InfoNu.nl > Pc en Internet > Communicatie > Sterke beveiligingsmaatregelen voor een draadloos netwerk

Sterke beveiligingsmaatregelen voor een draadloos netwerk

Verschillende veel voor komende beveiligingsoplossingen kunnen als bekend worden verondersteld. Denk bijvoorbeeld aan een WEP-versleuteling met een gedeeld wachtwoord. Ook authenticatie op het MAC-adres is een veelgebruikte aanvullende maatregel. Tot slot heebben sommige mensen zelfs het broadcasten van hun netwerk uitgezet. In dit geval zien we de netwerken niet voorbijkomen, alleen die mensen die van het bestaan weten voegen het netwerk toe. Althans, zo denkt men...

Sterke beveiliging

Deze oplossingen klinken allemaal heel goed, zeker een combinatie van de bovenstaande oplossingen lijkt het antwoord op al onze veiligheidsvraagstukken. Helaas is de werkelijkheid anders. Alle zojuist genoemde oplossingen zijn niet waterdicht.
De oplossing ligt dus in het kiezen van sterke(re) beveiliging. Sterk is wel een relatief begrip. Wat vandaag nog moeilijk te kraken is, kan morgen al door de eerste de beste script kiddie gehackt worden. Beveiligen is zoveel mogelijk een opeenstapeling van maatregelen, die gezamenlijk zorgen voor een zo veilig mogelijke omgeving.

Het gebruik van MAC-adres-filters en het niet uitzenden van een SSID mag dan te omzeilen zijn, het kan geen kwaad om deze beveiligingsmaatregelen toch te gebruiken. Hoe meer drempels er opgeworpen worden, hoe moeilijker het wordt voor een hacker.

We bespreken een aantal verschillende maatregelen en technieken.

WPA(2)

WPA, oftewel Wi-Fi Protected access, is de opvolger van WEP. De standaard die voor draadloze netwerkbeveiliging is ontwikkeld, 802.11i, is door WPA maar deels overgenomen. Aangezien er enige haast geboden was met het ontwikkelen van een WEP-opvolger, is WPA niet volledig volgens de standaard ontwikkeld. WPA2, de opvolger van WPA, is daarentegen wel volledig volgens de 802.11i-standaard ontwikkeld. Bijna alle moderne WiFi-hardware is geschikt voor WPA2.

Is WPA te kraken? Ja, ook WPA (en WPA2) is te kraken. Dit is echter wel een stuk moeilijker en duurt veel langer. Ten eerste moet je wachten totdat een client zich aanmeldt bij het acces point zodat je de totstandkoming van de verbinding kunt monitoren. Ten tweede moet je tijdens de aanval gebruikmaken van een dictionairy. Met andere woorden: je moet beschikken over een heel lange lijst met mogelijke sleutels om vervolgens aan de hand van deze woordenlijst een aanval uit te voeren. Net als bij veel andere beveiligingsmaatregelen komt de veiligheid van WPA neer op de sterkte van het wachtwoord: dit moet minimaal twintig karakters bevatten.

WPA kan gebruikmaken van twee encryptieprotocollen: TKIP en AES. TKIP staat voor Temporal Key Integrity Protocol. TKIP maakt net als bij WEP gebruik van RC4, maar roteert de sleutel per pakketje. Dit maakt TKIP een stuk veiliger. Nog een stuk beter is het gebruik van AES. Dit is ook één van de belangrijkste verschillen tussen WPA en WPA2: bij WPA2 is het gebruik van AES verplicht.

Het grootste nadeel van WPA Personal (zo noemen we WPA wanneer we het in combinatie met een PSK, Pre Shared Key, gebruiken) is de sleutel. Niet alleen moet de sleutel, zoals zojuist gemeld, voldoende lang zijn, ook moet iedereen die het netwerk gebruikt dezelfde sleutel geheim houden. Hoe groter het aantal mensen dat in bezit van de sleutel is, hoe groter de kans is dat de sleutel op straat komt te liggen. Tot slot is er nog het risico van de gestolen laptop of PDA. Wanneer we een systeem kunnen opstarten hoeven we niet opnieuw de WPA-sleutel in te voeren, en heeft een hacker met een gestolen laptop direct toegang tot het netwerk.

