Een draadloos netwerk beveiligen, hoe doe ik dat?

Posted by by Matthijs
Inhoud

Sommige mensen laten beveiliging helemaal achterwege als ze een draadloos netwerk aanleggen. Het is ook erg gemakkelijk om de benodigde apparatuur te kopen, aan te sluiten, de schakelaar over te halen en vanaf dan de hele buurt te laten profiteren van je internetverbinding.

WEP, WPA, MAC adressen en encrypte, het zijn termen die weinig mensen direct begrijpen of willen begrijpen. Toch is het handig om eventjes de beveiliging aan te zetten. Je voorkomt ermee dat de buren (of vreemden) gebruik maken van je internetverbinding. In het meest positieve geval merk je daar weinig van. In het minst positieve geval haalt de buurman gigabytes aan troep binnen over jouw verbinding. 

Dit artikel helpt je een handje door uitleg te geven over draadloze beveiliging en door te laten zien hoe je een draadloos netwerk moet beveiligen.

Mijn Linksys WRT54G

Ik gebruik in dit artikel de Linksys WRT54G om het beveiligen van een draadloos netwerk te demonstretren. Dit artikel is echter ook nuttig voor mensen die een andere router gebruiken. Je zult op jouw router dezelfde beveiligingsopties aantreffen als op de Linksys in dit artikel. Hooguit heb je wat meer encryptievormen om uit te kiezen.

Lezers met een ander type router zullen misschien wel even moeten zoeken waar in de router ze de instellingen kunnen doen die in dit artikel voor de Linksys WRT54G beschreven staan. 

Draadloos is (relatief) kwetsbaar

De toegang tot een draadloos netwerk verloopt via een wireless access point (ook wel WAP of AP). Binnen het bereik van het wireless access point kan een apparaat dat voorzien is van een draadloze netwerkkaart toegang krijgen tot het draadloze netwerk.Voor een thuisgebruiker betekent dit dat de buren of voorbijgangers toegang kunnen krijgen tot het draadloze netwerk.

Er zijn mensen die actief rondrijden of op zoek naar onbeveiligde draadloze netwerken. Zulke mensen worden onder computer geeks ‘war drivers’ genoemd. Vaak gaat het om onschuldig internetgebruik, maar vooral organisaties die met gevoelige informatie werken moet ook oppassen voor mensen met minder nobele motieven.

Als thuisgebruiker moet je zelf bepalen of je een draadloos netwerk wil beveiligen en met welk beveiligingstype (later meer hierover). Laat je het netwerk volledig open, dan zullen omwonenden dit snel merken, omdat hun draadloze netwerkkaarten het signaal van jouw draadloze router of AP kunnen ontvangen en ze zullen zien dat het onbeveiligd is. Het is dan een kwestie van twee muisklikken voordat ze op jouw internetverbinding surfen.

Naast alleen surfen kan een ongewenste bezoeker ook toegang proberen te krijgen tot persoonlijke gegevens die door de lucht vliegen terwijl je aan het internetten bent. De kans dat er zo iemand voor je huis gaat staan (in plaats van in een druk bezocht internetcafe met onbeveiligd internet) is natuurlijk gering, maar de mogelijkheid bestaat en het is goed om te weten waar je aan toe bent.

Op de volgende pagina’s ga ik in op de meest voorkomende vormen van het beveiligen van een draadloos netwerk. Hiervoor doen we instellingen op de draadloze netwerkrouter (Linksys WRT54G) en op de netwerkcomputers.

Encryptie op een draadloos netwerk

Met encryptie kun je een draadloos netwerk beveiligen. Encryptie, ofwel versleuteling, zorgt ervoor dat informatie die over het netwerk vliegt beschermd is door een sleutel. Weet je de sleutel, dan mag je meepraten. Weet je hem niet, dan kom je er niet op. Goed, dat is een wel erg versimpelde weergave van de werkelijkheid, maar het idee mag duidelijk zijn: informatie kun je beschermen met een wachtwoord of sleutel.

