PvCF

logo PvCF

Draadloos netwerken


Draagbare computers worden steeds populairder, en waarom ook niet? Ze zijn kleiner en compacter dan gewone computers, tegenwoordig ook heel betaalbaar met prijzen van minder dan € 700, en je kunt ze overal gebruiken. De volgende stap is vaak een draadloos netwerk, zodat je overal kunt internetten zonder snoeren. Echter, dat is niet zonder gevaar. Je zet je hele netwerk open, iemand die langs rijdt met een draagbare computer kan zonder problemen via jouw aansluiting internetten en de inhoud van alle gedeelde mappen inzien. Ik deel geen mappen op mijn computer, en heb er bovendien geen vertrouwelijke informatie op staan, maar toch. Er zal maar, per ongeluk of moedwillig, een virus op worden gezet. En iedereen via jouw netwerk het internet op laten klinkt sympathiek, een toevallig passerende vakantieganger die via jouw internetverbinding zijn mail regelt, en daar is eigenlijk ook niets mis mee. Maar wat als diegene grote bestanden gaat downloaden, dan gaat jouw netwerksnelheid omlaag. Nog veel vervelender is het als diegene via jouw netwerk spam, of helemaal vervelend, kinderporno gaat verspreiden. Het is allemaal te traceren naar jouw adres, en ga dan maar eens bewijzen dat jij onschuldig bent! Dat valt niet mee. Er is maar één oplossing, je moet je je draadloze netwerk dichttimmeren.

Woord vooraf

Ik ga in dit artikel uit van mijn eigen situatie. Dat betekent dat ik gebruik maak van een Linksys modem-router. Als jij andere spullen gebruikt, bijvoorbeeld een los accespoint of spullen van een ander merk, dan ziet het er bij jouw anders uit, maar het principe blijft hetzelfde. En een deel van de stappen is ook toepasbaar voor mensen met een bedraad netwerk.

Stap 1: Pak pen en papier.

Deze stap, en ook stap 4, gelden voor iedereen met een netwerk, ook als het bedraad is.
Schrijf alle handelingen die je verricht op. Je gaat je netwerk beveiligen, maar je wilt jezelf niet uitsluiten. Schrijf daarom de standaardinstellingen op (zoals het netwerkadres en de login naam van de standaardgebruiker en diens wachtwoord). Vervolgens noteer je nauwkeurig welke veranderingen je doorvoert, dan kun je de stappen nog eens herhalen als er problemen zijn. Enne, gaat het toch mis, op de meeste apparatuur zit een resetknop verstopt. Houdt die enige tijd ingedrukt, en je kunt opnieuw beginnen.

Stap 2: Schakel je Firewall uit.

Dit is in principe een onverstandig advies, maar tijdens het configureren van je netwerk wil je niet geconfronteerd worden met een onwillige firewall. Je zou niet de eerste zijn die denkt dat alles goed is ingesteld maar toch geen verbinding krijgt. Dat kan uren zoeken kosten. Zorg er voor dat er niets in je computer gedeeld wordt en schakel het ding uit, werk zo snel mogelijk en schakel hem weer in.

Stap 3: Verbinding maken met de router.

Standaard gaat Windows, als je een computer hebt met een correct geïnstalleerde netwerkkaart, op zoek naar een netwerk. Dat geld ook voor draadloze netwerkkaarten. In het systeemvak (rechtsonder, naast de klok) verschijnt een ballonnetje dat aangeeft dat er een netwerk is gevonden. Klik daarop en maak, als het je eigen netwerk is, verbinding. Er wordt nog even gezeurd dat het een onveilig netwerk is, maar zo begin je nu eenmaal.

Afbeelding 1 en 2: Vers uit de doos kan iedereen verbinding maken met je router. Doe het zelf als eerste en begin direct met het beveiligen. Afbeelding 1 en 2: Vers uit de doos kan iedereen verbinding maken met je router. Doe het zelf als eerste en begin direct met het beveiligen.
Afbeelding 1 en 2: Vers uit de doos kan iedereen verbinding maken met je router. Doe het zelf als eerste en begin direct met het beveiligen.

Start je browser op en vul als netwerkadres in de adresbalk "http://192.168.1.1" in. Dit adres kan per router verschillen, zoek dat op in de handleiding. In het jargon: RTFM, de afkorting van Read The Fucking Manual. Je wordt gevraagd om een gebruikersnaam en wachtwoord, die staan ook in de handleiding. Bij mijn Linksys is dat standaard de gebruiker "admin" met het wachtwoord "admin".