WPA Enterprise

WPA is er in twee varianten: personal en enterprise. Wanneer we WPA en WPA2 onderscheiden krijgen we dus vier mogelijkheden: WPA Personal, WPA2 Personal, enzovoort.
Enterprise biedt boven Personal de mogelijkheid te werken met een authenticatieserver die gebruikmaakt van een authenticatiedatabase. De authenticatieserver en de authenticatiedatabase kunnen dezelfde machine zijn. In deze WPA-variant is het mogelijk om met een naam en wachtwoord in te loggen, of door middel van een certificaat of een token. Dit maakt een persoonlijke inlog mogelijk voor elke gebruiker.

RADIUS

Een veelgebruikte vorm voor een authenticatieserver is de zogenaamde RADIUS-server, oftewel Remote Authentication Dial In User Service server. Deze authenticatieserver neemt de authenticatie van de gebruiker over. Kort gezegd maakt een RADIUS-server het mogelijk om met je persoonlijke netwerknaam en wachtwoord in te loggen op het draadloze netwerk. Dit kan zowel binnen Linux als Windows.

EAP

Het protocol dat dit allemaal mogelijk maakt is EAP: Extensible Authentication Protocol. Dit protocol is eigenlijk een authenticatieraamwerk, dat een verzameling van protocollen bevat die allemaal voor de authenticatie van gebruikers of machines kunnen zorgen. Voor WPA Enterprise zijn er vijf EAP-typen beschikbaar: EAP-TLS, EAP-TTLS/MSCHAPv2, PEAPvo/EAP-MSCHAPv2, PEAPv1/EAP-GTC en EAP-SIM. Het EAP-authenticatieproces, binnen een draadloos netwerk, doorloopt de volgende stappen:
  • De client geeft aan dat hij contact wil maken met het netwerk.
  • Het access point vraagt om de identiteit te bewijzen.
  • De client verstuurt identiteit, bijvoorbeeld door middel van een certificaat, wachtwoord of token.
  • Het access point stuurt identiteit door naar authenticatieserver.
  • De authenticatieserver controleert de gegevens.
  • Indien de identiteit bewezen is stuurt de authenticatieserver een akkoord naar het access point.
  • Het access point stuurt een akkoord door naar de client.
  • De client krijgt toegang tot het netwerk.

Certificaten

Het gebruik van certificaten is een belangrijk onderdeel. De WPA Enterprise-omgeving kan zo ingericht worden dat een client zich kan authenticeren met een certificaat. Maar elke server moet sowieso over een certificaat beschikken. Hiermee maakt de server zichzelf kenbaar en weet de client dat hij geen connectie maakt met een vervalst access point dat alle gegevens ongewenst uit kan lezen. Zoals gebruikelijk bij een PKI, Private Key Infrastructure, is het certificaat ondertekend door een Certificate Authority (CA) en zijn de zaken zoals de geldigheidsduur en de locatie van de Certificate Revocation List (CRL) bekend. Niet elke vorm van WPA Enterprise hoeft uitgevoerd te worden met een strikte PKI-infrastructuur; zo kan de server ook zelf een certificaat ondertekenen. Wel moet de server altijd beschikken over een certificaat en is het aan te raden dat deze ondertekend is door een vertrouwde CA.
© 2012 - 2019 Tomski, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Thuis een draadloos netwerk gebruikenDe gebruikelijke manier om je computer overal mee te verbinden is via draden en kabels. Maar als je je computer met rede…
Wifi-signaal versterken en verbeterenWifi-signaal versterken en verbeterenEen draadloos wifi-netwerk wordt veel gebruikt door laptops, (smart)phones, tablets en telefoons. Het is makkelijk, want…
Gevaar van een onbeveiligd WiFi netwerkGevaar van een onbeveiligd WiFi netwerkDe opkomst van een draadloos netwerk of WiFi heeft het voor iedereen heel gemakkelijk gemaakt om gebruik te maken van he…
Draadloos netwerk beveiligenVeel mensen die thuis draadloos internet via hun modem en/of router gebruiken hebben dit niet beveiligd met een wachtwoo…
Bronnen en referenties
  • http://www.microsoft.com/business/nl-nl/content/paginas/article.aspx?cbcid=57&listid=ceb04600-fc85-4074-8b8a-0d10c8e9b7e7
  • http://www.tekstenuitleg.net/artikelen/netwerken/draadloos-netwerk-beveiligen/intro.html

Reageer op het artikel "Sterke beveiligingsmaatregelen voor een draadloos netwerk"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Tomski
Laatste update: 11-02-2012
Rubriek: Pc en Internet
Subrubriek: Communicatie
Bronnen en referenties: 2
Schrijf mee!