Op een netwerk worden pakketjes die over het netwerk vliegen voorzien van zo’n sleutel (of eigenlijk: slot). De meeste routers zijn tegenwoordig standaard uitgerust met WEP en WPA encryptie. Beide varianten kennen subtypes die elk een verschillende mate van beveiliging geven.

WEP encryptie

WEP staat voor Wired Equivalent Privacy. WEP encryptie wordt vaak als te zwak gezien voor het beveiligen van een netwerk. Dat is niet onterecht. Een WEP sleutel is namelijk vrij gemakkelijk te kraken. Er zijn zelfs vrij downloadbare tools voor beschikbaar zoals WEPcrack, WEPdecrypt en Airsnort.

De techniek achter WEP encryptie

Een WEP sleutel wordt aangemaakt op basis van een gedeelde sleutel die op elke computer hetzelfde is én een ‘initilization vector’. De intitialization vector of IV is bij WEP vrij kort, namelijk 24 bits. Dit betekent dat het relatief kort duurt voordat twee datapakketjes versleuteld zijn met dezelfde IV. Hierdoor reizen er om de zoveel tijd (afhankelijk van de drukte op het netwerk) pakketjes over het netwerk die op elkaar lijken. Door deze pakketjes op te vangen wordt het voor een hacker mogelijk om een gemeenschappelijke eigenschap te ontdekken: de netwerksleutel. En zo kan hij/zij toegang krijgen tot het netwerk. Daar komt nog bij dat de headers van pakketjes niet versleuteld worden door WEP. Ze zijn dus zo ‘uit de lucht te plukken’ door elke computer binnen het bereik van het access point.

WPA encryptie

WPA lost onder andere het ‘zwakke headers’ probleem van WEP op. Het is daarom een sterkere evorm van encryptie dan WEP.

De techniek achter WPA encryptie

WPA maakt gebruik van ‘Autonomous Rekeying’ of vrij vertaald ‘zelfstandige herversleuteling’. Het Temporal Key Integrity Protocol (TKIP) van WPA verzint voor ieder pakketje een nieuwe unieke sleutel. In feite is TKIP de opvolger van WEP. Kort gezegd is de versleuteling van pakketjes bij WPA encryptie sterker en er wordt razendsnel automatisch van sleutel verwisseld. Dit maakt het moeilijk om van buitenaf de netwerksleutel te achterhalen. Een betere encryptievorm die je niet in elke router vindt, maar wel in de Linksys WRT54G, heet Advanced Encryption Standard (AES) of ‘Rijndael’. Deze standaard is in 2001 door de Amerikaanse overheid als standaard aangenomen voor het beveiligen van gevoelige overheidsinformatie. AES is voorlopig de sterkste vorm van beveiliging, maar de thuisgebruiker doet het meestal met WEP of WPA met TKIP.

WEP encryptie instellen

Bij WEP encryptie wordt een 64 bits of een 128 bits sleutel gebruikt. Het instellen van WEP kan nogal verwarrend zijn. Daarom eerst een paar weetjes:

  • 40 bits en 64 bits betekenen hetzelfde. WEP gebruikt een initialization vector (IV) van 24 bits. Dit is een stuk van de sleutel die niet door de gebruiker verzonnen wordt. De ene fabrikant zet 40 bits (64 – 24) in zijn router, de andere 64 bits. Hetzelfde geldt voor 128 bit en 104 bit.
  • Netwerkkaarten die 128 bits WEP encryptie ondersteunen kunnen samenwerken met netwerkkaarten die een 64 bits sleutel gebruiken, mits de 128 bits kaarten ook 64 bits encryptie ondersteunen.
  • WEP sleutels kunnen verschillende vormen hebben: ASCII of hexadecimaal.

