Mobiele- en thuisgebruikers toegang geven tot bedrijfsnetwerk Het veilig verzenden van gegevens over het internet heeft een slechte naam. Meldingen uit de pers van phishing-aanvallen op het online bankieren of het omleiden van een betaling bij eBay wekken het wantrouwen van de internetgebruiker. Ook gevallen van het onderscheppen van pincodes en creditcardnummers maken het wantrouwen alleen maar groter. Toch mag hieruit niet geconcludeerd worden dat alle dataverkeer via het internet onveilig is. Het is beslist wel mogelijk om data veilig te verzenden, althans zeker een deel van die data. Alvorens dit artikel te lezen wordt geadviseerd ook het artikel IPSec beveiligd internetverkeer door te nemen. Dit, omdat IPSec een belangrijk onderdeel vormt van een VPN-verbinding. Om de inhoud van dit artikel goed te kunnen begrijpen is een basiskennis van IPSec noodzakelijk. 1. 2. 3. 4. 5. 6.
Inbelverbinding duurder dan VPN Versleuteling Werking van VPN Beste van twee werelden Zelf aan de slag Inrichten van VPN-client
1 Inbelverbinding duurder dan VPN Het verzenden van gegevens buiten het internet om, dus door middel van een inbelverbinding, is technisch weliswaar een haalbare en veilige oplossing, het is tegelijkertijd ook een dure oplossing. Veel goedkoper is het om via het internet te communiceren. Dit is niet moeilijk, maar wel moet aan enkele veiligheidsvoorwaarden voldaan worden. Zo biedt Windows XP Professional een VPN (Virtual Private Network) oplossing waarlangs internetgebruikers veilig hun gegevens kunnen versturen. Omdat VPN's niet te kraken blijken te zijn, is een VPN vooral interessant voor mobiele gebruikers met laptops en PocketPC's, die op afstand hun data op de thuiscomputer of het bedrijfsnetwerk willen benaderen, zonder daarbij lastig gevallen te worden door hackers. De structuur van het internet is dermate ondoorzichtig dat het voor een gebruiker praktisch onmogelijk is om te weten langs welke weg zijn gegevens over het internet worden getransporteerd. Controleren of er onderweg iets met het datapakket gebeurt is al helemaal niet mogelijk. Voert u het commando '' uit, dan kunt u zien op hoeveel plekken uw datapakket kan worden aangevallen, als dit datapakket tenminste niet beveiligd is. Het zou veiliger zijn als een computer in het internet zich gedraagt als een computer in het eigen bedrijfsnetwerk. In principe is dit precies de kern van wat een VPN voor u doet: VPN is een techniek die ervoor zorgt dat het bronadres en het doeladres zich gedragen alsof ze deel uitmaken van het lokale bedrijfsnetwerk. De truc daarbij is om de internet infrastructuur te gebruiken en de communicatiepartners te authentificeren voor het communicatieproces. Zo ontstaat als het ware een eigen netwerk binnen het grote netwerk van het internet. Alleen wie bekend zijn met de correcte IP-adressen, inlognamen en wachtwoorden kunnen communiceren via dit kleine beveiligde netwerk. Een VPN kunt u zelfs opzetten binnen het eigen LAN-netwerk; op die manier kan er veilig gevoelige informatie uitgewisseld worden tussen collega's. Zijn hackers dan helemaal buitengesloten? Niet helemaal: met behulp van een packetsniffer kunnen zij de datastroom volgen, maar zonder de juiste encryptiesleutel kunnen ze de data niet meer inkijken.
2 Versleuteling Internetpagina's worden met behulp van TCP/IP gecommuniceerd in de vorm van datapakketten. In elk TCP/IP datapakket bevindt zich alle noodzakelijke informatie zoals afzender, ontvanger en de grootte van het datapakket en uiteraard het bericht of tekst. Om deze gegevens te beschermen worden ze in een ander protocol ingebonden (IPSec). IPSec zorgt er dus voor dat andere computers het datapakket niet zullen aannemen of kunnen gebruiken. Deze techniek noemen we het bouwen van een 'tunnel'. U dient zich wel te realiseren dat een datapakket dat niet versleuteld is, ook in een tunnel kan worden onderschept en kan worden uitgelezen. Maar in principe wordt via een VPN alleen beveiligde (lees versleutelde) informatie verstuurd.
3 Werking van VPN In een VPN netwerk worden twee computers met elkaar verbonden via een netwerk (LAN of internet). Het netwerk waaraan beide computers gekoppeld zijn wordt gebruikt als transportweg voor de te verzenden data. Om data beveiligd te kunnen versturen stelt VPN de gebruiker een virtuele IP-verbinding ter beschikking. Allereerst versleutelt de client het datapakket en verstuurt het pakket vervolgens via het openbare netwerk naar de VPN-server. De VPN-server ontsleutelt het ontvangen datapakket en verwerkt het verder. Dit proces heet tunneling. Er is een aantal VPNtechnieken in omloop. De meest gebruikte zijn: Het Point-to-Point Tunneling Protocol (PPTP) is geschikt voor de datatransfer van IP, IPX of NetBEUI via een IP-netwerk. Het Layer 2 Tunneling Protocol (L2TP) is geschikt voor de datatransfer van IP, IPX, NetBEUI of een ander willekeurig medium. Het protocol staat Point-to-Point-overdracht toe, zoals bij IP, X.25, of ATM. Het IP Security Protocol (IPSec) is geschikt voor de datatransfer van IP-data via een gelaagd IP-netwerk. Als we het OSI-model ter hand nemen dan werken PPTP en L2TP op de datalinklaag, waarbij de data in frames van het (PPP) wordt verpakt. Daardoor kunnen de protocollen beschikken over de typische PPP-eigenschappen zoals dynamische adressering (DHCP), datacompressie en dataversleuteling. Vooral de gebruikersauthentificatie is zeer belangrijk voor de veilige dataoverdracht. IPSec werkt in tegenstelling tot het PPTP en L2TP op de netwerklaag: het protocol versleutelt de te verzenden data inclusief alle adresinformatie en voegt een nieuwe (normale) IP-Header toe. In deze header staat het adres van de andere tunnelkant. De ontvangende computer aan het einde van deze tunnel verwijdert deze extra IP-Header, ontsleutelt het originele datapakket en stuurt het door naar het ware einddoel.