Afbeelding 3: Het hele installeren van je router doe je vanuit je internetbrowser. De eerste keer log je in met de fabrieksnaam en wachtwoord, het eerste dat je dan gaat doen is deze wijzigen.
Afbeelding 3: Het hele installeren van je router doe je vanuit je internetbrowser. De eerste keer log je in met de fabrieksnaam en wachtwoord, het eerste dat je dan gaat doen is deze wijzigen.

Stap 4: Netwerkwachtwoord veranderen.

Deze stap moet iedereen, ook met een bedraad netwerk nemen. Iedere router is vanuit de fabriek standaard voorzien van een wachtwoord. De fabrikanten publiceren op het internet hun handleiding met daarin de standaard wachtwoorden (je hebt nu eenmaal mensen die alles kwijtraken), en een beetje hacker weet ze allemaal. Kies iets niet voor de hand liggends met ongebruikelijke tekens. Voor dit artikel ga ik uit van de gebruiker "Gerrit Zalm" met als wachtwoord "Jenny Thunnissen". Zo, de gratificatie is nu nog maar een kwestie van tijd.

Afbeelding 4: In mijn router kun je onder "Administration" en vervolgens "Management" je loginnaam en wachtwoord aanpassen. Het remote management, de optie om je router vanuit het internet te kunnen configureren laat ik op "disabled" (uitgeschakeld) staan.
Afbeelding 4: In mijn router kun je onder "Administration" en vervolgens "Management" je loginnaam en wachtwoord aanpassen. Het remote management, de optie om je router vanuit het internet te kunnen configureren laat ik op "disabled" (uitgeschakeld) staan.

Stap 5: Maak het netwerk onzichtbaar.

Standaard roept je router permanent dat hij er is en inviteert iedereen om er verbinding mee te maken. In het jargon heet dat het broadcasten (uitzenden) van je SSID (de netwerknaam) Handig, maar erg onveilig.
Ik disable de "Wireless SSID Broadcast", in goed Nederlands, ik schakel het uitzenden van de netwerknaam uit.
Op dezelfde plek kan ik de naam van het netwerk veranderen. Standaard is dat "Linksys", maar dat is niet handig, stel dat je buurman ook zo´n ding heeft. Maak er iets neutraals van dat toch herkenbaar is voor jou.
Gratificatietechnisch zou het nu het beste zijn om nu de naam te veranderen in bijvoorbeeld "de Belastingdienst" maar dat is al te verleidelijk voor een hacker als die toch nog binnen zou komen. Ik ga voor "PvCF", een neutrale naam die veel mensen niets zegt. Als ik het netwerk "KleinEssink" zou noemen weet iedereen gelijk bij wie het hoort, dat wil je ook al niet.
Druk vervolgens op de knop "Save Settings" om de veranderingen in te stellen. Gelukt? Krijg je de mededeling "Setting are Succesful"? Dan ben je dus nu de verbinding met je router kwijt.

Afbeelding 5: Onder "Wireless" en "Basic Wireless Settings" verander je de naam van je netwerk en stel je tevens in dat hij zijn (zij haar?) naam niet meer de wijde wereld inzendt.
Afbeelding 5: Onder "Wireless" en "Basic Wireless Settings" verander je de naam van je netwerk en stel je tevens in dat hij zijn (zij haar?) naam niet meer de wijde wereld inzendt.
Afbeelding 6: Een neutrale naam die niet meer zichtbaar is.
Afbeelding 6: Een neutrale naam die niet meer zichtbaar is.
Afbeelding 7: Operatie geslaagd, pati�nt overleden. Geen enkele computer ziet je router nog, je eigen computer incluis.
Afbeelding 7: Operatie geslaagd, patiënt overleden. Geen enkele computer ziet je router nog, je eigen computer incluis.

Stap 6: Verbinding maken met het Netwerk.

Klik in het systeemvak rechts op het icoontje van de draadloze verbinding en kies voor de optie "Beschikbare draadloze netwerken weergeven". Waarschijnlijk ziet hij geen netwerk, ga daarom naar de optie "Een draadloos netwerk voor een huis of klein bedrijf instellen". Vul in de wizard de netwerknaam in (Bij mij dus "PvCF") en klik op volgende. Kies dan voor de optie "handmatig een netwerk instellen". Klik op volgende en je krijgt de mogelijkheid om de instellingen af te drukken. Doe dat (de tekst wordt dan geopend in het kladblok) en sla die tekst op onder een duidelijke naam. Het kan altijd van pas komen. En vervolgens heb je weer verbinding.
Nou, niet dus. Bij mij vertikte hij het. Met een kabeltje verbinding gelegd met de router (werkt altijd) en niets vreemds gezien. Toch maar eens in het printje van de instellingen van de wizard gekeken, en zie, standaard werd het signaal van mijn computer versleuteld met het WEP algoritme. Omdat mijn router onbeveiligd is, verwacht die een onversleuteld signaal. Het WEP Algoritme uitgeschakeld en daar was de verbinding weer. Kan ik het artikel toch nog voor de deadline afkrijgen.

