Master Thesis - Plan van Aanpak
Master Thesis - Plan van Aanpak Beveiliging van draadloze thuisnetwerken Zlatko Bajić (s0721050) RU Nijmegen (Informatiekunde) Afstudeerbegeleider: Peter van Rossum 6 april 2009
1
Probleemstelling
Steeds meer mensen hebben thuis de beschikking over een breedband internetverbinding [1]. Daarnaast maken steeds meer mensen binnenshuis gebruik van draadloze netwerktechnologie (wi-fi) om een eigen thuisnetwerkje op te zetten, om de internetverbinding, persoonlijke bestanden, printers, etc. binnenshuis te delen [4]. Mensen zijn zich echter niet bewust van de beveiligingsrisico’s die horen bij het gebruik van zulke draadloze thuisnetwerken. Uit eerder onderzoek is gebleken dat in Nederland bijna 50 procent van de draadloze thuisnetwerken onvoldoende (WEP of helemaal geen encryptie) beveiligd is [3]. In andere landen hebben we ook te maken met hoge percentages van slecht beveiligde thuisnetwerken. In Londen (52%) [4], Parijs (25%) [6] en New York (39%) [5] hebben ze ook te maken met dit beveiligingsprobleem. Het gebruikmaken van een slecht beveiligd thuisnetwerk brengt vele risico’s met zicht mee. Anderen kunnen zo op jouw netwerk inloggen en gebruik maken van je internetverbinding om bijvoorbeeld in het ergste geval spam, kinderporno of terroristische berichten te verspreiden. Daarnaast zijn de eigen persoonlijke bestanden ook niet veilig. Je bankgegevens, creditcardgegevens, etc. kunnen gemakkelijk worden onderschept [15]. Uit eerder onderzoek is daarnaast ook gebleken dat de Internet Service Providers (ISP’s) in Nederland over het algemeen slecht beveiligde wi-fi routers leveren aan consumenten [3]. Het is in Nederland voor ISP’s namelijk niet verplicht om kant-en-klaar beveiligde wi-fi routers te leveren aan consumenten. Sinds kort hebben ze echter wel de verplichting om hun klanten beter voor te lichten over beveiliging en securityrisico’s met betrekking tot het gebruik van draadloze thuisnetwerken [12]. Het is dus te verwachten dat de invoering van deze voorlichtingsplicht een positief effect heeft op de beveiliging van draadloze thuisnetwerken in Nederland.
1
Master Thesis - Plan van Aanpak
Uit de bovenstaande feiten kunnen we tot de volgende onderzoeksvraag en deelvragen komen: Onderzoeksvraag: Hoe gaan Internet Service Providers in Nederland om met de veiligheid van draadloze thuisnetwerken? Deelvragen (alle deelvragen hebben alleen betrekking op Nederland): Wat is de huidige toestand van beveiliging van draadloze thuisnetwerken? Is de beveiliging van draadloze thuisnetwerken verbeterd na de invoering van de voorlichtingsplicht voor Internet Service Providers? Is er een verband tussen het merk (leverancier) wi-fi router en het beveiligingsniveau van draadloze thuisnetwerken? Welke merken wi-fi routers worden door de verschillende Internet Service Providers aan de consumenten geleverd? Hoe ziet de aansluitingsprocedure van de geleverde wi-fi routers eruit met betrekking tot beveiliging? Wat zijn de Internet Service Providers van plan om in de toekomst te doen met betrekking tot beveiliging van draadloze thuisnetwerken?
