Beveiliging draadloze netwerken

[Remco Loykens]

Je kent dat wel, je wilt als praktijk met de tijd mee, laptopje om thuis ook de administratie te kunnen voeren en voor je het weet denk je “draadloos netwerk” :)

Toch is dat iets om goed over na te denken. Draadloos betekent namelijk ook dat een ander de transmissie kan opvangen. En da’s niet leuk als je net een verslag aan de huisarts zit te maken. &|

Huidige praktijk:
– Draadloze basisstations worden ALTIJD, conform een of andere iee-regeling, zonder beveiliging geleverd.
– Als iemand zelf al een beveiliging instelt, gaat dat meestal met een WEP-key, een soort wachtwoord dat, om ons eigen feilbare geheugen te helpen, vaak de naam van de hond, kat, partner of iets dergelijks is.

Wat moet je minimaal doen:
– stel MAC-filtering in. Dit betekent dat alleen vooraf ingevoerde netwerkkaarten draadloos mogen werken.
– gebruik minimaal WEP-encryptie en neem daarvoor een niet bestaand woord of v3rv@ng s0mm1ge !etter5 door cijfers en leesteken. Hiermee ontstaat een wachtwoord dat met bot proberen lastig te kraken is.

Wat moet je daarnaast eigenlijk ook doen?
– Stel WPA-encryptie in. Deze vorm van versleuteling is vele malen beter dan WEP. Ondersteunt je basisstation of netwerkkaart geen WPA, vervang die dan door een exemplaar die dat wel ondersteunt.
– Verander regelmatig het wachtwoord.

Op die manier kun je veilig gebruik maken van de draadloze netwerktechnologie.

Mocht iemand hierin geïnteresseerd zijn, dan wil ik op deze plaats best eens verder ingaan op de beveiliging van draadloze netwerken.

Remco

[Simon]

Wow goed verhaal zeg. Heb een tijd geleden op NOVA gezien dat er ook een hoop overheids instanties zijn die wel een draadloosnetwerk hebben, maar geen beveiliging.

Dit is zeker een belangrijk punt. Als je deze aanpak volgt zit je veilig. Anders heb je kans dat er mensen gaan inbreken in je netwerk. &|

Saimon

[Peter Bär]

Ik snap hier niet veel van, zou graag de boel wel beveiligen, maar kom met dit verhaal in de war.
Ik heb ook geen iedee hoe je dit allemaal instelt.
Heb je een telefonische helpdesk wellicht?
– mailadres –

[Ben]

Verder kun je ook nog denken aan het niet continu uitzenden van je SSID naam. Vooral windows speurt voortdurend naar online netwerken en zal de SSID altijd weergeven, dus ook die van je buurman als die een wireless netwerk heeft.
Als je zelf je SSID weet, hoef je de naam niet door je wireless router te laten uitzenden…Anderen zien hem dan dus ook niet… Weer een extra beveiliging!!

Ben

NB: Het automtisch in laten stellen door windows van je netwerk kan dan dus niet!! Je moet wel zelf alles invullen!
<span class=’smallblacktext’>[ Bijgewerkt ma sep 19 2005, 02:02 ]</span>

[Ben]

ennehh…Let ook nog of er rare tekens op je stoep voor je deur gekrijt staan. Soms zijn dit tekens die aangeven dat er op dat adres een onbeveiligd netwerk is…….

(ik heb ze nog nooit gezien, eigenlijk….)

Ben

[Remco Loykens]

Leuk om te zien dat deze discussie, na een jaar, toch is gaan leven. Zijn we toch wakker geschud door de recente publicaties over de mogelijkheid ziekenhuisgegevens op te vragen of zelfs te wijzigen?