4 Beste van twee werelden Om een VPN-verbinding op te zetten kunt u gebruik maken van de 'gereedschappen voor werken op afstand' die Windows XP Professional standaard in zich heeft. Windows XP combineert hiermee alle faciliteiten die reeds aanwezig waren in Windows ME aangevuld met de krachtige netwerkfaciliteiten uit Windows 2000. Deze combinatie geeft de gebruiker een ideaal hulpmiddel in handen om veilig op afstand verbinding te leggen met de thuis- of bedrijfscomputer. De faciliteiten voor werken op afstand binnen Windows XP Professional lijken daardoor veel op die van Windows 2000 . Een Windows XP computer kan een binnenkomende connectie accepteren van de volgende interfaces:
een dial-up modem serial interface infrarode interface parallele poort interface een VPN-interface
5. Zelf aan de slag Voor het opzetten van een VPN-verbinding beschikt Windows XP over een wizard. In het nu volgende voorbeeld gaan we ervan uit dat de Windows XP machine geen lid is van een domein. We beginnen met het opzetten van de VPN-server machine. Daarna laten we zien hoe u een VPN-client machine inricht. Voor de duidelijkheid: de VPN-server is de computer die het bericht van de verzender gaat ontvangen. 1.
Om de wizard te starten klikt u op Start >> (Instellingen) >> Configuratiescherm.
2.
Klik op Netwerkverbindingen. Het venster Netwerkverbindingen verschijnt.
3.
Klik in het linkerdeelvenster op de optie Een nieuwe verbinding maken. De wizard Nieuwe verbinding maken start nu.
4.
Klik op de knop Volgende. Als eerste kiest u het type netwerk. Omdat u een server gaat inrichten dient u de laatste optie Een geavanceerde verbinding instellen te kiezen. Klik op de knop Volgende.
5.
Zoals gezegd: we stellen een VPN-server in en kiezen derhalve voor de optie Binnenkomende verbindingen accepteren. Klik op de knop Volgende.
6.
In het volgende scherm kunt u het apparaat kiezen waarover de connectie gemaakt zal worden. Moet de verbinding lopen via het LAN-netwerk dan dient u hier niets te selecteren. Klik op de knop Volgende.
7.
In de volgende stap kiest u voor Een VPN-verbinding opzetten. Klik op de knop Volgende.
8.
In het daaropvolgende venster kiest u de gebruiker die de VPN-verbinding mag gebruiken. U kunt ook zelf een nieuwe gebruiker toevoegen (speciaal voor de VPN- verbinding). Dit doet u door op de knop Toevoegen te klikken. U kunt dan een gebruikersnaam en wachtwoord voor de VPN-verbinding opgeven. Klik op de knop Volgende.
9.
Vervolgens kiest u de netwerksoftware die de VPN-verbinding gaat gebruiken. Klik op de optie Internet Protocol (TCP/IP) en klik op de knop Eigenschappen.
10. Vink de optie Bellers toegang tot het LAN geven aan. Dit zorgt ervoor dat geautoriseerde gebruikers via de VPN-tunnel een verbinding kunnen maken met de computers die aangesloten zijn in het LAN. Wanneer de optie niet is geselecteerd kunnen VPN-gebruikers alleen een connectie leggen met de Windows XP VPN-server zelf.
11. Klik op OK om terug te keren naar de wizard en klik op de knop Volgende. 12. De wizard is nu klaar, de VPN-server is bijna geheel geconfigureerd. 13. U kunt de VPN-server terugvinden in het venster Netwerkverbindingen. Selecteer de VPNserver icoon, klik op de rechtermuisknop en selecteer de optie Eigenschappen. De VPN-clients zullen alleen het externe IP-adres van de Windows XP Professional VPN-server gebruiken. 6 Inrichten van VPN-client De VPN-client is de computer die het bericht of de data gaat verzenden. Doorgaans is dit dus de pc van de gebruiker. Om de installatiewizard te starten klikt u op 1.
Start >> (Instellingen) >> Configuratiescherm. Klik op de icoon Netwerkverbindingen. Het gelijknamige venster verschijnt.
2.
Klik in het linkerdeelvenster op de optie Een nieuwe verbinding maken. De wizard Nieuwe verbinding maken start. Klik op de knop Volgende.
3.
Kies nu Verbinding met het netwerk op mijn werk maken. Klik op de knop Volgende.
4.
Het zal duidelijk zijn dat u nu de VPN-verbinding optie dient te selecteren. Klik op de knop Volgende.
5.
In de volgende stap geeft u de verbinding een duidelijke naam, waaruit blijkt met welke VPN-server u een verbinding gaat maken. Daarna dient u de naam van die server-pc of het IP-adres van die pc op te geven.
6.
Rond de installatie van de client af.
Zodra u voortaan verbinding maakt met de VPN-server dan vraagt deze om een gebruikersnaam en wachtwoord. Vervolgens wordt de verbinding gelegd en kunt u aan een extra netwerkicoon in de taakbalk zien dat de verbinding actief is.
