Negen beveiligingspunten in een draadloos netwerk

Wardriving is het rondrijden in een auto met de bedoeling draadloze netwerken te ontdekken. Dat gaat heel gemakkelijk, omdat de meeste draadloze netwerken continu hun naam (of SSID) de ether insturen. Met die naam kan de 'wardriver' of hacker gemakkelijk verbinding maken met uw netwerk. Nu zijn wardrivers niet per se gevaarlijk, maar zij tonen wel aan dat draadloze netwerken niet moeilijk te vinden zijn.

 

Naast wardriving is er nog de buurman. Wanneer uw draadloze netwerk een goed signaal uitzendt is het een paar panden verderop nog gemakkelijk te ontvangen. Uw 'buurman' kan dus gemakkelijk meesurfen via uw internetverbinding. Met wat meer moeite wordt het voor hem zelfs mogelijk spam te versturen of speelfilms te downloaden via uw verbinding.

Het verbergen van de naam van het toegangspunt (SSID) lijkt de oplossing, maar daarmee bent u er nog niet. De slimmere hacker weet uw netwerk dan nog steeds te vinden. Hieronder volgt een opsomming van alle bekende beveiligingsmethodieken, die - wanneer u ze allemaal toepast - er gezamenlijk voor zorgen dat uw draadloze netwerk inderdaad veilig is te noemen.

 

De afkorting SSID staat voor Service Set IDentifier (SSID). Het is een naam waarmee een draadloos toegangspunt zichzelf aan zijn omgeving bekendmaakt. De naam is dikwijls gelieerd aan de fabrikant, bijvoorbeeld 'BelkinGRouter' en verschijnt in beeld, als u met uw laptop op zoek gaat naar een draadloos netwerk. U kunt de naam wijzigen, maar nog steeds zal iedereen in uw omgeving uw draadloze netwerk 'zien'. Door de SSID-identificatie geheel uit te schakelen wordt uw toegangspunt onzichtbaar: alleen wie de naam kent kan toegang krijgen. Af fabriek staat SSID vrijwel altijd aan, om hem uit te schakelen dient u het configuratiescherm of homepage van de router te openen.

 

De homepage van uw router opent u als volgt:

 

 

Zoek nu de optie om SSID uit te schakelen (disable), maar onthoud wel wat de SSID-naam is. Gebruik een knop als Save Settings of Apply Changes om uw wijzigingen op te slaan. Voor gebruikers die al verbinding hadden met het draadloze netwerk, verandert er niets. Maar omdat de SSID nu niet meer in de lijst van actieve netwerkverbindingen verschijnt, is het voor nieuwe medewerkers en laptops moeilijker om uw draadloze netwerk te vinden:

 

 

Werkt u nog met Windows XP, dan kiest u Start >> Instellingen >> Configuratiescherm >> Draadloos netwerk instellen om de Wizard Draadloos netwerk instellen te starten. In het eerste venster van de wizard typt u de naam van het toegangspunt, zie afbeelding.

 

 

Een slimme positionering van het access point (zie afbeelding) kan de kans op inbraken verkleinen. Immers, wie het signaal niet kan opvangen kan ook niets te hacken. Let wel, een radiosignaal gaat dwars door muren en ramen heen en is daardoor moeilijk te beperken. Maar door het access point centraal in het pand te plaatsen, wordt het signaal in het algemeen goed verdeeld en 'lekt' er zo weinig mogelijk naar buiten. Een alternatief is het verwijderen van een van de twee antennes. U moet daarna wel testen of het signaal nog sterk genoeg is om overal in het pand te kunnen worden ontvangen. Experimenteer en test het bereik van uw router, vooral ook buiten. Als beveiligingsmaatregel helpt dit zeker, maar let wel: het is niet afdoende.

 

Dynamic Host Configuration Protocol of DHCP is een systeem dat automatisch netwerkadressen (IP-adressen) uitdeelt. Elke deelnemer in het netwerk (pc, laptop, printer, netwerkschijf) krijgt via DHCP een eigen IP-adres. De DHCP-taak kan worden uitgevoerd door de netwerkserver of door een (draadloze) router. Bij de meeste routers staat deze DHCP-functie standaard aan, dus iedere gebruiker die zich draadloos bij de router aanmeldt krijgt automatisch een eigen IP-adres. Ook onbekende voorbijgangers (wardrivers en hackers) krijgen een IP-adres. Dat is een ongewenste situatie.
 
Het advies is om DHCP uit te schakelen. Immers, als iemand van buiten uw organisatie het IP-adres moet zien te raden, wordt het verkrijgen van toegang al een stuk lastiger. U schakelt DHCP uit op de homepage van uw router. Zie de vier stappen hierboven om de homepage te openen. Zoek op de homepage de optie om DHCP uit te schakelen. Kies Disable of zoals in de afbeelding Activate No. De exacte procedure en knopnamen zijn niet te geven, omdat die per fabrikant verschillen.

 

 
 

Het nadeel van deze werkwijze is dat alle computers die toegang moeten hebben tot uw netwerk voortaan handmatig geconfigureerd moeten worden: die geeft u een uniek IP-adres. Voor de volledigheid: er zijn experts die het nut van deze toch vrij simpele beveiliging laag inschatten, omdat andere maatregelen in hun ogen effectiever zijn.