Maar hoe nu verder, nadat het besef dat een betere beveiliging nodig is is doorgedrongen? Op deze plaats is het alleen mogelijk om te blijven steken in algemeenheden. De aanbevolen instellingen zijn per netwerkkaart, per besturingssysteem en per Access Point op andere manieren in te stellen. Hier geldt bij uitstek de stelling: “De enige standaard in de IT is…er is geen standaard.” Voor de precieze manier van instellingen aanbrengen moet ik dan ook verwijzen naar de verschillende handleidingen. Eventueel kan ik via MSN of e-mail ook individuele ondersteuning geven (niet met honderden tegelijk a.j.b. !dodge

Ik ben mij ervan bewust dat in het orginele bericht nogal wat termen staan die voor de niet-ITers onder ons lastig te volgen zijn. Vandaar nog even een verklarend woordenlijstje:

Netwerkkaart: Uitbreidingskaart in laptop of PC om deze te koppelen aan een netwerk. In dit verhaal wordt uitgegaan van een draadloze netwerkkaart, ook wel WIFI-kaart genoemd.
Access point: Speciale zender-ontvanger die als centraal punt dient voor alle draadloze netwerkkaarten. De netwerkkaarten melden zich aan op het access point (AP) en kunnen via het AP onderling communiceren en met het Internet als het AP aan Internet is gekoppeld.
MAC-adres: Elke netwerkapparaat krijgt van de leverancier een unieke code mee. Deze code bestaat uit 12 hexadecimale rekens (0-9 of AF). Een MAC-adres zou dus kunnen zijn 00-AE-1F-32-E1-80. Hoewel dit MAC-adres door de fabrikant wordt ingeprogrammeerd op het apparaat is het vrij eenvoudig dit adres zelf aan te passen.
MAC-adres filtering: Op een access point is het mogelijk om aan te geven dat alleen vooraf opgegeven MAC-adressen toegang krijgen tot het access point. Omdat het MAC-adres makkelijk aan te passen is beschermt deze filter dus alleen tegen toevallige passanten. Voor hackers is het ongeveer 30 seconden werk om deze beveiliging te omzeilen.
WEP: Wired Equivalent Privacy, een beveiligingsnorm die, in tegenstelling tot wat de naam suggereert, slechts beperkte beveiliging biedt. WEP is het protocol dat informatie codeert voor verzending en decodeert na ontvangst op basis van vooraf ingestelde wachtwoorden op zowel netwerkkaart als AP.
WEP-key: Het vooraf ingestelde wachtwoord.
Encryptie: Het versleutelen van informatie met, bijvoorbeeld, een wachtwoord.
64 bit encryptie: versleuteling op basis van een wachtwoord van 10 hexadecimale tekens.
128 bit encryptie: versleuteling op basis van een wachtwoord van 16 hexadecimale tekens. Door wat onbenulligheden in het WEP-protocol geldt voor zowel 64 bit als 128 bit encryptie tegenwoordig dat er programma’s zijn die dit binnen minuten tot maximaaal een uur weten te kraken. Het voert te ver om hier uit te leggen hoe het versleutelen en kraken gaat maar geloof me, een beetje wizz-kid heeft met WEP geen problemen.
WPA: WiFi Protect Access. Dit protocol is de opvolger van WEP en geldt op dit moment als nagenoeg onkraakbaar. Zeker wanneer gebruik gemaakt wordt van een wachtwoord dat NIET geënt is op bestaande woorden is dit protocol vooralsnog nagenoeg onkraakbaar.
SSID: Service Set IDentifier. Dit is de naam van het draadloze netwerk. Alle te koppelen onderdelen moeten hetzelfde SSID hebben willen ze elkaar kunnen benaderen. Het SSID wordt standaard uitgezonden door het AP. Dit is dan door elke Wifi-kaart op te vangen, het SSID wordt niet versleuteld. Uitzenden van het SSID is dus ongeveer hetzelfde als het plaatsen van een schijnwerper op iets wat je verborgen wilt houden. Door het uitzenden van het SSID uit te zetten doe je die schijnwerper weer uit, passanten zullen niet automatisch doorkrijgen dat er een draadloos netwerk actief is. Voor hackers is dit echter een klein hobbeltje op weg naar de toegang tot het netwerk, volstrekt onvoldoende dus als enige bescherming.

Zoals ik in de eerste posting al stelde, alleen het inzetten van alle beveiligingen biedt afdoende garantie tegen hackers. Dus:
1. SSID broadcast uitzetten
2. WPA encryptie aanzetten
3. MAC-filtering aanzetten
4. een wachtwoord kiezen dat niet te raden is, dus geen bestaande woorden, namen, geboortedata, postcodes, kentekennummers, etc.

Sterkte,
Remco

[Auteur]

Berichten