2
Werkwijze
Om het eerder beschreven probleem op te kunnen lossen, moeten een aantal verschillende fasen doorgelopen worden. Allereerst moet de theorie achter het probleem achterhaald worden. De methodes om de data te vergaren en de data te analyseren moeten worden vastgesteld. Om de vastgestelde deelvragen te kunnen beantwoorden, moet daarna data worden verzameld. De verzamelde data moet worden geanalyseerd en de bijbehorende conclusies moeten worden gepresenteerd (schriftelijk en mondeling). Dit onderzoek bestaat dus in essentie uit vier gedeeltes: Onderzoeksvoorbereiding: Er zal een onderzoeksplan worden gemaakt. De relevante literatuur (zie hieronder) zal worden bestudeerd om het onderzoek in een goed theoretisch kader te kunnen plaatsen (literatuurstudie). Er zal worden gekeken naar de theorie achter draadloze netwerken (wi-fi) en de verschillende beveiligingsmechanismen die hierbij van toepassing zijn (WEP, WPA, etc.). Daarnaast zal er worden gekeken naar de theorie achter het fenomeen ‘War Driving’. Eerdere onderzoeken op het gebied van War Driving en wi-fi beveiliging zullen worden bestudeerd. Ook zal er worden gekeken naar statistische achtergronden. Daarnaast zal de methode van dataverzameling worden vastgesteld. Daarbij zal onder andere gebruik worden gemaakt van de informatie die tijdens de literatuurstudie naar boven is gekomen over War Driving. Hiernaast zal ook de vragenlijst voor ISP’s volledig worden uitgewerkt. Er zal ook worden vastgelegd hoe de verzamelde data moet worden geanalyseerd aan de hand van de statistische achtergronden uit de literatuurstudie. Daarnaast zullen de benodigde
2
Master Thesis - Plan van Aanpak
hardware (laptop, sterke wi-fi antenne, GPS ontvanger) en software (War Driving tools) worden voorbereid. Dataverzameling: Er zullen twee soorten data worden verzameld. Er zal ten eerste netwerkdata verzameld worden door met een laptop met wi-fi antenne en GPS ontvanger rond te gaan rijden en met een War Driving tool de beschikbare draadloze netwerken te scannen. Daarnaast zal er data verzameld worden van de verschillende Internet Service Providers door deze een vragenlijst te sturen. Data-analyse: De verzamelde netwerkdata zal statistisch (kwantitatief) worden geanalyseerd. De verzamelde data van de Internet Service Providers zal kwalitatief worden geanalyseerd. Rapportage: De onderzoeksresultaten zullen in een onderzoeksrapport worden gepresenteerd. Daarnaast zullen de onderzoeksresultaten ook mondeling worden gepresenteerd (afstudeerpresentatie).
3
Literatuur
Hieronder wordt de literatuur weergegeven die relevant kan zijn bij de uitvoering van dit onderzoek. De literatuur zal gebruikt worden om de theorie behorende bij het probleem te achterhalen. Daarnaast zal de literatuur ook gebruikt worden bij het voorbereiden van de dataverzameling (informatie achterhalen over de te gebruiken dataverzamelingsmethode) en de data-analyse (statistische methode). [1] Albrecht, K.; Dutch Broadband Q4; Onderzoeksrapport; Telecompaper; 11 maart 2009 [2] Berghel, H.; Wireless Infidelity I: War Driving; Communications of the ACM; September 2004/Vol. 47, No. 9; pp. 21-26; 2004 [3] Consumentenbond; Dossier draadloos internet; Digitaalgids; Jaargang 2008/6 November/December; pp. 10-16; 2008 [4] Cracknell, P., Gavrilenko, K. & Vladimirov, A.; The Wireless Security Survey of London, 7th Edition; White Paper; RSA, The Security Division of EMC; 2008 [5] Cracknell, P., Gavrilenko, K. & Vladimirov, A.; The Wireless Security Survey of New York City, 4th Edition; White Paper; RSA, The Security Division of EMC; 2008 [6] Cracknell, P., Gavrilenko, K. & Vladimirov, A.; The Wireless Security Survey of Paris, 4th Edition; White Paper; RSA, The Security Division of EMC; 2008 [7] Earle, A.E.; Wireless Security Handbook; Auerbach Publications; Boca Raton; 2006 [8] Horrigan, J.; Wireless Internet Access; Data Memo February 2007; Pew Internet & American Life Project; 2007 3
