Workshop: Zet je 'Wifi' op slot

Een draadloos WiFi-netwerk is makkelijk in het gebruik, maar ook makkelijk te misbruiken, als je hem voor jan en alleman openstelt. Het stomme is: standaard uit de doos staan bijna alle Wireless-LAN-kitjes niet op slot! Tijd om daar wat aan te doen...

WPA2
Als het al gebeurd, wordt WiFi-verkeer meestal volgens het hopeloos zwakke 'WEP-protocol' versleuteld. Op een Amerikaanse conferentie over veiligheid demonstreerden FBI-agenten dat ze in drie minuten tijd een WEP-beveiliging konden kraken. De kennis die hiervoor nodig is, is gewoon op internet te vinden (google even op 'hack wep'). m de tekortkomingen van WEP op te vangen is indertijd het WiFi Protected Access-protocol (WPA) ontworpen. Dit is een vrij stevige beveiliging, maar in het WPA2-protocol uit 2004 is het niveau nog wat verder opgetild. Inmiddels heeft de WiFi Alliance WPA2 verplicht gesteld voor alle nieuwe producten die een WiFi-certificatie willen voeren. WPA2 hanteert de zogenaamde AES-encryptie, dat ook door de Amerikaanse overheid wordt gebruikt.
Ondersteunt je WiFi-router alleen WEP dan is het tijd om een nieuw exemplaar in de winkel te gaan halen, als je meer veiligheid wenst. Overigens wordt na een firmware-upgrade vaak alsnog WPA of zelfs WPA2 ondersteund. Dat is zeker even het proberen waard.
Met ons simpele stappenplan voor je wireless LAN-router (zie onder) ben je in vier stappen redelijk zeker dat je geen last meer hebt van 'free riders'. Gewoon even doen; het kost maar een kwartier.
Om bij de systeeminstellingen van je router te kunnen, moet je met een browser naar een intern adres surfen. Dit adres staat in de handleiding en lijkt vaak op 192.168.x.x. Het is verstandig om voor je begint, te controleren of je ook een werkende draadverbinding met het netwerk hebt, mocht het onverhoopt misgaan.

Meer maatregelen
Nadat je de vier onder vermelde stappen hebt gevolgd, kun je nog meer doen, voor extra veiligheid.
Om in een netwerk te kunnen communiceren hebben computers een IP-adres nodig. Als de router als DHCP-server is ingesteld, worden de adressen automatisch uitgedeeld. Ongeauthoriseerde gebruikers krijgen zo ook vanzelf een adres toegekend. Maak het ze lastiger door computers een vast IP-adres te geven en DCHP uit te zetten. Hoewel het eenvoudig klinkt, is dit in de praktijk vaak een taaie klus. De beste informatie vind je meestal op de website van je eigen routerfabrikant. Voor notebookgebruikers die vaak op verschillende locaties internetten, is het sowieso geen oplossing.
Bedrijven doen er goed aan om het draadloze deel van het netwerk te scheiden van het bekabelde deel met een zogenaamde perimeter-beveiliging. Computers die het vaste netwerk op willen, moeten zich dan eerst authenticeren. Het beste raadpleeg je hiervoor een expert.