Klik hier om Silverlight te installeren*
Nederland|Sitemap
Microsoft
Techniek 
|Contact

Draadloos netwerk beveiligen in 30 minuten

Draadloze netwerken zijn in. U koopt een zogenaamd Access Point, prikt de netwerkkabel erin, en meteen hebben u en uw medewerkers toegang tot het bedrijfsnetwerk.
 
Maar uw buurman ook, net als die hacker in zijn auto op de parkeerplaats. Neem een half uurtje de tijd en beveilig uw draadloze netwerk.
Draadloos netwerk
Wardriving
Meningen over beveiliging
Plaatsing van het toegangspunt
SSID
DHCP
Wachtwoord
WEP
WPA
MAC-adressen

Draadloos netwerk

Tegenwoordig beseft elke ondernemer wel het belang van een goed en veilig netwerk. Er wordt geïnvesteerd in een betrouwbare server, router en firewall en er wordt antivirussoftware geïnstalleerd. Maar dan wordt er een draadloos netwerk geïnstalleerd. Tegelijkertijd wordt daarmee in veel gevallen de hele netwerk- en pc-beveiliging bij het grof vuil gezet. Figuurlijk gesproken dan.
 
Want wat is het geval: vrijwel alle fabrikanten van draadloze apparatuur maken deze apparatuur zo gemakkelijk mogelijk om te gebruiken. Het netwerk is dan ook gemakkelijk te vinden en in gebruik te nemen, echter, niet alleen door u en uw medewerkers maar ook door ieder ander! Dus ook door kwaadwillenden. Het beveiligen van uw draadloze netwerk is een must. In dit artikel leest u hoe dit in zijn werk gaat.
 
Hoe u een draadloos netwerk installeert kunt u in een ander artikel op Microsoft voor Ondernemers lezen. Dit artikel gaat ervan uit dat u reeds een werkend, maar nog onbeveiligd draadloos netwerk heeft. Overigens is dat bij talloze bedrijven en instellingen het geval, alsook bij privé-gebruikers.
 
 
Wanneer een draadloos netwerk wordt aangeschaft gebeurt het volgende: de draadloze router wordt op het netwerk aangesloten en u en uw medewerkers proberen met uw laptopcomputers met WiFi-ondersteuning of draadloos netwerkkaartje toegang te krijgen. De draadloze router wordt al snel 'gezien' door de computers en de toegang is gelegd.
 
Dat de router een standaard naam heeft, zoals 'linksys' of 'belkin', maakt op dat moment niet uit. Beveiliging wordt als lastig ervaren, want dan kan men niet meer gemakkelijk toegang verkrijgen tot het netwerk. Zonder beveiliging werkt alles feilloos en dus is iedereen tevreden.
 

Wardriving

Wardriving is het rondrijden in een auto met de bedoeling om draadloze netwerken te ontdekken. Dat gaat heel gemakkelijk. De meeste draadloze netwerken maken zichzelf bekend door hun naam continu te versturen. Deze naam wordt het SSID genoemd. Als de naam bekend is wordt het voor een 'wardriver' of een hacker gemakkelijk gebruik te maken van de verbinding.
 
Een groep wardrivers uit Nederland en België heeft een blauwdruk gemaakt van de draadloze WiFi-infrastructuur in Nederland. Deze kaart is te vinden op Wardrivemap. Op het moment van schrijven zijn op deze site zo'n 140.000 (!) draadloze toegangspunten in kaart gebracht. Een deel hiervan is beveiligd, een ander deel niet. Wardrivers zijn niet per se gevaarlijk, maar zij tonen wel aan dat draadloze netwerken niet moeilijk te vinden zijn. Dus ook het uwe.
 
Naast wardriving is er nog de buurman. Wanneer uw draadloze netwerk een goed signaal uitzendt is dit één of meer panden verderop nog gemakkelijk te ontvangen. Uw 'buurman' kan dus gemakkelijk meesurfen via uw internetverbinding. Met wat meer moeite wordt het voor hem mogelijk spam te versturen of speelfilms te downloaden via uw verbinding.
 
Schermafbeelding: www.wardrivemap.nl
 

Meningen over beveiliging

De beveiliging van een draadloos netwerk is noodzakelijk om te voorkomen dat iedereen met een draadloze netwerkkaart van uw internetverbinding gebruik kan maken of op uw systemen kan komen. Op het internet zijn diverse artikelen te vinden met tips over het beveiligen van draadloze netwerken. Met het opvolgen van één of enkele van deze tips bent u er nog niet. Zo is het verbergen van het SSID (de naam van het toegangspunt) of het uitschakelen van DHCP (de netwerkadressen) volgens sommige bronnen nuttig, maar een beetje hacker lacht erom en weet uw netwerk bijna net zo snel te kraken.
 
