• Draadloos netwerk beveiligen

    2 juli 2006 23:28 door
    Méér en meer zijn er gezinnen met verschillende computers en/of laptop of notebooks. In de nieuwste notebooks is een netwerkkaart standaard al ingebouwd. Het is dus evident dat je dan ook op internet wil. Hiervoor heb je natuurlijk een Access Point of router nodig.



    WiFi Access Point of router
    (Wifi betekent Wireless Fidelity en slaat op draadloze netwerken in het algemeen)
    (Access Point: een netwerkapparaat (hub of switch) dat meerdere computers met draadloze netwerkkaarten aan elkaar koppelt).

    Dit is dé centrale toegang tot je draadloze netwerk, beter gekend als Wireless router. Je kan minimaal vier PC's via kabel aansluiten, maar er blijven nog méér uitbreidingsmogelijkheden over. Een router heeft meestal zelf een ingebouwde firewall, maar dat maakt een software-firewall op je PC daarom nog niet overbodig! Ook kan je netwerkverkeer tussen de aangesloten computers regelen.
    Bij het aanschaffen van een router ervan kijk je best vooruit en beknibbel je niet op een paar eurootjes. Sommige merk-fabrikanten bieden snelle routers aan met eigen aanpassingen, maar in feite werken deze routers met enkel de hardware van dezelfde fabrikant.
    Elke aangesloten computer moet voorzien zijn van de nodige hardware, het gekende netwerkkaartje.

    Wat betekenen de termen:

    802.11: dit is de verzamelnaam voor de specificaties van draadloze netwerken(goedgekeurd door de IEEE).
    11 Mbit: de snelheid van een draadloos netwerk: in dit geval 802.11b.
    54 Mbit: dit is tegenwoordig de standaard van draadloze netwerken, ook bekend als 802.11a en 802.11g.
    WLAN: dit is dus gewoon je draadloos netwerk: Wireless Local Area Network.


    Installatie

    Vanwege de vele types en merken volg je daarvoor best de instructies van de fabrikant. USB-modellen zijn voor Windows XP geen probleem. In sommige gevallen moet je eerst de drivers installeren en dàn pas de hardware aansluiten. Meestal komt de specifieke software mee met de WiFi-hardware.


    Instellingen op de PC
    Meestal zijn deze instellingen standaard gekend door Windows XP.

    Is de installatie van je WiFi adapter geslaagd, krijg je nu een netwerkverbinding in je 'Netwerkverbindingen' te zien. Dit scherm kan je openen via het configuratiescherm of vanaf het bureaublad.
    Klik je nu met de rechtermuis op deze netwerkverbinding, kan je de instellingen aanpassen via 'Eigenschappen'.
    Volgende puntjes krijg je nu te zien:
    • Client voor Microsoft Netwerken
    • Bestanden en Printers delen
    • Internet-protocol (TCP/IP)
    Als je dat laatste aanklikt en op 'Eigenschappen' ervan, kun je de instellingen voor je netwerk aanpassen. Naarmate de instellingen van je WiFi router kun je hier een vast IP-adres, Subnet masker, Gateway en DNS-adressen invoeren. Of je kan kiezen voor 'Automatisch een IP adres laten toewijzen'.
    Als je je router gebruikt als DHCP-server (deze optie is standaard voor routers), kan je je netwerkinstellingen gewoon op automatisch zetten.


    Instellingen op de router: Access Point

    Je stelt best je router in via een 'wired' computer, dan kan er weinig fout gaan. Dit betekent gewoon dat de computer met een kabeltje moet aangesloten zijn op de router.
    Configuren kan ook via je WiFi-verbinding, maar dan moeten de instellingen van de router en PC identiek zijn. Je router kan je benaderen via je browser met een intern IP adres. Dat adres staat meestal in de handleiding van je router, de gekende adressen zijn hier 10.0.0.x of 192.0.0.x.
    Met het welkomstscherm van je router wordt je gevraagd in te loggen. Meestal wordt er geen wachtwoord gebruikt, best kijk je de handleiding hierop na.
    Als je niet wenst dat vreemden je configuratie verstoren is het best om nu meteen een wachtwoord in te voeren om de router te configuren. Het makkelijkst stel je je router nu in als DHCP-server, zodat de computers in je draadloze netwerk op 'Automatisch een IP adres laten toewijzen' kunnen staan (cfr hoger).

