image

Tips voor een veiligere WiFi-router

maandag 10 april 2006, 11:51 door Redactie, 26 reacties

De meeste mensen die een router voor hun thuisnetwerk installeren lopen zelden alle security instellingen door. Met de nieuwe generatie routers is het "plug and play" en is het aansluiten voldoende om te kunnen internetten. Gebruikers doen er toch verstandig aan om sommige opties aan te passen, aangezien die de veiligheid van router en systemen ten goede komen. Hieronder 10 tips, aanvullingen zijn welkom.

  1. Schakel UPnP uit. Universal plug and play is een handige feature, maar kan ook door Trojaanse paarden gebruikt worden om een poort in de firewall te openen.
  2. Verander het admin wachtwoord. De meeste routers hebben standaard en makkelijk te raden wachtwoorden.
  3. Schakel SSID broadcast uit. Dit voorkomt dat de router door passanten gevonden wordt.
  4. Schakel de Demilitarized Zone (DMZ) in. Een handige optie voor bijvoorbeeld webcams die op deze manier buiten de firewall van de router worden geplaatst.
  5. Filter MAC adressen. Geef toegang tot de router en internet alleen aan computers waarvan het MAC adres bekend is.
  6. Pas de naam van het SSID aan. De meeste routers hebben eenvoudig te raden SSIDs, wat door een aanvaller gebruikt kan worden.
  7. Update de firmware. Net als met alle software worden ook in router software regelmatig bugs gevonden.
  8. Mocht het niet meer werken, dan kun je via de reset optie alle standaard instellingen weer terug krijgen.
  9. Gebruik WEP
  10. Activeer WPA
Update: titel aangepast
Reacties (26)
10-04-2006, 12:22 door Anoniem
Dat doet toch geen enkele eindgebruiker.

Afgezien van de foute adviezen. Hou het simpel:

1. Geef in het veld SSID de router een leuke naam.
2. Gebruik WPA-PSK of WPA2-PSK Schrijf dit op
3. Zet een wachtwoord in de router. schrijf dit op

Klaar.
10-04-2006, 12:23 door Anoniem
En de allerbeste beste tip !!!

Zet hem niet aan :-)
10-04-2006, 12:40 door PietNL
Gebruik WEP

Activeer WPA

????? en toen!
10-04-2006, 12:56 door Anoniem
Door PietNL
Gebruik WEP

Activeer WPA

????? en toen!

Waarschijnlijk helpdesk bellen want "hij doet het niet meer" :-)

Tip 1: Koop een router zonder wireless als je niet van plan
bent wireless te gaan gebruiken.
Tip 2: Plan niet om wireless te gaan gebruiken :-)
10-04-2006, 12:58 door Anoniem
11. Lees: http://blogs.zdnet.com/Ou/index.php?p=43 en ga terug naar af.
10-04-2006, 12:59 door Anoniem
Het is toch.. WPA of WEP
10-04-2006, 13:03 door SirDice
3. Schakel SSID broadcast uit. Dit voorkomt dat de
router door passanten gevonden wordt.
Onzin. Het SSID wordt toch wel verzonden en als consequentie gevonden door passanten.. Het SSID is geen security feature.. Het wordt uitsluitend en alleen gebruikt om het ene wireless netwerk van het andere te onderscheiden. Analoog aan VLANs..
5. Filter MAC adressen. Geef toegang tot de router en internet alleen aan computers waarvan het MAC adres bekend is.
Heeft geen zin. Het MAC adres is eenvoudig op te vangen als er communicatie is tussen een station en het AP. Daarna even wachten tot dat station stil is, het mac adres veranderen van je wifi kaart en je hebt toegang tot het netwerk..
9. Gebruik WEP
10. Activeer WPA
Je gebruikt of WEP of WPA.. En de voorkeur gaat uit naar WPA..
10-04-2006, 14:14 door Anoniem
Tip 3, 5 zijn zinloos en bieden ook geen meerwaarde aan de
security.
Ik snap niet goed wat er met tip 4 bedoeld wordt, maar het
inschakelen van DMZ maakt je PC juist onveiliger (daar alles
wordt geforward naar dat IP). Port forwarding van alleen de
benodigde poorten is een veel betere oplossing.
Verder is WPA alleen veilig genoeg.
10-04-2006, 14:36 door SirDice
Door Avenger 2.0
Verder is WPA alleen veilig genoeg.
Da's relatief... Veilig genoeg voor jou misschien ;)
10-04-2006, 14:38 door Anoniem
muha diegene die dit artikel heeft geschreven heeft cker nog
nooit zoon WIFI router geinstalleerd ....

