_PCC0503_WiFi.qxd
23-02-2005
12:10
Pagina 44
Wireless Fidelity Voor- en nadelen van draadloos netwerk Het is niet de eerste keer dat PC Consument over draadloze netwerken schrijft. Vanwege de vele lezersreacties gaan we graag nog een keer uitgebreid in op WiFi. Lees hoe je onder andere veilig draadloos kunt internetten via adsl en waar je op moet letten bij het bouwen van een draadloos netwerk.
W
iFi is de populair geworden afkorting van Wireless Fidelity, iets dat je zou kunnen vertalen naar Draadloze Precisie. Feitelijk spreek je over een speciale industriestandaard waarvan de officiële aanduiding IEEE 802.11 is. In de IEEE 802.11afspraken is precies vastgelegd hoe een draadloos netwerk in elkaar steekt. Je praat dan over zaken als de radiofrequentie, de overdrachtssnelheid, de signaalsterkte, de beveiliging, enzovoort. De twee voor de consument belangrijkste WiFi-standaards zijn 802.11b en 802.11g. In de 802.11b-(oer)standaard wordt het 11 megabit/seconde ethernetnetwerk vastgelegd. In de praktijk vinden veel gebruikers 11 megabit/seconde te traag en dat heeft geresulteerd in de 802.11g-standaard, die goed is voor 54 megabit/seconde.
KIEZEN VOOR WIFI Is WiFi interessant voor jou? • WiFi is draadloos en dat betekent dat je (bijna) geen utp-kabels nodig hebt om een lokaal netwerk in te richten. Dit voorkomt het boren van gaten als je van de ene naar de andere kamer of verdieping moet. • Heb je een draadloos netwerk ingericht? Dan ben je niet langer gebonden aan die ene werkplek. In de huiskamer, op bed, in de tuin, overal kun je volwaardig met je pc werken. • In geval van een laptop biedt WiFi nog meer voordelen, want je kunt ook aankoppelen bij andere WiFi-netwerken. Denk hierbij aan het WiFi-netwerk op de zaak of de WiFi-hotspot in een restaurant.
DRAADLOOS VERSUS BEKABELD Wat is nu het verschil tussen draadloos en bekabeld? Hoe een bekabeld netwerk functioneert, is iedereen duidelijk. De computers zijn voorzien van netwerkkaarten en ergens in het midden staat een soort verdeelkast. Van
44
elke pc loopt er een draad naar de verdeelkast en zodoende kunnen de onderlinge pc’s met elkaar communiceren. Bij dat communiceren denk je aan het kunnen delen van harde schijven, printers en de internetverbinding; dit zijn dus de netwerkservices. De netwerkservices hebben niets te maken met de netwerkkaarten, de netwerkkabels en de verdeelkast (hardware). De netwerkservices (software) worden pas achteraf door de gebruiker aan het netwerk toegevoegd. Er zijn verschillende typen netwerkverdeelkasten. • De hub. Dit is een relatief ‘domme’ verdeelkast die slechts de netwerkcomponenten van een netwerktype op elkaar aansluit: of 10 megabit/seconde of alleen 100 megabit/seconde ethernet. Op afbeelding 1 zie je een 10 megabit/seconde hub met aansluiting voor BNC en RJ45. Dit is er een die usb, bekabeld ethernet, draadloos ethernet en adsl-internet met elkaar in contact brengt. Elke netwerkfunctie heeft een eigen diagnose-LED gekregen (zie 1). • De switch. Deze is in staat om 10 megabit/seconde en 100 megabit/seconde tegelijkertijd te bedienen. Een switch kun je dan ook typeren als een intelligente hub. Bij afbeelding 1 zie je links een 10/100 megabit/seconde ethernetswitch. De LED’s vertellen je alles over de status van de netwerkaansluitingen. Als de LED Collission (botsing) knippert, is het eigenlijk te druk op het netwerk en is het tijd om over te stappen op 100 megabit/seconde (zie 1). • De router. Routers