    Beveiliging: SSID
    (SSID: Service Set IDentifier, een soort wachtwoord dat gebruikt wordt om draadloze netwerken van elkaar te onderscheiden, bijna vergelijkbaar met de werkgroepnaam)

    Om te voorkomen dat heel de buurt mee profiteert van je netwerk, moet je het beveiligen.
    Dàt kan je nadat je het wachtwoord hebt bepaald. De manier om te configureren is afhankelijk van het type en merk AP.
    Het gemakkelijkste is om te beginnen met het SSID te veranderen, dit is een soort werkgroep voor je draadloze netwerk, waaraan de een standaardnaam gegeven heeft. De SSID is zichtbaar voor draadloze netwerkkaarten en de naam wordt dus getoond op elke computer met een netwerkkaart die het AP gevonden heeft. Die standaardnaam kan zijn 'default', 'wireless' of de naam van het bedrijf. Dit verander je best in een niet zo "gewone" naam voor buitenstaanders en is noodzakelijk voor de beveiliging om je netwerk onzichtbaar te maken. Het wordt dus niet gevonden bij een standaard scan naar draadloze netwerken. Denk er dus aan om op alle computers dezelfde SSID te gebruiken!


    Door de SSID is het voor iedereen zichtbaar dat er een draadloos netwerk aanwezig is. Veel veiliger zou zijn als de naam, en dus het netwerk, verborgen blijven. De meeste access points kunnen voorkomen dat de naam van het netwerk 'uitgezonden' wordt. Computers die verbinding willen maken, moeten dan nadrukkelijk zoeken naar de SSID om verbinding te mogen maken.
    Ga hiervoor naar het configuratiescherm van je AP en zoek de plek waar je de SSID kunt invoeren. Je vindt hier de optie 'Broadcast', 'Enable Broadcast' of iets dergelijks. Standaard staat deze optie ingeschakeld, haal je het vinkje weg dan wordt je SSID niet langer uitgezonden.

    Als je niet automatisch verbinding maakt wordt je van het netwerk gegooid als je de gewijzigde instellingen goedkeurt. Je vind je netwerk nu ook niet meer terug in de lijst bij 'Netwerkverbindingen'. Heel veilig tegen indringers, maar hoe kom je nu op je eigen netwerk?
    Kies hiervoor de optie 'Een draadloos netwerk voor huis of klein bedrijf instellen'.
    Je wordt nu gevraagd de SSID te geven.
    Dan kies je 'Handmatig een netwerksleutel toewijzen' en zet je een vinkje bij WPA-codering. In het volgende scherm moet je de netwerksleutel in voeren en tot slot kies je voor 'Handmatig een netwerk instellen'. Als dit gelukt is maak je nu automatisch verbinding met je netwerk.

    MAC-adres

    Het Media Access Control adres is een unieke naam voor elke netwerkkaart. Dus niet hetzelfde als een IP-adres. Het is vrijwel niet te vervalsen en daarom een goede extra beveiligingslaag. In je router kan je, afhankelijk van type en fabrikant, instellen om enkel bepaalde MAC-adressen toe te laten op je netwerk.
    Daarom moet je van al de aan te sluiten computers eerst het MAC-adres van de draadloze netwerkkaart opzoeken.
    Hiervoor open je een dos-venster en typ: ipconfig/ all. Je kan dit ook in Windows via het menu Start – Uitvoeren en daar "cmd" te typen (zonder aanhalingstekens). In het scherm dat verschijnt voer je vervolgens het commando 'ipconfig/ all' in. Bij de gegevens die verschijnen vind je na "Fysiek adres" ('Physical address') de benodigde code, een combinatie van zes getallen en letters, gescheiden door streepjes.
    Het bij je WiFi-adapter opgegeven MAC-adres kun je vervolgens aan de lijst toegestane computers in je router invullen.
    Denk eraan! het MAC address is niet ingesteld als beveiligingsmethode, filteren is dan ook niet waterdicht. Zo wordt de identificatiecode meegezonden met het netwerkverkeer en is deze dan ook op te pikken door hackers. Ook is het adres te veranderen (spoofen genoemd) waardoor het filter omzeild kan worden.

    WEP of WPA?
    WEP: Wired Equivalent Privacy: een versleutelingstechniek voor draadloze netwerken

    Over 't algemeen beschikken routers over WEP (Wired Equivalent Protocol) en WPA (WiFi Protected Access) encryptie. Dit zijn beveiligingslagen die de gegevens versleuteln;die over het draadloze netwerk verstuurd worden.
    WEP is gewoonlijk niet versleuteld en dus makkelijk te kraken, dus als je router WPA heeft, kan je dit beter gebruiken. De jongste WiFi's hebben meestal deze eigenschap.
    WEP werkt met 64 of 128 bits encryptie, waarbij je zowel op de router als op de aangesloten PC's dezelfde sleutel moet gebruiken. Encryptie betekent wel een kleine opoffering aan bandbreedte, dus wordt de snelheid van je verbinding een ietsje trager. Het geeft je ook geen garantie dat je systeem waterdicht is voor hackers, die pakketjes data onderscheppen en analyseren. Kan je niet over WPA beschikken is WEP nog steeds aan te raden, beter een (met wat moeite) te kraken beveiliging dan helemaal geen.

