De veiligheid van wireless internet

referentie A004D

In het algemeen:
Wireless verbindingen tussen computers zijn goed te beveiligen.

Maar...
Bij het beveiligen komen meer factoren om de hoek kijken dan bij een normaal netwerk.
Hierdoor is het veilig maken van het draadloze netwerk moeilijker
en ligt onachtzaamheid op de loer, waardoor een kwaadwillend iemand toch in kan breken.

Conclusie
Het veilig krijgen van een wireless netwerkverbinding is mogelijk, maar vereist aandacht en zorg. Voor thuisgebruik is MAC adres autorisatie i.c.m. WEP 128 of 256 voldoende, voor gevoelige bedrijfstoepassingen worden zwaardere methoden aanbevolen.

Waarom de toegang tot een draadloos netwerk beperken?

Een draadloos netwerk is door zijn open structuur veel kwetsbaarder voor inbraken dan een normaal "bedraad" netwerk. Vergelijk de onderstaande schema's:

Een normaal "bedraad" metwerk kent in de regel een duidelijk verschil tussen de binnenkant en de buitenkant. Het is als het ware te vergelijken met een kasteel:
De computers staan op de onbeveiligde "binnenplaats", maar alles dat van buiten komt moet via de beveiligde poort, waar de router/modem staat. De enige manier om "in te breken" is via de beveildigde poort of door fysiek een aansluiting te maken. Dus: zolang als de poort veilig is, is het systeem veilig.

Een draadloos netwerk is niet beperkt door de fysieke bescherming. De poort naar buiten is nog steeds beveiligd (naar buiten toe) maar het netwerk zelf ligt wijd open - tenzij men extra maatregelen neemt. Zo niet, dan kan iedereen toegang krijgen tot het onbewaakte netwerk.
Ook gebruikers met boze opzet. (

)
Door de toegang kunnen zij onder meer mee profiteren van de internet aansluiting, bestanden wissen, wachtwoorden ontcijferen, email afluisteren, virussen planten et cetera.

Het is van belang dat een gebruiker zich van dit soort risico's bewust is. De meeste commerciele wireless routers en access points beschikken over een van de volgende mogelijkheden om vrije toegang tot het wireless netwerk te beperken. Iedere methode heeft zijn eigen voor- en nadelen.

ESSID verbergen

ESSID is een afkorting voor: Extended Service Set ID. Indien de gebruiker een draadloos netwerk opzet in "infrastructure mode" (in plaats van "ad hoc mode", welke alleen maar geschikt is om twee wireless apparaten met elkaar te verbinden) kan men het wireless netwerk een naam meegeven. Deze naam moet zowel aan de kant van het access point als aan de kant van de gebruiker worden ingevoerd. Voor dat een gebruiker verbinding kan krijgen met het netwerk moet hij of zij bekend zijn met de naam van het netwerk.

Het verbergen van ESSID is echter nauwelijks effectief en door een kwaadwillend persoon in een paar seconden te kraken. Bovendien wil het verbergen van de ESSID er wel eens toe leiden dat het netwerk niet wordt gevonden door de computer van de gebruiker.

Voordelen:
- Zeer gemakkelijk te gebruiken.

Nadelen:
- Zeer gemakkelijk te ontcijferen als het niet wordt gebruikt samen met een andere techniek.
- Een en dezelfde ESSID-naam werkt voor het hele netwerk.
- De inhoud van de datastroom en de ESSID zelf worden niet versleuteld.
- Soms kan een gebruiker het netwerk niet meer vinden als de ESSID verborgen wordt.

Advies:
- Niet gebruiken, tenzij het de enige mogelijke vorm van beveiliging is.

MAC adress filtering

Iedere wireless kaart heeft net als iedere ethernet netwerkkaart een uniek MAC adres. Door in te stellen welke MAC adressen er op het netwerk worden toegelaten kunnen vreemdelingen buiten de deur worden gehouden.

Voordelen:
- Relatief gemakkelijk te gebruiken.
- Iedere computer of netwerkapparaat heeft zijn eigen unieke MAC adres.

Nadelen:
- Net als bij ESSID kan een buitenstaander het signaal opvangen en al snel afleiden wat het MAC adress zou moeten zijn.
- MAC adressen zijn niet zo uniek als wel wenselijk zou zijn. Vaak is met een programma in te stellen welk MAC adres de wireless kaart zou moeten gebruiken.
- De beheerder moet bijhouden welke MAC adressen er op het wireless access point worden toegelaten.
- De inhoud van de datastroom en het MAC adres zelf worden niet versleuteld.

