Zo voorkom je onnodige securityrisico’s van je wifinetwerk

Redactie WINMAG Pro
Een vlot en dekkend draadloos netwerk: vrijwel geen enkele organisatie kan zonder. In de focus op stabiele en snelle draadloze verbindingen gaan organisaties vaak voorbij aan een nog veel belangrijker aspect: security. Hoe voorkom je dat je wifinetwerk aan onnodige risico’s wordt blootgesteld?

Met eenvoudig verkrijgbare tools kan iedereen met enige technische kennis inbreken op matig beveiligde draadloze netwerken. Met alle gevolgen van dien, zoals malwarebesmettingen, gestolen inloggegevens en datadiefstal.


Dreigingscategorieën

Een goed wifinetwerk moet de volgende risicofactoren kunnen verkleinen.

1. Rogue accesspoints

Accesspoints die met kwade wil zijn opgezet, noemen we ‘rogue accesspoints’. Aanvallers proberen gebruikers te verleiden hiermee verbinding te maken, waarna ze al het verkeer kunnen afluisteren. In andere gevallen zijn het goedwillende gebruikers die zonder toestemming van IT een (tijdelijk) toegangspunt opzetten. Deze ‘shadow-IT’ ontbeert afdoende veiligheidsmaatregelen en voldoet niet aan de corporate richtlijnen.

Maatregel: Een voldoende snel en stabiel netwerk voorkomt dat gebruikers met zelf meegebrachte spullen toegangspunten opzetten. En met netwerkmonitoring en -scanning komt je ongeautoriseerde accesspoints op het spoor.

2. ‘Evil twin’ accesspoints

Aanvallers zetten hierbij een draadloos toegangspunt op dat op het eerste gezicht niet van echt is te onderscheiden. Dit AP beschikt over een correct ssid en mac-adres, gespooft van een legitiem accesspoint. De kwaadwillende kan dit bereiken met een fysiek AP, maar ook via speciale software die de netwerkadapters van mobiele apparaten misbruikt voor het opzetten van draadloze toegangspunten. Verbindt een gebruiker met het toegangspunt, dan heeft de aanvaller vrij spel. Die kan met de buitgemaakte inloggegevens dieper het netwerk binnendringen en zo gegevens buitmaken, en apparaten besmetten.

Maatregel: Geïntegreerde oplossingen voor wifibeheer en -toegang herkennen apparaten met gespoofte ssid- en mac-adressen en blokkeren deze.

3. Naburige accesspoints

Het is voor gebruikers niet altijd duidelijk welke accesspoints binnen hun bereik toebehoren aan de eigen organisatie. Soms staan accesspoints ‘van de buren’ open voor connectie. Met als gevolg dat ze gevoelige data onbeschermd over andermans netwerk transporteren, of een malwarebesmetting oplopen.

Maatregel: Een goede dekking ‘binnenshuis’ verkleint de kans dat gebruikers verbinding maken met naburige accesspoints. Maar niet alle oplossingen zijn technisch van aard. Zo helpt het om gebruikers op het hart te drukken dat het gevaarlijk is om contact te maken met onbekende toegangspunten.

4. Rogue clients

Endpointclients die eerder verbinding hebben gemaakt met een besmet accesspoint, kunnen door die connectie besmet zijn geraakt met ransomware, wormen of andere malwarevarianten. Zoekt de rogue client verbinding met een regulier accesspoint, dan kan de rest van het netwerk besmet raken.

Maatregel: Een geïntegreerde wifi-oplossing met adequate ingebouwde antimalwarevoorzieningen verkleint de kans op besmetting.

5. Ad-hocnetwerken

Gebruikers kunnen peer-to-peer-verbindingen opzetten om data uit te wisselen. Deze verbindingen ontstaan buiten het gezichtsveld van IT en zijn dus onbeschermd. Malwarebesmetting ligt daarbij dan ook op de loer.

Maatregel: Het aanbieden van voldoende veilige draadloze connectiemogelijkheden neemt de verleiding weg p2p-verbindingen op te zetten.

6. Foutief geconfigureerde accesspoints

De effectiviteit van securityvoorzieningen in accesspoints staat of valt met een goede configuratie. Foutief geconfigureerde accesspoints voldoen niet aan de door IT gestelde securityeisen en zorgen daarmee voor onnodige securityrisico’s.

Maatregel: Door het beheer van het wifinetwerk te centraliseren vanuit een enkele console komen fouten in de configuratie snel en eenvoudig aan het licht.

Alarmerend onderzoek

Wifihardware en securityvoorzieningen van gerenommeerde fabrikanten zouden bovenstaande risico’s moeten afdekken. Daar zit echter een nijpend probleem: de meeste hardware doet dat niet. Dat blijkt althans uit onderzoek van Miercom, een onafhankelijk testinstituut dat apparatuur van grote netwerkfabrikanten aan de tand voelde.

De test kende welgeteld één positieve uitzondering: WatchGuard. De fabrikant zet hoog in op security, zonder dat dit volgens hen ten koste gaat van de prestaties. De fabrikant communiceert dit principe als ‘Trusted Wireless Environment’, waarin de genoemde maatregelen voor het mitigeren van security terugkomen.

De tijd dat organisaties securityrisico’s van wifinetwerken straffeloos kunnen onderschatten, is definitief voorbij. Ook komen netwerkfabrikanten niet meer weg met vage beloftes over hun vaak ondergeschoven securityfunctionaliteit. Gelukkig heeft de markt inmiddels een pasklare oplossing beschikbaar en hoeft snelheid en functionaliteit niet meer ten koste te gaan van security.

afbeelding van Redactie WINMAG Pro

Redactie WINMAG Pro | Redacteur

Bekijk alle artikelen van Redactie