Draadloos netwerk beveiligen in 30 minuten

Draadloze netwerken zijn in. Je koopt een zogenaamd Access Point, prikt de netwerkkabel erin, en meteen hebben jij en je medewerkers toegang tot het bedrijfsnetwerk.

Maar je buurman ook, net als die hacker in zijn auto op de parkeerplaats. Neem een half uurtje de tijd en beveilig je draadloze netwerk.

• Draadloos netwerk
• Wardriving
• Meningen over beveiliging
• Plaatsing van het toegangspunt
• SSID
• DHCP
• Wachtwoord
• WEP
• WPA
• MAC-adressen

Draadloos netwerk

Tegenwoordig beseft elke ondernemer wel het belang van een goed en veilig netwerk. Er wordt geïnvesteerd in een betrouwbare server, router en firewall en er wordt antivirussoftware geïnstalleerd. Maar dan wordt er een draadloos netwerk geïnstalleerd. Tegelijkertijd wordt daarmee in veel gevallen de hele netwerk- en pc-beveiliging bij het grof vuil gezet. Figuurlijk gesproken dan.

Want wat is het geval: vrijwel alle fabrikanten van draadloze apparatuur maken deze apparatuur zo gemakkelijk mogelijk om te gebruiken. Het netwerk is dan ook gemakkelijk te vinden en in gebruik te nemen, echter, niet alleen door jou en je medewerkers maar ook door ieder ander! Dus ook door kwaadwillenden. Het beveiligen van je draadloze netwerk is een must. In dit artikel lees je hoe dit in zijn werk gaat.

Hoe je een draadloos netwerk installeert kun je in een ander artikel op Microsoft voor Ondernemers lezen. Dit artikel gaat ervan uit dat je reeds een werkend, maar nog onbeveiligd draadloos netwerk hebt. Overigens is dat bij talloze bedrijven en instellingen het geval, alsook bij privé-gebruikers.

Een draadloos netwerk installeren

Wanneer een draadloos netwerk wordt aangeschaft gebeurt het volgende: de draadloze router wordt op het netwerk aangesloten en jij en je medewerkers proberen met jullie laptopcomputers met WiFi-ondersteuning of draadloos netwerkkaartje toegang te krijgen. De draadloze router wordt al snel 'gezien' door de computers en de toegang is gelegd.

Dat de router een standaard naam heeft, zoals 'linksys' of 'belkin', maakt op dat moment niet uit. Beveiliging wordt als lastig ervaren, want dan kan men niet meer gemakkelijk toegang verkrijgen tot het netwerk. Zonder beveiliging werkt alles feilloos en dus is iedereen tevreden.

top

Wardriving

Wardriving is het rondrijden in een auto met de bedoeling om draadloze netwerken te ontdekken. Dat gaat heel gemakkelijk. De meeste draadloze netwerken maken zichzelf bekend door hun naam continu te versturen. Deze naam wordt het SSID genoemd. Als de naam bekend is wordt het voor een 'wardriver' of een hacker gemakkelijk gebruik te maken van de verbinding.

Een groep wardrivers uit Nederland en België heeft een blauwdruk gemaakt van de draadloze WiFi-infrastructuur in Nederland. Deze kaart is te vinden op Wardrivemap. Op het moment van schrijven zijn op deze site zo'n 140.000 (!) draadloze toegangspunten in kaart gebracht. Een deel hiervan is beveiligd, een ander deel niet. Wardrivers zijn niet per se gevaarlijk, maar zij tonen wel aan dat draadloze netwerken niet moeilijk te vinden zijn. Dus ook die van jou.