je gebruikt OF wep OF wpa. DMZ schakel je uit hoe dan ook
... grootste fout die je kan maken in mijn ogen buiten het
niet veranderen van de admin passes.

voorzie je router van de laatste firmware, er staat niks
geschreven over firewall rules.

mac filtering is aan te raden ja. en je SSID verborgen
houden is ook altijd een goed item.'

encryptie ? van de verstuurde data ? gezien een
sniffer/filter de grootste risico punten zijn bij beveiligde
netwerken, gezien deze niet op de hoogte zijn van het
kinderspel waarmee je gegevens worden afgevangen !
10-04-2006, 14:38 door Anoniem
Door SirDice
Door Avenger 2.0
Verder is WPA alleen veilig genoeg.
Da's relatief... Veilig genoeg voor jou misschien ;)
Je wou zeggen dat het niet goed genoeg is voor de thuisgebruiker?
10-04-2006, 15:57 door pipo
Laat ik hier nu vorige week al een soortgelijk artikel over
gezien hebben met 133 reacties over hoe het moet ;-)

Tip 11. Controleer met regelmaat je logfiles. Beveiling is
zowel preventief als detectief.
10-04-2006, 16:51 door Anoniem
Door SirDice
Door Avenger 2.0
Verder is WPA alleen veilig genoeg.
Da's relatief... Veilig genoeg voor jou misschien ;)

Je kunt er natuurlijk altijd een VPN over draaien en alles 3
keer encrypteren met verschillende algoritmen, maar voor de
99,99999999% van de mensen voldoet WPA ruim. Mits een lange
passphrase is het immers onkraakbaar.
10-04-2006, 16:59 door d.lemckert
Door Avenger 2.0
Door SirDice
Door Avenger 2.0
Verder is WPA alleen veilig genoeg.
Da's relatief... Veilig genoeg voor jou misschien ;)

Je kunt er natuurlijk altijd een VPN over draaien en alles 3
keer encrypteren met verschillende algoritmen, maar voor de
99,99999999% van de mensen voldoet WPA ruim. Mits een lange
passphrase is het immers onkraakbaar.

Onkraakbaar is een groot woord. Er is nu nog geen economische methode
om het te doen, maar dat wil niet zeggen onkraakbaar.

Ik ben het overigens wel met je eens, een goede key maakt WPA-PSK
goed bruikbaar voor thuisgebruik. Het accesspoint is dan niet interessant
genoeg om te kraken, spammers en code-injectors hebben nog genoeg
open accesspoints te misbruiken, zodat ze zich dan niet met jouw
accesspoint gaan bezighouden.
10-04-2006, 17:11 door Anoniem
WPA encryptie is ruim voldoende voor een leek. Om dit te kraken moet er
aantal maanden een vrachtwagen in je straat staan.. met supercomputers
gekoeld op stikstof..
10-04-2006, 17:49 door wimbo
gebruik snailmail om aan je informatie te komen en blijf
gewoon van het internet af.
met de 'analoge' Goudengids en telefoongids kom je een heel
eind (zei het wat traag) :-)
10-04-2006, 17:52 door Anoniem
waarom worden dit soort domme tips gegevens als ze geen eens
kloppen?
iemand dit die dit als leek leest zal meteen stranden omdat
hij geen wep EN wpa kan kiezen en een beetje kenner zal
nooit wep kiezen en altijd wpa.
daarbij heeft inderdaad het verbegen van je ESSID en mac
adres filtering totaal geen zin.
Pak een leuk kaartje..laat hem met airsnort een dagje
sniffen en daarbij het geluk hebben dat iemand met een wel
valide mac adres het desbetreffende Ap gebruikt en hopla: je
ziet EN de WEP key,zijn mac adres en de ESSID.
WEP is leuk voor als je een 11.b AP hebt er niks anders kan
kiezen en je netwerk redelijk goed dicht zit..voor de rest
is het pruts..
10-04-2006, 18:11 door gmlk
Persoonlijke configuratie:

0. admin password veranderd
1. router ip adress veranderd
2. het verbind nu alleen nog maar met bekende MAC adressen
3. WPA-PSK/AES met een random 256 bits shared secret.

Zie ook https://www.grc.com/passwords
10-04-2006, 18:43 door G-Force
Laat ik nou blij zijn geen WiFi routers te hebben?
10-04-2006, 20:04 door Anoniem
10-04-2006, 22:26 door Anoniem
1. Schakel UPnP uit. Universal plug and play is
een handige feature, maar kan ook door Trojaanse paarden
gebruikt worden om een poort in de firewall te openen.

