd en gebruikt wordt, is het noodzakelijk om dit te beveiligen. De meeste verkopers zwijgen over de beveiliging en laten de klant zomaar doen.

In dit artikel zullen we de beveiliging die een thuisrouter heeft onder de loep nemen. Met de nodige voorbeelden zullen we je hopelijk goed verder helpen om de indringers van je netwerk te houden.

2. Beveiligingsmethodes: de theorie


Hier gaan we even uitleggen welk methodes je hebt. Als je wil kan je deze stap overslagen. Het is immers een introductie in wat er zal gebeuren en de gevolgen ervan.

2.1. SSID Broadcast

Dit is een handige feature waarmee computers in de omgeving direct op de hoogte gesteld worden van de aanwezigheid van een draadloos netwerk met het bijbehorende SSID. Als er geen encryptie is ingesteld kan iedereen zich zonder problemen met jouw accespoint (of router) verbinden. Het uitzenden van het SSID is wel handig, maar duidelijk minder veilig.
Het gevolg zal dus simpel zijn, als je graag connectie wilt maken met je draadloos netwerk moet je de SSID zelf invullen.

2.2. MAC adres filteren

Elke draadloze netwerkkaart is voorzien van zijn eigen ingebakken MAC adres (of 'fysiek adres'). Je kunt in nieuwere routers en access points MAC adressen specificeren die wel of geen toegang mogen hebben tot het netwerk. Het is voor een potentiële inbreker dan moeilijker om toegang te krijgen omdat zijn/haar netwerkkaart niet het juiste MAC adres heeft.

Deze methode is helaas niet waterdicht maar kan wel al de vele 'gewone' mensen buiten sluiten. Echter als je vaak mensen uitnodigt om op het draadloos netwerk te zitten is het een iets minder leuke manier. Je moet immers altijd zijn MAC adres ingeven (zien we later in het artikel).

2.3. Wachtwoorden

Een access point of een draadloze router kan je vaak beheren via de web browser of via een ander soort client. Het apparaat hier daarom bijna altijd een wachtwoord, maar basis is dit meestal wel Admin (gebruikersnaam) en admin (wachtwoord).
Enorm onveilig aangezien je veel producenten dit wachtwoord gebruiken. Veranderen is dus een must!

2.4. Gebruik encryptie

Het gebruik van encryptie op een draadloos netwerk zorgt ook voor grotere veiligheid, doordat netwerkverkeer niet direct als leesbare informatie over het netwerk reist. Het wordt versleuteld verzonden. De meeste routers zijn tegenwoordig standaard uitgerust met WEP en bijna altijd met WPA encryptie.
We adviseren om echt de WPA encryptie te gebruiken. WEP is zeer zwak en kan in 5 minuten ontcijferd worden. De modernere routers of access points zijn dan ook uitgerust met WPA (helaas ook met WEP waardoor nog veel mensen dit kiezen omdat het als eerst in het lijstje staat).

2.5. DHCP (redelijk geavanceerd)

Het Dynamic Host Configuration Protocol doet wat zijn naam belooft: het configureert automatisch netwerkcomputers om toegang tot het netwerk te krijgen. Meer specifiek betekent dit dat een netwerkcomputer via DHCP zijn tcp/ip instellingen krijgt toegewezen, zoals het ip adres, subnet masker, gateway adres en dns adressen. Een DHCP server kan je opvatten als een beveiligingsprobleem, omdat de toegang tot het netwerk vergemakkelijkt wordt. Als je DHCP uit zet, moet je op elke computer die toegang wil hebben tot het netwerk de tcp/ip instellingen doen die anders via DHCP waren gedaan. Voor een mogelijke hacker betekent dit dat hij/zij eerst moet raden welk ip adres geaccepteerd zal worden op het netwerk.

3. Beveiligingsmethodes: de praktijk!


Nu je ongeveer weet wat er allemaal mogelijk is kan je nu beginnen om het in te stellen. In onze testomgeving hebben we gekozen voor de standaard thuisrouter van MSI (kostprijs iets van een €55).
Hij had alles dat we in de theorieles hebben besproken. De kans dat je dus nu nog een router of acces point vindt zonder deze beveiligingsmethodes is wel bijzonder klein.

NB: de kans dat jouw router of access point identiek hetzelfde is als ons systeem is vrij klein. Je zal dus zelf ook nog moeten zoeken naar de opties, wij geven gewoon eens tonen hoe het in de praktijk gedaan wordt.