Naast wardriving is er nog de buurman. Wanneer je draadloze netwerk een goed signaal uitzendt is dit één of meer panden verderop nog gemakkelijk te ontvangen. Je 'buurman' kan dus gemakkelijk meesurfen via je internetverbinding. Met wat meer moeite wordt het voor hem mogelijk spam te versturen of speelfilms te downloaden via je verbinding.

top

Meningen over beveiliging

De beveiliging van een draadloos netwerk is noodzakelijk om te voorkomen dat iedereen met een draadloze netwerkkaart van je internetverbinding gebruik kan maken of op je systemen kan komen. Op het internet zijn diverse artikelen te vinden met tips over het beveiligen van draadloze netwerken. Met het opvolgen van één of enkele van deze tips ben je er nog niet. Zo is het verbergen van het SSID (de naam van het toegangspunt) of het uitschakelen van DHCP (de netwerkadressen) volgens sommige bronnen nuttig, maar een beetje hacker lacht erom en weet je netwerk bijna net zo snel te kraken.

Een goede beveiliging van draadloze verbindingen bestaat uit een serie stappen, teneinde het inbreken op je netwerk sterk te vertragen. De enige echt veilige oplossing is de versleutelingsmethode WPA. Hieronder volgt een opsomming van alle bekende beveiligingsmethodieken.

top

Plaatsing van het toegangspunt

Het toegangspunt van een draadloos netwerk is meestal een draadloze router. Dit is een kastje met netwerkaansluitingen en één of twee antennes. Via de antennes wordt een radiosignaal uitgezonden dat door een draadloze netwerkkaart of laptop met WiFi-ondersteuning kan worden opgevangen.

Sommige specialisten menen dat het goed plaatsen van het toegangspunt de kans op inbraken verkleint. Immers, als iemand het signaal niet kan opvangen valt er ook niets te hacken. Door het toegangspunt, de draadloze router, centraal in het pand aan te brengen wordt het signaal goed verdeeld en 'lekt' er zo weinig mogelijk naar buiten. Echter, een radiosignaal gaat dwars door muren en ramen heen en is daardoor niet goed te beperken. Als beveiligingsmaatregel is dit zeker wel een oplossing, maar niet afdoende.

top

SSID

De afkorting SSID staat voor Service Set Identifier (SSID). Het is een naam waarmee een draadloos toegangspunt zichzelf bekend maakt. Zo gebruikt routerfabrikant Belkin de standaardnaam "Belkin54g" voor veel van haar apparaten. Deze naam verschijnt bijvoorbeeld wanneer iemand zijn laptop aanzet en op zoek gaat naar een draadloos netwerk. Het wijzigen van de SSID is belangrijk wanneer je duidelijk wilt maken welk netwerk gevonden wordt. Je kunt de naam van je organisatie gebruiken.

Aan de andere kant kan iedereen in je directe omgeving je draadloze netwerk op deze manier herkennen. Door de SSID-identificatie uit te schakelen wordt je toegangspunt onzichtbaar voor iedereen. Alleen wie de naam kent kan toegang krijgen. Routers en access points (toegangspunten) worden geconfigureerd via een webinterface.

1. Start Internet Explorer.
2. Typ in de adresbalk het IP-adres van het apparaat.
3. Je ziet een webpagina met instellingsopties voor je apparaat. Zoek de optie om SSID uit te schakelen (disable). Hoe dit precies gaat is niet aan te geven omdat elke fabrikant hiervoor andere schermen en interfaces hanteert.
4. Gebruik een knop als Save Settings of Apply Changes om je wijzigingen op te slaan.

Voor bestaande gebruikers, die al verbinding hadden met het draadloze netwerk, verandert er niets. Nieuwe medewerkers daarentegen zullen je draadloze netwerk nu niet meer kunnen vinden. Dit los je als volgt op:

1. Start de laptop van de medewerker, open het configuratiescherm en klik op de icoon van de draadloze netwerkverbinding.
2. Ga naar de Eigenschappen en klik daar op de knop Configureren om de Netwerknaam (SSID) handmatig in te stellen. Het kan ook zijn dat er een wizard wordt gestart.

top

DHCP

DHCP is een systeem dat automatisch netwerkadressen (IP-adressen) uitdeelt. Daardoor heeft iedereen in het netwerk een eigen IP-adres en treden er geen conflicten op. De DHCP-taak kan worden uitgevoerd door de netwerkserver of door een (draadloze) router. Bij de meeste routers staat deze DHCP-functie standaard aan. Alle gebruikers, ook onbekende voorbijgangers, krijgen een eigen IP-adres met een bijbehorend subnetmasker.

