Draadloze veiligheid: vier populaire fabeltjes en 12 tips

Terug naar de thuispagina

Beveilig uw draadloze netwerk (wifi) op de juiste manier

Een draadloos netwerk is uiteraard altijd minder veilig dan een bedraad netwerk. Toch kunt u de veiligheid van uw draadloze netwerk naar een goed niveau tillen.

Over het beveiligen van een draadloos netwerk, doet een aantal fabels de ronde. De populairste vier wil ik eerst even uit de weg ruimen.

Inhoud van deze pagina:

• ZO MOET HET BESLIST NIET! DE VIER FABELTJES:
• • Fabel 1: de SSID (netwerknaam) verbergen (niet uitzenden)
• • Fabel 2: MAC-adresfilter gebruiken
• • DHCP uitschakelen
• • Fabel 4: WEP-beveiliging gebruiken
• ZO MOET HET WEL! DE 12 TIPS:
• • Tip 1. Wijzig router-instellingen alleen via de draad
• • Tip 2. Gebruik de nieuwste firmware voor uw router
• • Tip 3. Zend de SSID uit
• • Tip 4. Verander de SSID (netwerknaam)
• • Tip 5. Kies minimaal WPA maar liefst WPA2
• • Tip 6. Alleen AES
• • Tip 7. Maak een eigen WPA-sleutel
• • Tip 8. Zet de firewall aan in de router
• • Tip 9. Wijzig het beheerderswachtwoord van het configuratiescherm
• • Tip 10. Wees voorzichtig met het gebruiken van onbeveiligde verbindingen
• • Tip 11. Schakel Wi-Fi Protected Setup (WPS) uit in uw router
• • Tip 12. Schakel Universal Plug and Play (UPnP) uit in uw router
• Tot slot: versterk of verzwak het draadloze signaal
• Nog meer tips?

ZO MOET HET BESLIST NIET! DE VIER FABELTJES:

Fabel 1: de SSID (netwerknaam) verbergen (niet uitzenden)

Dit is slecht, omdat... het juist gevaarlijk is om de netwerknaam niet uit te zenden! Dat klinkt behoorlijk onlogisch, maar ik zal het hieronder uitleggen.

Om te beginnen is het sowieso onmogelijk om het uitzenden van het SSID (SSID broadcasting) in zijn geheel te blokkeren. Er zijn namelijk maar liefst vier andere manieren waarop de router een "uitgeschakelde" SSID nog steeds blootgeeft.

Bij veel gegevenspakketten die de router verzendt, zendt hij namelijk de SSID ook mee. Niet versleuteld. Open en bloot te ontvangen door iedereen die in de buurt is. Die SSID stuurt de router dus ook nog steeds gewoon mee, als u "SSID broadcasting" uit hebt staan!

Met gangbare netwerkscanners, zoals bijvoorbeeld Kismet, duurt het slechts enkele seconden totdat een hacker een "verborgen" SSID alsnog in beeld heeft.

Uitschakelen van het uitzenden van de SSID schept zelfs een extra risico(!): als het uitzenden van het SSID is uitgeschakeld in de router van het netwerk, moeten de gebruikerscomputers namelijk continu hun aanwezigheid prijsgeven. Waardoor ze het SSID overal verspreiden, waar ze ook zijn.

Uw laptops zullen dus overal waar u ze aanzet, gaan schreeuwen:"hé, is er hier een netwerk met de naam XYZ?", en dat met korte tussenpozen...

Daardoor zijn ze een eenvoudig doelwit. Een aanvaller kan immers een toegangspunt opzetten met de SSID van uw netwerk. Zodat uw laptop automatisch daarmee verbindt, zonder om bevestiging te vragen. De aanvaller kan dan al het netwerkverkeer afkijken. Of misschien zelfs uw laptop binnendringen.

Fabel 2: MAC-adresfilter gebruiken

Zinloos, want een aanvaller kan eenvoudig zien welke MAC-adressen toegang krijgen. Vervolgens kan hij zijn MAC-adres vervalsen (spoofen) en krijgt hij alsnog toegang.

