Gebruikerstip 44 (april 2008)


Beveliging van draadloos netwerken

Veel mensen maken thuis op dit moment alleen nog maar gebruik van een draadloos netwerk. Kabels worden alleen nog gebruikt in bedrijven en wanneer u zeker wilt zijn dat er niemand anders tussen zender en ontvanger in huis kan zitten.
De reden om te kiezen voor draadloos is duidelijk: Het is een kosten en een gemaksverhaal; immers draadloos is goedkoper dan draad aanleggen, en wanneer er gebruik gemaakt wordt van een notebook, is de mobiliteit niet beperkt door het netwerk.

Het opzetten van een draadloos netwerk is echter niet zo eenvoudig of rechttoe rechtaan als het in theorie lijkt. Er zijn veel variabelen die dit proces flink lastiger maken. Daarnaast is het beveiligen van uw netwerk zeer aan te raden als u niet wilt dat alle buren (gewild of ongewild) mee liften op uw verbinding. In dit artikel meer informatie over de opzet van een draadloos netwerk en hoe u zo'n netwerk beveiligt.

Een draadloos netwerk wordt in twee lagen opgebouwd. Allereerst is er de <radio-laag>. Op deze laag legt uw pc (de client) contact met de router (manager) of met een andere pc (ad-hoc verbinding). Om verbinding te kunnen maken, moeten de essid identificatie namen overeenkomen en moeten client en manager op hetzelfde kanaal (dezelfde frequentieband) zitten. Wanneer aan een van deze twee eisen niet is voldaan, is een verbinding niet mogelijk. Daarnaast kunnen er meerdere clients en managers op dezelfde band zitten (met verschillende essid's). Dit gaat maar tot op zekere hoogte goed. Bij teveel verschillende apparaten op dezelfde band, is de verbinding slecht tot onmogelijk. Kies in dit geval voor een andere kanaal voor uw apparaten.

Wanneer deze eerste laag is opgezet, kan de tweede laag, de daadwerkelijke netwerkverbinding worden opgebouwd. Voordat deze laag tot stand kan worden gebracht, moet de manager wel de client accepteren als <eigen> client. Daarvoor wordt allereerst op MAC adres geautoriseerd (dit kan aan en uitgeschakeld worden). Wanneer de client geaccepteerd is, wordt de beveliging geïnitieerd.

Er zijn op dit moment meerdere beveiligingsprotocollen en systemen beschikbaar. De meeste routers bieden WEP, WPA, WPA2, Citrix en aanverwante beveiliging. Daarnaast kan er altijd nog een VPN tunnel gedraaid worden binnen de IP verbinding wanneer deze is opgezet. WEP verbindingen zijn feitelijk achterhaald. De beveiliging die WEP biedt is minimaal en kan met de juiste tools zelfs binnen enkele minuten gekraakt worden. Het maakt hierbij niet uit of er gebruik wordt gemaakt van WEP64 of WEP128 (respectievelijk 40 en 104 bits). Op dit moment moet WPA gezien worden als minimale beveiliging. WPA kan niet zo eenvoudig gekraakt worden als WEP, maar dan moet er wel gebruik gemaakt worden van een deugdelijk wachtwoord. Wanneer dit niet van voldoende kwaliteit is, is <raden> (password guessing) als nog een methode om het netwerk te kraken. WPA bestaat in 2 vormen, WPA1 en WPA2. Deze laatste heeft een nog zwaardere encryptiesleutel. Er bestaan op dit moment geen mogelijkheden anders dan wachtwoord raden om deze encryptie te breken. Citrix en aanverwante beveiligingen maken gebruik van WPA of wpa-achtige codering waarbij het wachtwoord wisselt. Ook deze beveiliging is moeilijk tot niet te kraken.

Het kan voorkomen dat client en manager niet met elkaar kunnen verbinden, ondanks het feit dat beiden hetzelfde protocol, kanaal en essid gebruiken. Helaas zijn er nog steeds vrij veel verschillen tussen netwerkapparatuur van de verschillende fabrikanten. Vuistregel in deze is dat hoe duurder de apparatuur hoe meer en hoe beter de ondersteuning. Wanneer om de een of andere reden twee apparaten niet willen verbinden, wil wisselen van beveiligingsprotocol wel eens helpen. De eenvoudigste en veiligste manier om twee apparaten te verbinden is echter nog steeds de netwerkkabel.

Aanvullende maatregelen voor beveiliging: Geef alleen apparaten waarvan het mac adres bekend is bij de router de mogelijkheid om verbinding te leggen. Maak gebruik van de <cloaking&ht; of <hidden> optie van uw router.

Heeft u nog vragen of opmerkingen, mail ons dan.



home