U bent hier

Digitale veiligheid
3. Netwerken3.4 Draadloze netwerken
Voor Digitale veiligheid

3.4 Draadloze netwerken

Laatst gewijzigd: mei 2021

bijzonder

Draadloze netwerken vormen een bijzondere categorie van netwerken en kennen behalve de reguliere bedreigingen nog enkele extra beveiligingsrisico’s. Denk aan openbaar (mobiel) internet, wifi en andere draadloze netwerken die niet alleen intern maar ook extern contact kunnen maken. Daar liggen nog veel meer cybercriminelen op de loer, want die verbindingen bevinden zich voor een groot deel buiten de kantoormuren en zijn daarom minder goed te beveiligen.

Draadloos haalt bekabeld netwerk bijna in

kostbaar

Draadloze toegang tot internet en het netwerk van de organisatie is bijna net zo gangbaar op kantoor als het gebruik van het bekabelde netwerk. Het leggen van kabels is een behoorlijk kostbare aangelegenheid, waardoor steeds vaker voor een draadloze verbinding wordt gekozen.

Buitenstaanders

essentieel

Ook de buitendienstmedewerker met zijn laptop of de telewerker die zo nu en dan eens op kantoor verschijnt, kan via een draadloze verbinding gemakkelijk toegang krijgen tot het bedrijfsnetwerk zonder dat daarvoor kabels op lege plekken moeten worden vrijgehouden. Maar let op! Hetzelfde geldt voor onbevoegde buitenstaanders. Goede beveiliging is dus essentieel.

3.4.1 Werking

radiosignaal

router

Draadloos netwerk is gebaseerd op radiosignalen: een speciaal daarvoor geschikte netwerkkaart zet digitale informatie om in een radiosignaal en kan ook een ontvangen radiogolf converteren naar digitale informatie. De radiosignalen kunnen naar andere draadloze netwerkapparaten worden gestuurd, zoals een router of een andere netwerkkaart. De snelheid waarmee dit gebeurt, is enerzijds afhankelijk van de efficiëntie waarmee de digitaal-radiogolfconversie plaatsvindt en anderzijds van de frequentie van de radiogolf. De wifi-verbindingen kunnen overigens qua snelheid ook nog last hebben van storingen door obstakels of door interferentie met andere elektrische apparaten.

Wifi is een door het Institute of Electrical and Electronics Engineers vastgesteld standaardprotocol voor draadloze netwerken en op veel openbare plekken te gebruiken. Maar de betrouwbaarheid is op elke plek anders.

3.4.2 Verbinding maken

laptop

instrueren

De hardware voor draadloze netwerken is over het algemeen eenvoudig te installeren. Laptops en tablets beschikken tegenwoordig standaard over ingebouwde draadlozenetwerkkaartjes en behalve uzelf bekendmaken in het netwerk is er niet zo veel nodig om een draadloze verbinding te leggen. Omdat de wifi-netwerken niet overal (goed) beveiligd zijn, is het verstandig om werknemers hierover te informeren en ze te instrueren dat ze hun eigen laptop, pc of smartphone beveiligen als ze daarmee via een wifi-netwerk zakelijke gegevens ontvangen en versturen. Vergeet ook niet de eigen draadloze netwerken te voorzien van de nodige beveiligingsmiddelen.

Hardware

apparatuur

In een draadloos netwerk heeft u behalve draadlozenetwerkkaarten ook modems, routers en access points of combi-apparaten nodig met meerdere functies. Vaak bevat zulke apparatuur ook allerlei beveiligingsonderdelen, in ieder geval voor de toegang. Soms is zelfs een complete firewall geïntegreerd.