Een goede beveiliging van draadloze verbindingen bestaat uit een serie stappen, teneinde het inbreken op uw netwerk sterk te vertragen. De enige echt veilige oplossing is de versleutelingsmethode WPA. Hieronder volgt een opsomming van alle bekende beveiligingsmethodieken.
 

Plaatsing van het toegangspunt

Draadloze router
Het toegangspunt van een draadloos netwerk is meestal een draadloze router. Dit is een kastje met netwerkaansluitingen en één of twee antennes. Via de antennes wordt een radiosignaal uitgezonden dat door een draadloze netwerkkaart of laptop met WiFi-ondersteuning kan worden opgevangen.
 
Sommige specialisten menen dat het goed plaatsen van het toegangspunt de kans op inbraken verkleint. Immers, als iemand het signaal niet kan opvangen valt er ook niets te hacken. Door het toegangspunt, de draadloze router, centraal in het pand aan te brengen wordt het signaal goed verdeeld en 'lekt' er zo weinig mogelijk naar buiten. Echter, een radiosignaal gaat dwars door muren en ramen heen en is daardoor niet goed te beperken. Als beveiligingsmaatregel
is dit zeker wel een oplossing, maar niet afdoende.
 

SSID

De afkorting SSID staat voor Service Set Identifier (SSID). Het is een naam waarmee een draadloos toegangspunt zichzelf bekend maakt. Zo gebruikt routerfabrikant Belkin de standaardnaam "Belkin54g" voor veel van haar apparaten. Deze naam verschijnt bijvoorbeeld wanneer iemand zijn laptop aanzet en op zoek gaat naar een draadloos netwerk. Het wijzigen van de SSID is belangrijk wanneer u duidelijk wilt maken welk netwerk gevonden wordt. U kunt de naam van uw organisatie gebruiken.
 
Aan de andere kant kan iedereen in uw directe omgeving uw draadloze netwerk op deze manier herkennen. Door de SSID-identificatie uit te schakelen wordt uw toegangspunt onzichtbaar voor iedereen. Alleen wie de naam kent kan toegang krijgen. Routers en access points (toegangspunten) worden geconfigureerd via een webinterface.
 
  1. Schermafbeelding: Netwerknaam (SSID) opgevenStart Internet Explorer.
  2. Typ in de adresbalk het IP-adres van het apparaat.
  3. U ziet een webpagina met instellingsopties voor uw apparaat. Zoek de optie om SSID uit te schakelen (disable). Hoe dit precies gaat is niet aan te geven omdat elke fabrikant hiervoor andere schermen en interfaces hanteert.
  4. Gebruik een knop als Save Settings of Apply Changes om uw wijzigingen op te slaan.
 
Voor bestaande gebruikers, die al verbinding hadden met het draadloze netwerk, verandert er niets. Nieuwe medewerkers daarentegen zullen uw draadloze netwerk nu niet meer kunnen vinden. Dit lost u als volgt op:
 
  1. Start de laptop van de medewerker, open het configuratiescherm en klik op de icoon van de draadloze netwerkverbinding.
  2. Ga naar de Eigenschappen en klik daar op de knop Configureren om de Netwerknaam (SSID) handmatig in te stellen. Het kan ook zijn dat er een wizard wordt gestart.
 

DHCP

DHCP is een systeem dat automatisch netwerkadressen (IP-adressen) uitdeelt. Daardoor heeft iedereen in het netwerk een eigen IP-adres en treden er geen conflicten op. De DHCP-taak kan worden uitgevoerd door de netwerkserver of door een (draadloze) router. Bij de meeste routers staat deze DHCP-functie standaard aan. Alle gebruikers, ook onbekende voorbijgangers, krijgen een eigen IP-adres met een bijbehorend subnetmasker.
 
Als een persoon van buiten uw organisatie het IP-adres en het subnetmasker moet zien te raden of achterhalen, wordt het verkrijgen van toegang een stuk lastiger. Dat is de gedachte achter het advies DHCP uit te schakelen. U doet dit via de webinterface in de instellingen van uw router. Anders gezegd: via Internet Explorer opent u het IP-adres van de router om de webpagina van het apparaat te zien te krijgen en daar de instellingen te veranderen.
 