IPSec Gezien de toename van het internetverkeer wordt de vraag naar beveiligde verbindingen steeds groter. Tegelijkertijd wordt men zich ook steeds meer bewust van de gevaren die op het internet gluren. IPSec (een acroniem voor Internet Protocol Security) is een suite van protocollen die er samen voor zorgen dat IP-pakketten beveiligd over een IP-netwerk verzonden kunnen worden. Inleiding Simpel protocol Meer in detail Zo ziet een IPSec-beveiligd datapakket eruit Tunnel en transport modes IPSec gebruiksmogelijkheden Certification Authorities (CA) Praktijk Nieuwe IP-beveiligingsregel maken Activeren van de regels IPSec-regels beheren Tot slot
Inleiding Uit een onderzoek van Gartner blijkt dat mensen als de dood zijn dat hackers hun creditcardnummers misbruiken. Maar ook mensen die vaak betrouwbare gegevens versturen zijn bang dat deze gegevens in handen van onbevoegden komen. IPSec biedt in dit kader uitkomst. Het is een protocol dat beheerders extra mogelijkheden biedt wanneer er zogenaamde IP-filters worden toegepast. Bij IP-filters worden bepaalde verbindingen namelijk geïdentificeerd, waarna op basis van vooraf gedefinieerde regels bepaalde acties worden ondernomen op de ontvangen pakketten.
Simpel protocol De identificatie van een datapakket vindt plaats op basis van het bron- en doeladres en het gebruikte protocol. Deze regels kunnen zo gecompliceerd zijn als men maar wil, maar in wezen komen ze op twee dingen neer:
ofwel wordt het datapakket doorgelaten ofwel wordt het tegengehouden
IPSec biedt als extra de mogelijkheid om datapakketten te versleutelen en voor authenticatie te zorgen. Hierdoor is het een zogenoemd end-to-end beveiligingsprotocol.
Meer in detail IP security biedt internetgebruikers dus de mogelijkheid om op een beveiligde manier data te verzenden. De suite van protocollen verzorgt daarvoor de volgende diensten, die tijdens het verzenden van een IP-datapakket actief zijn:
Integriteit Het protocol biedt de garantie dat het verzonden pakket tijdens het transport niet door derden veranderd is.
Authenticatie Het protocol legt de identiteit van de communicatiepartijen vast. Tijdens een beveiligd transport van data wil men zeker weten dat de beoogde partij voor ontvangst van het datapakket ook daadwerkelijk de partij is, die het ontvangt.
Ontvangstbevestiging Het protocol toont aan dat wanneer er een transport van gegevens heeft plaatsgevonden de ontvangende partij dit niet kan ontkennen.
Confidentialiteit Het protocol zorgt voor de daadwerkelijke beveiliging van de gegevens en garandeert de afzender dat alleen de ontvangende partij het bericht kan lezen.
Het protocol wordt vooral ingezet bij het verzenden van informatie via publieke verbindingen en voorkomt zogenaamde 'Man in the middle attacks' en 'Spoofing'. Het maakt daarbij gebruik van het zogenaamde IKE-protocol (Internet Key-Exchange) waarmee de partijen worden geïdentificeerd die een verbinding tot stand willen brengen. Vervolgens wordt een verbinding opgebouwd en wordt de te verzenden data door middel van encryptie beveiligd.
Zo ziet een IPSec-beveiligd datapakket eruit Een IPsec-datapakket bestaat uit een normaal IP-pakket met een of twee aanvullingen. De eerste uitbreiding is de Authenticatie Header (AH). Deze bevat de gegevens voor de authenticatie van het IP-pakket. Het AH-protocol wordt ingezet bij bijvoorbeeld RSA (Engelstalig). De tweede uitbreiding betreft de Encapsulated Security Payload header (ESP). Deze bevat de encryptiegegevens van het IP-pakket. Met behulp van ESP kunt u bepalen hoe zwaar de beveiliging voor de te verzenden data moet zijn. Zo kunt u ervoor kiezen om alleen de data te voorzien van encryptie of om het complete IP-datapakket in een ESP-dataveld te plaatsen. Hierdoor ontstaat een nieuw IP-pakket met een nieuw IP bron- en doeladres. Beide headers kunnen samen of apart aan een IP-pakket worden toegevoegd.
Tunnel en transport modes IPsec kan in een drie verschillende verschijningsvormen voorkomen:
De tunnel mode In deze mode wordt het complete IP-pakket in een compleet nieuw IP-pakket gestopt. Het IP-pakket heeft als bron- en doeladres het begin- en eindpunt van de tunnel.
De transport mode In deze mode wordt er geen nieuw IP-pakket gemaakt, maar worden de headers (AH of ESP of allebei) in het IP-pakket gestopt. De bron- en doeladressen blijven ongewijzigd.
De iterated mode Deze mode is een combinatie van de tunnel en de transport mode.
IPSec gebruiksmogelijkheden Voorlopers van IPsec als security-dienst zijn de Altavista Tunnel (hiermee konden gebruikers van Altavista een beveiligde toegang tot een server krijgen), SSH of Secure Shell (hiermee is het mogelijk om op een beveiligde manier een telnet sessie te voeren) en VPN of Virtual Private Network. De laatste is verreweg de meest bekende IPSec-toepassing. Dankzij VPN kan een filiaal of een thuiswerker via een clientprogramma verbinding maken met een server van het bedrijfsnetwerk. Juist het bedrijfsleven vraagt om dit soort toepassingen, maar ook bijvoorbeeld banken hebben er groot belang bij. Immers, men stimuleert de klant een internetrekening te openen, maar dan moet men de klant ook absolute veiligheid kunnen bieden.