    WPA is een verbeterd versleutelingsprotocol. Je hardware moet dit wel ondersteunen, zo niet kan je op de website van de fabrikant eventueel ondersteuning vragen via een upgrade.
    WPA maakt gebruik van 'dynamische' sleutels: de versleuteling verandert steeds, waardoor het moeilijker te kraken is. Wanneer je hardware (en Windows: via deze patch dit ondersteunt, is WPA zeker te verkiezen boven WEP.
    Je zult dan bij het configuratiescherm een zogenaamde Pre Shared Key (PSK) moeten invoeren, dit is de netwerksleutel of het wachtwoord waarmee computers toegang tot het netwerk kunnen krijgen. De PSK moet tenminste 8 en maximaal 32 karakters lang zijn. Een veilig wachtwoord bestaat uit een combinatie van cijfers en letters. Hoe langer de combinatie, hoe beter.
    Waarschijnlijk kom je de term TKIP tegen (Temporaly Key Integrity Protocol). Dit zorgt ervoor dat de sleutels om de zoveel tijd worden veranderd.

    Zodra je de veranderingen hebt aanvaard, zal de verbinding wegvallen, wat normaal is omdat het basisstation nu beveiligd is. De computer moet dus opnieuw verbinding maken. Windows XP SP2 ondersteunt automatisch WPA. Om de sleutel in te voeren ga je via 'Start' naar 'Instellingen' en selecteer je bij 'Netwerkverbindingen' je netwerk. Je ziet dat er nu staat dat het netwerk beveiligd is. Wil je verbinding maken dan zul je de netwerksleutel moeten invoeren en deze bevestigen.

    NAT (Network Adress Translation)

    De meeste routers hebben een ingebouwde firewall ingebouwd die NAT ondersteunt. Je IP-adres wordt gemaskeerd zodat hackers geweerd worden uit je netwerk. De computers in je draadloze netwerk zijn met NAT niet individueel te herkennen, maar hebben wel hetzelfde (externe) adres.
    Ben je iets méér gevorderd dan zijn ook opties als een DMZ instellen en het gebruik van een VPN handig, tenminste als je hardware zich hiertoe leent.

    Niet vergeten!
    • Op alle computers in je netwerk moeten de instellingen hetzelfde zijn: in stellen via Eigenschappen 'Deze computer - Computernaam - Wijzigen). Bij problemen om de andere computers te "zien", is het aan te raden de werkgroepnaam te wijzigen en te herstarten.
    • Wil je bestanden kunnen delen met de computers in het netwerk, dan moet je mappen of hele schijven delen. Nadeel: dit is niet altijd veilig!


    Draadloos LAN
    IEEE 802.11
    Voor het eerst geïntroduceerd in 1997, 802.11 bestaat uit een familie van draadloze standaarden ontwikkeld door het IEEE. Er zijn momenteel 3 fysische laagstandaarden binnen 802.11. Fysieke laagstandaarden beschrijven het
    netwerkmedium en de manier van verzenden; in het geval van WIFI beschrijf de standaard de frequentieband en de verzendingstechnologie die gebruikt worden op toegang te krijgen en te communiceren op de band van het netwerk.

    802.11 b
    802.11b was het eerste 802.11 protocol dat geintroduceerd werd, zelfs eerder verschijnende dan 802.11a. WIFI is gegroeid naar de dominante standaard in thuisnetwerken en omdat 802.11b al het langst bestaat is er ook een immense hoeveelheid aan 802.11b-apparaten beschikbaar. Dit betekent dat 802.11b apparatuur goedkoper is in vergelijking met 802.11a en Wireless-G apparaten.
    802.11b apparaten werken op en in radioband in het 2.4 GHz bereik, met een
    maximum aan capaciteit van 11Mbps. Zwaar verkeer op hetzelfde kanaal kan de doorvoer en snelheid verkleinen afhankelijk van de afstand naar het access point.
    802.11b verdeelt het 2.4GHz netwerk in 11 kanalen, hoewel apparaten in een
    netwerk er meestal 3 gebruiken om de kans te verkleinen dat acces points
    interfereren met elkaar.

    802.11 a
    802.11a werkt in de 5 GHz frequentieband en heeft een maximum snelheid van 54 Mbps bijna 5 keer sneller dan het maximum van 802.11b. realistisch gezien moet 802.11a redelijk dicht bij het access point zijn om deze snelheid te bereiken.
    Vergeleken met 802.11b van Wireless-G, is het bereik van een 802.11a acces point significant kleiner. Daardoor is 802.11 niet de beste keuze om WIFI-toegang te voorzien in een groot gebied, tenzij je wilt investeren in meerdere access points zodanig dat het signaal alle clients kan bereiken.
    802.11a apparaten zijn niet compatible met 802.11b apparaten, omdat ze werken in een verschillende frequentie band en verschillende technologie gebruiken.