WEP encryptie instellen op de router

In de WRT54G router van Linksys zie je bij Wireless > Wireless Security de verschillende beveiligingsmogelijkheden. Je kunt hier onder andere WEP encryptie instellen. WEP Je kunt in de Linksys router zelf een WEP sleutel genereren om je netwerk mee te beveiligen. Hieronder staat hoe. Het is echter eerst van belang dat je het SSID van het draadloze netwerk weet, omdat je dat zo nodig hebt om weer te verbinden na het instellen van WEP. Het SSID is de naam van het netwerk. Je vindt het in de Linksys WRT54G bij Wireless > Basic Wireless Settings. Schrijf het even op of onthoud het. In het geval van ons voorbeeld is het SSID “kazam”. Je kunt nu met WEP aan de slag.

  1. Je voert eerst een zinnetje naar keuze in, de passphrase. Dit zinnetje heeft verder geen betekenis, het wordt alleen gebruikt om een een sleutel mee te genereren. Klik op ‘generate’ en er verschijnen 4 sleutels. Je kunt kiezen tussen 64 bits en 128 bits WEP. Hoe groter de sleutel hoe veiliger, dus ik heb in het voorbeeld 128 bits gebruikt.
  2. Copy-paste de eerste sleutel voor het gemak even naar een tekstbestandje (even Notepad openen) of schrijf hem op, want je hebt hem zo weer nodig.
  3. Klik op ‘save settings’ om de instellingen te bewaren.

Note bene: de verbinding zal nu verbroken worden door de router. Je hebt immers niet de juiste netwerksleutel op je computer ingesteld, dus je krijgt geen verbinding met de router meer. Met andere woorden: het draadloos netwerk beveiligen is in elk geval gelukt. Nu nog zorgen dat je er zelf weer op komt.

WEP encryptie instellen op je computer of ander apparaat

Nu is het zaak om de computer of je telefoon of tablet zo in te stellen dat-ie gebruik maakt van WEP encryptie en de juiste netwerksleutel. We doen dat hier in Windows XP met service pack 2, maar de procedure is onafhankelijk van het apparaat of besturingssysteem dat je gebruikt. 

  1. Ga naar Start > Settings > Network Connections
  2. Dubbelklik op de draadloze verbinding (wireless network connection). Als het goed is zie je nu het menu met de beschikbare draadloze netwerken. In de afbeelding hieronder is ‘kazam’ het netwerk in kwestie.

    Overzicht
  3. Klik op ‘change advanced settings’ linksonder in het raampje. Je krijgt nu een raampje met de eigenschappen van de draadloze verbinding. Ga naar het tabblad ‘Wireless Networks’. De netwerkverbinding waarbij je nu WEP wil instellen kan voorzien zijn van een rood kruisje. Selecteer de juiste netwerkverbinding en kies ‘properties’ (eigenschappen).
  4. Je ziet nu het scherm waar je encryptie voor het netwerk kan instellen. Bij Windows XP met Service Pack 2 ziet het er zo uit Het juiste SSID staat als het goed is al ingevuld. Kies bij network authentication ‘Open’. Kies bij Data encryption ‘WEP’. In de twee lange velden kun je de netwerksleutel kwijt. Key index mag op 1 blijven staan. ‘The key is provided to me automatically’ moet uit staan en de onderste optie voor het opzetten van een ad-hoc verbinding moet ook uit staan.
  5. Als dit ingesteld is klik je op OK. Als het goed is kun je nu verbinden met de router en heb je een met WEP beveiligde verbinding.

Tip: soms wil het niet in een keer lukken om te verbinden. Ik kwam erachter dat het soms helpt om de verbinding even helemaal te verwijderen en daarna opnieuw aan te maken. Je kunt dit doen in het bovenstaand raampje bij stap 3.

Opmerking: je hoeft deze instellingen niet per sé via de ingebouwde software van Windows te doen. Elke draadloze netwerkkaart die ik ken wordt geleverd met eigen software voor het beheren van verbindingen. Of je dit via Windows doet of via andere software, zoals die van de fabrikant, is aan jou. De principes en instellingen zijn in beide gevallen gelijk.

