Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Tips voor het beveiligen van je thuisnetwerk/ WiFi netwerk

20-11-2014, 22:27 door [Account Verwijderd], 13 reacties
Laatst bijgewerkt: 20-11-2014, 23:00
In dit topic zou ik tips willen verzamelen die gebruikt kunnen worden bij het beveiligen van het thuisnetwerk/ WiFi netwerk. Aangezien het maken van een veilig thuisnetwerk zal voor sommigen misschien geen vanzelfsprekendheid zijn, net als het maken van een back-up misschien niet voor iedereen een vanzelfsprekendheid zal zijn. zie ook https://www.security.nl/posting/401455/Tips+voor+het+maken+van+een+back-up.

Welke tips hebben jullie die gebruikt kunnen worden bij het beveiligen en veilig houden van je thuisnetwerk? Hoe zorgen jullie ervoor dat er bijvoorbeeld zo veilig mogelijk bestanden tussen computer A en B gedeeld kunnen worden?

Twee tips die alvast gebruikt kunnen worden bij het beveiligen van het WiFi netwerk:

1) Stel naast een wachtwoord voor je WiFi netwerk, ook een wachtwoord in voor je router.
2) Controleer regelmatig welke apparaten verbinding maken met je netwerk en je ook weet welke apparaten dit zijn (en er dus geen apparaten zonder jouw toestemming in je netwerk zitten).

Hopelijk hebben en willen andere security.nl bezoekers nog tips geven die gebruikt kunnen worden bij het beveiligen en veilig houden van het thuisnetwerk. Alvast bedankt.

wijziging: toevoeging van een tweede tip.
Reacties (13)
20-11-2014, 23:14 door mcb - Bijgewerkt: 20-11-2014, 23:19
tip: Zet het zendvermogen niet op 100%.
omdat:
1. je wifi signaal niet in de hele straat te ontvangen is.
2. iedereen niet elkaars signaal weg drukt. (dit gaat natuurlijk alleen op als je buren dit ook doen).
Overigens is (2) niet direct een beveiligingsissue maar "mooi meegenomen".

1) Stel naast een wachtwoord voor je WiFi netwerk, ook een wachtwoord in voor je router.
Aanvulling: Sommige routers hebben de optie om remote managment ook vanaf de wan-poort te kunnen doen.
Indien aanwezig moet dit natuurlijk worden uitgezet. Al was het maar om het brute force'n van de router pw te voorkomen.

Tip: Zet WPS uit.
Tip: Zet UPnP uit. Om te voorkomen dat ongewild je NAS, IP-cam e.d. zomaar van buiten te benaderen zijn en dus je bestanden en beelden door iedereen kan worden ingezien.
20-11-2014, 23:48 door Anoniem
Ja, hartstikke leuk hoor, dat wiel opnieuw uitvinden.

http://compnetworking.about.com/od/wirelesssecurity/tp/wifisecurity.htm
en
http://www.wi-fi.org/discover-wi-fi/security


Dan zijn we er wel, +1 voor de bijkomende opmerkingen van mcb.
21-11-2014, 09:25 door Anoniem

Dit.
No offence. Bedankt voor de moeite van het maken van een post, maar ik zie hier weinig toegevoegde waarde in.
Security.nl kent geen stickies, dus over drie weken is deze post nergens meer te vinden.

Hierbij mijn toevoeging, pentest je eigen wifi (voor beginners!)
http://lifehacker.com/how-to-hack-your-own-network-and-beef-up-its-security-w-1649785071
21-11-2014, 10:54 door Anoniem
Aanvullende tip:

Werk met whitelisting ipv blacklisting. Dus in plaats van ieder apparaat toe te laten op je netwerk BEHALVE apparaten met bepaalde mac adressen, configureer je je netwerk zo dat enkel apparaten met een MAC adres dat jij gespecificeerd hebt toegang tot je netwerk hebben
21-11-2014, 11:17 door Preddie
Door Anoniem: Aanvullende tip:

Werk met whitelisting ipv blacklisting. Dus in plaats van ieder apparaat toe te laten op je netwerk BEHALVE apparaten met bepaalde mac adressen, configureer je je netwerk zo dat enkel apparaten met een MAC adres dat jij gespecificeerd hebt toegang tot je netwerk hebben

Dit is MAC-filtering heeft bijna geen toegevoegde waarde. Dit beschermt alleen maar wanneer er geen apparaten verbonden zijn met het WIFI netwerk... Wanneer er wel apparaten verbonden zijn zie je het verkeer en dus ook het mac-adres hiervan. Binnen twee klikken pas je vervolgens je eigen mac-adres aan naar een adres wat wordt toegelaten op het netwerk.