Master Thesis - Plan van Aanpak
[9] Hurley, C., Connelly, D., Baker, B., Rogers, R. & Thornton, F.; WarDriving & Wireless Penetration Testing; Syngress Publishing; Rockland; 2007 [10] Hurley, C., Puchol, M., Rogers, R. & Thornton, F.; WarDriving: Drive, Detect, Defend: A Guide to Wireless Security; Syngress Publishing; Rockland; 2004 [11] McClave, J.T., Benson, P.G. & Sincich, T.; Statistiek, Een inleiding voor het hoger onderwijs; Achtste editie; Pearson Education Benelux; 2003 [12] Molenaar, D.; Zorgplicht: voorlichting abonnees over draadloze routers; Openbare brief; Het college van de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA); 5 maart 2009 [13] Nagamalai, D., Dhinakaran, B.C., Sasikala, P., Lee, S.-H. & Lee, J.-K.; Security Threats and Countermeasures in WLAN; Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics); AINTEC 2005, 3837 LNCS; pp. 168-182; 2005 [14] Professional Information Security Association (PISA) & Hong Kong Wireless Technology Industry Association (WTIA); Report on Wireless LAN War Driving Survey 2004-05 Hong Kong; 2005 [15] Ross, J.; The book of wireless 2nd Edition, A painless guide to wi-fi and broadband wireless; No Starch Press; San Francisco; 2008 [16] Violettas, G.E., Theodorou, T.L., Chalkias, K. & Stephanides, G.C.; Surveying WI-FI security - Presentation of Wi-Fi security measures, varius Wi-Fi attacks and a classification survey of Wi-Fi Networks in Thessaloniki; WINSYS 2008 - International Conference on Wireless Information Networks and Systems, Proceedings; pp. 96-101; 2008 [17] Wong, M., Clement, A.; Sharing Wireless Internet in Urban Neighbourhoods; Working Paper No. 19; Canadian Research Alliance for Community Innovation and Networking (CRACIN); 2007
4
Project voorwaarden
Er zal om de twee weken een voortgangsgesprek plaatsvinden met de afstudeerbegeleider (Peter van Rossum) waarin feedback zal worden verkregen. In de tussentijd kan ook via e-mail gecommuniceerd worden. Elke deliverable zal na oplevering door de afstudeerbegeleider worden beoordeeld en zal een status (GO of NO-GO) krijgen. Bij een GO status is de taak afgerond en kan aan de volgende taak worden begonnen. Bij een NOGO status moet het opgeleverde product worden aangepast. Na de aanpassing zal er weer een beoordeling plaatsvinden. Pas wanneer er een GO status wordt toegedeeld, kan aan de volgende taak worden begonnen.
4
Master Thesis - Plan van Aanpak
5
Planning
Hieronder is in een tabel de globale onderzoeksplanning weergegeven. De planning omvat taken, deeltaken, begindata, einddata en de op te leveren producten en deelproducten (deliverables). Taak Onderzoeksplan schrijven
Begindatum 06-04-2009
Einddatum 22-05-2009
Deliverable Onderzoeksplan
Deel 1
06-04-2009
15-04-2009
Deel 2 Deel 3
15-04-2009 06-05-2009
06-05-2009 22-05-2009
Probleemstelling en verantwoording Theoretisch kader Methode en benodigde apparatuur
22-05-2009
03-06-2009
Data
22-05-2009 22-05-2009
03-06-2009 03-06-2009
Netwerkdata Data van ISP’s
03-06-2009
10-06-2009
Data analyse
03-06-2009 06-06-2009
06-06-2009 10-06-2009
Netwerkdata analyse ISP-data analyse
10-06-2009
24-06-2009
Onderzoeksrapport
10-06-2009 17-06-2009
17-06-2009 24-06-2009
Bèta versie Final versie
24-06-2009
03-07-2009
Afstudeerpresentatie
24-06-2009 29-06-2009
29-06-2009 03-07-2009
Bèta versie Final versie
Data verzamelen Deel 1 Deel 2
Data analyseren Deel 1 Deel 2
Onderzoeksrapport schrijven Bèta Final
Onderzoeksrapport presenteren Bèta Final
5