Internetverbindingen met WiFi

30/01/08

Internetverbindingen met WiFi Opgelet: Deze tekst heeft alleen betrekking op het gebruik van WiFi voor het opbouwen van een verbinding met Internet. Het is van groot belang dat de draadloze functie NOOIT gelijktijdig actief mag zijn of gelijktijdig gebruikt mag worden met een koppeling met kabel op het HiLDEpolitienetwerk!!! We raden ten sterkste aan om instellingen van router en pc’s /laptops te laten uitvoeren en regelmatig te laten controleren door een specialist terzake, zoals de systeembeheerder. Het certificatielabel WiFi WiFi is de benaming die men courant gebruikt voor kleine draadloze netwerken, maar in feite is het een certificatielabel voor draadloze netwerkproducten. Onafhankelijke certificatiebureaus onderwerpen toestellen zoals draadloze routers en netwerkkaarten aan verscheidene voorgeschreven testen alvorens ze op de markt worden gebracht. Het is pas wanneer wordt tegemoetgekomen aan alle specifieke eisen van de internationale standaard IEEE 802.11, die zijn vastgelegd door de WiFi Alliance, dat het certificatielabel wordt toegekend. Wat is een draadloos netwerk? Men spreekt van een draadloos netwerk van het ogenblik dat twee toestellen draadloos met elkaar kunnen communiceren. Dit kunnen twee pc’s zijn die direct met elkaar communiceren via hun draadloze netwerkkaarten. Ze werken dan in Ad-Hoc mode. Het kan bijvoorbeeld ook een pc zijn die draadloos aansluiting vindt bij een access point (router). Omdat er meestal een, zij het beperkte, infrastructuur is uitgebouwd spreekt men hier van werking in Infrastructure mode. Welke elementen kunnen deel uitmaken van een draadloos netwerk? Een draadloos netwerk bestaat meestal uit een access-point en een of meerdere pc’s met een draadloze netwerkkaart. Vaak is het access-point of router ook voorzien van een kleine interne switch, zodat ook de mogelijkheid bestaat tot aansluiten van pc’s via vaste netwerkkabels. Er zijn verschillende types netwerkadapters: -

Draadloze PCI-kaarten kunnen aangewend worden bij een desktop pc’s Draadloze PCMCIA-kaarten kunnen gebruikt worden bij laptops. Recente laptops beschikken veelal over een ingebouwde draadloze netwerkkaart. Draadloze USB-adapters kunnen zowel op desktop-pc’s als op laptops gebruikt worden.

De kabelmodem of de ADSL-modem maakt in principe geen deel uit van het draadloos netwerk. Deze zorgt alleen voor de koppeling van het netwerk op internet. Sommige toestellen combineren nochtans de functie van modem met die van (draadloze) router/switch.

Federale Politie

1 /11

DTTN/LAN-WAN

30/01/08

Standaardisering en normering De al hoger aangehaalde internationale standaard IEEE 802.11 (spreek uit: I triple-E 802.11) vindt chronologisch zijn oorsprong als volgt: IEEE 802.11b behandelt de norm in de 2,4GHz-band, waar een maximale bandbreedte van 11Mbps mogelijk is en die enkel WEP-encryptie ondersteunt. IEEE 802.11a behandelt de norm in de 5GHz-band, waar een maximale bandbreedte van 54Mbps mogelijk is en die buiten WEP- ook WPA-encryptie ondersteunt. IEEE 802.11g behandelt de norm in de 2,4GHz-band, waar een maximale bandbreedte van 54Mbps mogelijk is en die buiten WEP- ook WPA-encryptie ondersteunt. IEEE 802.11n behandelt de norm in zowel de 2,4GHz-band als de 5GHz-band, waar een bandbreedte van minimaal 100Mbps kan bereikt worden. Deze norm is echter nog steeds in ontwikkeling en de definitieve versie zal waarschijnlijk voor 2009 zijn. Snelheden tot meer dan 500Mbps worden verwacht. Momenteel is het zo dat nagenoeg alle fabrikanten al pré-802.11n materiaal (ook draft-802.11n genoemd) op de markt hebben. Dit materiaal is echter constructeurgebonden en geeft geen garantie dat de verschillende componenten onderling samenwerken of uitwisselbaar zijn. Soms hoor je ook spreken over IEEE 802.11i. Deze behandelt de WPAencryptiestandaard. Hoe de installatie aanpakken? Om een betrouwbare installatie te bekomen, leest u best eerst de hoofdstukken Veiligheid en Encryptie. Iedere fabrikant heeft zo zijn eigen beveiligingsopties en zijn eigen gebruikersinterface, maar door deze hoofdstukken vooraf grondig te lezen, zal u tijdens de installatie merken dat de technieken en methoden bij nagenoeg elke fabrikant terugkomen. Begin met uw pc via een gewone netwerkkabel aan te sluiten op de router en het standaard IP-adres, dat u terugvindt in de documentatie, in te vullen in uw webbrowser. Op die manier komt u op de webpagina van uw router. In het hoofdstuk Veiligheid wordt elk gevaar belicht en de wijze waarop je uw netwerk ertegen kan beschermen. In het hoofdstuk Encryptie worden de verschillende versleutelingsmethoden behandeld. Belangrijk is dat wanneer u eenmaal gekozen hebt voor een bepaald type encryptie en de access-point hiervoor geconfigureerd hebt, u alle Wireless clients dient te voorzien van dezelfde settings als uw access-point. Hiermee wordt bedoeld hetzelfde type encryptie, maar uiteraard ook dezelfde passphrases.