Certification Authorities (CA) Vanaf het ontstaan van IPSec heeft men het gebruik van Certification Authorities aangemoedigd. CA's vereenvoudigen de configuratie van routers en eventuele hostmachines voor gebruik van IPSec. Het grote voordeel van een CA schuilt in het uitwisselen van de sleutels voor decryptie. Dankzij CA hoeven er geen 'pre-shared' sleutels te worden gebruikt en kan men volstaan met het opgeven van de CA. Hierdoor hoeven er geen publieke sleutels handmatig uitgewisseld worden. In een Windows 2000/2003 omgeving kan binnen de Active Directory een eigen CA opgezet worden. Deze CA kan geraadpleegd worden door andere Windows-systemen, waarbij in de Active Directory hun certificaat wordt aangevraagd. Ook certificaten van andere CA's kunnen worden opgenomen; daardoor zijn ook bestaande CA's te gebruiken. In Windows 2003 kunt u de IPSec policies ook inzetten voor andere zaken. Windows Server 2003 biedt namelijk een extra IP-filter. Zo kan men bijvoorbeeld een webserver beveiligen, terwijl deze toch bereikbaar is via Remote Desktop of een Terminal Service. In dit geval heeft u een webserver met een openbare interface, waarmee gebruikers via poort 80 contact kunnen maken. Een tweede interface is niet mogelijk via IPSec, want er kan alleen maar contact gemaakt worden via één interface (de openbare). Om toch contact te maken via Remote Desktop dient u over een aantal zaken te beschikken op deze webserver:
Een regel, die pakketten blokkeert. Een regel, die pakketten doorlaat. Een filter, dat verbindingen met de webserver op poort 80 identificeert. Het bronadres mag daarbij van elk willekeurig IP-adres afkomstig zijn. Een webserveraanvraag op poort 80 is immers volkomen openbaar. Een filter, dat pakketten van een beheerder doorlaat en andere afweert. Alle andere aanvragen moeten geweerd worden.
Praktijk Om een IP-filter in te stellen doet u het volgende:
1.
Opent u eerst het MMC (Microsoft Management Console) via het configuratiescherm:
2.
Om een nieuwe regel toe te voegen klikt u op de knop Een IP-beveiligingsbeleid
Systeembeheer >> Lokaal beveiligingsbeleid. toevoegen. 3.
De IP Security Policy Wizard start nu op. Hier geeft u een naam aan de nieuwe regel, bijvoorbeeld Webserver en Remote Desktop. Deze naam ziet u later terug in de lijst. Belangrijk om te weten bij het instellen van een nieuwe regel is dat er slechts één policy (beleidsregel) actief kan zijn. Het is dus noodzakelijk om alle filterlijsten en -regels, die u nodig hebt, in één policy op te nemen.
4.
In het volgende scherm van de wizard wordt gevraagd of de regel de Default Response Rule moet worden.
5.
De wizard wordt daarna afgesloten. U hoeft alleen de eigenschappen van de regel verder te bewerken.
Een IP-Security-Policy bestaat dus uit een filter-lists en filter-actions. De lijsten bevatten informatie over de vormen van dataverkeer, de lijst met acties legt vast welke acties ondernomen moeten worden op bepaald dataverkeer
Nieuwe IP-beveiligingsregel maken Heeft u een regel gemaakt dan selecteert u hem in de lijst van regels en dubbelklikt u op de regel. Opnieuw wordt er een wizard actief en wel de Wizard Beveiligingsregel. De vragen die de wizard stelt hebben duidelijk betrekking op IPSec; voor het IP-filter zijn ze van geen belang.
1.
Allereerst vraagt de wizard wat voor soort tunnel gebouwd moet worden, zie afbeelding.
2.
Vervolgens vraagt de wizard voor welke netwerkverbinding de regel actief moet zijn. De opties zijn alle, LAN of RAS.
3.
Daarna kunt u de filterlijst kiezen op basis waarvan Windows het dataverkeer van en naar de server gaat controleren. Een filterlijst bestaat in feite uit meerdere filters, waarbij alle filters samen bepalen welk dataverkeer wel en welk niet wordt toegestaan.
Wilt u dus gebruik maken van Remote Desktop-verbindingen dan zult u hiervoor een filter moeten opnemen. Dit filter zult u moeten vertellen op welk IP-adres de verbinding tot stand moet komen. Verder heeft u nog een poortnummer nodig, waarop Remote Desktop verbinding kan krijgen. De Windows Remote Desktop wordt net zoals de Terminal Server via het RDP (Remote Desktop Protocol) aangestuurd en gebruikt in het algemeen poortnummer 3389.
4.
De wizard vervolgt met de vraag of de regel gespiegeld moet worden, anders gezegd of hij voor beide richtingen geldt. Daarna moet u het IP-bronadres opgeven, want de regel geldt ook voor verkeer van het eigen werkstation richting de eigen webserver. Het bronadres wordt dus het IP-adres van uw eigen machine, althans het adres waarmee uw werkstation in het netwerk (het internet) bekend is. Dat kan ook het adres zijn van de InternetGateway.
5.
In de volgende wizard-stap wordt het doeladres opgegeven. Dit is het IP-adres van de webserver, immers deze is de bestemming en de regel wordt op de webserver zelf aangemaakt.
6.
Vervolgens dient u het te gebruiken protocol op te geven. RDP behoort tot de keuzemogelijkheden.
Activeren van de regels U komt tot slot terug in het dialoogvenster IP-Filter-List. De zojuist aangemaakte regel kunt u hier terugvinden. Standaard zijn er reeds enkele filters voorgedefinieerd, twee daarvan zijn Blokkeren (Block) en Toestaan (Allow). Voor het lokaal RDP-verkeer kiest u de regel Allow, om uw eigen Remote Desktop-verbinding te leggen met de webserver. Door met de OK-knop te bevestigen wordt de regel actief. Deze regel is echter nog lang niet klaar omdat de toegang tot poort 80 van een willekeurig bronadres nog niet actief is. In dat geval dient u een regel aan te maken waarbij u communicatie met de webserver toestaat, niet alleen lokaal maar vanuit alle machines. Normaal gesproken zijn dit alle willekeurige IP-adressen, dus moet de rest van het dataverkeer geblokkeerd worden. Wanneer de regel actief is heeft u de webserver optimaal beveiligd.