3.1. Surfen naar de router

Om iets te configureren moet je er ook een configuratiescherm hebben. Bij de meeste thuisrouters of access points is dit via de browser.
Bij het aansluiten krijgt het apparaat een IP adres. Dit is een vast IP adres dat meestal wel in de handleiding staat. Uit ervaring blijkt dit meestal wel X.X.X.1 of X.X.X.254 te zijn, maar zoek het toch op in de handleiding ipv te beginnen zoeken ;)
In onze handleiding vonden we dit meteen: screenshot

Zoals je kan zien op de screenshot moeten we meestal ook een wachtwoord intypen. Dit staat dus ook in de handleiding (op ons testmachine was het dus admin admin)

Eens ingelogd zie je het beginscherm van de router of access point.
Voor de volgende stappen kiezen we voor Customized Configuration. We gaan er immers vanuit dat je al volledig toegang hebt, maar nog geen beveiliging.
Moest dit dus niet het geval zijn, ben je verkeerd ;) Stel dan je vraag op het forum ;)

3.2. SSID Broadcast

Voor de SSID moesten we op de testrouter wel even zoeken, maar na enige tijd hadden we het toch wel gevonden ;).
Het was verstopt bij de geavanceerde instellingen onder de naam Broadcast SSID
Screenshot

Hier kunnen we dus kiezen voor Aan of uit. Als je kiest voor Uit moet je dan wel zelf de SSID invullen, wil je connectie maken.

3.3. MAC adres filteren

Persoonlijk een van de betere technieken (maar je gebruikt hem best in combinatie met een encryptie).
Op ons testsysteem vonden we het snel terug onder WLAN filtering. Meestal zal MAC adres filtering enkel op het draadloze connectie gebeuren. Het is dus onnodig om het MAC adres van je 'vast' systeem ook bij te zetten.

Om deze manier te gebruiken moet je echter wel het MAC adres weten. Bij vele netwerkkaarten die je in een laptop of desktop plugt staat dit geschreven. Maar voor alle zekerheid is er nog een andere waterdichte manier.
Ga naar de computer en ga naar Start > uitvoeren > cmd (typ) > ipconfig /all (typ)
Je krijgt dan iets in de aard van:
CODE
  1. C:\Documents and Settings\Steven>ipconfig /all
  2.  
  3. Windows IP Configuration
  4.  
  5.         Host Name . . . . . . . . . . . . : pc
  6.         Primary Dns Suffix  . . . . . . . :
  7.         Node Type . . . . . . . . . . . . : Unknown
  8.         IP Routing Enabled. . . . . . . . : No
  9.         WINS Proxy Enabled. . . . . . . . : No
  10.  
  11. Ethernet adapter Local Area Connection:
  12.  
  13.         Connection-specific DNS Suffix  . :
  14.         Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
  15.         Physical Address. . . . . . . . . : 16-18-D3-A1-7E-BA
  16.         Dhcp Enabled. . . . . . . . . . . : No
  17.         IP Address. . . . . . . . . . . . : 192.168.1.32
  18.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
  19.         Default Gateway . . . . . . . . . : 192.168.1.200
  20.         DNS Servers . . . . . . . . . . . : 192.168.1.200

Hier is het Physical Address ons MAC adres. Indien je meerdere netwerkkaarten hebt (vaak zo bij laptops) moet je dus de draadloze netwerkkaart zijn MAC adres nemen, natuurlijk niet de andere ;)

Eens dit gevonden kan je het invullen in de configuratischerm van de router of access point.
Op de schreenshot kan je dus zien dat ik op mijn netwerk 2 draadloze verbinding toelaat. Al de andere connectie worden resoluut geweigerd, al hebben ze de juist SSID, encryptiesleutel, ...

Om deze methode te breken moet de indringer een MAC adres te weten komen van iemand dat toelating krijgt. Als dat dan nog niet genoeg is moet hij het uniek MAC adres van zijn eigen netwerkkaart gaan veranderen, om zo toegang te krijgen.
Over het algemeen is dit dus een zeer handige en goede methode (maar best in combinatie met een encryptie).

3.4. Wachtwoorden

Zoals we al vaker gezegd hebben, Verander het standaard wachtwoord van je access point of router!!!.
Op ons testsysteem konden we zelf de gebruikersnaam wijzigen. Dit maakt het dus nog een beetje moeilijker aangezien je niet alleen het wachtwoord moet breken maar ook de gebruikersnaam.
Deze broodnodige optie konden we terugvinden bij de Administratie. Een schermadruk voor de duidelijkheid ;)

Hier worden geen woorden aan verspild, veranderen die handel!

