Basisbeveiliging thuisnetwerk

Zoals we in een vorige blogpost aangaven, is een veilig thuisnetwerk van belang om veilig thuis te kunnen werken. Maar ook voor privé-gebruik is een veilig netwerk wel zo prettig. In deze post staan we kort stil bij de minimaal te nemen stappen om het kwaadwillenden niet te makkelijk te maken.

Ervaren computergebruikers en IT experts hebben wellicht een  complex thuisnetwerk met allerhande specialistische apparatuur. We gaan in dit artikel uit van een wat simpelere opzet, zoals de ‘gemiddelde Nederlander’ in huis heeft. Deze bestaat uit een verzameling apparaten waarop wordt gewerkt; zoals desktop-computers, laptops en ook mobiele telefoons. Ook IoT/slimme apparaten, zoals bijvoorbeeld een slimme thermostaat, vallen hieronder. Deze apparatuur noemen we de ‘cliënts’ in het netwerk.

Daarnaast heb je waarschijnlijk een apparaat van jouw internetprovider gekregen. Deze wordt aangesloten op de kabel (glasvezel, coax, of DSL) die jouw huis binnenkomt. Dit apparaat vervult een aantal functies. Allereerst de functie van ‘modem’. Het modem zorgt ervoor dat er met het netwerk van de provider (en daarmee het internet) kan worden gecommuniceerd. Daarnaast is dit apparaat ook de ‘router’ voor jouw interne netwerk, waardoor jouw ‘cliënts’ in staat gesteld worden met elkaar en het internet te communiceren. Tot slot bieden de meeste aangeboden ‘modems’ afkomstig van de providers ook een wifi accesspoint aan, waardoor je draadloos met het netwerk kunt verbinden.

Jouw apparaten kunnen op twee manieren verbinding maken met de ‘router’. Door middel van een netwerkkabel tussen de twee, of door gebruik te maken van wifi. Waar de eerste onmogelijk af te luisteren is, zonder verbonden te zijn met het netwerk, is dit met wifi zonder beveiliging wel het geval. De berichten tussen jouw apparaat en de router vliegen door de lucht en zijn gewoon op te vangen door antennes, ook wanneer die zich buiten de muren van het huis bevinden.

Om te voorkomen dat de draadloze communicatie meegelezen kan worden, worden berichten versleuteld voordat ze verzonden worden. De ontvangende kant moet de berichten weer ontsleutelen, waarna het bericht zijn weg kan vervolgen. Voor deze versleuteling (ook wel encryptie genoemd) gebruiken zender en ontvanger een gedeelde sleutel. De twee meest gangbare vormen van encryptie zijn WEP en WPA/WPA2. In beide gevallen dient een sleutel of key ingesteld te worden, die toegang geeft tot het netwerk. WEP dient echter vermeden te worden. De versleuteling is niet sterk genoeg en kan binnen enkele minuten gekraakt worden!

Voor WPA/WPA2 is vooralsnog geen mogelijkheid gevonden om het te kraken, anders dan door het proberen van alle mogelijke sleutels. Het is dus van belang dat de sleutel goed gekozen is. Het moet voldoen aan dezelfde eisen als sterke wachtwoorden.

Wel zit er een zwakte in een onderdeel van WPA2, namelijk Wifi Protected Setup (WPS). Dit systeem is bedoeld om apparaten eenvoudig op jouw wifi netwerk aan te sluiten, zonder de hele sleutel in te hoeven voeren. WPS systemen die gebruik maken van een pincode zijn echter kwetsbaar. Als de pincode (van 8 cijfers) achterhaald is, dan is ook de WPA(2) sleutel gelekt. Het uitschakelen van WPS geniet dus de aanbeveling. 

Alle routers komen met software om de instellingen aan te passen. Hier kun je bijvoorbeeld de WPA2 sleutel van je draadloze netwerk wijzigen. Door naar de webpagina van de router in het netwerk te gaan, kun je inloggen in de beheerinterface. Het adres van de beheerinterface is vaak standaard, zoals 192.168.1.1. Een lijst per merk is hier beschikbaar.
Wanneer een dergelijk IP-adres in de browser wordt opgezocht dient er te worden ingelogd. De standaard gebruikersnaam en wachtwoord zijn vaak voor alle verkochte apparaten hetzelfde. Het is dus sterk aan te raden deze direct te wijzigen na het inloggen, zeker wanneer de interface ook vanaf het internet te raadplegen is.

Jouw draadloze netwerk heeft een naam, een zogenaamd SSID. Het is aan te raden om deze naam te wijzigen in iets dat niet naar jou te herleiden is. Zo is het netwerk net wat lastiger aan jou te koppelen. Daarnaast heb je de optie om het SSID te verbergen, zodat deze niet in de lijst beschikbare netwerken op andermans computer verschijnt. Je zult het netwerk dan wel zelf handmatig op je apparaten moeten toevoegen. Waterdicht is deze methode overigens niet, aangezien je accesspoint nog steeds signalen uitzendt om zich kenbaar te maken. Een 'normale' gebruiker zal echter niet zo snel bij jouw netwerk terechtkomen.

Ben je toch aan het rondneuzen in de instellingen, kijk dan ook of je een gastnetwerk kan inrichten. Gasten kun je dan op een apart deel van je netwerk laten inloggen, waardoor ze niet bij jouw apparaten kunnen. Zo kun je de sleutel van je eigen privénetwerk beter geheim houden. 

Je software zoals je applicaties (bijvoorbeeld Microsoft Word) en je besturingssysteem (Windows, Android, etc.) dien je up-to-date te houden. Ook voor netwerkapparatuur komen updates uit die kwetsbaarheden oplossen. Onlangs in het nieuws was een kritiek probleem met (netwerk)apparatuur van Zyxel. De enige oplossing was het updaten van de firmware. Dit is ‘besturingssoftware’ voor je apparaten. Een update is vaak eenvoudig uit te voeren via de beheerinterface. De verbinding zal korte tijd wegvallen doordat het apparatuur opnieuw moet opstarten, maar daarna ben je weer een stukje beter beschermd. Controleer dus regelmatig of er updates beschikbaar zijn.

Samenvattend, zorg ervoor dat:

Bovenstaande tips zijn niet enkel handig voor de reguliere gebruiker. Uw thuiswerkers zijn immers dezelfde personen. Voor uw organisatie is het van belang dat medewerkers worden geholpen met het inrichten van een veilige thuiswerkplek. Daarbij kan worden gedacht aan een duidelijk beleid, handleidingen en eventuele training.

Wilt u vrijblijvend sparren over hoe StackSecure uw organisatie en medewerkers hierbij kan ontzorgen? Neem gerust eens contact op.