Als een persoon van buiten je organisatie het IP-adres en het subnetmasker moet zien te raden of achterhalen, wordt het verkrijgen van toegang een stuk lastiger. Dat is de gedachte achter het advies DHCP uit te schakelen. Je doet dit via de webinterface in de instellingen van je router. Anders gezegd: via Internet Explorer open je het IP-adres van de router om de webpagina van het apparaat te zien te krijgen en daar de instellingen te veranderen.

Het nadeel van deze werkwijze is dat alle computers die toegang moeten hebben tot je netwerk op deze manier handmatig geconfigureerd moeten worden: alle computers in het bedrijf en ook die van anderen die je netwerktoegang wilt verlenen moeten worden voorzien van een uniek IP-adres en een identiek subnetmasker. Niet alleen is dit een omslachtige manier van beveiliging, sommige experts zien bovendien het nut niet in van deze in hun ogen toch vrij simpele beveiliging.

top

Wachtwoord

Je netwerkserver en je e-mailsysteem zijn (als het goed is) beveiligd met een wachtwoord. Des te merkwaardiger is het dat de meeste routers wagenwijd open staan voor onbevoegden. Om de toegang tot een router gemakkelijk te maken is namelijk doorgaans geen wachtwoord vereist. Met de gebruikersnaam Admin en een leeg wachtwoord komt een hacker je router binnen en kan hij belangrijke instellingen wijzigen. Een absoluut ongewenste zaak. Beveilig je router daarom met een wachtwoord dat niet gemakkelijk te raden is. Dat is dus in ieder geval niet de naam van je bedrijf!

1. Start Internet Explorer.
2. Typ in de adresbalk het IP-adres van het apparaat.
3. Zoek naar het menu waarin je het beheerderswachtwoord (Administrator Password) kunt wijzigen.
4. Voer bij het oude wachtwoord niets in en vul het nieuwe wachtwoord tweemaal in.
5. Sla de instelling op. Hierna is je router aanzienlijk beter beveiligd.

top

WEP

Wired Equivalent Privacy (WEP) is een industriestandaard voor het beveiligen van draadloze netwerken. Het is een encryptie-algoritme dat onderdeel uitmaakt van de 802.11 standaard voor draadloos netwerkverkeer. Om die reden wordt WEP door bijna alle draadloze apparatuur ondersteund. Er zijn diverse gradaties van WEP-encryptie, te weten 64 en 128 bits. Het hogere getal is lastiger te kraken en dus veiliger. Je zet WEP aan op de draadloze router of het toegangspunt, en ook op de computer die je gebruikt voor draadloze toegang.

1. Start Internet Explorer.
2. Vul in de adresbalk het IP-adres van het apparaat in.
3. De interface laat waarschijnlijk een menu zien met de naam Security.
4. Selecteer hier 128-bit WEP.
5. De router genereert nu een reeks van 26 tekens in 13 paren. De tekens zijn hexadecimale codes. Noteer alle tekens en bevestig dat je WEP wilt inschakelen.
6. De verbinding tussen bijvoorbeeld een laptop en het draadloze netwerk is nu weggevallen.
7. Klik op de icoon van de draadloze netwerkverbinding en ga naar de Eigenschappen.
8. Klik dan op de knop Configureren en schakel Gegevenscodering (WEP-compatibel) in.
9. Vink het vakje De sleutel wordt mij automatisch aangeleverd uit en voer de netwerksleutel van 26 tekens in.
10. Stel voor 128-bit WEP de Sleutellengte in op 104 bits.
11. Klik tweemaal op OK en log eventueel de computer uit en weer in.