Federale Politie

2 /11

DTTN/LAN-WAN

30/01/08

Veiligheid Fabrieksinstellingen Eén van de belangrijkste gevaren komt zondermeer van bij de fabrikanten van het Wireless Access Point. Zij kiezen meestal voor oplossingen die de klant toelaten onmiddellijk met zijn nieuwe product aan de slag te gaan. Het toestel is als het ware gebruiksklaar. Deze gebruiksvriendelijkheid is er de oorzaak van dat de klant nauwelijks stilstaat bij het aspect beveiliging. Het toestel werkt en omdat het de gemakkelijkste weg is, wordt er naar schatting in 50% van de gevallen geen verdere poging ondernomen om het geheel te beveiligen of af te schermen. ----
Pas minstens alle standaardinstellingen van de fabrikant aan naar uw eigen nieuwe instellingen Onbewust van draadloze functionaliteit. Men koopt een laptop of router om met meerdere bedrade PC’s gelijktijdig op internet te gaan, maar men is zich niet bewust van de aanwezigheid van de draadloze functionaliteit. Gevolg: het netwerk staat volledig open voor de buitenwereld/internet. ----
Als je de draadloze functionaliteit niet nodig hebt, schakel ze dan uit In de router gebeurt dit via een instelling in de webpagina van de router, bij een pc of laptop via een kleine drukknop of via een icoontje onderaan in de system-tray. Naamgeving van de SSID. De Service Set IDentifier of de naam die werd gegeven aan het draadloze netwerk laat men in veel gevallen ongewijzigd ten opzichte van de standaard ingestelde naam die in het WAP werd geplaatst door de fabrikant. Omdat dit doorgaans standaardnamen zijn, maakt dit het voor een hacker eenvoudiger om het netwerk te ontdekken. ----
Gebruik een nieuwe en betekenisloze naam Broadcast van de SSID Standaard zendt het WAP elke paar seconden “beacon-frames” uit. Het WAP geeft hiermee kenbaar aan de buitenwereld dat het zich daar bevindt en wat zijn naam is. De SSID wordt publiekelijk kenbaar gemaakt. Ook dit maakt het weer makkelijk voor de hacker om het netwerk te vinden. ----
Schakel het broadcasten van het SSID uit, dit maakt het de hacker niet onmogelijk, maar toch weeral een stuk moeilijker om het netwerk te ontdekken. De hacker zal dan immers moeten wachten tot op het ogenblik dat een draadloze PC zich aanmeldt bij het WAP. Keuze van een router a.d.h.v. de frequentieband Bij WiFi worden de protocollen 802.11b voor WEP 11Mbps en 802.11g voor WPA 54Mbps tegenwoordig ondersteund door vrijwel alle fabricanten van wireless routers. Ze bevinden zich in de 2,4GHz frequentieband, dezelfde waar ook babyfoons en