Schermafbeelding: IP-adres
Het nadeel van deze werkwijze is dat alle computers die toegang moeten hebben tot uw netwerk op deze manier handmatig geconfigureerd moeten worden: alle computers in het bedrijf en ook die van anderen die u netwerktoegang wilt verlenen moeten worden voorzien van een uniek IP-adres en een identiek subnetmasker. Niet alleen is dit een omslachtige manier van beveiliging, sommige experts zien bovendien het nut niet in van deze in hun ogen toch vrij simpele beveiliging.
 

Wachtwoord

Uw netwerkserver en uw e-mailsysteem zijn (als het goed is) beveiligd met een wachtwoord. Des te merkwaardiger is het dat de meeste routers wagenwijd open staan voor onbevoegden. Om de toegang tot een router gemakkelijk te maken is namelijk doorgaans geen wachtwoord vereist. Met de gebruikersnaam Admin en een leeg wachtwoord komt een hacker uw router binnen en kan hij belangrijke instellingen wijzigen. Een absoluut ongewenste zaak. Beveilig uw router daarom met een wachtwoord dat niet gemakkelijk te raden is. Dat is dus in ieder geval niet de naam van uw bedrijf!
 
  1. Start Internet Explorer.
  2. Typ in de adresbalk het IP-adres van het apparaat.
  3. Zoek naar het menu waarin u het beheerderswachtwoord (Administrator Password) kunt wijzigen.
  4. Schermafbeelding: wachtwoord invoerenVoer bij het oude wachtwoord niets in en vul het nieuwe wachtwoord tweemaal in.
  5. Sla de instelling op. Hierna is uw router aanzienlijk beter beveiligd.
 

WEP

Wired Equivalent Privacy (WEP) is een industriestandaard voor het beveiligen van draadloze netwerken. Het is een encryptie-algoritme dat onderdeel uitmaakt van de 802.11 standaard voor draadloos netwerkverkeer. Om die reden wordt WEP door bijna alle draadloze apparatuur ondersteund. Er zijn diverse gradaties van WEP-encryptie, te weten 64 en 128 bits. Het hogere getal is lastiger te kraken en dus veiliger. U zet WEP aan op de draadloze router of het toegangspunt, en ook op de computer die u gebruikt voor draadloze toegang.
 
  1. Start Internet Explorer.
  2. Vul in de adresbalk het IP-adres van het apparaat in.
  3. De interface laat waarschijnlijk een menu zien met de naam Security.
  4. Selecteer hier 128-bit WEP.
  5. De router genereert nu een reeks van 26 tekens in 13 paren. De tekens zijn hexadecimale codes. Noteer alle tekens en bevestig dat u WEP wilt inschakelen.
  6. De verbinding tussen bijvoorbeeld een laptop en het draadloze netwerk is nu weggevallen.
  7. Klik op de icoon van de draadloze netwerkverbinding en ga naar de Eigenschappen.
  8. Klik dan op de knop Configureren en schakel Gegevenscodering (WEP-compatibel) in.
  9. Vink het vakje De sleutel wordt mij automatisch aangeleverd uit en voer de netwerksleutel van 26 tekens in.
  10. Stel voor 128-bit WEP de Sleutellengte in op 104 bits.
  11. Klik tweemaal op OK en log eventueel de computer uit en weer in.
 
U hebt nu wel toegang tot het draadloze netwerk, maar nieuwsgierige voorbijgangers komen er niet meer in. Tenminste: als slimmeriken geen fouten in het protocol hadden ontdekt. Helaas is dat wel gebeurd, en inmiddels is WEP met op het internet te vinden hulpprogramma's in een paar minuten gekraakt. Toch blijft WEP afdoende veilig voor normaal gebruik.
 
Schermafbeelding: 128bit WEP
 

WPA

WPA staat voor Wireless Protected Access. Ook dit systeem is gebaseerd op een encryptiesleutel. Alleen diegenen die de 'sleutel' kennen krijgen toegang tot het draadloze netwerk. In feite wordt een aantal verschillende sleutels gebruikt die snel achter elkaar wisselen. U gebruikt óf WEP, óf WPA. WPA wordt als veel veiliger dan WEP beschouwd. Niet elk systeem is echter met WPA te beveiligen. De router of het toegangspunt, de draadloze netwerkkaart, en het besturingssysteem moeten het ondersteunen. Dit laatste is geen probleem als u Windows XP met Service Pack 2 gebruikt. Uit oogpunt van computerbeveiliging is dat laatste sowieso sterk aan te raden. De WPA-norm kent twee werkingsstanden:
 
  • WPA-PSK (Pre-Shared Key)
  • WPA 'enterprise'
 