3.5. Gebruik encryptie

Zoals al gezegd heb je 2 grote varianten, de WEP en WPA. Wij kozen natuurlijk voor WPA omdat ons systeem dit aankon. Kiezen voor WEP zou een dommere keuze zijn ;)

Deze functie konden wij terugvinden onder Wireless (screenshot), wij kiezen daar voor Change.
Dan komen we in een menu waar we de code's mogen invullen. Het instellen is helemaal niet moeilijk, de moeilijkheid zit hem erin om het wachtwoord niet te vergeten ;). Het wachtwoord moet immers minimum 8 tekens lang zijn.

Wij kiezen voor een leuk wachtwoord dat een zin moet voorstellen (een van de betere methodes om een wachtwoord te onthouden). De schermafdruk laat zien dat ik gebruik maak van WPA(TKIP) met het wachtwoord IgndWm7. (dit moet 'Ik ga naar de Winkel met Luc.' voorstellen).

Eenmaal op Save gedrukt en je draadloos netwerk is beveiligd met een encryptie. Je moet nu op iedere computer dat wenst in te loggen je wachtwoord invullen.

Als je toch gebruik moet maken van WEP (wat we zeer afraden maar als er niets anders is toch beter WEP dan niets), gebruik dan 128bits versie. Zorg eveneens voor een niet makkelijk te raden wachtwoord!

3.6. DHCP

DHCP kan je uitschakelen zodat iedereen die wilt inloggen, vast IP's moet instellen. Hij moet dus raden welke IP's jij hebt ingesteld voor Default gateway.
Deze methode is niet echt zo krachtig en niet echt de moeite om het toe te passen. Toch zullen we het op ons testsysteem even tonen met een schermafdruk.

4. Vragen en opmerkingen


Heb je vragen, kan je een functie niet terugvinden, ... wie weet weten wij het wel ;). Stel je vraag dan even op het forum.
Opmerkingen kan je, naar goede gewoonte, hieronder plaatsen.Dit artikel werd geschreven door SMG op maandag 30 mei 2005 om 11:35 en werd sindsdien 71601 keer gelezen.

  • Pagina
  • 1 van 1

Bericht geplaatst door Didius op dinsdag 31 mei 2005 om 12:56:24.
Didius heeft nog geen avatar toegevoegd
Multiviteit: 228
Was er niet een vervanger voor WEP op komst? Er werd gesproken over de doorbraak op vlak van beveiliging van draadloze netwerken.
Bericht geplaatst door roel op woensdag 1 juni 2005 om 10:30:16.
roel's avatar
Multiviteit: 284
Daar is sprake van maar of dit snel gebruikt gaat worden. Is nog wat afwachten
Bericht geplaatst door Maxim Winckelmans op woensdag 1 juni 2005 om 15:59:18.
Maxim Winckelmans heeft nog geen avatar toegevoegd
Multiviteit: 11
Bij mijn weten is dit bij de nieuwe producten standaard
Bericht geplaatst door een gast op donderdag 9 juni 2005 om 10:54:31.
Beste,

de WEP versleuteltechniek is gekraakt geweest. Dit wil zeggen dat men als men voldoende pakketten kan opvangen men de sleutel kan berekenen zonder "brute force technieken" toe te passen.

Er is nu een verbeterde encryptietechniek WPA en WPA2. Deze hebben een sterkere versleuteling en hun code is nog niet gebroken. Bovendien verspringen de sleutels om de zoveel tijd. De enige manier om het te breken is met een Brute Force Techniek (dit wil zeggen, proberen en proberen met de computer met een automatisch programma en dat houdt in dat er toch zeer veel combinaties te overlopen zijn.) of met een Dictionnary attack (Niet alle codes worden geprobeerd maar veel frequent weerkerende paswoorden).

Raadpleeg voor meer informatie omtrent beveiliging volgende site:

http://www.tomsnetworking.com/Sections-article124.php

Moraal van het verhaal:

1/ beveilig met WPA of WPA2.
2/ Kies een "sterk" paswoord, liefst willekeurig gegenereerd met de computer uit letters en cijfers en hoofdletters en zo lang als mogelijk. (paswoorden als naam vriendin, naam hond, naam kind zijn uit den boze.)
3/ gebruik mac adress filtering (hoewel dit niet afdoende is)
4/ zet Broadcast SSID uit (hoewel dit zeker niet afdoende is)
5/ zet eventueel uw Access points / routers uit als je deze langere tijd niet nodig hebt (vb op reis)

Als je deze regels toepast is de kans groter dat ze binnenbreken in uw woning dan dat ze inbreken in uw netwerk.
Bericht geplaatst door Martijn op maandag 5 december 2005 om 19:03:58.
Martijn heeft nog geen avatar toegevoegd
Multiviteit: 13785
Beheerder
Hoe je draadloos netwerk goed beveiligen?

Concrete werkwijze
Eerst en vooral begin je van uit een situatie zonder beveiliging.