WPA encryptie instellen

De procedure om je draadloos netwerk te beveiligen met WPA encryptie (Wi-Fi Protected Access) lijkt op die van WEP encryptie. Voordat we de instellingen doen eerst nog wat weetjes:

  • WPA-PSK staat voor WPA Pre-Shared Key. Dit is een mechanisme voor het overzenden van sleutels tussen computers voor thuisgebruikers. In een professionele omgeving wordt vaak met een speciale server gewerkt die dit proces afhandelt (RADIUS server).
  • Even herhalen: TKIP staat voor Temporal Key Integrity Protocol. TKIP is in feite het werkpaard achter WPA. TKIP zorgt voor de daadwerkelijke encryptie van de pakketjes die over het netwerk reizen.
  • In het voorbeeld hieronder staat dus WPA-PSK / TKIP beveiliging ingesteld. Dit is momenteel voor thuisgebruikers de beste manier om een draadloos netwerk te beveiligen, omdat het veilig is en omdat het goed ondersteund wordt door verschillende fabrikanten. AES, een nieuwere en sterkere encryptievorm wordt minder vaak ondersteund, maar wel in de Linksys WRT54G router

WPA encryptie instellen op de router

In de WRT54G router van Linksys je bij Wireless > Wireless Security de verschillende beveiligingsmogelijkheden. Je kunt hier onder andere WPA encryptie instellen.  Selecteer zoals in het voorbeeld WPA-Pre-Shared Key en TKIP als alghoritme. De WPA netwerksleutel mag (met de standaard firmware) tussen de 8 en 32 tekens lang zijn. Een langere sleutel is beter. En een sleutel die bestaat uit total onzin is veiliger dan een ‘normale’ en/of kortere zin. Zinnen in gewone mensentaal als sleutel zijn makkelijker te raden met behulp van een ‘woordenboekaanval’. In het voorbeeld zie je een goede sleutel: 32 tekens lang en bestaande uit totaal willekeurige onzin. Vergeet niet om even op ‘save settings’ te klikken als je de instellingen hebt gedaan.

Note bene: de verbinding zal nu verbroken worden door de router. Je hebt immers niet de juiste netwerksleutel op je computer ingesteld, dus je krijgt geen verbinding met de router meer. Met andere woorden: het draadloos netwerk beveiligen is in elk geval gelukt. Nu nog zorgen dat je er zelf weer op komt.

WPA encryptie instellen op de computer

Nu is het zaak om de computer zo in te stellen dat-ie gebruik maakt van WPA encryptie en de juiste netwerksleutel.

  1. Ga naar Start > Settings > Network Connections
  2. Dubbelklik op de draadloze verbinding (wireless network connection). Als het goed is zie je nu het menu met de beschikbare draadloze netwerken. In de afbeelding hieronder is ‘kazam’ het netwerk in kwestie. 
  3. Klik op ‘change advanced settings’ linksonder in het raampje. Je krijgt nu een raampje met de eigenschappen van de draadloze verbinding. Ga naar het tabblad ‘Wireless Networks’. De netwerkverbinding waarbij je nu WPA wil instellen kan voorzien zijn van een rood kruisje. Selecteer de juiste netwerkverbinding en kies ‘properties’ (eigenschappen).
  4. Je ziet nu het scherm waar je encryptie voor het netwerk kan instellen. Bij Windows XP met Service Pack 2 ziet het er zo uit: Het juiste SSID staat als het goed is al ingevuld. Kies bij network authentication ‘WPA-PSK’. Kies bij Data encryption ‘TKIP’. In de twee lange velden kun je de netwerksleutel kwijt.
  5. Als dit ingesteld is klik je op OK. Als het goed is kun je nu verbinden met de router en heb je een met WPA beveiligde verbinding.

MAC adressen filteren

MAC adressen filteren is een beveiligingsmethode die vaak in combinatie met encryptie gebruikt wordt. Een MAC adres (ook wel ‘hardware adres’ of ‘fysiek adres’ genoemd) is een ingebakken adres dat uniek is voor elk netwerkapparaat. Het MAC adres is een hexadecimale code van twaalf tekens, bijvoorbeeld 00-C0-26-A9-42-F7. Deze code kan gebruikt worden om toegang tot het netwerk toe te zeggen of juist te blokkeren. In feite is het erg gemakkelijk.