Federale Politie

3 /11

DTTN/LAN-WAN

30/01/08

zelfs microgolfovens in voorkomen. Om deze reden zijn interferentieproblemen niet uit de lucht gegrepen. De professionele wireless routers gebruiken evenwel de 5GHz frequentieband. Het protocol 802.11a wordt ondersteund voor dit type router. De clienttoestellen dienen uiteraard gebruik te maken van ditzelfde protocol en dit maakt dat hun netwerkkaarten hiervoor moeten aangepast zijn, met andere woorden ze dienen specifieke 5GHz netwerkkaarten te gebruiken. Nadeel is dat ze duurder zijn en de draagwijdte van het signaal lichtjes minder is. Het feit dat ze exclusiever zijn dan hun zeer courant gebruikte 2,4GHz broeders, maakt ze dan weer minder inbraakaantrekkelijk. ----
Kies resoluut voor professioneel 5GHz materiaal, indien het gebruik dat u van uw netwerk wil maken dit toelaat. Keuze van het kanaal in de frequentieband De meeste routers zijn door de fabrikant ingesteld op een standaardkanaal, meestal 11. Ook hier laten de meesten dit standaardkanaal ongewijzigd, wat het opsporen van het netwerk door hackers weerom eenvoudiger maakt. ----
In Europa zitten er 13 kanalen in 2.4GHz- en 11 kanalen in de 5 GHzfrequentieband. Door een ander kanaal te kiezen heeft de hacker het toch weer iets lastiger om het WAP te ontdekken. Keuze van een paswoord Het standaard paswoord van elke router is eenvoudig te achterhalen in de handleidingen van de routers die vrij te vinden zijn op internet. ----
Verander het standaardpaswoord van de router naar een moeilijk te kraken paswoord waarin een mix van letters, cijfers en tekens voorkomt. MAC-adres-filtering Het MAC-adres is het unieke identificatienummer van een netwerkdevice. In het WAP maken we een lijst aan van MAC-adressen van enkel die draadloze PC’s die toegang mogen krijgen tot het WAP. Wanneer een PC zich wil verbinden, dient het MAC-adres van die PC voor te komen in de lijst. Waterdicht is deze MAC-adres-filtering niet. Met behulp van een sniffer kunnen MACadressen relatief eenvoudig zichtbaar worden. Een bijkomend nadeel is dat een MAC-adres zeer gemakkelijk kan gespoofd worden.(MAC-spoofing) ----
Maak gebruik van de MAC-adres-filtering-functionaliteit. Al lijkt MAC-adres-filtering eenvoudig te omzeilen, toch is het weeral een bijkomende hindernis voor de hacker. Plaatsbepaling van het WAP De fysische plaatsbepaling speelt een zeer belangrijke rol. Er moet in gedachte worden gehouden dat de verst afgelegen draadloze PC’s nog over een voldoende sterk signaal moeten kunnen beschikken, maar dat er verder dan dit punt geen nood meer is aan signaal. Ga uit van het idee: “Als het signaal op straat bijvoorbeeld niet voldoende sterk meer is, kan het ook niet opgepikt worden door onbevoegden.”

Federale Politie

4 /11

DTTN/LAN-WAN

30/01/08

----
Kies een zo centraal mogelijk gelegen plaats in het gebouw of de netwerkomgeving, dit komt niet alleen de signaalkwaliteit voor de verschillende PC’s ten goede, maar beperkt eveneens het bereik naar de straat toe. Zet een WAP bijvoorbeeld nooit voor een raam aan de straatzijde.

Federale Politie

5 /11

DTTN/LAN-WAN

30/01/08

Encryptie Het encrypteren of versleutelen van de informatie kan op meerdere wijzen gebeuren. We zullen de verschillende methoden bekijken. WEP-encryptie WEP staat voor Wired Equivalent Privacy. De naam is eerder duidelijk. Deze methode zou een beveiliging bieden, zoals je die bij een traditioneel bekabeld netwerk vindt. Dit is het oudste type encryptie en is het makkelijkst te kraken. Een getal van 24 bits, dat men IV of InitialisatieVector noemt, wordt samen met een statische sleutel gebruikt om een datapakket met een encryptiealgoritme te vercijferen. In de huidige stand van zaken duurt het niet langer dan enkele minuten om in te breken op een WEP-verbinding. WPA-encryptie Veel veiliger is WPA, wat WiFi Protected Access betekent. WPA werd door de industrie ontwikkeld voor gebruik met een authenticatieserver, zoals een Radius server, die sleutels toewijst aan elke gebruiker. Voor gebruik in kleine ondernemingen en thuis (‘Small Office en Home’) is het ook mogelijk zonder authenticatieserver te werken en een PSK of Pre-Shared Key toe te passen. De gebruiker geeft zowel op het WAP als op de draadloze PC een paswoord in . Dit is de master key. WPA gebruikt het TKIP-algoritme om op dynamische wijze de sleutel aan te passen die gebruikt wordt om de verbinding te versleutelen. Het is dus niet meer mogelijk die sleutel te ontdekken door sniffen op het netwerk. In combinatie met langere IV’s, ligt het niveau van beveiliging veel hoger dan bij WEP. WPA2-encryptie Een van de nieuwste encryptiemethodes is WPA2. Hier gebruikt men niet langer het TKIP-algoritme maar wel een vorm van het AESalgoritme dat veiliger is.