Afbeelding 8: Rechtsklikken op het icoontje van het draadloze netwerk en kies dan voor "Beschikbare draadloze netwerken weergeven".
Afbeelding 8: Rechtsklikken op het icoontje van het draadloze netwerk en kies dan voor "Beschikbare draadloze netwerken weergeven".
Afbeelding 9: Dat gaat goed, hij ziet geen netwerk. Dat betekend dat iemand die niet weet dat hij er naar moet zoeken hem niet zo snel vindt. Voor jouw betekent het handmatig instellen.
Afbeelding 9: Dat gaat goed, hij ziet geen netwerk. Dat betekend dat iemand die niet weet dat hij er naar moet zoeken hem niet zo snel vindt. Voor jouw betekent het handmatig instellen.
Afbeelding 10: Hier geef je de naam op van het netwerk waarmee je verbinding wilt maken. Gelijk maar even aanklikken dat je handmatig (dus nog niet nu) een netwerksleutel wilt instellen.
Afbeelding 10: Hier geef je de naam op van het netwerk waarmee je verbinding wilt maken. Gelijk maar even aanklikken dat je handmatig (dus nog niet nu) een netwerksleutel wilt instellen.
Afbeelding 11: In de tweede stap van de wizard geef je ook aan dat je handmatig een netwerk wilt instellen.
Afbeelding 11: In de tweede stap van de wizard geef je ook aan dat je handmatig een netwerk wilt instellen.
Afbeelding 12: Als de wizard klaar is kun je de instellingen afdrukken, een aanrader.
Afbeelding 12: Als de wizard klaar is kun je de instellingen afdrukken, een aanrader.

Stap 7: Filteren op het MAC adres.

Iedere netwerkkaart heeft een uniek nummer, het zogenaamde MAC adres. Een extra beveiliging bouw je in door in je router zo in te stellen dat je alleen computers tot je netwerk toe laat met een bekend MAC adres.
Nu moet je natuurlijk wel weten wat het MAC adres van jouw draadloze netwerkkaart is. Als je de commandoprompt opent ("Start", "Programma´s", "Bureau-accessoires" en "Opdrachtprompt") krijg je met de opdracht "ipconfig /all" een overzicht van alle gegevens. Achter "Fysiek adres" staat het MAC adres in de vorm van XX:XX:XX:XX:XX:XX (cijfers en letters).
Standaard staat de router zo ingesteld dat alle computers toegang krijgen ("Allow All"). Stel de router nu zo in dat alleen computer(s) met een van tevoren opgegeven MAC adres toegang krijgen ("Restrict Access") en kies voor de optie "Permit only computers listed below to access the wireless network". Vul in die lijst jouw MAC adres in. Gelukkig geeft mijn router een lijst met MAC adressen van verbonden computers en die kan ik kopiëren naar de lijst.

Afbeelding 13: De optie "Wireless" "Wireless Access" regelt wie draadloos toegang krijgen tot het netwerk. Standaard iedereen.
Afbeelding 13: De optie "Wireless" "Wireless Access" regelt wie draadloos toegang krijgen tot het netwerk. Standaard iedereen.
Afbeelding 14: Kies hier voor "Restrict Access" en "Permit Only". Vervolgens moet je een lijst aanleggen van computers die toegang mogen krijgen. Klik op "Edit MAC Adress Access List" om deze lijst aan te leggen.
Afbeelding 14: Kies hier voor "Restrict Access" en "Permit Only". Vervolgens moet je een lijst aanleggen van computers die toegang mogen krijgen. Klik op "Edit MAC Adress Access List" om deze lijst aan te leggen.
Afbeelding 15: Hier kun je MAC adressen invoeren van vertouwde computers. Handig: Als je op de knop "Wireless Client MAC List" klikt krijg je een lijst van verbonden computers. Als het goed is is het er één, je eigen computer.
Afbeelding 15: Hier kun je MAC adressen invoeren van vertouwde computers. Handig: Als je op de knop "Wireless Client MAC List" klikt krijg je een lijst van verbonden computers. Als het goed is is het er één, je eigen computer.
Afbeelding 16: Inderdaad, maar één. Zet het vinkje onder "Enable MAC Filter" en hij plaatst het MAC-adres zelf in de lijst.
Afbeelding 16: Inderdaad, maar één. Zet het vinkje onder "Enable MAC Filter" en hij plaatst het MAC-adres zelf in de lijst.
Afbeelding 17: Met het commando "ipconfig all" kun je het MAC adres ook achterhalen.
Afbeelding 17: Met het commando "ipconfig /all" kun je het MAC adres ook achterhalen.