Je zorgt dus dat je op je netwerk kan (bijvoorbeeld het Internet raadplegen).

Surf dan naar de configuratie van je router. Meestal is dit http://192.168.1.1 of iets gelijkaardigs. Raadpleeg de handleiding van je router indien je meer informatie wenst hieromtrent (bijvoorbeeld voor het adres, de gebruikersnaam en het wachtwoord, et cetera). Eenmaal je in de configuratie van de router bent, verander je het zogenaamde SSID in iets niet standaards (beste is ook niet je eigen naam te gebruiken, maar bijvoorbeeld netwerk, home, myplace, etc. Iets wat dus niets vrijgeeft over je identiteit ;))

Daarnaast kan je ook een WEP key invullen. Noteer deze code ergens of sla ze op in een bestandje op je PC, want deze heb je later weer nodig om terug verbinding te maken met je netwerk. Wanneer je dat gedaan hebt, sla je de configuratie op en ga je naar Netwerkverbindingen (dit kan je bereiken via het Start -> Configuratiescherm). Klik vervolgens rechts op je draadloze verbinding. Kies uit het menu dat je nu ziet eigenschappen en ga naar het tabblad Draadloze netwerken.

In het onderste kadertje(Voorkeursnetwerken) selecteer je jou verbinding (dit is de SSID die je eerder hebt ingegeven). Klik da op .

In het venster dat opengaat, vink je gegevenscodering (WEP-compatibel) aan. Bij netwerksleutel geef je de WEP key op die je net ook bij je router hebt ingegeven en hebt opgeschreven/opgeslagen. Sleutelindex laat je op standaard staan. Dit laatste kan je gebruiken om meerdere sleutels op te geven. In sommige routers kan je meerdere codes ingeven; met behulp van deze functie kan je dan aangeven welke je moet gebruiken.

Sluit alle vensters en probeer nu terug verbinding te krijgen met je netwerk (kan zijn dat je een nieuw IP moet krijgen, lukt het niet, herstart dan even ;)). Lukt het na het herstarten nog steeds niet, open dan de kaders die hierboven vermeld staan en vink aldaar de optie Netwerkidentificatie (gedeelde modus) aan. Dit heeft te maken met welk type WEP key je gebruikt (shared mode of niet).

Als dit alles werkt, gaan we nog wat extra beveiliging inbouwen. Eerst en vooral ga je de MAC adressen van alle computers die op het netwerk mogen, invullen in je router (indien dit mogelijk is). Heel belangrijk: zorg eerst dat het MAC adres van je huidige PC wordt opgenomen alvorens de filtering te activeren, want anders wordt je zelf buitengesloten ;).

Als ook dat gebeurd is, kan je tenslotte nog één stap doen en dit is het uitzenden van een SSID (SSID Broadcast of iets dergelijks) uit te zetten (je dient dus de naam van het netwerk te kennen alvorens je nog maar kan proberen in te loggen ;). Dit is makkelijk te omzeilen, maar het helpt toch iets:)).

Is heel wat informatie in één keer, als het niet zou werken, plaats gerust een berichtje in een van onze forums ;). Moest het nu zijn dat je niet meer op internet kan nadat je je beveiliging hebt geactiveerd, reset dan gewoon je router. Hierdoor valt de beveiliging weg, waarna je het opnieuw kan proberen ;).
Met vriendelijke groeten,
Martijn Wouters
Bericht geplaatst door een gast op woensdag 30 april 2008 om 23:08:19.
Het verbergen van je SSID is echt onzin. Zie ook:
http://blogs.zdnet.com/security/?p=941
Bericht geplaatst door SMG op zondag 4 mei 2008 om 14:20:53.
SMG's avatar
Multiviteit: 12006
Moderator

Dixit

Dixit Gast op 30/04/2008 23:08:19:

Het verbergen van je SSID is echt onzin. Zie ook:
http://blogs.zdnet.com/security/?p=941

Het kan wel iets uithalen, zo gaan mensen die niet zien of er een draadloos netwerk is niet proberen om erop te geraken.
Echter het brengt meer irritatie mee dan wat anders. Je ziet immers het draadloos netwerk niet dus zal je zelf de SSID moeten ingeven (wat voor bezoekers minder handig is).
Bericht geplaatst door Cdude op donderdag 26 februari 2009 om 18:57:55.
Cdude's avatar
Multiviteit: 5396
Eat my shorts :)
Nog een mooi flashfilmpje van Linksys (Cisco) zelf.

http://www-nl.linksys.com/flash/learn_security/2.html
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
"Friendship is like peeing in your pants : everybody can see it but only u can feel it's warmth"
  • Pagina
  • 1 van 1