Federale Politie

6 /11

DTTN/LAN-WAN

30/01/08

Bijkomende tips Nog een aantal interessante mogelijkheden die kunnen worden aangewend: -

Ingebouwde Firewall-beveiliging: De meeste routers zijn uitgerust met een SPI-firewall (Stateful Packet Inspection), die de opvolging verzekert van de openstaande verbindingen op de verschillende poorten van de router evenals de controle van de aanvragen voor nieuwe verbindingen. Voor elk datapakket dat via de firewall passeert, wordt geverifieerd dat dit deel uitmaakt van een verbinding die actief of in opbouw is, of dat het gaat om een ongewettigd pakket, dat voortkomt uit een poging tot inbraak op het netwerk.

-

Instellen van een paswoord op het WAP zelf om de toegang tot de beheersfuncties ervan te beveiligen.

-

Wijzigen van het standaard ‘af fabriek’ ingestelde IP-adres van het WAP dat toegang geeft tot de beheersfuncties.

-

DHCP instellen en een maximum aantal PC’s instellen dat gelijktijdig toegang tot het WAP mag hebben, in functie van het reële gebruik.

-

Gebruik van vaste IP-adressen voor de client PC’s, voor zover de concrete situatie dit toelaat. In sommige gevallen (externe gebruikers, …) zal men nochtans niet anders kunnen dan te kiezen voor een automatische toekenning van IP-adressen via DHCP.

-

Logging op het WAP activeren en regelmatig controleren.

-

Kiezen voor de draadloze netwerkmode 802.11a only, in zoverre alle netwerkadapters dit ondersteunen.

-

Toepassen van MAC-adres-cloning, ook MAC-adres-spoofing genoemd. Het WAP neemt hierbij het MAC-adres van een PC over. Naar internet toe lijkt het alsof de PC rechtstreeks gekoppeld is, zonder via een WiFi-netwerk te passeren. Aan de hand van de eerste digits van het MAC-adres en een lijst met vendorcodes kan men de fabrikant van de apparatuur achterhalen en op die manier zien of het apparaat een netwerkadapter, een firewall of een router is. Het WAP wordt door MAC-adres-spoofing moeilijker zichtbaar.

-

Uitschakelen van de draadloze toegang tot de interne webpagina voor het beheer van het WAP opdat die alleen via kabel kan geconfigureerd worden.

Besluit: Door alle aangeboden beveiligingsmogelijkheden toe te passen, verkleinen we de kans op een mogelijke inbraak. De mogelijkheid tot inbraak blijft evenwel steeds aanwezig.

Federale Politie

7 /11

DTTN/LAN-WAN

30/01/08

Aanbevelingen bij de keuze van materiaal: Bij de aanschaf van draadloos materiaal moet er rekening mee worden gehouden dat router (WAP) en netwerkkaart of USB-netwerkadapter op elkaar moeten afgestemd zijn en dat beiden zeker WPA2-encryptering moeten ondersteunen. De minimale aanbevolen technische specificaties voor het WAP zien er als volgt uit: -

Ondersteuning van IEEE 802.11a voor 5GHz en 802.11g voor 2,4GHz Mogelijkheid om SSID broadcast uit te schakelen Password protected router MAC-filtering moet mogelijk zijn Draadloze toegang tot de beheersfuncties van het WAP moet uitgeschakeld kunnen worden Geïntegreerde SPI-firewall