Stap 8: Versleutel het netwerkverkeer.

Je bent nu al een heel eind op weg om je netwerkverkeer te beveiligen. Echter, de communicatie tussen je computer en de router vliegt onversleuteld door de lucht en kan dus afgeluisterd worden. Dat moet je dus nog even versleutelen. Er bestaan twee protocollen om het verkeer te versleutelen. Het oudste is het WEP protocol (Wired Equivalent Privacy). Deze methode wordt door de meeste wireless apparatuur ondersteund, maar is eenvoudig te kraken. Op het internet zijn programmaatjes te vinden die dat binnen een paar minuten doen.
Veel geavanceerder is het WPA protocol (Wifi Protected Access). Als al jouw apparatuur WPA ondersteund moet je daarvoor kiezen. Ondersteunt deze geen WPA dan kun je eens op de website van de fabrikant kijken. Mogelijk heeft deze een nieuwe firmware voor jou apparaat beschikbaar. Firmware is het softwaredeel van de apparatuur, door deze te vervangen worden er fouten uit de oude versie hersteld en komen er soms nieuwe mogelijkheden bij. Het vervangen van firmware is niet helemaal zonder risico´s, maar gaat in het algemeen goed.
Als er firmware voor jouw apparaat beschikbaar is die WPA toevoegt zou ik die installeren. Maar het is op eigen risico!
Ik kies in de router voor de "WPA Pre Shared Key". Vervolgens moet je een sleutel ingeven van tussen de 8 en de 63 tekens. Voor de hoogste veiligheid maak je deze lang, gebruik je hoofdletters en kleine letters en niet standaard tekens maar maak je hem wel onthoudbaar. Bijvoorbeeld: "Daar#Was#Laatst#Een#Meisje#Loos@123@Daar#Was#Laatst#Een#Meisje#". Lang (63 tekens), bijzonder tekens, niet eenvoudig te raden, maar nog net te onthouden. Het is maar een idee om je eigen fantasie te prikkelen.
Tip: Selecteer de sleutel en druk op "Ctrl" + "C" om de sleutel te kopiëren.
Druk vervolgens op de knop "Save Settings" om de veranderingen in te stellen. Gelukt? Krijg je de mededeling "Setting are Succesful"? Dan ben je nu dus voor de tweede keer de verbinding met je router kwijt. Joepie.
Ga naar de eigenschappen van de draadloze netwerkverbinding, kies de het tabje "draadloze netwerken", selecteer je netwerk (bij mij dus "PvCF") en klik op "Eigenschappen". Kies de netwerkverificatie "WPA PSK" (van Pre Shared Key) en de gegevenscodering TKIP. Voer hier de netwerksleutel twee keer in (Als je de sleutel zoëven had gekopieerd kun je hem hier comfortabel met "Ctrl" + "V" weer plakken.). En je hebt weer verbinding.

Afbeelding 18: De optie "Wireless" "Wireless Security" biedt de mogelijkheid het netwerkverkeer te versleutelen. Kies voor WPA als alle apparatuur dat ondersteunt, en de "WPA Shared Key": Verzin zelf een sleutel die je zowel op de router als de computer ingeeft.
Afbeelding 18: De optie "Wireless" "Wireless Security" biedt de mogelijkheid het netwerkverkeer te versleutelen. Kies voor WPA als alle apparatuur dat ondersteunt, en de "WPA Shared Key": Verzin zelf een sleutel die je zowel op de router als de computer ingeeft.
Afbeelding 19: Kies bij de eigenschappen voor draadloze netwerkverbinding voor draadloze netwerken, selecteer je netwerk (hier PvCF) en klik op "eigenschappen".
Afbeelding 19: Kies bij de eigenschappen voor draadloze netwerkverbinding voor draadloze netwerken, selecteer je netwerk (hier PvCF) en klik op "eigenschappen".
Afbeelding 20: Standaard is de "Netwerkverificatie" open en de "gegevenscodering" uitgeschakeld.
Afbeelding 20: Standaard is de "Netwerkverificatie" open en de "gegevenscodering" uitgeschakeld.
Afbeelding 21: Kies bij "Netwerkverificatie" voor "WPA PSK" en gegevenscodering TKIP. De Netwerksleutel die je eerder verzonnen had moet je hier ook 2 keer invoeren.
Afbeelding 21: Kies bij "Netwerkverificatie" voor "WPA PSK" en gegevenscodering TKIP. De Netwerksleutel die je eerder verzonnen had moet je hier ook 2 keer invoeren.