    802.11g
    802.11g of Wireless-G is de nieuwste van de 802.11 standaarden, 802.11g heeft dezelfde maximum doorvoer als 802.11a, maar werkt in de 2.4GHz frequentieband tesamen met 802.11b. Wireless-G is compatible met 802.11b, en apparaten voor beide standaarden kunnen samenwerken op het zelfde draadloos netwerk. Een 802.11g access point kan communiceren met een 802.11b-netwerkkaart.

    Encryptie
    Encryptie is een van de beste manieren om je persoonlijke gegevens en data te beschermen. Er zijn verschillende typen van encryptie; allemaal hebben ze een verschillende graad van efficiëntie. Terwijl encryptie gebruiken beter is dan er geen te gebruiken, is het belangrijk dat je het gebruik en graad van efficiëntie begrijpt van ieder encryptiesysteem.

    Inleiding
    Encryptie is een proces waarbij data getransformeerd wordt naar een onleesbare code en het herstellen in zijn origineel leesbaar formaat. Encryptie wordt gebruikt om data te beschermen tegen nieuwsgierige ogen, om gebruikers te authenticeren in een netwerk, en om de toegang te beperken tot data voor niet toegelaten personen.
    Je kan ook encryptie gebruiken om de integriteit van data te controleren en je er van verzekeren dat er niet mee geknoeid is of beschadigd is tijdens het verzenden.
    Voordat we beginnen, is het belangrijk om een aantal termen te definieren die in dit hoofdstuk gebruikt worden en die je zeker zal tegen komen als je meer over encryptie leest.
    Deze termen begrijpen is belangrijk omdat een groter aantal computer producten encryptie gebruiken.

    De crypts
    Veel termen delen dezelfde oorsprong, crypt, welke van het Griekse woord kryptos komt wat betekent obscuur, verborgen en mysterieus.
    Cryptografie is de kunst van het omzetten van data neer een geheime code.
    Cryptografen zijn de wetenschappers en professionals die cryptografie bestuderen en encryptiesystemen ontwikkelen. Crypto-analyse is de wetenschap of kunst van het ontcijferen van geheime code en het verslaan van encryptiesystemen. Cryptoanalisten zijn personen die zich bezig houden met crypto-analyse.

    Cipher
    Het woord cipher komt van het Hebreeuws woord saphar, wat betekent tellen of nummeren. Voor ons doel is de definitie van een cipher is het een mathematisch algoritme dat data encrypteerd naar geheime code. Een andere gerelateerde term is decipher, wat verwijst naar het decoderen of ontcijferen van data en het terug zetten in zijn oorspronkelijke staat.

    Plaintext
    Plaintext is de originele data voor dat die geëncrypteerd werd. Iedereen met de juiste applicatie kan plaintext data lezen.
    Soms zal je iets lezen over fouten in systemen die paswoorden en gevoelige data in plaintext of in the clear versturen. Dit betekent dat data die over een netwerk verzonden wordt leesbaar is voor iedereen met de juiste software. Het is nodeloos om te zeggen dat dit gevaarlijk is.

    Cyphertext
    Cyphertext is gecodeerde plaintext. Gebruik makend van een cipher wordt de
    originele data geconverteerd in onbreekbare code. Voordat het opnieuw gelezen kan worden moet de ciphettext ontcijferd worden of terug gedecodeerd in plaintext en dat vraagt het gebruik van een encryption key.

    Encryption key
    Een encryption key is alfanumerieke sequentie die deel uit maakt van een
    cryptosysteem en wordt gebruikt voor het coderen en decoderen van data. In vroegere cryptosystemen kon een sleutel zo simpel zijn als een vervangingstabel. In moderne cryptosystemen, is de sleutel een deel van de wiskundige vergelijking die gebruikt word bij het coderen of decoderen.

    Wired Equivalent Privacy
    Wired Equivalent Privacy (WEP) maakt deel uit van de 802.11 standaard en wordt gebruikt om draadloze netwerken te beveiligen. Omdat draadloze netwerken berichten verzend via radiosignalen, is het onderhevig aan afluisteren, WEP werd ontworpen om vergelijkbaar betrouwbaarheid te geven zoals bij bekabelde netwerken vandaar de naam. Let wel, er zijn verscheidene serieuze fouten ontdekt door crypto-analisten en WEP werd vervangen door Wifi-protected Access (WPA).
    Ondanks zijn zwakheden geeft WEP een minimum aan bescherming tegen
    occasioneel afluisteren.

