Draadloos netwerk - In vijf stappen beveiligd

Elke pc en notebook heeft een eigen MAC-address. Door de MAC-adressen van al uw pc's en notebooks vast te leggen in het access point of de wireless broadband router kunt u dus precies aangeven wie draadloos toegang mogen hebben tot het netwerk. Een onbevoegde, die bijvoorbeeld met zijn notebook probeert toegang te krijgen, wordt automatisch geweerd. Het MAC address (ook wel het 'hardware adres' of 'fysiek adres' genoemd) is een hexadecimale code van twaalf tekens en wordt door de fabrikant van de pc of netwerkkaart kaart ingeprogrammeerd. Zo'n MAC-address, zoals bijvoorbeeld 00-C0-11-B7-44-E1, is dus uniek voor elke pc en niet te wijzigen.

 

Op de volgende manier legt u de toegestane MAC-adressen in uw access point of router vast:

 

 

De vraag is nu alleen hoe u de MAC adressen van uw pc's en notebooks achterhaalt. Daartoe moet u op elke machine de volgende actie uitvoeren:

 

 

De informatie die u over het netwerk verstuurt en ontvangt wordt in deze stap onleesbaar gemaakt volgens een coderingssleutel. Alleen als u de coderingssleutel hebt (een lang wachtwoord) kunt u van het draadloze netwerk gebruik maken. De coderingssleutel wordt vast ingeprogrammeerd in de pc, notebooks én het access point of de wireless broadband router. U en uw medewerkers hoeven die dus niet uit het hoofd te leren. De configuratie gaat als volgt:

 

Een opmerking bij stap 6: de meeste routers zijn tegenwoordig standaard uitgerust met WEP en/of WPA encryptie. Beide varianten kennen subtypes die elk een verschillende mate van beveiliging geven.

 

WEP staat voor Wired Equivalent Privacy. WEP wordt tegenwoordig beschouwd als een te zwakke encryptie voor het beveiligen van een draadloos netwerk, omdat de beveiligingssleutel om toegang tot het access point te krijgen te gemakkelijk te kraken is met programmaatjes als WEP-Crack en WEPdecrypt. WPA-encryptie is veiliger. U zult de WEP-encryptie alleen inschakelen als u nog apparatuur gebruikt, die uitsluitend WEP ondersteunt en geen WPA. Denk bijvoorbeeld aan een verouderde netwerkcard. Ook een Windows XP pc met SP1 ondersteunt geen WPA. Het advies is om die pc en de netwerkcard onmiddellijk te upgraden, zodat u volledig voor WPA-encryptie kunt kiezen.

 

U beveiligt uw draadloze netwerk bij voorkeur met WPA-encryptie (Wi-Fi Protected Access). In tegenstelling tot WEP wordt de coderingssleutel met WPA voortdurend en automatisch veranderd, wat de veiligheid vergroot. Dat betekent ook dat er een mechanisme moet zijn, dat de gewijzigde coderingssleutels tussen de pc's en het netwerk uitwisselt. Ook dat gebeurt automatisch. Met WPA wordt namelijk gebruikgemaakt van de zogenaamde WPA-PSK (WPA Pre-Shared Key) sleutel, die zorgt voor toegang tot het netwerk op basis van de juiste sleutel.

 

Voor het uitwisselen van de coderingssleutel maakt WPA gebruik van een beveiligd protocol: ofwel TKIP ofwel AES. Een derde optie, die vooral in professionele omgevingen wordt toegepast, is de RADIUS-server. Deze zorgt tevens voor de complete authentificatie van uw aanmelding op het netwerk via een inlognaam en wachtwoord. RADIUS (Remote Authentication Dial In User Service) is namelijk een volledig AAA-systeem: authenticatie, autorisatie en accounting.

 

De door u gekozen encryptie methode dient u ook in te stellen op uw netwerkcomputers. Dit komt in stap 3 aan de orde.

 

Om de encryptiesleutel, die u in de vorige stap hebt ingevuld, wordt automatisch gevraagd, zodra u met een notebook of pc toegang probeert te krijgen tot het draadloze netwerk. Dat betekent dus dat u de sleutel aan al uw medewerkers bekend moet maken. Wellicht houdt u de sleutel liever voor uzelf; in dat geval moet u zelf (als kenner van de sleutel) alle notebooks en pc's langs en de volgende actie uitvoeren:

 

 

 

U merkt, als u op een Windows Vista werkstation het netwerk instelt, dat u een overzicht te zien krijgt van alle draadloze netwerken in uw omgeving. In een hotel bijvoorbeeld is dat handig, maar u kunt zich afvragen of het prettig is, dat anderen ook zomaar uw netwerk kunnen zien. Weliswaar zien ze alleen de netwerknaam en staat er bij dat het een beveiligd netwerk is, maar toch is het verstandiger om anoniem te zijn. Dat betekent dat uw access point of router zijn netwerknaam of ‘SSID' niet meer mag uitzenden. Zodra u alle notebooks en pc's toegang hebt gegeven tot uw netwerk, zet u daartoe de optie SIDD Broadcast in het instellingenscherm (zie afbeelding) op Off.

 

De fabrikant heeft de homepage uw access point of router standaard van een wachtwoord voorzien. Dit wachtwoord is voor een doorsnee hacker eenvoudig te achterhalen, dus u moet dit veranderen. Op de configuratiepagina ‘Administration' kunt u een eigen wachtwoord opgeven. Dit mag maximaal 32 tekens lang zijn dus u kunt kiezen voor een moeilijk te kraken wachtwoord.