 

Met de standaard gebruikersnaam 'Admin' en een leeg wachtwoord of het wachtwoord 'Admin' heeft een hacker 90% van slagen om een router binnen te komen. Beveilig uw router daarom met een wachtwoord dat niet gemakkelijk te raden is. Dat is dus in ieder geval niet Admin of de naam van uw bedrijf.
 
U wijzigt het wachtwoord op de homepage van uw router. Zie de vier stappen hierboven om de homepage te openen in Internet Explorer. Zoek naar het onderdeel waarin u het beheerderswachtwoord (Administrator Password) kunt wijzigen. Vul het oude wachtwoord in (bijvoorbeeld Admin) en vul het nieuwe wachtwoord tweemaal in. Sla de wijziging op. Uw router is nu aanzienlijk beter beveiligd.

 

Tot nu toe heeft u maatregelen genomen om de toegang tot router en netwerk in te perken. Alle dataverkeer, berichten, e-mail en dergelijke die door de router worden verzonden en ontvangen zijn evenwel door derden mee te lezen. Deze derden kunnen die gegevens namelijk gemakkelijk uit de ether plukken. De oplossing is uw data te versleutelen, dus onleesbaar te maken. Alleen degene die de sleutel heeft, kan de data lezen. Hiervoor zijn de beveiligingsstandaarden WEP en WPA bedacht. WEP is achterhaald, dus u kiest WPA of Wireless Protected Access, versleuteling op basis van een steeds wisselende encryptiesleutel. De configuratie van WPA geschiedt op de homepage van uw router of toegangspunt. Volg de hierboven beschreven vier stappen om de homepage te openen en maak de instellingen. WPA kent twee werkingsstanden:  

 

 

Pre-Shared Key is de standaardkeuze en houdt in dat u zelf een wachtwoord (de sleutel) invoert. WPA Enterprise vereist de communicatie met een RADIUS-verificatieserver, die de sleutel verstrekt. Is geen RADIUS server voorhanden, kies dan WPA PSK. Het op te geven wachtwoord of netwerksleutel telt minimaal 8 en maximaal 63 tekens

 

Bij WPA hoort ook een codering. U hebt de keuze uit TKIP of AES. Beide zorgen voor de daadwerkelijke encryptie van de verzonden netwerkpakketten. TKIP wordt door alle hardwarefabrikanten ondersteund. AES is nieuwer en biedt een krachtiger encryptie, maar wordt nog niet door álle fabrikanten ondersteund.

 

 

Hackers kunnen het versleutelde netwerkverkeer niet lezen. Maar uw medewerkers ook niet, daarom moet de informatie over de gebruikte sleutel ook op de pc's en laptops bekend zijn, zodat de data 'ontsleuteld' kan worden. Op een Windows Vista pc vult u de sleutelinformatie hier in:

 

 

Werkt u nog met Windows XP dan noteert u de sleutelgegevens in het volgende venster:

 

  

Het MAC-adres van de netwerkadapter in uw pc of laptop is een uniek nummer dat gekoppeld is aan de netwerkadapter-hardware. U kunt een lijst maken van alle pc's in uw organisatie en bij elk het bijbehorende MAC-adres noteren; door die lijst vervolgens in te voeren in de router, weet de router welke pc's en laptops hij toegang mag geven. Doordat het MAC-adres van de hacker of wardriver niet op de lijst voorkomt, zal die ook nooit toegang kunnen krijgen tot het netwerk. De router filtert dergelijke MAC-adressen eruit.

 

Zaak is dat u een lijst maakt van alle MAC-adressen. Sommige routers van A-merk fabrikanten beschikken over een functie, die alle in het netwerk aanwezige en gebruikte MAC-adressen inventariseren en op de homepage laten zien. U hoeft alleen maar aan te vinken wie wel en wie geen netwerktoegang krijgt. Mocht uw router zo'n functie niet hebben, dan zit er niets anders op dan de MAC-adressen handmatig te achterhalen en in te voeren.

Daartoe moet u op elke pc de volgende actie uitvoeren:

 

 

 

Zorg voor een goede documentatie van de instellingen van uw netwerk en router (de informatie op de homepage), de MAC-adressen, de versleuteling enzovoort. Ingeval van een herconfiguratie van uw netwerk hebt u al die informatie weer nodig.

 

Routerfabrikanten doen er alles aan de beveiliging om van hun access-points te verbeteren. Regelmatig worden nieuwe beveiligingsopties toegevoegd en eventuele veiligheidslekken gedicht. Het is dus verstandig regelmatig op de website van de fabrikant te controleren of er nieuwe firmware voor uw router is en zo ja, deze te installeren. Na zo'n firmware update dient u uw router opnieuw te configureren, waarmee het belang van het vorige punt (documentatie) nog eens wordt benadrukt.

 

Het negende aandachtspunt is meer een tip. Microsoft heeft namelijk voor het maken van de wireless instellingen een handige wizard beschikbaar: Windows Connect. Hiermee kunt u de instellingen van uw router én de beveiligingsinformatie op een USB stick zetten en daarmee vervolgens een serie computers en laptops van de juiste instellingen voorzien.