Dit artikel is vervangen door dit artikel
Beveilig uw draadloze netwerk
Een draadloos netwerk is uiteraard altijd minder veilig dan een bedraad netwerk. Toch is het mogelijk de veiligheid van het draadloze netwerk naar een acceptabel niveau te tillen.
Over het beveiligen van een draadloos netwerk, doet een aantal fabels de ronde. De belangrijkste vier worden hieronder ontkracht.
Zo moet het niet. De vier fabeltjes.
Fabel 1: de SSID (netwerknaam) onderdrukken
Dit is onverstandig, want het is namelijk onmogelijk om het uitzenden van het SSID in zijn geheel te blokkeren. Er zijn namelijk vier andere manieren waarop de router het SSID dan nog steeds blootgeeft.
Het is zelfs een extra risico(!): als het uitzenden van het SSID is uitgeschakeld in de router van het netwerk, moeten de computers continu hun aanwezigheid prijsgeven. Waardoor ze het SSID overal verspreiden waar ze ook zijn.
Daardoor zijn ze een eenvoudig doelwit. Een aanvaller kan zich voordoen als het netwerk, om zo zonder problemen de authenticatie-verzoeken te verzamelen. Als dat eenmaal gebeurd is, ligt het hele netwerk open.
Fabel 2: MAC-adresfilter gebruiken
Zinloos, want een aanvaller kan eenvoudig zien welke MAC-adressen toegang krijgen. Vervolgens kan hij zijn MAC-adres vervalsen en krijgt hij alsnog toegang.
Fabel 3: DHCP uitschakelen
Dit is pure tijdverspilling. Dit houdt een aanvaller hooguit 10 seconden tegen.
DHCP deelt automatisch IP-adressen uit. Dit uitschakelen is nutteloos. Een aanvaller heeft vrijwel direct het IP-schema van het netwerk doorgrond en zichzelf alsnog een IP-adres toebedeeld.
Fabel 4: WEP-beveiliging gebruiken
Dit is een zeer zwakke beveiliging, die een aanvaller binnen een minuut kan kraken. Het is beter dan helemaal geen beveiliging, maar daar is dan ook alles mee gezegd.
Zo moet het wel! Acht tips.
Tip 1
Als u instellingen verandert in de configuratie van uw router, doe dat dan altijd alleen via een tijdelijke bedrade verbinding. Een draadloze verbinding is hiervoor te onbetrouwbaar.
Tip 2
Indien de configuratie van de router dit toelaat: stel hem zo in, dat het configuratiescherm van de router alleen toegankelijk is via een bedrade verbinding. En dus niet via draadloos. Helaas heeft niet elke router deze mogelijkheid. Als de router het toelaat, stel dan ook in dat het configuratiescherm alleen vanuit de LAN kant te bereiken is. Hiermee wordt het interne netwerk bedoeld. Vanuit de WAN kant (het internet) moet het configuratiescherm niet bereikbaar zijn. Schakel tevens de toegang via telnet en UPnP uit, als die aanwezig zijn.
Tip 3
De SSID (netwerknaam) moet worden uitgezonden.
Tip 4
Verander de SSID (netwerknaam) in een zelfbedachte naam, waaruit in elk geval niet het merk en/of type van de router blijkt. Let op: de naam mag geen spaties, accenten of trema's bevatten! Dus niet: Japie's netwerk, maar wel: JapiesNetwerk.
Tip 5
De beveiliging moet minimaal staan op WPA Personal. WPA2 Personal is nog beter, indien dit mogelijk is voor de router en voor de draadloze kaart in uw computer.
Tip 6
AES is de modernste en veiligste vorm van versleuteling. De versleuteling dient daarom bij voorkeur te staan op "alleen AES". Dus niet op het oudere en minder veilige TKIP. Ook niet op TKIP+AES, want in dat geval is de versleuteling achterwaarts compatibel met TKIP.
Let op: Ubuntu 8.04 en Windows Vista hebben geen problemen met "alleen AES", maar Windows XP kan alleen TKIP aan. Programmatuur van derden kan hierbij een oplossing bieden: Intel stelt bijvoorbeeld een programma ter beschikking voor Intel draadloze kaarten, waarmee Windows XP alsnog overweg kan met "alleen AES".
Tip 7
Gebruik een WPA-sleutel die minimaal 10 tekens bevat, waaronder hoofdletters, cijfers en bijzondere tekens. Let op: geen spaties gebruiken!
Tip 8
Zet de firewall van de router aan. De configuratie van de router biedt normaal gesproken de mogelijkheid om een ingebouwde firewall aan zetten. Gebruik die mogelijkheid. Let wel op de mogelijke effecten op sommige spellen, die via het internet verlopen: soms moet u daarvoor een poort openstellen.