    Wifi Protected Access
    Wifi Protected Access (WPA) is een systeem om draadloze netwerken te beveiligen.
    Een grotere verbetering ten opzichte van WEP is het gebruik van Temporal Key Integrity Protocol (TKIP), welke dynamisch sleutels wijzigt als het systeem wordt gebruikt.

    Wardriving en Warchalking
    Wardriving is een bezigheid geworden voor Wifi-geeks en crackers over de hele wereld. Of ze nu zoeken achter een netwerk om te kraken, vrije en anonieme Internet toegang of om onveilige netwerken te vinden voor statistieke doeleinden, je moet weten hoe het gedaan wordt zodanig dat je er stappen tegen kan ondernemen om jezelf te beschermen.

    Wardriving
    Wardriving is rondrijden met apparatuur die gebruikt kan worden om Wifi access point te detecteren. Het vraagt geen grote investering of veel technische kennis.
    Iedereen kan wardriven en met de massale toename aan Wifi-netwerken in huizen en bedrijven zijn er veel draadloze netwerken te vinden.
    Het over grote deel van de wardrivers zijn nieuwsgierige Wifi-geeks, technofoben die draadloze apparatuur lief hebben en die graag rond rijden, en dan netwerk ontdekken en mappen. De leden van vele Wireless User Groups (WUG’s) wardrive om data te verzamelen en statistieken te maken over het gebruik van Wireless en de graad van beveiliging of non-beveiliging van de ontdekte LAN’s.
    Hoe dan ook, onschadelijke geeks zijn niet de enige personen die wardriven en je moet je netwerk beschermen tegen de minderheid van de wardrivers die zoek naar onbeveiligde netwerken, met bedoelingen die nefaster zijn.
    Crackers wardive om kwetsbare netwerken te vinden waar ze kunnen inbreken. Eens crackers in een WLAN geraken, kunnen zij verbinding maken met het Internet of ander pc’s aanvallen zonder dat er iemand is om ze te stoppen. Pogingen om de bron van de aanval te lokaliseren leiden terug naar het WLAN van waar de cracker vertrokken is, maar niet rechtstreeks naar de cracker. Daardoor reist natuurlijk de vraag van betrouwbaarheid. Door mogelijke verantwoordelijkheid voor het misbruik van je WLAN of voor diefstal van persoonlijke gegevens is het belangrijk dat je de nodig stappen onderneemt om je netwerk te beveiligen. Je kan misschien denken dat
    het niet onmiddellijk kan gebeuren dat je het slachtoffer wordt van een cracker, maar door de populariteit is de kans groter dan je denkt.

    Hoe werkt Wardriving
    Veel mensen hebben wat ze nodig hebben om te wardriven gewoon in het huis liggen. Wat je als wannabee wardiver nodig zou hebben is het volgende:
    Een laptop met een Wifi-adapter of een ingebouwde kaart Wardriving software A high gain antenne (optioneel)
    Een adapter om de laptop te laten lopen van de batterij van de auto
    Eens de wardriving software geïnstalleerd is moet je als wardriver enkel nog gaan rondrijden in een commercieel of residentieel gebied om WLAN’s te detecteren.
    Na het identificeren van een draadloos netwerk moet de cracker er enkel nog
    connectie mee te maken. Spijtig voor de WLAN gebruiker, is het verbinden met een onveilig draadloos netwerk zeer simpel zelf voor een newbie. Als je er niet in slaagt om de nodige stappen te ondernemen om je netwerk te beschermen, kan iemand er verbinding mee maken en de internetverbinding gebruiken of toegang krijgen tot bestanden op je computers, en daarom is het zo belangrijk om je netwerk te beschermen.

    Warchalking
    Durende de depressie, ontwikkelden Amerikaanse zwervers een taal van
    pictogrammen die ze gebruikten om boodschappen achter te laten voor elkaar.
    Gebruik makende van deze symbolen kon een zwerver andere zwervers informeren over de gevaren of waar ze voedsel en onderkomen konden vinden.
    De zwerverspictogrammen waren de inspiratie voor een activiteit genaamd
    warchalking, welke verbonden is met wardriving. Warchalking gebeurd wanneer een wardrive met krijt symbolen op muren of voetpaden aan brengt om aan e geven als er een wireless netwerk in de buurt is.
    Wardrivers kunnen Global Positioning Systems (GPS) apparaten en kunnen
    kaartsoftware gebruiken om computer gegenereerde mappen te tonen met de
    locaties van honderden access points. Ze kunnen deze mappen uploaden en deze delen op websites zo dat uit de wagen stappen om te warchalken zinloos is.