En dan werkt je ICQ/MSN/TRILLIAN/JABBER niet meer. Laat
staan je P2P software, je download accelerator enz.

3. Schakel SSID broadcast uit. Dit voorkomt dat de
router door passanten gevonden wordt.

Zinloos, en bij veel fabrikanten niet eens mogelijk. Voor de
simpele warkiddy met het IQ van een visstick is het leuk,
krijgt ie <HIDDEN SSID> te zien.

4. Schakel de Demilitarized Zone (DMZ) in. Een
handige optie voor bijvoorbeeld webcams die op deze manier
buiten de firewall van de router worden geplaatst.

WTF?

6. Pas de naam van het SSID aan. De meeste routers
hebben eenvoudig te raden SSIDs, wat door een aanvaller
gebruikt kan worden.

Zinloos, bij elk pakket wordt alsnog het SSID verzonden. Dus
je roept het toch.

9. Gebruik WEP

Als er niets beters is, is het beter dan niets. Maar het
kost me gemiddeld zo'n 15 minuten om te kraken.

10. Activeer WPA

Activeer WPA2

Probeer verder eens:

* Installeer japanse firmware. Je krijgt dan een extra
kanaal welke de standaard Europeesche meuk niet kan vinden.
Niet kunnen vinden is niet kunnen hacken.
* Hang een WiFi AP nooit aan je interne netwerk. Hang deze
aan een server met VPN mogelijkheden. Bel vervolgens met je
GSM, PDA of laptop in via VPN. In het ergste geval kunnen ze
de encrypted data lezen, die vervolgens ook weer versleuteld
is (tegen die tijd zijn ze weer bij mammie gaan eten).
* Probeer 'anders' te zijn, gebruik bijvoorbeeld 5Ghz WiFi
ipv 2.4GHz, wat hackers niet hebben, kunnen ze ook niet kraken.
* bij gebruik in-huis, probeer een sector antenne te
plaatsen op de zolder, stralend naar beneden. Op deze manier
heb je betere ontvangst IN huis en straal je daarbuiten
amper af... Als je signaal niet als een radiozender overal
naartoe blaast, wordt je ook niet opgevangen.
* gebruik 2 AP's... bijvoorbeeld een 'open' 100mW of 200mW
met een rondstraler die nergens naar connect en vervolgens
eentje op 30mW met een sector antenne waar je echt op werkt
met een block op de 'open' AP (zodat je zelf niet connect
met de honeypot).
10-04-2006, 23:21 door SirDice
Daarom zei ik ook dat "veilig genoeg" een relatief begrip
is.. Een thuisnetwerk heeft nu eenmaal andere eisen dan een
Enterprise class netwerk.. Om nog maar te zwijgen over de
classificering van gegevens en de bescherming daarvan..
11-04-2006, 07:40 door gmlk
Dit bewijst alleen dat WPA-PSK met zwakke
wachtwoorden niet veilig is. Brute force random 256 bit getallen testen is toch
wat anders dan een woordenboek door werken.

Is WPA-PSK echt onveilig of wordt het vaak onveilige gebruikt?
11-04-2006, 11:16 door bustersnyvel
Door Anoniem
* Probeer 'anders' te zijn, gebruik bijvoorbeeld 5Ghz WiFi
ipv 2.4GHz, wat hackers niet hebben, kunnen ze ook niet kraken.

Leuk, is niet toegestaan in Nederland.

Zelf heb ik een open netwerk. De beveiliging komt van de PC die aan de access point hangt. Die staat alleen toe dat je OpenVPN download en een certificaat aanvraagt. Heb je dat eenmaal, dan kan je een VPN verbinding starten en een volledige verbinding krijgen.
11-04-2006, 15:05 door Anoniem
Jammer dat niemand het heeft over WPA
compatibiliteitsproblemen onder verschillende besturingsystemen.
Er zijn (als ik het goed heb) 3 WPA varianten, indien er dus
een "verkeerde" keus word gemaakt kan er geen verbinding
meer worden gemaakt met de router om deze opnieuw te
configureren en dient men de router te resetten eer men weer
toegang kan krijgen tot het configuratiescherm.
12-04-2006, 15:44 door SirDice
Ehhmmm... De meeste WiFi routers hebben een ethernet aansluiting.. Configureren doe je niet wireless.. En je moet er inderdaad wel voor zorgen dat zowel het AP als het station dezelfde beveiliging (WPA-PSK bijv.) gebruiken. De ene kant op WEP en de andere kant op WPA-PSK werkt inderdaad niet.. Zo ook WPA-PSK en WPA-EAP..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.