  1. Ga via je browser naar je router (type 192.168.1.1 in de adresbalk in geval van de WRT54G).
  2. Ga naar de pagina Wireless > Wireless MAC filter en zet Wireless MAC Filter op ‘enable’.
  3. Je kunt nu kiezen tussen Prevent en Permit only. Als je prevent kiest dan kun je in de Mac filter lijst MAC adressen invullen die géén toegang tot het netwerk mogen hebben. Je gaat er dan vanuit dat iedereen mag verbinden, behalve de MAC adressen die jij opgeeft. Kies je voor Permit only, dan worden alléén de MAC adressen die jij invult toegelaten op het netwerk. Zo kun je dus per computer toegang verlenen.
  4. Vul in de MAC filter lijst de MAC adressen in die je wilt blokkeren of juist toegang verlenen.

Hoe vind ik het MAC adres van mijn netwerkkaart(en)?

Ga in Windows naar Start > Run (uitvoeren) > type ‘cmd’ > type ‘ipconfig /all’ in de prompt. Het MAC adres staat in het lijstje achter ‘physical address’ of ‘fysiek adres’.

MAC adressen filteren is een beveiliging die vaak bovenop encryptie gebruikt wordt. Een combinatie van WPA TKIP met MAC adres filters is voor de thuisgebruiker een zéér degelijke beveiliging.

SSID broadcast

Als SSID broadcast aan staat dan zendt het access point om de paar seconden de netwerknaam (SSID) uit. Zo worden computers in de buurt snel op de hoogte gesteld van het netwerk. SSID broadcast is handig in een omgeving waar computers snel van netwerk moeten kunnen wisselen. In een thuisnetwerk is dit meestal overbodig.

Het is vanuit beveiligingsopzicht af te raden om SSID aan te zetten, want het SSID wordt onversleuteld uitgezonden. Het kan makkelijk opgepikt worden uit de lucht door een inbreker en die is daarmee weer een (klein) stapje dichterbij toegang tot het netwerk. In de Linksys WRT54G zet je SSID broadcast eenvoudig uit.

  • Log in op de router (type 192.168.1.1 in de adresbalk van de browser en type het wachtwoord in. Standaard wachtwoord: admin)
  • Ga naar Wireless > Basic Wireless Settings
  • Zet SSID broadcast op ‘disable’.

Router wachtwoord

De router zelf kun je ook beveiligen met een wachtwoord. Draadloze routers hebben vaak een standaard wachtwoord als ze van de fabriek komen. Meestal admin of iets anders voor de hand liggends. Een goed router wachtwoord instellen is een must als je je draadloos netwerkje wil beveiligen. Het is in de Linksys WRT54G zo simpel dat ik er niet eens een plaatje aan ga wijden.

  • Ga naar je router (open je browser, type 192.168.1.1 in de adresbalk) en log in met het standaard wachtwoord: admin. Je hoeft geen gebruikersnaam in te vullen.
  • Ga naar de pagina Administration en vul daar een goed wachtwoord in. Het mag maximaal 32 tekens zijn en geen spaties bevatten. Hoe meer tekens je gebruikt, hoe moeilijker het wachtwoord te kraken is.

Conclusie

Als je de instellingen uit dit artikel hebt gebruikt om je eigen draadloos netwerk te beveiligen dan kun je er van opaan dat het gros van de inbrekers 100 meter verder rijdt naar het volgende access point dat waarschijnlijk minder goed beveiligd is. De combinatie van WPA encryptie, MSC filtering, SSID broadcast uitzetten en een sterk router wachtwoord is zeker voor de thuisgebruiker een gedegen arsenaal aan beveiligingsmaatregelen. De professional pleegt te zeggen dat een netwerk nooit veilig is, of dat je daar op zijn minst nooit vanuit mag gaan, maar als thuisgebruiker ben je met deze maatregelen goed beschermd.