Mijn eerste draadloos netwerk!

Sunday, November 9th, 2003

Bij wijze van proefproject heb ik in mijn ouderlijke huis van een draadloos netwerkje voorzien. Ik wist helemaal niet waaraan ik me kon verwachten. Zou de verbinding wel stabiel genoeg zijn? Hoe zit het met beveiliging, configuratie,… ? Enfin, bleek het achteraf een flop te zijn, dan was het toch op kosten van mama en papa, begrijp je. Maar van een flop was allesbehalve sprake! Zowel de installatie als configuratie van de draadloze router in het netwerk was een fluitje van een cent. De kwaliteit van de verbinding is uitstekend, nauwelijks te onderscheiden van good old UTP. One happy wireless family erbij! Volgende week haal ik een tweede wireless setje voor mijn eigen stulp.

Ik heb gekozen voor draadloze apparatuur van U.S. Robotics: de USR8054 802.11g Wireless Turbo Router met bijbehorende kaarten voor in de portables. Op het gebied van snelheid en bereik is dit zowat de beste keus momenteel, althans volgens een aantal recente reviews op het net.

De installatie van het wireless access point verliep identiek aan de installatie van een gewone router. Kort samengevat: van het kabelmodem naar de router, en van daaruit naar de verschillende clients, met of zonder draad. De configuratie verloopt volledig via een webinterface. Je surft gewoon naar het lokale IP adres van de router en je krijgt een mini-site’tje te zien waar je alles kan instellen. Handig!

Eigenlijk kan je onmiddellijk daarna beginnen surfen en netwerken. Ik denk dat bij veel gebruikers hier de kous ook daadwerkelijk af is. Het is daarom een schande dat fabrikanten zoals U.S. Robotics thuisgebruikers niet inlichten over de veiligheidsrisico’s die draadloos internetten inhoudt. Zonder beveiligingsmaatregelen kan elke wildvreemde immers zomaar binnen het uitzendbereik van je access point komen en je internetconnectie aftappen of de computers in het netwerk binnendringen. Er bestaan zelfs nozems die in een auto, gewapend met een draagbare computer, door de stadsstraten slingeren op zoek naar (kraakbare) draadloze netwerken (de zogenaamde wardrivers). Met tooltjes als Kismet en Airsnort zijn zelfs goed beveiligde netwerken te kraken. Op het Wireless Center van O’Reilly staat stap-voor-stap beschreven hoe eenvoudig – nouja – dat wel is. Indrukwekkend!

Gelukkig was ik op de hoogte van deze risico’s. Op het net (want in de manual geen woord!) ging ik op zoek naar wat er precies moest gebeuren om deze wardrivers te snel af te zijn. Hieronder zie je mijn lijstje met voorzorgsmaatregelen. Ik hoop dat ik niets over het hoofd heb gezien.

1. 128-bit WEB-encryptie
Het WEP protocol (Wired equivalent privacy) encrypteert draadloos verzonden gegevens met een 64, 128 of zelfs 256-bit (enkel U.S. Robotics) sleutel. Elke client in het netwerk moet deze sleutel kennen om het netwerkverkeer te kunnen decoderen. Een 64-bit sleutel is binnen een kwartiertje te kraken en is dus geen optie. Een 128-bit sleutel, daar doen ze toch al een uurtje of twee over. WEP-encryptie alleen is dus niet voldoende!

2. MAC address control list
In de router kan je instellen welke MAC adressen toegelaten worden op het netwerk. Elke LAN kaart of wireless kaart heeft zo’n uniek MAC adres. Helaas bestaan ook tools om deze adressen te faken, waardoor ook deze beveiligingsmaatregel op zich niet voldoende is.

3. DHCP uitschakelen
Het is belangrijk om de DHCP functie (Dynamic Host Protocol Server) van de draadloze router uit te schakelen. Een DHCP server zorgt ervoor dat iedereen die zich op een netwerk aanmeldt automatisch een IP-adres verkrijgt. Dus ook een eventuele indringer. Manueel instellen is dus de boodschap: IP, subnetmasker, gateway, DNS, WINS,… Gelukkig moet je dit slechts eenmalig doen op alle computers.

4. SSID uitschakelen
Een draadloze router zendt standaard een signaal uit met de naam van de toegangspoort van het netwerk (SSID). Dat is de naam die op de laptop of pocket pc verschijnt van de persoon die door jouw straat heen loopt om te kijken of hij een signaal op kan vangen. Als eigenaar kun je zelf een naam verzinnen voor de toegangspoort en deze eenmalig instellen op de computers waarmee je wilt werken op jouw draadloze netwerk. Vervolgens kan het verzenden van de naam van de toegangspoort achterwege blijven. Dan kan een indringer van buitenaf niet zien of er zich bij jouw een draadloos netwerk bevindt. Maar er bestaan dan weer bepaalde tooltjes… inderdaad.

5. Paswoorden
Natuurlijk heb ik de gegevens om in te loggen op de draadloze router gewijzigd. Standaard zat er op mijn U.S. Robotics zelfs helemaal geen paswoord! Dat zou dus betekenen dat elke indringer de instellingen van de router zomaar kan aanpassen. Je hoeft er immers gewoon naar te surfen!

6. Verstandig delen
Je deelt natuurlijk niet je volledige harde schijf op het netwerk, maar slechts één of twee mapjes, en dan nog liefst enkel met lees-rechten. Delen met paswoordbeveiliging vond ik toch iets te veel van het goede.

Het komt er op neer dat een draadloos netwerk steeds in risico zal blijven inhouden. Geen enkele maatregel is 100% hackproof. Opletten dus!

Er bestaan nog andere mogelijkheden zoals het instellen van een RADIUS server en WPA, maar daar weet ik eigenlijk niet zoveel over. Tips zijn natuurlijk altijd welkom.