IPSec-regels beheren
Erg praktisch is de eigenschap dat u de IPSec-regels eenvoudig kunt verdelen via de Active Directory. Moet de regel voor het gehele domein gelden dan wordt de regel automatisch over alle hostmachines verdeeld. Kortom, het is vrij eenvoudig om het LAN-netwerkverkeer te beveiligen dankzij de IP-regel. Het beheer van de IPSec-regels kunt u uitvoeren dankzij twee speciale IPSec snap-ins voor de Microsoft Management Console (MMC). Een snap-in regelt het beheer van de IPfilters en de andere bewaakt de uitvoer van de IPSec-filter.
Voor het controleren van het IPSec-verkeer gebruikt u de IPSec-monitor. Dit is een snap-in die u via het MMC toevoegt, zie afbeelding. Deze snap-in toont informatie over het verloop van de communicatie tussen de twee partijen. Bovendien kan de monitor tonen, welke regels op een computer of in een Active Directory-domein zijn ingesteld.
Meer informatie Het gebruik van IPsec zal de komende tijd zeker toenemen, denk daarbij vooral aan VPNtoepassingen. Bedrijven zullen voor thuiswerkplekken en mobiele werkplekken een beveiligde verbinding willen opzetten met de bedrijfsserver. Ook wordt het IPSec-protocol tegenwoordig ingezet door verschillende router-fabrikanten en dus reeds hardwarematig ingebouwd.
Draadloos Wifi-netwerk installeren Wireless networking, ook wel aangeduid met de term WLAN (Wireless Local Area Network), is hot. Met termen als Bluetooth, hotspots, infrarood en WiFi wordt de argeloze computergebruiker 'lekker' gemaakt voor draadloos computergebruik. In dit artikel leest u wat u voor een draadloos WiFi-netwerk nodig hebt en hoe u een dergelijk netwerk zelf installeert. Draadloos netwerken installeren Voor een netwerk hebt u minimaal twee computers nodig. Om draadloos te kunnen werken is één PC of notebook al voldoende. U kunt er namelijk voor kiezen om draadloos verbinding te maken met uw router. Dat is bijvoorbeeld thuis handig. Zo kunt u altijd en overal in en rond het huis e-mailen en surfen. In dit artikel gaan we echter uit van een kleine kantooromgeving bestaand uit een aantal desktop PC's en notebooks. PC's en notebook zijn uitgerust met Windows XP en verder beschikt u over een breedband Internetverbinding (ADSL of kabel). De modem of router die u gebruikt zit aan de ene kant gekoppeld aan uw telefoonverbinding of kabelaansluiting en aan de andere kant aan uw PC of router. Let op: een ADSL-modem met USB-aansluiting is niet geschikt voor gebruik in een netwerk. Aanvullende hardware Naast de bestaande hardware moet u wat extra spullen aanschaffen. Deze zijn vrijwel overal verkrijgbaar en bepaald niet duur. In de eerste plaats hebt u een zender nodig of eigenlijk een koppelingskastje. De draadloze verbinding wordt tot stand gebracht doordat de 'computersignalen' via radiogolven door de lucht worden geseind. Zo'n koppelingskastje heet een Accesspoint. Het Accesspoint is de spin in uw draadloze web. Het kastje zendt en ontvangt radiosignalen op een frequentie van zo'n 2.4 gigaherz (GHz). Veel Accesspoints zijn voorzien van een zichtbare antenne. Om de radiosignalen bij de PC te kunnen ontvangen hebt u ook een ontvanger nodig. Welk type ontvanger hangt af van de computers die u gebruikt. In ons voorbeeld beschikt u over een desktop computer en een notebook. In de desktop PC's monteert u een ontvanger in de vorm van een uitbreidingskaart. Zo'n kaart noemen de fabrikanten meestal een Wireless LAN PCI card. Veel van deze kaarten hebben een antenne aan de achterzijde. In een notebook past geen gewone uitbreidingskaart, maar wel een PC Card (soms PCMCIA Type II genoemd). Een draadloze PC Card schuift u in een uitbreidingsslot op de notebook. Een stukje van de kaart steekt buiten de notebook
uit en bevat een onzichtbare antenne. Veel nieuwe notebookmodellen hebben echter al een ingebouwde draadloze netwerkkaart. Wanneer u niet alleen wilt netwerken, maar ook wilt surfen op Internet, dan hebt u in plaats van een Accesspoint een gecombineerde draadloze router/Accesspoint nodig. Zo'n apparaat wordt vaak een Wireless BroadBand Router genoemd. Dit kastje ontvangt aan de ene kant uw Internet verbinding en vormt aan de andere kant de schakel tussen de diverse PC's in uw draadloze netwerk. Hebt u al een router, dan kunt u volstaan met alleen een Accesspoint. WiFi Gelukkig is er een internationale standaard voor draadloze communicatie. Deze heet IEEE 802.11b. Aangezien niet-techneuten dat niet kunnen onthouden wordt de standaard ook WiFi genoemd. Dat is een afkorting voor Wireless Fidelity. De genoemde IEEE 802.11b specificatie gebruikt een maximale doorvoersnelheid van 11 Mbps. Dat is dus aanzienlijk minder dan de 100 Mbps van een modern bekabeld netwerk. Sinds kort is een opvolger beschikbaar in de vorm van de 802.11g specificatie. Deze heeft een maximale doorvoersnelheid van 54 Mbps. De industrie heeft dit keer goed nagedacht, want apparaten die de 802.11g specificatie gebruiken zijn backwards compatibel met 802.11b. Een bestaande Wireless card is dus niet meteen onbruikbaar als u een snelle 802.11g Router/Accesspoint koopt. Voor de echte snelheidsduivels is er trouwens alweer een snellere variant in opkomst. Super G belooft de dubbele snelheid van de huidige standaard 802.11g. Dit wordt voorlopig nog bereikt door aan de bestaande