Terug naar de thuispagina  Beveilig uw draadloze netwerk Een draadloos netwerk is uiteraard altijd minder veilig dan een bedraad netwerk. Toch kunt u de veiligheid van uw draadloze netwerk naar een goed niveau tillen. Over het beveiligen van een draadloos netwerk, doet een aantal fabels de ronde. De belangrijkste vier wil ik eerst even uit de weg ruimen. ZO MOET HET BESLIST NIET! DE VIER FABELTJES: Fabel 1: de SSID (netwerknaam) uitschakelen (niet uitzenden) Dit is slecht, omdat... het juist gevaarlijk is om de netwerknaam niet uit te zenden! Dat klinkt onlogisch, maar ik zal het hieronder uitleggen. Om te beginnen is het sowieso onmogelijk om het uitzenden van het SSID (SSID broadcasting) in zijn geheel te blokkeren. Er zijn namelijk maar liefst vier andere manieren waarop de router een "uitgeschakelde" SSID nog steeds blootgeeft. Bij veel gegevenspakketten die de router verzendt, zendt hij namelijk de SSID ook mee. Niet versleuteld. Open en bloot te ontvangen door iedereen die in de buurt is. Die SSID stuurt de router dus ook nog steeds gewoon mee, als u "SSID broadcasting" uit hebt staan! Met gangbare netwerkscanners, zoals bijvoorbeeld Kismet, duurt het slechts enkele seconden totdat een hacker een "verborgen" SSID alsnog in beeld heeft. Uitschakelen van het uitzenden van de SSID schept zelfs een extra risico(!): als het uitzenden van het SSID is uitgeschakeld in de router van het netwerk, moeten de gebruikerscomputers namelijk continu hun aanwezigheid prijsgeven. Waardoor ze het SSID overal verspreiden, waar ze ook zijn. Uw laptops zullen dus overal waar u ze aanzet, gaan schreeuwen:"hé, is er hier een netwerk met de naam XYZ?", en dat met korte tussenpozen... Daardoor zijn ze een eenvoudig doelwit. Een aanvaller kan immers een toegangspunt opzetten met de SSID van uw netwerk, zodat uw computer automatisch daarmee verbindt, zonder om bevestiging te vragen. De aanvaller kan dan al het netwerkverkeer afkijken. Of misschien zelfs uw computer binnendringen. Fabel 2: MAC-adresfilter gebruiken Zinloos, want een aanvaller kan eenvoudig zien welke MAC-adressen toegang krijgen. Vervolgens kan hij zijn MAC-adres vervalsen (spoofen) en krijgt hij alsnog toegang. Met een MAC-adresfilter maakt u het alleen lastig voor uzelf, wanneer u met een andere computer het net op wil, of wanneer er iemand bij u thuis op bezoek is, die met zijn eigen flaptop even het internet op wil. Fabel 3: DHCP uitschakelen Dit is pure tijdverspilling. Dit houdt een aanvaller hooguit 10 seconden tegen. DHCP deelt automatisch IP-adressen uit. Dit uitschakelen is nutteloos. Een aanvaller heeft vrijwel direct het IP-schema van het netwerk doorgrond en zichzelf alsnog een IP-adres toebedeeld. Fabel 4: WEP-beveiliging gebruiken Dit is een zeer zwakke beveiliging, die een aanvaller binnen de minuut kan kraken. Het is beter dan helemaal geen beveiliging, maar daar is dan ook alles mee gezegd. (wordt vervolgd in de rechterkolom) | Deze website wordt gesponsord door Google-advertenties. Gebruikt u een advertentieblokkeerder? Als u wilt, kunt u die even uitschakelen op deze website. Bij voorbaat dank..... ZO MOET HET WEL! DE TIEN TIPS: Het configuratiescherm van uw router kunt u oproepen via uw webbrowser, door in de adresbalk een bepaald pagina-adres te tikken en daarna op Enter te drukken. Bij veel routertypes zit het configuratiescherm op "webpagina" 192.168.1.1 (maar soms ook onder een ander pagina-adres: kijk het na in de gebruiksaanwijzing van uw router). Tip 1. Als u instellingen verandert in de configuratie van uw router, doe dat dan altijd alleen via een tijdelijke bedrade verbinding. Een draadloze verbinding is hiervoor te onbetrouwbaar. Tip 2. Indien de configuratie van de router dit toelaat: stel hem zo in, dat het configuratiescherm van de router alleen toegankelijk is via een bedrade verbinding. En dus niet via draadloos. Helaas heeft niet elke router deze mogelijkheid. Tip 3. De SSID (netwerknaam) moet worden uitgezonden. Tip 4. Verander de SSID (netwerknaam) in een zelfbedachte naam, waaruit in elk geval niet het merk en/of type van de router blijkt. Let op: de naam mag geen spaties, accenten of trema's bevatten! Dus niet: Japie's netwerk, maar wel: JapiesNetwerk. Tip 5. De beveiliging moet minimaal staan op WPA Personal. WPA2 Personal is nog beter, indien dit mogelijk is voor de router en voor de draadloze kaart in uw computer. Elke redelijk moderne router biedt de mogelijkheid om de beveiliging op WPA te zetten. Kan uw router dat niet aan? Koop dan beslist een nieuwe. Tip 6. AES is de modernste en veiligste vorm van versleuteling. De versleuteling dient daarom bij voorkeur te staan op "alleen AES". Dus niet op het oudere en minder veilige TKIP. Ook niet op TKIP+AES, want in dat geval is de versleuteling achterwaarts verenigbaar met TKIP. Voor alle duidelijkheid: "alleen AES" is weliswaar het beste, maar TKIP is niet slecht. WPA met TKIP is nog steeds redelijk veilig. Tip 7. Gebruik een eigen WPA-sleutel, dus niet de WPA-sleutel die de leverancier erop heeft gezet. Kies een sleutel die minimaal 10 tekens bevat, waaronder hoofdletters, cijfers en bijzondere tekens. Let op: geen spaties gebruiken! Tip 8. Zet de firewall van de router aan. De configuratie van de router biedt normaal gesproken de mogelijkheid om een ingebouwde firewall aan zetten. Gebruik die mogelijkheid. Let wel op de mogelijke effecten op sommige spellen, die via het internet verlopen: soms moet u daarvoor een poort openstellen. Tip 9. Verander het beheerderswachtwoord van het configuratiescherm. Als u het configuratiescherm van de router oproept, moet u doorgaans een standaardwachtwoord intikken om toegang te krijgen tot de configuratie. Verander dit wachtwoord in een woord van eigen keuze. Tip 10. Wees extra voorzichtig met het gebruiken van onbeveiligde of gedeelde verbindingen van anderen (hotels, kampeerterreinen). Iedereen binnen het draadloze bereik van het onbeveiligde toegangspunt, kan 1. al uw draadloze verkeer zien, en 2. uw computer direct aanvallen. De oplossing voor beide problemen is, om er vanuit te gaan dat er een aanvaller is en dat die volledige toegang heeft tot uw netwerkverkeer, alsook netwerktoegang tot uw computer. Verstuur niets in onversleutelde tekst. Hou Ubuntu bijgewerkt met updates, schakel de vuurmuur in met UFW (punt 1 b), controleer SSL-certificaten. Tot slot: versterk het draadloze signaal Vervolgens kunt u nog eenvoudig het draadloze signaal binnenshuis versterken: maak zelf een simpele antenneversterker. |
Dit is Tux, de officiële mascotte van Linux |
Draadloze veiligheid: vier fabeltjes en tien feiten |