Mac-filtering is dus eigenlijk alleen maar lastig, terwijl je er een nihil rendement uit haalt. Indien clients niet met elkaar hoeven te communiceren zou je "Client Isolation" aan kunnen zetten. Zo kunnen geinfecteerde apparaten elkaar niet aanvallen, en mocht een aanvaller toch toegang krijgen tot het netwerk dan dient eerste de router/accesspoint overnomen te worden alvorens je een doelstation op het netwerk kunt aanvallen....
21-11-2014, 12:31 door Briolet
Door _kraai__: …Hoe zorgen jullie ervoor dat er bijvoorbeeld zo veilig mogelijk bestanden tussen computer A en B gedeeld kunnen worden?…

Op zijn minst alle computers van een sterk wachtwoord voorzien en de gastaccounts uitschakelen. Dat van wachtwoorden klinkt logisch, maar er zijn er genoeg die niet doen.
21-11-2014, 13:11 door Anoniem
pentest je eigen wifi (voor beginners!)
http://lifehacker.com/how-to-hack-your-own-network-and-beef-up-its-security-w-1649785071

Is leuk maar je moet wel een Wifi antenne hebben met de juiste chipset anders kan je geen pakketje injecteren en kom je nog nergen
21-11-2014, 13:19 door Anoniem
Door Predjuh:
Dit is MAC-filtering heeft bijna geen toegevoegde waarde. Dit beschermt alleen maar wanneer er geen apparaten verbonden zijn met het WIFI netwerk... Wanneer er wel apparaten verbonden zijn zie je het verkeer en dus ook het mac-adres hiervan. Binnen twee klikken pas je vervolgens je eigen mac-adres aan naar een adres wat wordt toegelaten op het netwerk.

Ja maar als je daar echt wat mee wilt doen dan moet je eerst weer wachten tot die andere gebruiker weg is, want als
je dat MAC adres in gebruik neemt heb je een dubbele met allerlei rare effecten tot gevolg. Dus iets doet dat toch wel.

Ik denk dat de 1e vraag is: wat wil je voorkomen. En wat doet je router hier al aan.
Veel routers hebben de WiFi als bridge naar het LAN staan zonder verdere filtering, dat is geen best startpunt.
Maar heb je een wat slimmere router dan kun je de WiFi gebruikers al in een ander subnet zetten, soms zelfs meerdere.
(bijv apart voor apparaten die toch alleen maar naar internet hoeven, en voor apparaten die je bij andere spullen op je
LAN wilt laten komen)
21-11-2014, 14:41 door Anoniem
Door Anoniem:
pentest je eigen wifi (voor beginners!)
http://lifehacker.com/how-to-hack-your-own-network-and-beef-up-its-security-w-1649785071

Is leuk maar je moet wel een Wifi antenne hebben met de juiste chipset anders kan je geen pakketje injecteren en kom je nog nergen

Eh. Nee. Een laptop/computer met WiFi is wel nodig.
21-11-2014, 14:44 door Anoniem
Door Anoniem:
pentest je eigen wifi (voor beginners!)
http://lifehacker.com/how-to-hack-your-own-network-and-beef-up-its-security-w-1649785071

Is leuk maar je moet wel een Wifi antenne hebben met de juiste chipset anders kan je geen pakketje injecteren en kom je nog nergen

Yep. Dit is niet uitvoerbaar met een houten computer anno 1804.
21-11-2014, 15:00 door Preddie
Door Anoniem:
Door Predjuh:
Dit is MAC-filtering heeft bijna geen toegevoegde waarde. Dit beschermt alleen maar wanneer er geen apparaten verbonden zijn met het WIFI netwerk... Wanneer er wel apparaten verbonden zijn zie je het verkeer en dus ook het mac-adres hiervan. Binnen twee klikken pas je vervolgens je eigen mac-adres aan naar een adres wat wordt toegelaten op het netwerk.