maken het mogelijk om netwerkverkeer van het ene naar het andere tcp/ip-netwerk over te hevelen. De puurste router is voorzien van twee netwerkpoorten die elk een netwerksegment bedienen. Een modale router heeft meerdere netwerkpoorten en mag worden getypeerd als een intelligente switch. • De gateway. Een gateway is een router die twee verschillende netwerksoorten met elkaar in contact brengt. Een router doet ethernet/ethernet, een gateway doet isdn/ethernet, adsl/ethernet of kabel/ethernet. Zo beschouwd, is een gateway weer een intelligente router. Op afbeelding 1 zie je in het midden een 10/100 megabit/seconde ethernet adsl-gateway met 11/54 megabit/seconde WiFi-functionaliteit. Als de 100 LED’s knipperen, dan weet je dat er een 100 megabit/seconde-verbinding is gemaakt (zie 1). Bij afbeelding 2 zie je een links een SpeedTouch 510
_PCC0503_WiFi.qxd
23-02-2005
12:10
Pagina 45
adsl-gateway die slechts in het bekabelde netwerk kan worden ingezet, de rechter, SpeedTouch 580 adslgateway, doet zowel bekabeld als draadloos. Internettechnisch zijn de beide kastjes bijna identiek. Kijk je naar de achterkant van de beide adsl-gateways, dan zie je dat de 510 slechts een RJ45-aansluiting heeft, terwijl de 580 met vier RJ45-aansluitingen ook als minihub kan worden ingezet (zie 2). Bij een bekabeld netwerk gaat het signaal door de kabel en bij een draadloos netwerk gaat het signaal door de lucht. Bij een bekabeld netwerk wordt het netwerkcontact verzorgd door aan twee kanten een netwerkkabel in te prikken. Draadloos wordt het wat ingewikkelder. Het radiosignaal vervangt de netwerkkabel en daarmee begint de ellende. Immers, dat radiosignaal heeft geen idee waar het naartoe moet! Dit wordt dan ook geregeld met behulp van frequenties (kanalen) en identificatiemogelijkheden. Als extra identificatiemogelijkheden wordt bij WiFi gebruikgemaakt van een unieke netwerknaam en beveiligingssleutels.
KIEZEN VOOR WIFI Nu je al wat meer over WiFi weet, houden we de nadelen van WiFi tegen het licht:
• Iedereen kan in contact komen met jouw WiFi-netwerk. Immers, als iemand jouw WiFi-radiosignaal kan ontvangen, kan er ook worden meegeluisterd. • WiFi is lastig te configureren. Voordat je twee netwerkcomponenten met elkaar in contact hebt gebracht, is er al het nodige gebeurd. • Het WiFi-radiosignaal is niet supersterk. Binnenshuis mag je blij zijn als je 15 - 25 meter bereik hebt. Buitenshuis is een bereik van 100 meter eerder regel dan uitzondering.
WIFI-NETWERKKAARTEN WiFi-netwerkkaarten zijn er in diverse soorten en uitvoeringen. Het eerste waar je op let, is de 802.11b/802.11gtypering. Je zorgt ervoor dat je binnen je lokale netwerk gebruikmaakt van WiFi-apparaten die op dezelfde snelheid met elkaar kunnen communiceren. Verder zijn er de volgende uitvoeringen: • Ingebouwd. In dat geval zit de WiFi-netwerkkaart onboard op het moederbord of ‘in’ de laptop. Je hoeft dan hardwarematig helemaal niets meer te doen, want het is ‘af fabriek’ voor je geregeld. • PCMCIA. Dit is de speciale insteekkaart die in het PCMCIA-slot van de laptop kan worden geplaatst. En
TECHNO TALK Adsl Snelle internetverbinding die ‘erbij’ op je telefoon wordt gezet. Megabit/seconde De snelheidsmaat voor gegevensoverdracht. Door 8 gedeeld wordt het megabyte/seconde. PCI Het gangbare insteekslot dat op het moederbord van de desktop-pc zit. PCMCIA Het insteekslot van de laptop waarmee je met verwisselbare uitbreidingskaarten kunt werken.