Stap 9: Netwerkadres veranderen.

Standaard heeft de router als netwerkadres (IP adres) "192.168.1.1". Dat is een heel voor de hand liggend nummer. Dit nummer kun je vrijelijk veranderen, maar wel met enige beperkingen. De eerste twee getallen (192.168) zijn gereserveerd voor lokale netwerken, en komen niet op het internet voor. Wijzig deze niet, het kan onvoorspelbare gevolgen hebben. De beide enen kun je veranderen in ieder getal tussen 1 en 254. Niet lager, en niet hoger. Voor optimale veiligheid kun je ook nog de DHCP server uitzetten, dat deel van de router dat IP adressen aan aangesloten computers verstrekt. Dat doe ik niet, dat vind ik te lastig omdat ik nogal eens extra computers op mijn netwerk aansluit. Ik neem hier dus bewust een (klein) veiligheidsrisico. Wel pas ik het beginadres aan (189, willekeurig gekozen) en beperk ik het aantal uit te geven nummers (10, meer dan genoeg voor mijn lokale netwerk). Weet je zeker dat er nooit meer dan twee computers aan jouw netwerk kunnen hangen dan kun je hier rustig 2 invullen.).
Druk vervolgens op de knop "Save Settings" om de veranderingen in te stellen. Gelukt? Krijg je de mededeling "Setting are Succesful"? Dan ben je nu dus voor de derde keer de verbinding met je router kwijt. Je kunt de computer opnieuw opstarten, een poosje wachten of in de opdrachtprompt achtereenvolgens de opdrachten "ipconfig /release" en "ipconfig /renew" ingeven, in alle gevallen moet de verbinding hersteld worden.
Nu nog even je firewall inschakelen en instellen op de juiste IP adressen (zie de vorige CE voor een uitgebreide toelichting) niets staat het zorgeloze internetten meer in de weg.

Stap 10: Een map delen.

Als het belangrijk voor je is om toch een map te delen zet dan het dollarteken achter de gedeelde naam (bijvoorbeeld: "gedeeld$"). Dan verschijnt de gedeelde map niet in de lijst met gedeelde mappen maar moet je hem handmatig invoeren. Als je vervolgens ook nog een wachtwoord instelt voor toegang ben je nog weer een stukje veiliger.
Overigens, als je vanaf een Linuxmachine naar het netwerk kijkt zie je die map wel weer, maar ja, overstappen op Linux is voor een aantal mensen toch een stap te ver. Raar maar waar.

Afbeelding 22: Kies een IP adres voor je router, verplicht beginnend met "192.168" (hier 65.121), het begin van je netwerk (hier 189) en het aantal computers dat met de router contact kan maken (hier 10).
Afbeelding 22: Kies een IP adres voor je router, verplicht beginnend met "192.168" (hier 65.121), het begin van je netwerk (hier 189) en het aantal computers dat met de router contact kan maken (hier 10).

Stap 11: Genieten.

Ga in de tuin zitten en ga lekker internetten. Gelet op het weer van de afgelopen zomer raad ik je wel aan er een regenjas bij aan te doen. Succes.

Conclusie.

Als je bovenstaande stappen hebt doorlopen is je netwerk behoorlijk beveiligd. Houdt echter wel in het achterhoofd dat geen enkel draadloos netwerk 100% betrouwbaar is. Er zijn altijd weer jongens die nog slimmer zijn. Vraag je dus af of je nou zo nodig draadloos moet internetbankieren? Je kunt dat ook gewoon via een kabeltje doen, dat is toch weer een stukje veiliger.
Wil je reageren op dit artikel? Of kom je andere problemen tegen? Of heb je nog tips om het netwerk nog verder dicht te timmeren?

Gebruikte apparatuur: Acer Aspire 1522 notebook computer en Linksys Wireless ADSL-gateway WAG54G versie 2.

Bron: Jan Chris ©, eerder gepubliceerd in Computer Express oktober 2005

Je kunt mij mailen op janpuntchrisatpvcfpuntnl.

Laatste update: 15 april 2012
.