Peace-driving
Beveiligingstips
Op deze pagina lichten we toe hoe je in een 5-tal stappen de belangrijkste beveiligingsopties van je draadloos netwerk (of je draadloos toegangspunt/WAP met ingebouwde router/switch) kan aanpassen om alzo een voor thuisnetwerken aanvaardbaar beveiligingsniveau te bereiken.
1. Wijzig je gebruikersnaam en paswoord van de webinterface voor WAP configuratie
2. Wijzig het SSID van je draadloos netwerk
3. Filter op MAC adressen (indien mogelijk)
4. Encrypteer de verstuurde data met WPA (of WEP)
5. Pas je Windows XP instellingen aan
Bij elke stap worden, naast de betekenis van de begrippen, ook de mogelijke instellingen toegelicht.
Voor een aantal WAP modellen hebben we dit stappenplan geïllustreerd in een mini-handleiding (met schermafbeeldingen) op de pagina handleiding WAP. Indien je WAP niet voorkomt, verwijzen we je naar de officiële handleiding van je WAP voor meer concrete gegevens.
Opmerkingen vooraf
Het wijzigen van de beveiligingsinstellingen doe je best (indien mogelijk) vanaf een computer die met een kabel met je WAP verbonden is. Vanaf een draadloos toestel is het ook mogelijk, maar dan verlies je mogelijk je verbinding telkens je een van onderstaande “instellingen” wijzigt.
Indien er problemen optreden na het aanpassen van je draadloze netwerkconfiguratie, kan je steeds de aangebrachte wijzigingen ongedaan maken. Terugkeren naar alle standaardinstellingen kan je door je WAP te resetten (meestal via een speciaal daarvoor voorziene pin lang in te drukken en/of door de WAP een tijd van geen stroom te voorzien).
1. Wijzig je gebruikersnaam en paswoord van de webinterface voor WAP configuratie
De beveiligingsinstellingen van een WAP kunnen meestal worden gewijzigd via een webinterface die bereikbaar is door te surfen naar een bepaald privaat IP adres (bv. 192.168.1.1). Zoek het adres van je WAP op in de handleiding.
Om toegang tot deze webinterface van je WAP te verkrijgen, moet men een gebruikersnaam en wachtwoord intypen.
De standaard login-gegevens van de meeste WAP toestellen zijn erg makkelijk te raden en zelfs te vinden op het internet. Merk op dat derden aldus vrij eenvoudig de configuratie van je WAP kunnen bekijken en aanpassen, waardoor je zelfs zou kunnen worden buitengesloten van je eigen draadloos netwerk!
Pas daarom deze login-gegevens onmiddellijk aan. Let er op een sterk paswoord (minimaal 8 karakters met een mix van hoofdletters, kleine letters, cijfers en speciale symbolen) te kiezen.
2. Wijzig het SSID van je draadloos netwerk
De SSID (Service Set IDentifier) is een unieke naam voor je draadloos netwerk, die moet worden “opgegeven” als een computer (met draadloze adapter) met het netwerk wil connecteren. Elk WAP model heeft een standaard SSID, die meestal samenhangt met het merk (bv. belkin54g, default, linksys, ...).
In combinatie met Windows XP kunnen er zich problemen voordoen als er 2 verschillende draadloze netwerken met dezelfde SSID binnen eenzelfde bereik opereren.
Pas daarom dit SSID aan. Kies voor een unieke naam die niets verraadt over je identiteit en/of de locatie van het WAP, dus vermijd het gebruik van persoonlijke gegevens zoals (straat)namen, huisnummers en telefoonnummers.
Voor dit SSID kan je in de meeste WAPs ook een optie “SSID broadcast” instellen op “enabled” (SSID wordt op geregelde tijdstippen uitgezonden) of “disabled” (SSID wordt niet uitgezonden). Met Windows XP kan deze laatste keuze opnieuw tot problemen leiden als er zich andere WAPs binnen je bereik bevinden. In de andere gevallen mag je het uitzenden van de SSID uitschakelen. Besef echter wel dat dit absoluut geen afdoende beveiliging is, daar er softwaretools bestaan om zulke niet-uitgezonden SSIDs toch te weten te komen.
3. Filter op MAC adressen (indien mogelijk)
Elke netwerkadapter is voorzien een uniek MAC (Media Access Control) adres, bestaande uit 12 hexadecimale tekens (cijfers 0-9 en letters A-F). Voor de duidelijkheid worden zulke adressen soms geschreven als 6 blokken van 2 tekens gescheiden door een koppelteken.
Je kunt de meeste WAPs zo configureren dat enkel door jouw ingegeven MAC adressen toegang verkrijgen tot het netwerk. Hiertoe moet je voor alle computers in het netwerk in een opdrachtpromptvenster het commando “ipconfig /all” intypen, waarna je de MAC adressen kan aflezen bij de rubrieken “Ethernet-adapter LAN-verbinding” (voor je bekabelde netwerkadapter) en/of “Ethernet-adapter Draadloze verbinding” (voor je draadloze netwerkadapter) onder het item “Fysiek adres:”.
Het nadeel van deze filtermethode is dat het veel onderhoud met zich meebrengt. Immers, als er geregeld nieuwe computers toegang tot je netwerk moeten krijgen, moet je telkens manueel de bijhorende MAC adressen toevoegen. Indien je echter steeds dezelfde toestellen gebruikt op je netwerk, is het aan te raden deze filter in te schakelen. Besef echter opnieuw dat dit geen afdoende beveiliging oplevert, aangezien MAC adressen kunnen afgeluisterd en onrechtmatig gebruikt worden.