1
Van links naar rechts: een 10/100 megabit/seconde ethernetswitch, een 10/100 megabit/seconde ethernet adslgateway met 11/54 megabit/seconde WiFi-functionaliteit, een 10 megabit/seconde hub met aansluiting voor BNC en RJ45.
2
Zoek de verschillen. Op beide afbeeldingen links de SpeedTouch 510 adsl-gateway, rechts de SpeedTouch 580 adsl-gateway.
3
PCMCIA WiFi-netwerkkaarten. Linksonder: 11 megabit/seconde 802.11b-variant. Linksboven: 54 megabit/seconde 802.11g-variant Rechts: PCI-insteekkaart.
4
5
Reuze handig in de praktijk: WiFi uitgevoerd in de vorm van een usb-dongle. Ook te gebruiken in combinatie met een usbverlengkabel.
4. Links een PCI WiFi-netwerkkaart met vaste antenne, rechts de variant met de losse antenne.
45
_PCC0503_WiFi.qxd
23-02-2005
TECHNO TALK RJ45 Het speciale 9-polige stekkertje waarmee de ethernetkabel wordt ingeprikt. (Merk op: RJ11 is de 4-polige telefoonstekker.) SSID De speciale identificatie voor een WiFi-netwerk. Wordt ook wel de Network Name genoemd. Tcp/ip Het netwerkprotocol dat voor internet wordt gebruikt. Werkt ook op het lokale netwerk. Utp De afkorting van Unshielded Twisted Pair. Dit is het type kabel dat voor ethernet wordt gebruikt. WiFi Een populaire term voor draadloos netwerken.
12:10
Pagina 46
zijn speciale PCI-insteekkaarten verkrijgbaar die ook de desktop-pc van een PCMCIA-slot kunnen voorzien (zie 3). • PCI. WiFi-netwerkkaarten voor het PCI-insteekslot van de ‘gewone’ desktop-pc zijn er (1) met een vaste antenne direct op de achterkant van de netwerkkaart – op de foto zie je een die geschikt is voor het speciale 22 megabit/seconde WiFi-netwerk, een turbovariant van 802.11b waarbij twee kanalen worden gebruikt en (2) met een losse antenne die je met behulp van een draad van circa 1 meter slim kunt positioneren om te proberen een beter bereik te krijgen (zie 4). • Usb. Een WiFi-netwerkkaart voor usb komt meestal in de vorm van een kleine dongle die een lengte heeft van 5 à 8 centimeter en kan eenvoudig in elke usbpoort worden gestoken (zie 5). Om een WiFi-netwerkkaart in contact te brengen met Windows XP, ben je softwarematig op drie niveaus actief. Je begint (1) met de installatie van de aansturingsoftware, oftewel de hardwaredriver. Nadat de aansturingssoftware voor de WiFi-netwerkkaart is geïnstalleerd, moet je (2) ervoor zorgen dat jouw WiFi-netwerkkaart met het WiFi-basisstation kan communiceren. Op dit niveau zorg je ervoor dat je door middel van de juiste netwerknaam en de correcte beveiligingssleutels verbinding maakt met het WiFi-netwerk. Tot slot (3) moeten de tcp/ip-instellingen van de WiFi-netwerkkaart nog worden ingeregeld. Dit verschilt niet van de handelingen die nodig zijn om een gewone bekabelde netwerkkaart te laten werken.
WIFI-BASISSTATIONS Voor WiFi-basisstations geldt hetzelfde al voor WiFinetwerkkaarten: ze zijn er in diverse soorten en uitvoeringen. In eerste instantie kijk je naar de snelheid van het WiFi-basisstation om zodoende alle WiFi-apparaten zo optimaal mogelijk te laten communiceren. De uitvoering van de WiFi-basisstations kan verschillen; let hierbij op de volgende dingen: • Hoeveel netwerkkabels kun je aansluiten? Meestal zie je vier netwerkpoorten waarmee je desktop-pc’s met behulp van netwerkkabels kunt inprikken. • Kan het WiFi-basisstation ook als router of gateway dienst doen? Voor een router heb je nog een apart internetmodem nodig en dat maakt het configureren er niet makkelijker op. • Wat is het bereik van het WiFi-basisstation? Niets is vervelender dan een WiFi-basisstation dat niet krachtig genoeg is. • Zit er een resetknop op het WiFi-basisstation? Beter nog: is er een mogelijkheid om de fabrieksinstellingen terug te halen? • Wat zijn de configuratiemogelijkheden? Een ingebouwde webserver is een absolute vereiste.