    Spoofing
    In tegenstelling tot wat algemeen aangenomen is, is spoofing geen methode om anoniem op het Internet te communiceren. Als men enkel spoofing zou gebruiken kan men enkel communiceren in 1 richting (data verzenden). De crackers gebruiken sniffers, wat een software applicatie is die snift of passief luistert naar netwerkverkeer. De aanvaller wacht tot dat er iemand zich met toegangspunt authenticeert en vangt deze authenticatiesequencie op.
    De cracker kan dan een commando invoeren in de datastroom, spoofing een legitiem ip-adres zodat het lijkt dat de ingevoerde pakketten van komen van de originele machine. De cracker voert commando’s in die de doelserver verplichten (of access point) om de connectie op nieuw te vormen en kaapt deze sessie dan door te autoriseren met de sequenties en bevestigingsnummers die hij gesniffed heeft.
    Een aanvalleren kan het access point emuleren en een legitieme client een
    disassociate frame sturen. Het disassociate frame verbreekt het verbinden van de client met het WLAN. Wanneer dit gebeurd kan de aanvaller het MAC-adres spoofen van de client en zijn sessie overnemen. De sessie blijft bestaan omdat het access point het disassociate bericht niet heeft verstuurt maarwel de aanvaller. Zover het access point gaat is de originele gebruiker nog steeds verbonden en geauthenticeerd.
    Dit type aanval haalt voordeel uit een race condition. In dit geval forceert de aanvaller de legitieme gebruiker om de verbinding te verbreken en racet hem dan om de sessie over te nemen. Als de aanvallen het MAC-adres kan spoofen voordat de client weer kan authenticeren, kan hij de sessie kapen en zo over nemen tot deze verbroken wordt.

    Je zelf beschermen
    Je hebt waarschijnlijk al gehoord van de risico’s die je WLAN loopt, we gaan het nu hebben over welke stappen je moet ondernemen om je zelf te beschermen. Het is mogelijk om een Wifi-netwerk af te sluiten, op zijn minst toch tot het punt dat het zeer moeilijk wordt voor iedereen om toegang te krijgen. Het is ook mogelijk om je draadloos netwerk moeilijker vindbaar te maken voor crackers en wardrivers.
    Beveiliging is een balanceer act tussen risico en de moeite (en ongemakken) die je er wil aan spenderen om je zelf te beschermen. Als je positie te radicaal is, kan je gebruikers of klanten vervreemden die proberen om je maatregelen te omzeilen gewoon om hun job gedaan te krijgen. Na een tijdje kan het zijn dat je zelf binnenwegjes neemt als je de lat te hoog legt of een strikt security schema gebruikt.
    Neem de tijd om de risico’s af te wegen tegen welk effect de beveiligingsmaatregelen zullen hebben op de netwerkgebruikers en de mogelijkheid om je eigen werk te klaren.

    WLAN risico’s begrijpen
    Wanneer je een draadloos netwerk beveiligd, moet je eerst schatten wat de huidige situatie is en de mogelijke risico’s voor je netwerk afwegen tegen de kosten of ongemakken van de stappen die je zal nemen om het te beveiligen. Toch is ieder WLAN kwetsbaar in en zekere graad, sommige zullen meer kans hebben om een doelwit te zijn dan andere omwille van hun locatie of de manier waarop het netwerk is ontworpen. Als je draadloos netwerk in een stedelijk gebied ligt, is de kans groter dat het ontdekt wordt door wardrivers of crackers dan in een landelijk gebied.
    Je denkt misschien dat je een wireless netwerk niet moet beveiligen om dat je het gevoel hebt dat er niets gevoelig of belangrijk is om te beveiligen. Als dat het geval is (wat waarschijnlijk niet zo is) moet je beseffen dat je draadloos netwerk andere risico’s met zich kan meebrengen. Als je WLAN verbonden is met je bekabeld netwerk, brengt deze het gehele netwerk segment in gevaar.
    Radio golven worden in alle richter verstuurd en worden gemakkelijk onderschept.
    Het is moeilijk, maar niet onmogelijk om te bepalen waar je Wifi-signaal naar toegaat en naar waar niet.

    Gevaarlijke default settings wijzigen
    Het over grote deel van Wifi-aparatuur is gebruiksvriendelijk. De meeste mensen kunnen een access point opzetten en een Wifi-kaart instaleren zelfs als ze niets van netwerken kennen. De gebruiksvriendelijkheid heeft geholpen met de populariteit van Wifi-netwerken, maar het laat ook veel WLAN’s kwetsbaar tenzij de gebruiker stappen onderneemt om het te beveiligen.
    Gebruikers vormen de grootste groep van beveiligingsproblemen wanneer zij een draadloos netwerk opzetten en de default settings niet wijzigen. Deze defaults, zoals het SSID, IP subnet en gebruikersnamen en paswoorden, zijn zeer gekend bij wardrivers en crackers en zijn beschikbaar op het Internet (www.cirt.net).
    Als je de tijd neemt om de stappen te volgen in dit hoofdstuk zal je WLAN redelijk veilig zijn en zal occasioneel wardrivers en onervaren crackers afschrikken. Let wel een ervaren en gedreven cracker kan toch nog om een paar van deze maatregelen geraken, zodat je zelf regelmatig je beveiliging moet checken.