4. Encrypteer de verstuurde data met WPA (of WEP)
De beste manier om je draadloos netwerk te beveiligen is om alle verkeer te coderen/encrypteren met een bepaalde sleutel, waarna het bij de ontvanger (met dezelfde sleutel) wordt gedecodeerd/gedecrypteerd.
4a. WEP
WEP (Wired Equivalent Privacy) bestaat in 2 varianten. De 64 bit variant gebruikt een sleutel bestaande uit 10 hexadecimale tekens of 5 (gewone) ASCII-karakters, terwijl bij de 128 bit variant deze sleutel 26 hexadecimale tekens of 13 karakters bevat. Afhankelijk van de fabrikant worden deze versies soms ook 40 bit en 104 bit versies genoemd.
Hoe je een WEP sleutel moet ingeven is afhankelijk van de fabrikant. Bij heel WAPs kan je kiezen uit 4 voorgedefinieerde sleutels. Beter is echter een persoonlijke (maar zo willekeurig mogelijke) sleutel te kiezen. Let op of je deze sleutel in ASCII mode (gewone karakters) of hexadecimaal (cijfers 0-9 en letters A-F) moet ingeven. Sommige WAPs bieden ook de mogelijkheid aan om deze sleutels automatisch via een in te geven passphrase (een lang paswoord) aan te maken.
Bij sommige WAPs kan je kiezen of je de ingegeven WEP sleutel ook gebruikt tijdens het authenticatieproces (wanneer je draadloze adapter connectie maakt met het draadloos netwerk). Deze “Shared Key” authenticatie is echter niet veilig, en wordt, indien beschikbaar, beter vervangen door “Open System” authenticatie.
Het bovenvermelde veiligheidslek is zeker niet het enige probleem met WEP. Over het algemeen wordt deze beveiligingsmethode als onveilig beschouwd omdat je sleutel (door een getraind hacker met de juiste software-tools) in een tijdsspanne van minuten of uren te kraken is.
Ons advies is dan ook om enkel voor 128 bit WEP te kiezen indien WPA-PSK (zie verder) niet beschikbaar is. Het is alleszins beter WEP te gebruiken dan geen encryptie!
4b. WPA
WPA (Wifi Protected Access) is een stuk veiliger dan WEP, omdat bij WPA de gebruikte sleutel geregeld verandert via het TKIP mechanisme. Er zijn verschillende varianten van WPA. We bespreken hier enkel de zogenaamde personal variant, daar de enterprise variant (waarbij de verdeling van sleutels gebeurt via een aparte server) niet echt van toepassing is voor thuisgebruik.
WPA-Personal wordt ook wel WPA-PSK (Pre Shared Key) genoemd. Alle computers in het netwerk gebruiken dezelfde passphrase als basis om de sleutel voor encryptie te genereren. Deze passphrase mag maximaal 63 ASCII karakters (meest voorkomend) of 64 hexadecimale tekens lang zijn.
Indien je een sterke passphrase van minstens 20 karakters kiest, biedt WPA voldoende beveiliging en is het nauwelijks te kraken . Indien je een korter, zwak passwoord gebruikt biedt ook WPA geen waterdichte beveiliging.
Schakel WPA-PSK in indien dit beschikbaar is op je WAP en draadloze adapters (eventueel na een firmware update) en je versie van Windows (vanaf Service Pack 2 voor Windows XP).
4c. WPA2
WPA2 is de meest recente en veilige vorm van encryptie voor draadloze netwerken, daar de encryptie nu via het moeilijk te kraken AES-algoritme gebeurt. Opnieuw bestaat er een personal (PSK) en enterprise variant. Een nadeel is wellicht dat WPA2 nog niet echt wijd verspreid is: de meeste fabrikanten ondersteunen WPA2 enkel in hun meest recente producten (soms via firmware updates) en voor Windows XP heb je een (niet-standaard) update nodig. Omdat dit eerder voer voor gevorderden is (die hierbij wellicht geen hulp nodig hebben) gaan we hier niet verder op in.
5. Pas je Windows XP instellingen aan
Hieronder wordt verondersteld dat je de standaard Windows XP-software gebruikt om je draadloos netwerk te configureren.
De eerste keer dat je verbinding wil maken met een met WEP of WPA beveiligd netwerk, zal er naar de sleutel worden gevraagd. Vul deze in (dit moet enkel de eerste keer), waarna deze wordt gecontroleerd en, indien de sleutel correct is, connectie wordt gemaakt met het netwerk.
Je kan deze instellingen ook wijzigen via het venster “Eigenschappen voor Draadloze netwerkverbinding”, dat o.a. te bereiken is via “Configuratiescherm”, “Netwerken” waarna je rechts klikt op “Draadloze netwerkverbinding” en "Eigenschappen" selecteert . In het tabblad “Draadloze netwerken” selecteer je een voorkeursnetwerk en kies je vervolgens “Eigenschappen”. Daarna stel je WEP (met open netwerkverificatie) of WPA-PSK (met TKIP) in, compleet met de nodige sleutels.
© April 2006 - KHKempen - kris.de.backer@khk.be & jan.janssen@khk.be