46
Even opgelet, want een WiFi-basisstation kan zijn uitgevoerd als hub, switch, router of gateway. In bijna alle gevallen is het draadloze netwerk een toevoeging aan het bekabelde netwerk.
WIFI IN DE PRAKTIJK Hoe werkt WiFi in de praktijk? We gaan uit van de bekende SpeedTouch 580-gateway die bij verreweg de meeste adsl-verbindingen wordt meegeleverd. De SpeedTouch 580 kan via usb 1.1, RJ45 (bekabeld 10/100 megabit/seconde ethernet) en IEEE 802.11g (draadloos 11/54 megabit/seconde ethernet) het netwerk bedienen. Standaard uitgeleverd, staat de SpeedTouch 580 helemaal open voor het WiFi-netwerk en is het ip-adres ingesteld op 10.0.0.138. De netwerknaam (SSID) staat handig achterop de SpeedTouch 580 vermeld en kan eenvoudig worden genoteerd. Wat voor de SpeedTouch 580 geldt, geldt voor alle andere WiFi-basisstations: de handleiding zal altijd vermelden welk ip-adres is ingesteld en welke netwerknaam er standaard - of na een reset - wordt gebruikt. Stap 1 Als eerste neem je de SpeedTouch 580 en die zet je onder stroom zonder dat je usb, RJ45 of adsl aansluit. Stap 2 Intussen heb je een desktop-pc of een laptop van een WiFi-netwerkkaart voorzien en je hebt de meegeleverde software geïnstalleerd. Vervolgens zijn er twee mogelijkheden: (1) je maakt gebruik van de WiFinetwerksoftware van Windows XP of (2) de WiFi-netwerkkaart heeft een eigen WiFi-tool meegeleverd. In beide gevallen zul je het WiFi-basisstation direct uit de lucht kunnen plukken (zie 6). Stap 3 Je zult zien dat de netwerknaam (Network Name) van de SpeedTouch 580 de netwerknaam is die je eerder achterop het kastje bent tegengekomen. Het aankoppelen bij het nu nog onbeveiligde WiFi-netwerk is een kwestie van eenvoudig dubbelklikken op de netwerknaam van de SpeedTouch 580 (zie 7). Stap 4 Vervolgens ga je naar het dialoogvenster Netwerkverbindingen en vraag je de eigenschappen op van de WiFi-netwerkkaart. Je zult zien dat de WiFiverbinding reeds tot stand is gebracht, maar dat het ipadres nog moet worden ingevuld. Dit regel je bij de tcp/ip-instellingen, waar je kiest voor het ip-adres 10.0.0.150 (zie 8). Stap 5 Als je vervolgens Internet Explorer opstart, kun je het ip-adres 10.0.0.138 invullen op de adresregel van de webbrowser. Je maakt nu kennis met het configuratieprogramma van het WiFi-basisstation (Zie 9). Neem je genoegen met een onbeveiligd WiFi-netwerk? Dan is het WiFi-verhaal op dit moment verteld. Echt optimaal zijn de WiFi-instellingen nog niet en ook is de toegang tot internet nog lang niet geregeld.