Met een MAC-adresfilter maakt u het alleen lastig voor uzelf, wanneer u met een andere (nieuwe?) computer wilt gaan internetten. Of wanneer er iemand bij u thuis op bezoek is, die met zijn eigen flaptop even het internet op wil.

Fabel 3: DHCP uitschakelen

Dit is pure tijdverspilling. Dit houdt een aanvaller hooguit een halve minuut tegen.

DHCP deelt automatisch IP-adressen uit. Dit uitschakelen is nutteloos. Een aanvaller heeft vrijwel direct het IP-schema van het netwerk doorgrond en zichzelf alsnog een geldig IP-adres toebedeeld.

Fabel 4: WEP-beveiliging gebruiken

Dit is een zeer zwakke beveiliging, die een aanvaller binnen de minuut kan kraken. Het is beter dan helemaal geen beveiliging, maar daar is dan ook alles mee gezegd....


Dit waren de fabeltjes. Hieronder leest u, hoe u uw draadloze veiligheid wel goed regelt.

ZO MOET HET WEL! DE 12 TIPS:

Bij het uitvoeren van onderstaande 12 tips, verandert u instellingen in het configuratiescherm van uw router. Het configuratiescherm van uw router kunt u oproepen via uw webbrowser, door in de adresbalk een bepaald "webadres" te tikken en daarna op Enter te drukken. Bij veel routertypes zit het configuratiescherm op "webpagina" 192.168.1.1 (maar soms ook onder een ander "webadres": kijk het na in de gebruiksaanwijzing van uw router).

Tip 1. Wijzig router-instellingen alleen via de draad

Als u instellingen verandert in de configuratie van uw router, doe dat dan altijd alleen via een tijdelijke bedrade verbinding (ethernetkabel). Een draadloze verbinding is hiervoor te onbetrouwbaar.

Indien de configuratie van de router dit toelaat: stel hem zo in, dat het configuratiescherm van de router alleen toegankelijk is via een bedrade verbinding. En dus niet via draadloos. Helaas biedt niet elke router deze mogelijkheid.

Tip 2. Gebruik de nieuwste firmware voor uw router

Kijk op de webstek van de routerfabrikant, of er een nieuwere versie beschikbaar is van de firmware van uw router (het eigen besturingssysteempje van de router, waar hij op draait). Zo ja, werk uw router dan bij: firmware-actualiseringen dichten veiligheidsgaten en verhelpen fouten.

Tip 3. Zend de SSID uit

De SSID (netwerknaam) moet altijd worden uitgezonden en dus niet worden verborgen. Ik heb het al eerder gezegd, maar dit kan ik niet vaak genoeg benadrukken.

Tip 4. Verander de SSID (netwerknaam)

Verander de SSID (netwerknaam) in een zelfbedachte naam, waaruit in elk geval niet het merk en/of type van de router blijkt. Let op: de naam mag geen spaties, accenten of trema's bevatten!
Dus niet: René's netwerk, maar wel: Renes-netwerk.

Tip 5. Kies minimaal WPA maar liefst WPA2

De beveiliging moet minimaal staan op WPA Personal. WPA2 Personal is nog beter, indien dit mogelijk is voor de router en voor de draadloze kaart in uw computer.

Elke redelijk moderne router biedt de mogelijkheid om de beveiliging op WPA te zetten. Kan uw router dat niet aan? Koop dan beslist een nieuwe.

Tip 6. Alleen AES

AES is de modernste en veiligste vorm van versleuteling bij WPA. De versleuteling dient daarom bij voorkeur te staan op "alleen AES".

Dus niet op het oudere en minder veilige TKIP. Ook niet op TKIP+AES, want in dat geval is de versleuteling nog steeds achterwaarts verenigbaar met TKIP.

Voor alle duidelijkheid: "alleen AES" is weliswaar het beste, maar TKIP is niet slecht. WPA met TKIP is nog steeds redelijk veilig.