3.4.3 Beveiliging

webapplicatie

kennis

De beveiliging voor draadloze netwerken gebeurt vaak via een webapplicatie die lokaal in de browser kan draaien. De software biedt de beheerder meestal een flinke hoeveelheid mogelijkheden. In veel gevallen moet uw organisatie een afweging maken tussen gemak en veiligheid. Meer en strakkere instellingen leveren een hogere beveiligingsgraad op, maar vereisen ook meer verdieping (en kennis) vanuit de gebruikerskant.

naam

toegang

IP-adres

Hieronder volgt een lijst van zaken en tips met betrekking tot de beveiliging van draadloze netwerken. De genoemde maatregelen kunnen u helpen om de veiligheid en privacy van uw draadloze netwerk te regelen of te verbeteren. Vooral de combinatie van de mogelijkheden maakt een goede beveiliging compleet.

  • Geef uw draadloze netwerk een eigen, unieke naam. Dat regelt u via de Service Set IDentifier (SSID). Vermijd gebruik van de standaard SSID die meestal afgeleid is van de merknaam of de naam zelf, want daarmee weet een kwaadwillende welke hardware u heeft en kan hij eventuele kwetsbaarheden van die hardware opzoeken op internet en vervolgens misbruiken.
  • Uw access point hoeft niet per se continu zijn SSID uit te zenden (‘broadcast’) als alle gewenste pc’s correct verbonden zijn. Schakel daarom de broadcast uit, zodat vreemden uw netwerk niet zien.
  • Zorg dat de toegang tot de router of het access point goed is beveiligd met een eigen loginnaam en wachtwoord. Verander dus direct de standaard ingestelde logingegevens (vaak admin/admin, en dat weten krakers ook).
  • Geef elk systeem in het draadloze netwerk een uniek vast IP-adres om met de router te communiceren. Stel in dat alleen apparaten met die IP-nummers toegang krijgen.
  • Vermijd dynamische toekenning door de router, dan kunnen ook ‘vreemde’ systemen een adres krijgen en worden ze – misschien ongewild – in uw netwerk opgenomen.
  • Elke netwerkkaart – draadloos of bedraad, en ook blue­tooth hardware – heeft een uniek MAC-adres (Media Access Control) dat niet is aan te passen. Dit zou u kunnen gebruiken om met behulp van MAC-filtering de toegang tot de router vrij te geven en andere hardware te weigeren.
  • Versleutel altijd de data die over het draadloze netwerk gaan. Gebruik daarbij bijvoorbeeld de WPA2-methode. Andere manieren van versleutelen vindt u hierna.

3.4.4 Versleuteling

ontcijferen

veiligst

De belangrijkste encryptiemethoden in draadloze netwerken zijn:

  • WiFi Protected Access (WPA). Deze methode maakt gebruik van tijdelijke sleutels volgens het Temporal Key Integrity Protocol (TKIP). Die veranderen steeds, dus als het iemand al eens lukt om een datapakketje met een sleutel te onderscheppen, is die sleutel niet bruikbaar om latere gegevens te ontcijferen. Bovendien is het bij WPA gemakkelijker te controleren of gegevenspakketjes wel echt zijn.
  • Pre-Shared Key (PSK). Variant van WPA: alle computers in het netwerk gebruiken een vooraf ingestelde passphrase om de wisselende encryptiesleutels te genereren.
  • Extensible Authentication Protocol (EAP). Dit is een andere WPA-variant bedoeld voor grotere bedrijfsnetwerken, waarin meestal een derde partij de verdeling van sleutels regelt.
  • WPA2/CCMP. Op dit moment de veiligste methode voor draadloze netwerken. Hierbij worden de sleutels én de encryptie geregeld via het nauwelijks te kraken versleutelingsprotocol Advanced Encryption Standard (AES).

verouderd

Gebruikt u Wired Equivalent Privacy (WEP), dan gebruikt u een verouderde en makkelijk te kraken beveiliging. Het wordt dan ook afgeraden om deze variant nog te gebruiken.

Openbare wifi-netwerken hebben geen enkele versleuteling en zijn dus erg risicovol bij het versturen van data. U kunt deze netwerken het beste niet of voor slechts beperkte handelingen gebruiken.