_PCC0503_WiFi.qxd
23-02-2005
12:10
Pagina 47
WIFI VERPERSOONLIJKEN Meteen nadat je erin bent geslaagd om met behulp van Internet Explorer contact te maken met het WiFi-basistation, ga je de instellingen van de SpeedTouch 580 verpersoonlijken. Doe het bijvoorbeeld als volgt: Stap 1 Je begint met een netwerknaam die beter bij jou past en die niets prijsgeeft over het merk WiFibasiststation, bijvoorbeeld WellesNietes. Ook kun je het WiFi-kanaal vast instellen en dan raden we je aan om een niet (of weinig) gebruikt kanaal te kiezen. Als de netwerknaam is gewijzigd, moet je uiteraard opnieuw aankoppelen bij het WiFi-basisstation (zie 10). Stap 2 Vervolgens ga je een ander ip-adres instellen. Van 10.0.0.138 maak je bijvoorbeeld 195.109.161.50. Dit betekent dat je van de ip-range 10.0.0.* overstapt op de ip-range 195.109.161.*. Dit heeft uiteraard consequenties voor het ip-adres van het WiFi-werkstation, dat eveneens moet worden aangepast. En vergeet niet om achteraf het ip-adres 10.0.0.138 weg te gooien om te voorkomen dat
6
Met behulp van de zogeheten Site Survey kun je kijken welke WiFiapparaten worden ‘gezien’ door de WiFi-netwerkkaart. Een van de WiFibasisstations die wij tegenkomen, is de SpeedTouch 580.
kenners van een SpeedTouch 580 wat al te makkelijk kunnen inbreken (zie 11 op pagina 49)! De bovenstaande handelingen zorgen ervoor dat je draadloze netwerk in ieder geval niet compleet standaard is ingesteld. Door ervoor te zorgen dat het ip-adres is veranderd, maak je het de luie hacker al een heel stuk moeilijker.
WIFI BEVEILIGEN Wil je je draadloze netwerk echt goed beveiligen? Dan zul je het moeten afsluiten en dat gebeurt met behulp van encryptietechnieken die op verschillende manieren kunnen worden ingesteld. Praat je over WiFi-encryptie, dan zijn er drie vormen: (1) geen encryptie, (2) WEPencryptie en (3) WPA-encryptie. De afkorting WEP en WPA staan respectievelijk voor Wired Equivalent Privacy en WiFi Protected Access. WEP is minder krachtig dan WPA en gaat uit van sleutels die 40- of 104-bits lang zijn. met een initialisatievector van 24-bits, waardoor je op
7
8
Als de WiFinetwerkapparaten met elkaar kunnen communiceren, is het tijd geworden om de tcp/ipinstellingen van het Windows XPwerkstation te verzorgen. Op dit moment stel je in op de standaard ip-range 10.0.0.*.
Er is nu contact gemaakt met het - nog niet beveiligde - WiFi-netwerk. Op dit moment ben je op het niveau aangekomen dat de (draadloze) netwerkkabel is aangesloten.
9
Het ingestelde ip-adres is correct, want enkele ogenblikken later kunnen we de webserver van de SpeedTouch 580 benaderen. Vanaf dit moment kun je het WiFi-basisstation verpersoonlijken en beveiligen
10
De netwerknaam (SSID) wordt gewijzigd en het kanaal wordt vastgezet. Deze nieuwe eigenschappen zie je vervolgens tevoorschijn springen als je het luchtruim laat doorzoeken op WiFi-aanwezigheid. Meteen daarna koppel je aan bij de nieuwe instellingen van het WiFi-basisstation.
47
_PCC0503_WiFi.qxd
23-02-2005
12:10
Pagina 48
64- en 128-bits encryptie uitkomt. In de praktijk zorgt WEP-encryptie voor veel extra overhead en de door meerdere WiFi-werkstations gedeelde sleutel wordt vaak snel algemeen bekend. Nog los daarvan is WEP-encryptie relatief eenvoudig te kraken. Wat nog altijd niet wegneemt dat WEP-encryptie de voorkeur geniet boven het überhaupt ontbreken van encryptie. Hoe WEP werkt? Eenvoudig: je zorgt ervoor dat het WiFi-basisstation en het WiFi-werkstation dezelfde WEP-sleutel hebben ingevuld. En pas als beide WEP-sleutels identiek zijn, kan er een WiFi-netwerkverbinding worden opgebouwd (zie 12). Als alternatief voor WEP kun je gebruikmaken van WPA. Daarbij moeten we aantekenen dat je dan wel over recente WiFi-apparatuur moet beschikken, want de wat oudere WiFi-basisstations en -netwerkkaarten kunnen niet overweg met WPA. Je moet trouwens weten dat WPA een encryptietechniek is die officieel niet in 802.11b en 802.11g hoort, maar die is bedoeld voor de toekomstige 802.11i-standaard! WPA kan op diverse manieren worden geïmplementeerd, waarbij ook een speciale externe sleutelserver kan worden gebruikt om de WiFitoegang in goede banen te leiden. Dit speelt uiteraard
niet in een consumentenomgeving, waarbij je gebruik kunt maken van vast ingestelde WPA-sleutels (zie 13). WPA is krachtiger dan WEP, dus als jouw WiFi-apparatuur over WPA beschikt, dan moet je daar gebruik van maken.