    de SSID
    Elk Wifi-access point heeft een toegewezen Service Set Identifier(SSID) die het netwerk identificeert. De standaard SSID laten bestaan als een WLAN opzet kan helpen voor crackers en wardrivers om te weten welke hardware je gebruikt. Een wardriver of cracker kan de SSID van je netwerk ontdekken door een programma zoals netstumbler te gebruiken. Bijvoorbeeld, de default SSId van de meeste Linksys hardware is “Linksys” en voor Netgear is het “netgear”. Deze default Ssid’s geven duidelijk aan welke hardware je gebruikt. Wanneer een cracker dat weet kan hij op zoek wat de standaard wachtwoorden en gebruikersnamen zijn, waardoor hij binnenbreekt met een minimum aan moeite.
    Gelukkig kan je de SSId van je access point op ieder moment wijzigen. Je moet dan ook de SSID van je draadloze kaarten wijzigen. Wanneer je de default SSID wijzigt let je er best op dat je iets neemt dat niet verwijst naar je verblijfplaats of bedrijf.
    Enkele van de beste zaken om te doen als je de SSID wijzigt zijn: ·- gebruik nooit persoonlijke informatie in je SSID
    - gebruik geen paswoorden of gebruikersnamen
    - gebruik geen SSId’s die je hardware aanduiden
    - maak lange SSID die bestaan uit zowel cijfers als letters
    - gebruik geen SSID’s die de locatie van het access point aanduiden

    paswoorden en gebruikersnamen wijzigen
    Samen meet een default SSID, komen alle hardware met een default administratieve gebruikersnaam en paswoord. Het is zeer belangrijk dat je de tijd neemt om deze te wijzigen omdat zoals de SSID default gebruikersnamen en paswoorden goed gekend zijn bij crackers en wardrivers en beschikbaar zijn op het Internet. Als je deze niet wijzigt kan een cracker bepalen welke hardware je gebruikt en kan de standaard gebruikersnaam en paswoord gebruiken om het access point over te nemen en zo je WLAN compromitteren. Enkele goede tips om gebruikernamen en paswoorden te kiezen:
    - gebruik paswoorden die minstens 6 karakters lang zijn
    - gebruik paswoorden met zowel letters als cijfers
    - gebruik zowel kleine als hoofdletters
    - gebruik geen gewone woorden, plaatsen of woorden uit een “woordenboek”
    - gebruik geen persoonlijke gegevens als paswoord
    - gebruik je gebruikersnaam niet als paswoord in eender welke vorm
    - gebruik geen keyboard sequentie (12345, AZERTY, etc)
    - gebruik geen acroniemen
    - hergebruik geen oude paswoorden
    - schrijf geen paswoorden op
    - wijzig het paswoord regelmatig
    gebruik makend van password-cracking software en een pc, kan een cracker een paswoord achterhalen in enkele seconden.

    Ip adressen wijzigen
    Elk apparaat verbonden met het Internet of met een TCP/IP netwerk heeft een IPadres nodig om een verbinding te maken met het netwerk. Wifi access points krijgen standaard Ip-adressen toegewezen bij de producent, en ook een default subnet en gateway adres.
    Dit kan een probleem vormen, zoals bij al het andere, zijn de default
    netwerkinstellingen algemene kennis. Bijvoorbeeld, de default instellingen van een Motorola access point zijn: ··ip-adres 192.168.40.1
    subnetmask 255.255.255.0
    Bijna ieder access point heeft een web interface die je toelaat het apparaat te configureren. Je moet enkel het ip-adres invullen in de browser en je maakt een verbinden met de ingebouwde webserver van het access point, welke een loginscherm en configuratie pagina weergeeft.
    Wanneer een cracker de default instellingen van een producent weet, en hij weet welk type van access point je gebruikt(met behulp van de SSID), kan hij verbinding maken met het access point via de browser. Als je de standaard gebruikersnaam en paswoord niet hebt gewijzigd kan hij inloggen en controle overnemen van het acces point.
    Wanneer je een access point opzet, wijzigt het default ip-adres en ip-subnet
    instellingen om het moeilijker te maken voor indringers en crackers om te raden wat de instellingen zijn van je access point. Gebruik geen ip-adressen uit de eerste of laatste subnetten.
    Access points hebben typische een adres in het begin van een subnet en crackers weten dit. Bijvoorbeeld, als je het default ip-adres wijzigt van 192.168.0.1 naar 192.168.0.3, een cracker kan het eerste paar adressen proberen en je access point vinden. Verander je adres in iets anders en maak het moeilijker voor crackers om te vinden.