Federale Politie

8 /11

DTTN/LAN-WAN

30/01/08

Trefwoordenlijst Access-point: Het gemeenschappelijk toegangspunt in een infrastructure-mode-netwerk, te vergelijken met een hub of switch in een gewoon netwerk met draden. AES: Advanced Encryption Standard, een hoger coderingsalgorithme gebruikt onder WPA2. Ad-hoc-mode: Ook peer-to-peer genoemd, een type netwerk waarbij minstens twee pc’s rechtstreeks met elkaar communiceren via hun draadloze netwerkkaarten en zonder tussenkomst van een access-point of ander actief component. Channel: Het kanaal dat gebruikt wordt binnen een bepaalde frequentieband, in Europa zitten er bvb. 13 kanalen in de 2,4 GHz-band en 11 kanalen in de 5 GHz-band. Beacon: Boodschap in de vorm van een berichtenpakket uitgezonden door een draadloos toegangspunt met als doel zijn aanwezigheid kenbaar te maken aan bijvoorbeeld een draadloze pc. DHCP: Dynamic Host Configuration Protocol, een server of dienst die op een dynamische wijze een IP-adres toekent aan een device. Encryptie: Coderen van gegevens op basis van een algoritme, waarbij een sleutel (key) nodig is om de gegevens te versleutelen en een compatibele sleutel (key) om de gegevens terug te ontcijferen. Firewall: Uitrusting in hardware of software die ervoor zorgt dat ongewenste bezoekers vanuit het internet kunnen buitengehouden worden uit het netwerk. Vergelijkbaar met een muur van een versterkte burcht. In die muur zitten verschillende poorten waarlangs er toegang met de buitenwereld mogelijk is. Die poorten geven toegang tot het netwerk of internet. De firewall gaat zijn poorten in de gaten houden en er voor zorgen dat ze gesloten zijn voor ongewenste indringers (zie ook PAT). Een firewall fungeert dus in feite als een grenscontrole tussen twee netwerken. Frequentieband: Bvb. 2,4 GHz voor protocol 802.11b(tot 11Mbps) en 802.11g(tot 54Mbps). Bvb. 5 GHz voor protocol 802.11a(tot 54Mbps).

Federale Politie

9 /11

DTTN/LAN-WAN

30/01/08

Gateway: Verplichte doorgang om van een netwerk naar een ander netwerk te gaan. Infrastructure-mode: Een type netwerk waarbij elke pc verbinding maakt met een gemeenschappelijke access-point. Initialisatie Vector (IV): Een getal bestaande uit een aantal bits dat samen met een encryptiesleutel gebruikt wordt om een datapakket d.m.v. bvb. WEP of WPA te encrypteren (zie ook onder WEP-plus). Hacking: Ongeoorloofd inbreken in informaticasystemen MAC-adres: Media Access Control-adres, het unieke identificatie-nummer v/e netwerkdevice MAC-adres-spoofing: Het nabootsen van een MAC-adres van een netwerkdevice door bijvoorbeeld een router NAT: Network Address Translation of het vertalen van private IP-adressen, die niet door internet kunnen gerouteerd worden, naar publieke IP-adressen die dat wel worden. PAT: Port Adress Translation of het doorsturen naar een andere poort binnen ditzelfde IPadres, meestal gebruikt voor servers zoals webservers. Door een PAT te doen van hun publiek IP-adres naar hun privaat IP-adres worden ze toegankelijk vanuit internet. Radius: 1. 2.

Bepaald type server die ingeschakeld wordt om gebruikt te worden als authentication server. Straal waarbinnen signalen kunnen opgevangen worden.

SSID: Service Set IDentifier, ook het network-ID genoemd, de naam die werd gegeven aan het draadloze netwerk. TKIP: Temporal Key Integrity Protocol, een coderingsalgorithme gebruikt onder WPA-PSK

Federale Politie

10 /11

DTTN/LAN-WAN

30/01/08

Wireless Access Point (WAP): Draadloos toegangspunt tot een netwerk. WEP: Wired Equivalent Privacy, één bepaald type encryptie gebruikt bij het versleutelen van draadloze signalen. WEP-plus: Maakt gebruik van een 104bits sleutel, terwijl WEP een 40bits sleutel gebruikt. Beiden gebruiken ook nog een random 24bits getal, wat met de Initialisatie Vector noemt, kortweg IV. Wireless router: Een access-point waarbij meerdere clients gelijktijdig aansluiting op internet krijgen, een access-point met een extra functionaliteit van router. WPA: WiFi Protected Access, is een type encryptie, de opvolger van WEP en WEP-plus WPA2: De opvolger van WiFi Protected Access, maakt gebruik van het AES-algoritme. WPA-PSK: WiFi Protected Access met Pre Shared Key, is een type encryptie dat gebruikt maakt van een gedeelde sleutel om WPA te kunnen toepassen zonder Radius-server.

Federale Politie

11 /11

DTTN/LAN-WAN