Je hebt nu wel toegang tot het draadloze netwerk, maar nieuwsgierige voorbijgangers komen er niet meer in. Tenminste: als slimmeriken geen fouten in het protocol hadden ontdekt. Helaas is dat wel gebeurd, en inmiddels is WEP met op het internet te vinden hulpprogramma's in een paar minuten gekraakt. Toch blijft WEP afdoende veilig voor normaal gebruik.

top

WPA

WPA staat voor Wireless Protected Access. Ook dit systeem is gebaseerd op een encryptiesleutel. Alleen diegenen die de 'sleutel' kennen krijgen toegang tot het draadloze netwerk. In feite wordt een aantal verschillende sleutels gebruikt die snel achter elkaar wisselen. Je gebruikt óf WEP, óf WPA. WPA wordt als veel veiliger dan WEP beschouwd. Niet elk systeem is echter met WPA te beveiligen. De router of het toegangspunt, de draadloze netwerkkaart, en het besturingssysteem moeten het ondersteunen. Dit laatste is geen probleem als je Windows XP met Service Pack 2 gebruikt. Uit oogpunt van computerbeveiliging is dat laatste sowieso sterk aan te raden. De WPA-norm kent twee werkingsstanden:

• WPA-PSK (Pre-Shared Key)
• WPA 'enterprise'

De eerste stand wordt gebruikt in huishoudens en kleinere organisaties. Je zult in deze stand zelf een wachtwoord, de pre-shared key, invoeren. WPA Enterprise voor grote ondernemingen vereist communicatie met een RADIUS-verificatieserver, maar zo ver gaat dit artikel niet. Net als WEP wordt ook WPA geconfigureerd via de webinterface van je router of toegangspunt:

1. Start Internet Explorer.
2. Vul in de adresbalk het IP-adres van het apparaat in.
3. In de interface vind je waarschijnlijk een menu met de naam Security.
4. Selecteer de optie WPA-PSK of WPA ZO ondernemen. Column Jort Kelder, van 0 naar 500.
5. Als versleutelingsalgoritme kies je TKIP.
6. Vul een wachtwoord in van minimaal 8 en maximaal 63 tekens.
7. Bevestig je invoer.
8. Klik op je laptop op de icoon van de draadloze netwerkverbinding en ga naar Eigenschappen.
9. Ga naar het tabblad Draadloze netwerken, selecteer je netwerk en kies Eigenschappen.
10. Stel de Netwerkverificatie in op WPA-PSK.
11. Voer bij Gegevenscodering de keuze TKIP in.
12. Geef de netwerksleutel op.
13. Klik op OK tot alle vensters gesloten zijn.

top

MAC-adressen

Het MAC-adres van je netwerkadapter is een uniek nummer dat in principe niet te veranderen is. Dit in tegenstelling tot een IP-adres dat je eenvoudig zelf kunt wijzigen. Een router kan binnenkomend verkeer onderzoeken op het MAC-adres. Je geeft vooraf in een lijstje aan welke MAC-adressen wel of juist geen toegang mogen krijgen. Sommige routers, zoals Belkin, laten alle in het netwerk gebruikte MAC-adressen in het configuratiescherm zien. Als je router dat niet kan moet je de afzonderlijke pc's af en de adressen noteren.

1. Kies Start >> Alle programma's >> Bureau-accessoires >> Opdrachtprompt.
2. Typ in dit venster ipconfig /all.
3. Kijk nu bij Fysiek adres en noteer de code (inclusief streepjes) die hier staat.
4. Herhaal deze stappen op alle pc's in het netwerk.
5. Open nu via Internet Explorer het configuratiescherm van je router.
6. Open de lijst van toegestane MAC-adressen en noteer hier de eerder verkregen adressen.
7. Bevestig je invoer.

top

Tot slot

De componenten van een draadloos netwerk zijn standaard niet beveiligd. Dit lijkt op het openlaten van de deuren van een nieuw opgeleverd pand. Laat je niet afschrikken door de techniek en pas enkele of alle bovenstaande beveiligingsmethoden toe. Heb je geen tijd of ben je onvoldoende technisch aangelegd? Huur dan een specialist in, maar zorg er in ieder geval voor dat jouw draadloze netwerk wordt beveiligd! Doe je dat niet, dan is dat net zoiets als 's avonds naar huis gaan zonder het bedrijfspand af te sluiten.

top

Verklarende woordenlijst

top