WEP

Afkorting voor: Wired Equivalent Privacy. Dit is een methode om de gegevensstroom welke draadlos wordt verzonden te versleutelen. Hiertoe moet in het access point zowel als in de computer van de gebruiker dezelfde sleutelwoorden worden ingevoerd. WEP 40 bits encryptie (WEP 40) is een onderdeel van de wireless standaard. Later zijn ook WEP 64, WEP 128 en WEP 256 ontwikkeld. WEP 64 is vrij algemeen in gebruik, maar de hogere vormen niet.

Voordelen:
- Relatief gemakkelijk te gebruiken.
- Vrijwel algemeen te gebruiken.
- I.c.m. Mac Adress filtering schermt het de volledige data stroom af.

Nadelen:
- WEP 40 of WEP 64 zijn eenvoudig te kraken.
- hogere encryptie als WEP 128 en WEP 256 zijn moeilijker te kraken, maar geen algemeen erkende standaard en moeilijker in te stellen. Om deze redenen worden ze niet door iedere wireless cliënt of Access point ondersteund.
- Het netwerk gebruikt een en dezelfde sleutel voor alle gebruikers. Hierdoor ontstaan er problemen als men een van de gebruikers uit zou willen sluiten van het netwerk: alle andere gebruikers moeten dan op een veilige manier een nieuwe sleutel ontvangen.

WPA en WPA-2

De term WPA staat voor Wi-Fi Protected Access. Een beveiligingsmethode voor Wi-Fi wireless verbindingen, superieur aan WEP. Het is een veel gebruikte standaard om draadloos WiFi verkeer te versleutelen. WPA is ontworpen om gebruikt te worden in combinatie met een 802.1x authenticatie server. De standaard kan echter ook gebruikt worden in een minder veilige PSK (Pre-Shared Key) modus, welke gebruik maakt van de redelijk veilige RC4 128-bit versleuteling.

In tegenstelling tot WEP wordt bij WPA de sleutel voor de verbinding iedere keer opnieuw dynamisch gegenereerd. Daarnaast gebruikt WPA een veel veiligere manier om een verbinding tot stand te brengen, zoadat een afluisteraar hier niet aan kan afleiden wat de key zou kunnen zijn. Het is veel veiliger. Nu is het met moeite en veel botte rekenkracht nog altijd mogelijk om een RC4 sleutel te breken, een van de reden waarom de Wi-Fi Alliance bezig is met de WPA-2 techniek. WPA-2 is inmiddels uit, maar wordt nog maar door weinig leveranciers ondersteund.
Voor meer informatie zie
de website van de WiFi alliance

Voordelen:
- Veel veiliger dan WEP. WPA is erg veilig. WPA-2 is nog veiliger.
- Gemakkelijk in te stellen.

Nadelen:
- Niet iedere router en wireless client ondersteunt dit protocol.
- WPA-2 is nog in ontwikkeling.

802.1x

Dit protocol is een uitbreiding van het standaard PPP (ethernet) protocol. Het wordt niet algemeen gebruikt maar maakt deel uit van het zgn. Extended Authentication Protocol (EAP). Gebruik van deze techniek vereist de aanwezigheid van een "Authentication server", welke meestal werkt met RADIUS of een andere anthenticatie technologie. De Authentication server bepaalt verder wat er met welke aanvraag tot toegang moet gebeuren. Dit kan betekenen dat een bepaalde gebruiker achter een bepaalde firewall komt te zitten of slechts toegang krijgt tot een beperkt intern netwerk.

Voordelen:
- Individuele toegang te regelen.
- Dynamisch in te stellen.

Nadelen:
- Niet iedere router en wireless client ondersteunt dit protocol.
- Niet altijd gemakkelijk in te stellen.
- Deze standaard is nog in ontwikkeling.

Captive/ Forced Portal

Bij deze technologie krijgt een gebruiker direct en zonder authenticatie toegang, maar stuit daarna op een strict afgestelde firewall die verhinderd dat hij met deze toegang iets gevaarlijks kan doen. Hij wordt geforceerd doorverbonden met een bepaalde op te geven webpagina, waar hij gebruikersnaam en wachtwoord in moet geven. Pas hierna wordt hij doorgelaten.

Voordelen:
- Zeer flexibel, gemakkelijk voor de gebruiker, dynamisch. Kan WEP zonder Key en DHCP.
- Algemeen beschikbaar als opensource.

Nadelen:
- (zeer) moeilijk goed te configureren.
- (zeer) moeilijk te onderhouden.