standaards allerlei handigheidjes toe te voegen. Daarom zien wij Super G nog niet als een goed alternatief. Houdt u het voorlopig nog maar even op Accesspoints en draadloze kaarten volgens de 802.11g standaard. En voor wie het graag precies wil weten: er is nog een andere specificatie voor draadloze dataverbindingen tussen apparaten, genaamd Bluetooth. De Bluetooth technologie is vooral bedoeld voor verbindingen tussen kleine en draagbare apparaten, zoals PDA's, mobiele telefoons, printers, scanners, digitale camera's en telefoons. De doorvoersnelheid is dan ook laag: maximaal 1 Mbps. Dat maakt deze technologie oninteressant voor netwerken. We beperken ons in dit artikel dus tot WiFi. Installatie Als leverancier van de benodigde hardware kozen wij voor Belkin. Op de website van dit bedrijf vindt u handige Wizards die u naar de juiste producten leiden. Klik bijvoorbeeld op de SOHO Networking Wizard voor advies over uw situatie. Voor ons voorbeeldkantoor met een aantal desktop PC's, notebooks en een ADSL-Internetverbinding adviseerde men een draadloze kabel/DSLgatewayrouter, een draadloze netwerkkaart voor de desktop-pc's en draadloze notebook netwerkkaart voor de notebooks. De router was in ons geval
een Belkin 802.11g draadloze DSL-/kabelgateway-router. Ook de draadloze netwerkkaarten voor desktop-pc's en notebooks werkt volgens de 802.11g standaard. Volgens de fabrikant is deze standaard het meest gemakkelijk te implementeren en is een bereik tot maar liefst 457 meter mogelijk. Dat laatste geldt natuurlijk alleen voor de meest ideale omstandigheden, in de praktijk zal het veel minder (circa 75 meter) zijn. De Wizard op de Belkin site biedt twee mogelijkheden voor het aansluiten van onze notebook: via een Draadloze Notebook Netwerkkaart (CardBus) voor notebook-pc's of via een Draadloze USB Netwerkadapter. Deze laatste is wel erg flexibel, want via de USB-kabel laat het apparaatje zich verbinden met elke moderne laptop óf desktop. Ook de draadloze netwerkkaarten voor desktop-pc's en notebooks werkt volgens de 802.11g standaard. Volgens de fabrikant is deze standaard het meest gemakkelijk te implementeren en is een bereik tot maar liefst 457 meter mogelijk. Dat laatste geldt natuurlijk alleen voor de meest ideale omstandigheden, in de praktijk zal het veel minder (circa 75 meter) zijn. De Wizard op de Belkin site biedt twee mogelijkheden voor het aansluiten van onze notebook: via een Draadloze Notebook Netwerkkaart (CardBus) voor notebook-pc's of via een Draadloze USB Netwerkadapter. Deze laatste is wel erg flexibel, want via de USB-kabel laat het apparaatje zich verbinden met elke moderne laptop óf desktop. Helaas bleek deze draadloze USB netwerkadapter nog volgens de 802.11b standaard te werken. De doorvoersnelheid is daarmee beperkt tot 11 Mbps. Belkin heeft, net als andere fabrikanten, een 802.11g insteekkaart (PCMCIA) voor notebooks. Deze heeft op dit moment dus onze voorkeur, maar zodra er een 802.11g USBnetwerkadapter beschikbaar komt is dat ook een prima keuze. Aansluiten Wireless Accesspoint Hebt u al een router of server die uw Internetverbinding regelt, dan volstaat het aansluiten van een Accespoint op uw netwerk. Dit aansluiten is niet moeilijk en breidt uw netwerk in een keer uit met draadloze connectiviteit. Het aansluiten gaat als volgt:
1.
Sluit het Wireless Accespoint via een netwerkkabel aan op het bestaande netwerk.
2.
Zet het Accesspoint aan. Klaar!
3.
Het Accesspoint krijgt automatisch - mits de DHPC-server in de router aanstaat - van de in
4.
Hebt u geen DHPC-server, dan zult u het Accesspoint handmatig moeten configureren. Volg
het netwerk aanwezige router een IP-adres toegekend. daarvoor de instructies van de meegeleverde handleiding.
Aansluiten draadloze router Wanneer u zich houdt aan de simpele regel eerst software installeren, dan aansluiten kan er weinig misgaan. Onze eerste desktop-machine is voorzien van een router en Internettoegang en dient als server in een peer-to-peer netwerk. Dat houdt in dat de bestanden en de printer op deze machine via een Windows XP netwerk worden gedeeld. Daarom is dit systeem de juiste keuze voor het installeren van de draadloze DSL-/kabelgateway-router. Als eerste wordt de cd-rom uit de verpakking gehaald en in de cd-rom-speler van de computer gestopt. De installatieroute start daarmee vanzelf en de juiste drivers worden geïnstalleerd. Een Easy Install Wizard onderzoekt de computer en vertelt hoe u de modem aansluit op de draadloze router. U dient onderstaande stappen dus in samenwerking met de Wizard uit te voeren: 1.
Zoek de netwerkkabel die van het ADSL- of kabelmodem naar de bestaande router of PC loopt en haal deze daar los.
2.
Plaats de draadloze router bij uw PC en
3.
Steek de netwerkkabel die bij de
sluit deze op het lichtnet aan. modem vandaan komt in de plug Internet/WAN van de draadloze router. 4.
Nu is er nog geen verbinding tussen Internet en de draadloze router. U moet daarom een netwerkkabel aansluiten tussen een vrije poort van de router (er zijn er vier) en de netwerkkaart in uw PC.
5.
De oude router voor het bedrade netwerk kunt u loskoppelen en verwijderen.
6.
Controleer of de juiste LED-lampjes op de router branden.
U dient onderstaande stappen dus in samenwerking met de Wizard uit te voeren:
1.