    Waarom DHCP een probleem kan zijn
    Je kan het moeilijk maken voor onbekende personen om met je netwerk te verbinden door DHCP uit te schakelen op je WLAN. Een indringer die het SSID van je draadloos netwerk weet kan zijn Wifi-kaart configureren en verbinding met je netwerk proberen maken. Als DHCP ingeschakeld is kan je access point de indringer een IPadres geven waardoor hij verbinding kan maken met het netwerk en toegang krijgen tot je netwerkbronnen zoals je Internet verbinden en je netwerkprinters.
    DHCP uitschakelen zal dit voorkomen en gecombineerd met ander stappen in dit hoofdstuk, zal het een onervaren indringer afschrikken. Let wel als je dit doet moet je iedere client een vast ip-adres geven.

    Netwerkverkeer filteren
    Als je access point een ingebouwde firewall heeft, is een andere methode om
    indringers buiten te houden filteren op netwerkverkeer. Netwerkverkeer filteren laat je toe om iedereen uit te sluiten behalve de gebruikers die jij toelaat.
    Er zijn 2 manieren om te filteren op netwerkverkeer. Eén methode is filteren op het MAC-adres, de andere methode is filteren op IP-adres. Welke methode je ook gebruikt filteren laat enkele de gekende (en goedgekeurde) adressen toe om verbinding te maken met het access point.

    de broadcast parameters wijzigen
    Het wijzigen van de broadcast parameters van je access point om de afstand die het radiosignaal aflegt te verkleinen is een andere manier om de veiligheid van je WLAN te vergroten.

    Stroom aanpassen
    Voor veiligheid kan je de sterkte van het radiosignaal verlagen om de verspreiding van het signaal buiten het gebouw tegen te gaan. Dit verkleint de kans dat een cracker of wardriver het signaal zal opvangen.

    SSID broadcast uitschakelen
    Standaard verkondigt ieder access point zich aan de wereld door het uitzenden van zijn SSID. Iedere paar seconden verzendt het access point een datapakket gekend als een beacon frame. Het beacon frame bevat de SSID. Elke Wifi-client kan een SSID-broadcast detecteren en proberen een connectie te maken.
    Samen met het wijzigen van de default SSID-naam, kan je op de meeste access points ook de SSID-broadcast uitschakelen.
    Wanneer gecombineerd met ander beveiligingsstappen, helpt het uitzetten van de SSID-broadcast met het verbergen van je WLAN van occasioneel wardrivers of crackers. Let wel, zelf als je de SSID-broadcast uitschakelt, kan een cracker nog altijd de SSID ontdekken. Beacon frames zijn niet de enige data pakketten die de SSID bevatten en een gedreven cracker kan netwerkverkeer opvangen en analyseren en de SSID the ontdekken. Het kost wel extra moeite om het doen en het uitschakelen van de SSID broadcast te omzeilen.

    Bluetooth
    Bluetooth is een specificatie voor draadloze personal area networks(PAN’s).
    Bleutooth is een manier om apparaten met elkaar te verbinden en informatie uit te wisselen zoals PDA’s, mobile telefoons, laptops, Pc’s, printers en digitale camera’s via een goedkopen, wijd-beschikbare korte golf radio frequentie.
    Bluetooth laat deze apparaten met elkaar praten wanneer ze in bereik komen, zelfs als ze niet in de zelfde kamer zijn, zolang ze maar binnen de 100 meter van elkaar zijn afhankelijk van de stroomklasse van het product. Er zijn 3 stroom klassen beschikbaar:
    - Klasse 3 (1mW): is de minst voorkomende en laat transmissies toe binnen 10 centimeter met een maximum van een meter
    - Klasse 2 (2,5 mW): is de meest voorkomende en laat transmissie toe binnen een afstand van 10 meter
    - klasse 1 (100 mW): heeft de langste afstand namelijk 100 meter
    de specificaties werden eerst ontwikkeld door Ericsson en werd later geformaliseerd door de Bluetooth Special Intrest Group (SIG).

    Algemene informatie
    De laatste versie beschikbaar voor gebruik is 2.0 maar is pas beschikbaar sinds januari 2005. De voorgaande versie op welke eerdere commerciële apparaten gebaseerd werden is 1.2. Bluetooth is een draadloze radio standaard ontworpen voor een laag stroomverbruik met een kleine afstand en met een goedkope ontvanger in ieder apparaat.

    Toepassingen
    - Draadloze netwerken tussen desktops en laptops of desktops in een beperkte ruimte en waar weinig bandbreedte nodig is.
    - Bluetooth randapparatuur zoals printers, muis en toetsenbord
    - Versturen van bestanden tussen mobile telefoons, PDA’s en computers via
    OBEX
    - Car-kits en bluetooth headsets voor mobile telefoons
    - Medische Toepassingen