WIFI-HACKERS Naast encryptie zijn er nog meer trucs waarmee je je draadloze netwerk kunt beveiligen. Denk aan het niet
WiFi versus Bluetooth Praat je over draadloos, dan moet Bluetooth natuurlijk ook worden genoemd. Bluetooth kan weliswaar worden gebruikt om een netwerkverbinding tussen twee pc’s op te zetten, maar is totaal niet te vergelijken met WiFi. Bluetooth werkt om te beginnen met een autorisatietechniek die (aan beide Bluetooth-kanten) de fysieke aanwezigheid van de gebruiker vereist. Verder is de overdrachtsnelheid van Bluetooth met 720 kilobit/seconde gewoon te traag om over een serieuze netwerkverbinding te kunnen praten. Ook moet je je realiseren dat Bluetooth niet specifiek voor netwerkdoeleinden is gemaakt. Bluetooth is bedoeld om allerlei toepassingen draadloos met elkaar in contact te brengen. Bluetooth is niet compatibel met WiFi.
_PCC0503_WiFi.qxd
23-02-2005
12:10
Pagina 49
‘uitzenden’ van je draadloze netwerknaam die je vervolgens zelf met de hand invult; eenzelfde handeling als het instellen van de WEP/WPA-sleutel. Dat beveiligen doe je natuurlijk tegen WiFi-hackers die al dan niet moedwillig jouw draadloze netwerk willen binnendringen. De agressiefste manier van WiFi-hacken wordt ook wel wardriving genoemd. Bij wardriving is er sprake van een WiFi-hacker die rondrijdt met een laptop, een WiFinetwerkkaart, een GPS-ontvanger en een speciale tool die de WiFi-basisstations uit de lucht haalt. Daarbij worden de kenmerken van de WiFi-basisstations opgeslagen, evenals de exacte locatie waar het WiFi-signaal is opgevangen. In een latere instantie kan de WiFi-hacker terugkeren om je WiFi-basisstation te lijf te gaan om
zodoende in te breken in je draadloze netwerk. Hierdoor wordt duidelijk waarom je de netwerknaam en het ipadres in elk geval zo snel mogelijk moet veranderen. En een 64-bits encryptiesleutel is veel eenvoudiger te kraken dan een 128-bits encryptiesleutel, een kwestie van rekentijd ... De tegenpool van wardriving - waarbij iemand jou uithackt - is evil twins. Een evil twin vermomt zich als hotspot en op het moment dat je aankoppelt, heb je je eigen pc opengezet voor de evil twin die meteen bij jou op de harddisk kan kijken als Windows XP is ingesteld op het delen van bestanden en printers. Nog los van het feit dat de evil twin je netwerkverkeer kan uitlezen om zodoende achter je accountgegevens (van de originele hotspot?) te komen. JOHN VANDERAART
11
Het standaard ip-adres wordt gewijzigd. Vervolgens zorg je dat het WiFi-werkstation in de nieuwe ip-range actief wordt, waarna je het oude ip-adres (10.0.0.138) uit het WiFi-basisstation verwijdert.
13
12
Werken met WEP-encryptie. Je heb de 64bits variant ingesteld en je hebt gezorgd dat de encryptiesleutel aan beide kanten hetzelfde is. Verschilt de encryptiesleutel? Dan krijg je geen toegang tot het WiFibasisstation en dus kun je niet op het netwerk komen!
De WPA-encryptie is nu ingeschakeld. Zowel het WiFibasisstation als de WiFi-netwerkkaart worden voorzien van dezelfde unieke sleutel.
49