De eerste stand wordt gebruikt in huishoudens en kleinere organisaties. U zult in deze stand zelf een wachtwoord, de pre-shared key, invoeren. WPA Enterprise voor grote ondernemingen vereist communicatie met een RADIUS-verificatieserver, maar zo ver gaat dit artikel niet. Net als WEP wordt ook WPA geconfigureerd via de webinterface van uw router of toegangspunt:
 
    Schermafbeelding: eigenschappen van uw draadloze netwerkverbinding instellen
  1. Start Internet Explorer.
  2. Vul in de adresbalk het IP-adres van het apparaat in.
  3. In de interface vindt u waarschijnlijk een menu met de naam Security.
  4. Selecteer de optie WPA-PSK of WPA ZO ondernemen. Column Jort Kelder, van 0 naar 500.
  5. Als versleutelingsalgoritme kiest u TKIP.
  6. Vul een wachtwoord in van minimaal 8 en maximaal 63 tekens.
  7. Bevestig uw invoer.
  8. Klik op uw laptop op de icoon van de draadloze netwerkverbinding en ga naar Eigenschappen.
  9. Ga naar het tabblad Draadloze netwerken, selecteer uw netwerk en kies Eigenschappen.
  10. Stel de Netwerkverificatie in op WPA-PSK.
  11. Voer bij Gegevenscodering de keuze TKIP in.
  12. Geef de netwerksleutel op.
  13. Klik op OK tot alle vensters gesloten zijn.
 

MAC-adressen

Het MAC-adres van uw netwerkadapter is een uniek nummer dat in principe niet te veranderen is. Dit in tegenstelling tot een IP-adres dat u eenvoudig zelf kunt wijzigen. Een router kan binnenkomend verkeer onderzoeken op het MAC-adres. U geeft vooraf in een lijstje aan welke MAC-adressen wel of juist geen toegang mogen krijgen. Sommige routers, zoals Belkin, laten alle in het netwerk gebruikte MAC-adressen in het configuratiescherm zien. Als uw router dat niet kan moet u de afzonderlijke pc's af en de adressen noteren.
 
  1. Kies Start >> Alle programma's >> Bureau-accessoires >> Opdrachtprompt.
  2. Typ in dit venster ipconfig /all.
  3. Kijk nu bij Fysiek adres en noteer de code (inclusief streepjes) die hier staat.
  4. Herhaal deze stappen op alle pc's in het netwerk.
  5. Open nu via Internet Explorer het configuratiescherm van uw router.
  6. Open de lijst van toegestane MAC-adressen en noteer hier de eerder verkregen adressen.
  7. Bevestig uw invoer.
 
Schermafbeelding: ipconfig /all
 

Tot slot

De componenten van een draadloos netwerk zijn standaard niet beveiligd. Dit lijkt op het openlaten van de deuren van een nieuw opgeleverd pand. Laat u niet afschrikken door de techniek en pas enkele of alle bovenstaande beveiligingsmethoden toe. Heeft u geen tijd of bent u onvoldoende technisch aangelegd? Huur dan een specialist in, maar zorg er in ieder geval voor dat uw draadloze netwerk wordt beveiligd! Doet u dat niet, dan is dat net zoiets als 's avonds naar huis gaan zonder het bedrijfspand af te sluiten.
 

Verklarende woordenlijst

802.11a/b/g
Specificaties van draadloze netwerken, waarbij de letter de maximale verbindingssnelheid aangeeft. 802.11b is 11 Mbit en 802.11g is 54 Mbit
 
DHCP
Dynamic Host Configuration Protocol, een systeem dat automatisch netwerkadressen (IP-adressen) uitdeelt aan netwerkgebruikers
 
MAC-adres
Media Access Control adres, een uniek nummer van uw netwerkkaart
 
Router
Een kastje dat netwerkverkeer naar de juiste plaats leidt
 
SSID
Service Set IDentifier, een naam waarmee een draadloos toegangspunt zichzelf bekend maakt
WEP
Wired Equivalent Privacy, een versleutelingstechniek
WiFi
Wireless Fidelity, een term voor draadloze netwerken
 
Wireless Access point
Een toegangspunt dat draadloze verbindingen op uw netwerk ondersteunt
WPA
WiFi Protected Access, een veiliger versleutelingstechniek dan WEP
 

Gerelateerde artikelen

 
Abonneer u op de nieuwsbrief
.

©2009 Microsoft Corporation. Alle rechten voorbehouden. Contact opnemen |Gebruiksvoorwaarden |Handelsmerken |Privacyverklaring