Tips om een draadloos netwerk te beveiligen
In een Themaweek over Wi-Fi mogen natuurlijk tips om je draadloos netwerk te beveiligen niet ontbreken. Hieronder een overzicht van tips en trucs die ervoor moeten zorgen dat je access point niet als gratis hot spot dient voor de buurt of rondrijdende hackers.
1. Wijzig de standaard instellingen: Draadloze routers en access points zijn ingesteld met een standaard administrator wachtwoord en SSID (netwerk naam). Deze zijn hetzelfde voor alle routers/AP's van die serie, en soms gebruikt een fabrikant voor alle modellen dezelfde gegevens.
2. Schakel SSID broadcasting uit: Dit maakt het netwerk zichtbaar voor iedereen die in de buurt is en over een WiFi machine beschikt. Het uitschakelen zorgt er niet voor dat je apparatuur voor WLAN "sniffers" verborgen is, maar het zorgt ervoor dat doorsnee surfers niet weten wie er in de buurt is.
3. Filter op MAC-adres: Dit zorgt ervoor dat alleen computers wiens MAC-adres is ingesteld verbinding met het netwerk en router kunnen maken. Het is mogelijk om MAC-adressen te spoofen, maar het is wel een extra beveiligingslaag.
4. Geef je draadloze clients een statisch IP-adres en schakel DHCP uit, zodat ongeautoriseerde personenen die verbinding maken niet automatisch een IP-adres krijgen.
5. Gebruik encryptie: En gebruik WPA (Wi-Fi Protected Access) encryptie in plaats van WEP (Wired Equivalent Privacy). Hoe je dit in Windows XP kunt inschakelen wordt op deze pagina uitgelegd.
6. Schakel WAP uit wanneer je het niet gebruikt. Dit voorkomt dat "war drivers" verbinding met het netwerk maken als je je Internetverbinding gebruikt of computers op je netwerk benadert.
7. Beperk de sterkte van het signaal: De standaard afstand van een 802.11b/g wireless access point is zo'n 100 meter en kan via speciale antennes verlengd worden. Gebruik ook een directionele antenne die in een bepaalde richting het signaal verstuurt. Test het signaal om te weten tot hoe ver het komt.
8. Als je bezorgd bent over security, gebruik dan 802.11a apparatuur in plaats van de populaire 802.11b en g oplossingen. Het verstuurt het signaal op een andere frequentie en kan niet met een ingebouwde wireless adapter benaderd worden. Verder heeft het een korter bereik.
9. Isoleer het WLAN van de rest van het netwerk: Om te voorkom dat je bedraad netwerk te maken krijgt met dreigingen die via draadloze netwerk binnen komen is het verstandig om een draadloze DMZ of perimeter in te stellen. Als men via het WLAN van het interne netwerk gebruik wil maken moet men zich via een remote acces server of VPN authenticeren.
Toch is niet iedereen overtuigd van bovenstaande punten. George Ou stelde deze lijst op met de zes stomste manieren om een WLAN te beveiligen:
1. MAC filtering: Kijkt welke MAC adressen toegang hebben. Een aanvaller kan een MAC adres vervalsen en alsnog binnenkomen.
2. SSID hiding: Bij het uitschakelen van SSID broadcasting vergeten veel gebruikers dat er nog vier andere mechanismes zijn die het SSID via het 2.4 of 5 Ghz spectrum versturen. Niet echt zinvol dus.
3. LEAP authenticatie: Cisco LEAP authenticatie is een van de grootste fouten die bedrijven maken, omdat ze hierdoor erg kwetsbaar zijn voor aanvallen. LEAP is afhankelijk van een sterk wachtwoord, maar dat is erg lastig voor mensen om te onthouden.
4. Uitschakelen DHCP: Dit heeft geen enkele security waarde en is eerder een verspilling van tijd.
5. Locatie van de antenne: Sommige mensen denken dat door het plaatsen van een access point op een bepaalde plaats aanvallen voorkomen kunnen worden, wat niet waar is.
6. Gebruik van 802.11a of Bluetooth, ook dit gaat niet werken aldus Ou.
Heb je bovenstaande tips ingesteld, of juist niet, dan heeft security aanbieder McAfee een website waar gebruikers gratis de beveiliging van hun draadloos netwerk kunnen testen. De online WiFiScan vereist de installatie van een ActiveX control. Hierna zal het draadloze netwerk gescand worden, en mochten er gaten in de beveiliging gevonden worden, dan verschijnt er advies hoe je die kan dichten.
Aanvullende tips zijn van harte welkom op redactie@security.nl.
gedefinieerd die weg is van mijn vaste machines. Op die manier kan ik
machines van anderen toch in mijn netwerk hangen. Omdat op elke PC bij
mij een firewall draait, kan ik heel strak inregelen, dat alleen mijn eigen
PC's onderling toegang hebben. Moet ik iets van mijn eigen PC naar een
bezoeker hebben, zal het dus daarnaar gepusht moeten worden.
Ook dit is allemaal niet extra veilig, maar wil je veilig werken en toch wat
functionaliteit hebben, moet je soms iets verzinnen.
achterdeurtje.
Bepaalde instanties kunnen er nu makkelijker bij denk ik.
voor de nieuwe security.nl lezers, maar dit wordt toch wel vaak herhaald.
Misschien tijd voor een security tips sectie?
gebruiken. Want het is in nederland niet toegestaan deze
frequenties te gebruiken, deze zijn toegewezen aan andere
gebruikers (zie http://www.agentschap-telecom.nl )
Verder is het natuurlijk gewoon "security by obscurity" want
bijna iedere doorsnee wifi-kaart ondersteund ook "a" en het
wordt er niets veiliger van.
ip te geven. Er staat wel dat er geen meerwaarde is aan het uitschakelen
van DHCP, dit klopt ook wel want op het moment dat je gaat sniffen heb je
zo het subnet gevonden.