Ja maar als je daar echt wat mee wilt doen dan moet je eerst weer wachten tot die andere gebruiker weg is, want als
je dat MAC adres in gebruik neemt heb je een dubbele met allerlei rare effecten tot gevolg. Dus iets doet dat toch wel.

Euh kom je daarbij? de gebruiker merkt er echt helemaal niks van. Wellicht dat je wat voorbeelden kunt geven van 'rare effecten'?

Juist als de gebruiker verbonden is kun je allerlei extra informatie achterhalen, bijv. als de WPA handshake wil afvangen dan heb je echt een geauthenticeerde cliënt nodig. Echter gaat een gebruiker die wel merken omdat ik deze handshake alleen af kan vangen op het moment dat de gebruiker verbinding maakt, daarvoor stuur je een disconnect packet de lucht in waardoor de gebruiker tijdelijk zijn of haar verbinding verliest en zeer waarschijnlijk opnieuw verbinding maakt en daarbij een WPA hanshake verstuurt.....
21-11-2014, 15:26 door [Account Verwijderd] - Bijgewerkt: 21-11-2014, 21:41
Eerst bedankt voor jullie reacties.

Nog twee tips:

tip: Ook al staat er al een firewall op je router ingesteld, kan het evenzogoed handig zijn om toch ook gewoon een firewall op bijvoorbeeld je computers te hebben staan.

tip: Als je router over een 2.4 en 5 GHz netwerk beschikt en je gebruikt er maar 1 van de 2 zou je kunnen overwegen het niet gebruikte netwerk uit te zetten.

off-topic

@Anoniem 09:25, Ik sta open voor kritiek en ik wil jouw punt dan ook graag beantwoorden. security.nl bevat een zoekfunctie, en ook via een zoekmachine zal deze pagina denk ik ook wel te vinden zijn, En kijk maar eens naar topics waar soms na 2 jaar nog een reactie op komt die zijn dus ook nog gevonden. Ik zie er dus wel de meerwaarde van in.
21-11-2014, 16:48 door Anoniem
@ Predjuh
Interessant. Ik zat even mee te lezen, maar volg het toch niet helemaal.

1. Wat ik meen te snappen, is dat je het MAC-adres kunt afvangen, en dat je verzending van die MAC kunt uitlokken
door een disconnect packet te verzenden met de IP (die je al hebt afgeluisterd) van de authentieke client als afzender.
De authentieke client gaat daarna een reconnect doen waarbij die MAC wordt verzonden.
(dit kan, want naar mijn weten zijn MAC en IP niet versleuteld)
Allemaal correct?

2. Nu stel dat je het MAC-adres te weten bent gekomen.
Met dit MAC-adres kun je volgens mij nog geen verbinding met de router leggen.
Je kunt nu alleen een "connectpoging" wagen, omdat je niet meer wordt geblokkeerd vanwege het MAC-filter.

Ik snap verder, dat je ook de WPA signalen van een authentieke client tijdens een router-connect kunt afluisteren.
En dat je eveneens opnieuw verzenden van die WPA-handshake kunt uitlokken m.b.v. een disconnect-packet.
Maar die WPA-signalen zijn toch niet altijd exact gelijk? Net zoals een https handshake niet altijd gelijk is omdat hier een
"random factor" bij betrokken is? Ik bedoel: als je 1x een WPA-handshake hebt gekopieerd, wat kun je daar dan mee?
Want volgens mij is iedere WPA handshake weer anders, en daar is het WPA wachtwoord bij betrokken.
Is hierbij geen sprake van uitwisseling van een geheime key met de methode van asymetrische encryptie?
Zonder dit WPA wachtwoord, kun je toch nog niets?

Verder zat ik te denken dat je volgens mij een tweede verbinding met de router kunt voorkomen met "MAC-binding",
waarbij er een vast IP-adres wordt toegewezen aan een bepaald MAC-adres.
Als de authentieke client al verbinding met de router heeft opgebouwd, dan is het volgens mij niet mogelijk
dat er nog een tweede device met exact hetzelfde MAC-adres óók een verbinding met de router kan maken.
Want de router staat (als het goed is) niet toe om voor twee verbindingen hetzelfde IP-adres (gedefinieerd door de "bind")
uit te geven. In dat geval zou mijn aanvullende tip zijn: maak gebruik van MAC binding!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.