Tip 7. Maak een eigen WPA-sleutel

Gebruik een eigen WPA-sleutel, dus niet de WPA-sleutel die de leverancier erop heeft gezet. Kies een sleutel die minimaal 10 tekens bevat. Vier willekeurige woorden, verbonden door liggende streepjes, vormen een prima sleutel. Let op: beter geen spaties gebruiken!

Tip 8. Zet de firewall aan in de router

Zet de firewall van de router aan. De configuratie van de router biedt normaal gesproken de mogelijkheid om een ingebouwde firewall aan zetten. Gebruik die mogelijkheid.

Let wel op de mogelijke effecten op sommige spellen, die via het internet verlopen: soms moet u daarvoor een poort openstellen.

Tip 9. Wijzig het beheerderswachtwoord van het configuratiescherm

Verander het beheerderswachtwoord van het configuratiescherm. Als u het configuratiescherm van de router oproept, moet u doorgaans een standaardwachtwoord intikken om toegang te krijgen tot de configuratie. Meestal is dat "admin" of zoiets. Verander dit wachtwoord in een woord van eigen keuze.

Tip 10. Wees voorzichtig met het gebruiken van onbeveiligde verbindingen

Wees extra voorzichtig met het gebruiken van onbeveiligde of gedeelde verbindingen van anderen (hotels, kampeerterreinen). Iedereen binnen het draadloze bereik van het onbeveiligde toegangspunt, kan 1. al uw draadloze verkeer zien, en 2. uw computer direct aanvallen.

De oplossing voor beide problemen is, om er vanuit te gaan dat  er al een aanvaller is en dat die volledige toegang heeft tot uw netwerkverkeer, alsook netwerktoegang tot uw computer. Verstuur niets in onversleutelde tekst: kies altijd voor https (indien mogelijk). Hou uw Linux bijgewerkt met actualiseringen, schakel de vuurmuur in met UFW (punt 1.2), controleer SSL-certificaten van websites.

Tip 11. Schakel Wi-Fi Protected Setup (WPS) uit in uw router

Moderne routers hebben meestal de functie Wi-Fi Protected Setup (WPS) aan boord. Dit is een hulpmiddel voor mensen die weinig verstand hebben van draadloze veiligheid, en staat doorgaans standaard aan. Daardoor kunt u eenvoudig apparaten draadloos verbinden met uw netwerk, zonder een lange WPA/WPA2-sleutel in te tikken.

Maar zoals te verwachten met een functie als deze (zucht...), is de pincode van WPS gemakkelijk te kraken door een "bruut geweld"-aanval (meestal binnen een uur). Daarmee krijgt de aanvaller-op-afstand toegang tot uw opgeslagen WPA/WPA2-sleutel, en dus onbeperkt toegang tot uw netwerk.

Hier is maar één oplossing voor: schakel WPS uit!
In het configuratiescherm van de meeste routers kunt u WPS eenvoudig uitschakelen. Heeft uw router die uitschakelmogelijkheid niet, vervang hem dan zo snel mogelijk door een router waarbij dat wel kan.

Hebt u WPS aangehad? Verander dan direct na het uitschakelen, uw WPA/WPA2-sleutel. Zonder dat u het weet, kan uw draadloze netwerk immers al gekraakt zijn....

Tip 12. Schakel Universal Plug and Play (UPnP) uit in uw router

Universal Plug and Play (UPnP) is een riskante functie die uw router blootstelt aan aanvallen. Het is dus beter om UPnP uit te schakelen in de instellingen van de router.

Tot slot: versterk of verzwak het draadloze signaal

Vervolgens kunt u nog eenvoudig het draadloze signaal binnenshuis versterken. Of juist verzwakken.

Nog meer tips?

4. Wilt u meer tips en trucs? U vindt er nog veel meer op deze webstek!

Zoals deze:

Maak uw Linux Mint sneller

Maak Linux Mint veilig schoon

Vermijd 10 fatale vergissingen


Op de inhoud van deze webstek is een Creative Commons-licentie van toepassing.

Algemeen voorbehoud en uitsluiting aansprakelijkheid

Terug naar de thuispagina