Een draadloos netwerk is uiteraard altijd minder veilig dan een bedraad netwerk. Toch kun je de veiligheid van je draadloze netwerk naar een goed niveau tillen. Dit is overigens onafhankelijk van het besturingssysteem op de computer.
Over het beveiligen van een draadloos netwerk, doet een aantal fabels de ronde. De belangrijkste vier wil ik eerst even uit de weg ruimen.
ZO MOET HET BESLIST NIET! DE VIER FABELTJES:Fabel 1: de SSID (netwerknaam) onderdrukken.Dit is onverstandig, want het is onmogelijk om het uitzenden van het SSID in zijn geheel te blokkeren. Er zijn namelijk vier andere manieren waarop de router dan nog steeds het SSID blootgeeft.
Het is zelfs een extra risico(!): als het uitzenden van het SSID is uitgeschakeld in de router van het netwerk, moeten de gebruikerscomputers continu hun aanwezigheid prijsgeven. Waardoor ze het SSID overal verspreiden waar ze ook zijn.
Daardoor zijn ze een eenvoudig doelwit. Een aanvaller kan zich voordoen als het netwerk, om zo zonder problemen de authenticatie-verzoeken te verzamelen. Als dat eenmaal gebeurd is, ligt het hele netwerk open.
Fabel 2: MAC-adresfilter gebruikenZinloos, want een aanvaller kan eenvoudig zien welke MAC-adressen toegang krijgen. Vervolgens kan hij zijn MAC-adres vervalsen en krijgt hij alsnog toegang.
Fabel 3: DHCP uitschakelenDit is pure tijdverspilling. Dit houdt een aanvaller hooguit 10 seconden tegen.
DHCP deelt automatisch IP-adressen uit. Dit uitschakelen is nutteloos. Een aanvaller heeft vrijwel direct het IP-schema van het netwerk doorgrond en zichzelf alsnog een IP-adres toebedeeld.
Fabel 4: WEP-beveiliging gebruikenDit is een zeer zwakke beveiliging, die een aanvaller binnen de minuut kan kraken. Het is beter dan helemaal geen beveiliging, maar daar is dan ook alles mee gezegd.
ZO MOET HET WEL! DE ZEVEN TIPS:Tip 1. Als je instellingen verandert in de configuratie van je router, doe dat dan altijd alleen via een
tijdelijke bedrade verbinding. Een draadloze verbinding is hiervoor te onbetrouwbaar.
Tip 2. Indien de configuratie van de router dit toelaat: stel hem zo in, dat het
configuratiescherm van de router alleen toegankelijk is via een bedrade verbinding. En dus niet via draadloos. Helaas heeft niet elke router deze mogelijkheid.
Tip 3. De
SSID (netwerknaam) moet worden uitgezonden.
Tip 4. Verander de SSID (netwerknaam) in een
zelfbedachte naam, waaruit in elk geval niet het merk en/of type van de router blijkt. Let op: de naam mag geen spaties bevatten!
Tip 5. De beveiliging moet minimaal staan op
WPA Personal. WPA2 Personal is nog beter, indien dit mogelijk is voor de router en voor de draadloze kaart in je computer.
Tip 6. AES is de modernste en veiligste vorm van versleuteling. De versleuteling dient daarom bij voorkeur te staan op "
alleen AES". Dus niet op het oudere en minder veilige TKIP. Ook niet op TKIP+AES, want in dat geval is de versleuteling achterwaarts verenigbaar met TKIP.
Let op: Ubuntu 8.04 en Windows Vista hebben geen problemen met "alleen AES", maar Windows XP kan alleen TKIP aan. Programmatuur van derden kan hierbij een oplossing bieden: Intel stelt bijvoorbeeld een programma ter beschikking voor Intel draadloze kaarten, waarmee Windows XP alsnog overweg kan met "alleen AES".
Tip 7. Gebruik een WPA-sleutel die
minimaal 10 tekens bevat, waaronder hoofdletters, cijfers en bijzondere tekens. Let op: geen spaties gebruiken!
--toevoeging--
Tip 8. Zet de
firewall in de router aan.
------------------------------------------------------------------------
Deze instructie heb ik ook in de documentatie op m'n webstek gezet:
http://computertip.googlepages.com/draadlozeveiligheidDoorklikbaar via de algemene veiligheidspagina:
http://computertip.googlepages.com/veiligheidinubuntu(punt 3)
------------------------------------------------------------------------
De basis voor deze instructie zijn de voortreffelijke bijdragen van George Ou op ZDnet:
http://blogs.zdnet.com/Ou/index.php?p=43en
http://blogs.zdnet.com/Ou/?p=454Groet, Pjotr.