Zoek de netwerkkabel die van het ADSLof kabelmodem naar de bestaande router of PC loopt en haal deze daar los.
2.
Plaats de draadloze router bij uw PC en sluit deze op het lichtnet aan.
3.
Steek de netwerkkabel die bij de modem vandaan komt in de plug Internet/WAN van de draadloze router.
4.
Nu is er nog geen verbinding tussen Internet en de draadloze router. U moet daarom een netwerkkabel aansluiten tussen een vrije poort van de router (er zijn er vier) en de netwerkkaart in uw PC.
5.
De oude router voor het bedrade netwerk kunt u loskoppelen en verwijderen.
6.
Controleer of de juiste LED-lampjes op de router branden.
Een LED-lampje aan de voorzijde van de draadloze router geeft aan of de netwerkkabel naar de PC juist is aangesloten. Ook moet een lampje branden bij de aanduiding WAN: dit vertelt dat de modem goed is aangesloten. De router zal de Internetverbinding onderzoeken. Wanneer deze in orde wordt bevonden brandt ook een lampje bij het woord connected. Indien dit lampje niet brandt moet u de router handmatig configureren. Raadpleeg daarvoor de meegeleverde handleiding. Als alle stappen zijn doorlopen is de desktop PC voorzien van een draadloze router met Internetverbinding. Voor de goede orde: de PC is met de draadloze router verbonden via een netwerkkabel. Deze verbinding is dus niet draadloos. De winst zit hem in het aansluiten van alle andere PC's en notebooks in uw kantoor. Deze gaan nu allemaal draadloos communiceren via de Belkin 802.11g draadloze DSL-/kabelgateway-router, die tevens dienst doet als Accesspoint. Aansluiten computers In ons voorbeeldkantoor beschikken we over desktop PC's en notebooks. De PC met de Internetverbinding is nu aangesloten. Voor het aansluiten van de andere desktop PC's hebben we de beschikking over draadloze netwerkkaarten. Om deze te installeren volgt u op elke PC de volgende stappen.
1.
Installeer de bijgeleverde software.
2.
Zet de computer uit, verwijder de stroomkabel en maak de computerkast open.
3.
Verwijder de afsluitplaat bij een vrij PCI slot.
4.
Steek de netwerkkaart in het PCI slot en schroef de kaart vast.
5.
Maak de computerkast weer dicht.
6.
Plaats de antenne op de netwerkkaart en zorg dat deze recht omhoog steekt.
7.
Zet de PC aan. Windows XP detecteert de kaart en installeert deze, met behulp van de reeds geïnstalleerde drivers, automatisch.
U kunt de status van het netwerk via Windows XP of via een Belkin hulpprogramma laten verlopen. De fabrikant raadt aan het eigen programma te gebruiken. Dit manifesteert zich via een icoon in het systeemvak van Windows. Dubbelklik op dit icoon om het hulpprogramma te starten. Wellicht moet u het draadloze netwerk kiezen. Raadpleeg hiervoor de instructies van de leverancier. Aansluiten notebooks De notebooks kunnen worden aangesloten door middel van een draadloze USB-netwerkadapter of Notebook netwerkkaart. De USB-netwerkadapter is uiterst gemakkelijk te installeren en vereist slechts een paar handelingen:
1.
Installeer de bijgeleverde software.
2.
Zet de antenne op het kastje omhoog.
3.
Plug de USB label die aan de netwerkadapter zit in een vrije USB poort van de computer.
4.
Windows XP herkent het USB-apparaat en installeert het als draadloze netwerkadapter.
Ook de installatie van een draadloze Notebook Netwerkkaart is eenvoudig:
Installeer de bijgeleverde software. Steek de Notebook netwerkkaart in het PC Card slot van de notebook. Windows XP herkent de Notebook netwerkkaart en installeert het als draadloze netwerkadapter.
Als dat niet gemakkelijk is, dan weten we het niet meer. Let wel, een groot deel van het gemak is mede te danken aan Windows XP dat de WiFi-technologie prima ondersteunt. In oudere versie van Windows zal men drivers moeten installeren om het werkend te krijgen. In veel moderne notebooks is overigens tegenwoordig standaard een WLAN-kaart ingebouwd. Dat maakt het aansluiten van notebooks op een draadloos netwerk nog gemakkelijker. Let bij aanschaf van een nieuw notebook of deze 802.11b of 802.11g ondersteunt. De meeste moderne notebooks hebben 802.11b aan boord,
maar er zijn al notebooks verkrijgbaar met 802.11g. Zo hadden we de beschikking over een Sony VAIO PCG-TR2MP, die zowel Bluetooth als 802.11g WiFi aan boord heeft. Ook een Toshiba Portege M200 Tablet PC liet zich probleemloos aansluiten op ons draadloze netwerk, echter deze heeft slechts 802.11b aan boord. Met het oog op de toekomst, doet men er goed aan daar bij aanschaf van nieuwe notebooks op te letten want wie eenmaal gewend is te werken met het snellere 802.11g zal een 802.11b verbinding zeer teleurstellend vinden. Aansluiten Pocket PC's Ook uw Pocket PC of een andere handheld computer kan draadloos op een WiFi-netwerk worden aangesloten. Fabrikant SanDisk levert daarvoor speciale CompactFlash- en Secure Digital WiFikaarten. Deze hebben nu nog een doorvoersnelheid van 11 Mbps (802.11b), maar snellere kaarten komen eraan. De CompactFlash variant biedt tevens 128 MB geheugenruimte en wordt geleverd inclusief een CompactFlash PC Card adapter en kan dus ook in notebooks worden gebruikt. Om een Pocket PC met een SD-kaartslot op een draadloos netwerk aan te sluiten, handelt u als volgt: 1.
Sluit de Pocket PC op uw desktop computer aan en zorg dat
2.