Maar er zijn ook idioten die voorbij rijden en denken 'haha die kan ik
HACKEN', die nog nooit gehoord hebben van packet sniffing of packet
capturing, dus voor een klein deel van de 'HACKENDE' groep heeft het wel
degelijk meerwaarde.
Ik heb het hier dan ook alleen maar over thuis implementaties, voor een bedrijf is dit natuurlijk geen optie.
De opstelling zou een reele security hebben op het moment dat er WPA (met lange key) encryptie wordt gebruikt en je in een DMZ komt en pas verbinding met het netwerk krijgt na een VPN authenticatie e.d.
worden voordat iemand binnen is, hoe oninteressanter het wordt voor de
scriptkiddie die met z'n laptopje aan het wardriven is. Natuurlijk stellen de
meeste 'beveiligings' tips an sich niets voor, maar alles bij elkaar zorgen ze
voor een gelaagde structuur. Sommigen van ons, die gevlogen hebben, of
een speciale auto rijden, achter speciaal glas zitten, honden hebben
getraind, of beschoten zijn met vest weten dat vele 'mindere' laagjes, beter
zijn dan 1 goede laag. In het beste geval geeft het de bescherming die je
nodig hebt, in het ergste geval, geeft het je tijd om te zien dat er wat gebeurt.
Wanneer ik kijk naar mijn idslogs, dan blijkt dat 1 keer in de maand een
wardriver langs komt, en 400.000 keer per uur mijn internetverbinding
aangerand wordt. Mwa, dan ben ik tevreden met mijn 7 laags WiFi
beveiliging.
AS
Ik vind het frapant dat geadviseerd wordt om 802.11a te
gebruiken. Want het is in nederland niet toegestaan deze
frequenties te gebruiken, deze zijn toegewezen aan andere
gebruikers (zie http://www.agentschap-telecom.nl )
Hmmzz, Cisco denkt daar anders over:
http://www.cisco.com/warp/public/779/smbiz/wireless/approvals.html
Ik vind het frapant dat geadviseerd wordt om 802.11a te
gebruiken. Want het is in nederland niet toegestaan deze
frequenties te gebruiken, deze zijn toegewezen aan andere
gebruikers (zie http://www.agentschap-telecom.nl )
802.11a frequenties (5GHz) zijn wel degelijk vrijgegeven:
http://www.agentschap-telecom.nl/informatie/publicaties/nieuwsbrieven/nb_0403_fis.html
En aangezien ze minder vaak gebruikt worden is er dan ook
enige vorm van beveiliging om dit soort apparatuur te gebruiken.
Voor een "echte" hacker of een script kiddy met echte
hacktools zijn de meeste maatregelen zoals boven beschreven
nauwelijks een drempel.
Alleen WPA (of beter WPA2) met een sterk wachtwoord (of
beter 802.1x) zet goed zoden aan de dijk.
Wat ik wel merkwaardig vind is dat iedereen wel een extra
pc'tje heeft staat voor FTP of NAS of andere doeleinden;
gebruik je toch gewoon als RADIUS server ? (mogelijk
integratie met AD).
Ook VPN verbindingen mis ik hier.
Meerdere lagen van 'mindere' beveiliging is natuurlijk onzin.
Probeer maar es door 1 laag van PKI heen te komen.
Zoals al eerder gezegd....WPA is ook maar schijnveiligheid
(gebruik lang wachtwoord)
Gewoon helemaal afzien van dat wifi truukje.
maar lekker aan de kabel gaan hangen met utp stekkertjes XD
Alleen al het feit dat we zo lang aan het lullen zijn bewijst maar al te goed dat het weer nerds zijn die zelf half dement geboren zijn .
Alles hangt dus af van de menselijke input en helaas we constateren weer al een eeuwenoud debakel namelijk ( met trotsheid toon ik u mijn draadlozeverbinding die ik van sint kreeg XD.)
Maar kijk ik las ooit dat alles gewoon al ingesteld had moeten zijn op je router die volgens de huidige standaard wpa 2 alles saver maakt.1 of ander merkje bedoelde ik te gaan zeggen .
Wat ik wel merkwaardig vind is dat iedereen wel een extra
pc'tje heeft staat voor FTP of NAS of andere doeleinden;
gebruik je toch gewoon als RADIUS server ? (mogelijk
integratie met AD).
Ook VPN verbindingen mis ik hier.
Meerdere lagen van 'mindere' beveiliging is natuurlijk onzin.
Probeer maar es door 1 laag van PKI heen te komen.
Zoals al eerder gezegd....WPA is ook maar schijnveiligheid
(gebruik lang wachtwoord)
Ik snap ook niet dat niet half Nederland met een VPN werkt.
1 keer installeren (5 - 10 minuten max.) en klaar is Kees.
Kost je een euro of 5 in de maand afhankelijk welke VPN je kiest + het is zoveel veiliger.
Voor de beginners onder ons: http://vpnservice.nl/wat-is-een-vpn-service/
Zeker als je wel eens gebruik maar van openbare wifi spots kan dit je vreselijk veel penarie besparen om via een VPN te internetten.
voor de nieuwe security.nl lezers, maar dit wordt toch wel vaak herhaald.
Misschien tijd voor een security tips sectie?
Eens! Dit hoort basiskennis te zijn voor iedereen die WIFI gebruikt. Je doet je voordeur toch ook op slot?
Deze posting is gelocked. Reageren is niet meer mogelijk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?