Installeer de bijgeleverde software.
3.
Na installatie van de software verschijnt op de Pocket PC het
ActiveSync een verbinding tot stand heeft gebracht.
venster SanDisk WiFi SD Card; klik hier op OK. 4.
Steek de WiFi SD-kaart in het SD-slot van de Pocket PC.
5.
Kies Start >> Settings >> Connections.
6.
Selecteer bij My network card connects to de optie The Internet.
7.
Controleer nu of het pictogram Signal Indicator (in de vorm van een antenne) rechts onderaan een groene signaal toont of dat het groene LED-lampje op het antennedeel van de kaart continu brandt; is dat het geval dan wordt er een signaal ontvangen.
8.
Kies nu Start >> Internet Explorer, geef een webadres in en u bent on-line.
Internetverbinding en delen van bestanden Als eerste kunt u controleren of de Internetverbinding door alle computers in het draadloze netwerk gebruikt kan worden. Controleer eerst of Internet Explorer op uw PC, notebook of Pocket PC een inbelverbinding gebruikt. Zo ja, dan moet die worden uitgeschakeld. Dat doet u als volgt: Als eerste kunt u controleren of de Internetverbinding door alle computers in het draadloze netwerk gebruikt kan worden. Controleer eerst of Internet Explorer op uw PC, notebook of Pocket PC een inbelverbinding gebruikt. Zo ja, dan moet die worden uitgeschakeld. Dat doet u als volgt:
1.
Start Internet Explorer
2.
Kies Extra >> Internet-opties.
3.
Ga naar het tabblad Verbindingen.
4.
U hoeft hier geen inbelverbindingen te hebben, maar het mag wel. Door de optie Nooit een verbinding kiezen te selecteren, voorkomt u dat ze worden gebruikt.
5.
Sluit het venster met OK en herstart Internet Explorer.
Nu kunt u proberen of u een website kunt benaderen en kunt surfen. Voor het delen van bestanden is het belangrijk dat u één of meer mappen op de computer aanduidt als gedeelde map(pen). Dat kunt u op elke computer in het netwerk doen:
Het is wellicht overzichtelijker wanneer u slechts één computer gebruikt voor het delen van alle gewenste bestanden. Dat kan bijvoorbeeld de PC zijn waaraan de draadloze Router/Accesspoint is gekoppeld. Dat gaat als volgt
1.
Open Windows Verkenner of Deze computer.
2.
Ga naar de map die u wilt delen of maak een
3.
Rechtsklik op de mapnaam en kies Delen en
nieuwe map aan. beveiliging. 4.
Kies Deze map delen en vul eventueel een naam en beschrijving in.
5.
Klik op OK.
Nu kunt u proberen of u bestanden van de gedeelde map kunt benaderen. Kies Start >> Mijn netwerklocaties en ga naar de betreffende computer en map. Open een bestand door erop te dubbelklikken. U kunt het bestand bewerken en weer opslaan in de gedeelde map. Beveiliging Wanneer u een draadloos netwerk niet beveiligt, kan iedereen met een notebook (met 802.11b/g netwerkkaart) op uw netwerk inloggen. Wanneer u de toegang tot uw bestanden niet extra heeft beveiligd zijn deze zomaar voor iedereen toegankelijk. Bovendien kunnen uw buren gratis meesurfen op Internet. Geen wenselijke situatie, en daarom moet u even de tijd nemen om het netwerk te beveiligen. Het configureren van de draadloze router gebeurt via een HTML-interface. U beheert de router dus via Internet Explorer. U handelt als volgt: 1.
Typ in de adresregel van Internet Explorer het IP-adres, bijvoorbeeld 192.168.2.1, van de router.
2.
U komt in een installatiescherm (soms is een wachtwoord vereist). Kies het onderwerp beveiliging uit het menu, bij ons is dat Security.
3.
Stel in elk geval Wired Equivalent Protection (WEP) encryptie in.
4.
Om de toegang tot uw netwerk alleen toe te staan voor bekende computers stelt u MAC Address filtering in. Een
MAC-adres is een uniek nummer dat aan een netwerkkaart is gekoppeld. U vindt de MAC-adressen van uw PC's in het hoofdscherm van de Belkin router-configuratie. Sta alleen deze adressen op uw netwerk toe. 5.
Stel de encryptie die u koos in stap 3 ook in op de netwerkcomputers. Bij Belkin kan dat via de Wireless LAN Monitor Utility op het tabblad Encryption.
Er zijn nog vele andere beveiligingsinstellingen. Zo kunt u de firewall in de router zo configureren dat hacker-aanvallen geblokkeerd worden. Ook wordt aangeraden het zogenaamde SSID van uw netwerk niet automatisch te laten uitzenden. Raadpleeg voor het configureren van al deze instellingen de handleiding van uw router. Conclusie Het installeren van een draadloos netwerk is gemakkelijker dan menigeen denkt. En de voordelen zijn legio: u hoeft geen kostbare netwerkbekabeling aan te leggen en te onderhouden en dankzij USB-netwerkkaarten hoeven de PC's indien gewenst zelfs niet meer opengeschroefd te worden! De kosten van een basisset zijn tegenwoordig dusdanig laag dat ook dit geen belemmering hoeft te zijn. En het argument dat draadloze netwerken traag zijn gaat met de opkomst van de 802.11g standaard ook niet op. Inderdaad, een bekabeld netwerk met 100 Mbps is sneller dan een draadloos 54 Mbps netwerk, maar in de meeste situaties voldoet 54 Mbps prima. Kortom, de voordelen van een draadloos netwerk al dan niet in combinatie met een bedraad netwerk zijn talrijk. Er is echter een nadeel: de meeste draadloze netwerken staan na de basisinstallatie wagenwijd open. Een draadloos netwerk beveiligen kunt u in principe zelf, maar u moet het wel doen!
