Het komt vaker voor dan je denkt. Lekken, kwetsbaarheden en veiligheidsgaten in de firmware van je router of switch. Je hoort er helaas niet zoveel over maar de kans is groot dat je router op dit moment zo lek is als een mandje. Veel mensen kopen jammer genoeg een router, stoppen deze in de meterkast en kijken er nooit meer naar om. En dat terwijl er, afhangend van het merk en type, regelmatig (veiligheids-)updates worden uitgebracht voor je router.

Er bestaat echter ook een kans dat je router al sinds dag 1 een backdoor bevat of een "handige" service die de veiligheid van je netwerk onderuit haalt. Als je pech hebt is het ook nog eens een router die slecht wordt ondersteund door de fabrikant wat resulteert in een apparaat dat amper of geen patches krijgt. Mocht er een groot lek gevonden worden zal je naar de winkel moeten rennen om een ander te kopen.

Om al deze ellende te voorkomen zijn wij op onderzoek gegaan en hebben we gekeken hoe je je thuisnetwerk het allerbeste kan opbouwen en beveiligen.

Op de volgende pagina: Een goed begin is het halve werk: routerkeuze

Routerkeuze

Het klinkt als een open deur maar als je een solide thuisnetwerk wil hebben zal je een goede nieuwe router moeten aanschaffen. Er zijn talloze sites waar je reviews kan vinden en specificaties worden vergeleken. Er wordt gekeken naar de softwaremogelijkheden, extra's (doorvoer)snelheid en Wifi-mogelijkheden. Dit zijn inderdaad zeer belangrijke punten om op te letten, maar het allerbelangrijkste is nog steeds de veiligheid van de software (firmware), ondersteuning van de fabrikant en, last but not least, openheid van de hardware.

Hardware-openheid

Ik weet dat er soms wat lacherig wordt gedaan over de laatste optie en er in discussies regelmatig met de term Linux- of open source-fanboy gegooid wordt, maar geloof mij, hardware-openheid is van essentieel belang en wel hierom:

Mensen willen nog wel eens vergeten dat routers vandaag de dag eigenlijk gewoon computers zijn waar een besturingssysteem op draait. Veel fabrikanten bouwen/assembleren graag iets waar zij volledige controle over hebben. Er wordt vaak geschermd met patenten om ervoor te zorgen dat de consument geen kant op kan en alleen maar bij de fabrikant terecht kan voor ondersteuning en updates.

Wat denk je dat er gebeurt als er een gigantisch lek wordt ontdekt in je twee jaar oude router? Waarschijnlijk niks. De fabrikant heeft het veel te druk met z'n nieuwste router-lijn en jij kan fluiten naar je update. Gelukkig zijn er gigantische communities die zich bezighouden met het schrijven van software voor bestaande en oudere routers. Maar als er geen documentatie beschikbaar is voor jouw router is de kans groot dat ook de community je niet kan helpen en je maar gewoon een nieuwe moet halen.

Een router met slecht gedocumenteerde chipset Op de volgende pagina: Routerkeuze, goede router, slechte ondersteuning?

Goede routers die achteraf toch niet zo goed zijn

Op de vorige pagina zag je een afbeelding van de D-Link DIR-655 router. De kenners onder ons zullen het apparaatje herkennen als een router die destijds zeer goed uit te test kwam en in veel reviews een hoog cijfer kreeg. Terecht. Het apparaat was snel, had veel functies en ondersteunde, als een van de eerste de WIFI-N standaard (IEEE802.11n) waarmee snelheden tot 300 Mbps gehaald konden worden.

Allemaal leuk en aardig natuurlijk, totdat er een gigantische backdoor werd ontdekt in veel van de D-link routers. Jammer genoeg kregen niet alle routers van D-Link een update (De 655 was inmiddels al wat ouder) en daarmee was de kous af. Dit was bovendien niet de eerste keer dat er veiligheidslekken waren gevonden in de produkten van D-Link. Tijd om over te stappen dus. Als rotte kers op de taart was de DIR-655 gebouwd rond een ongedocumenteerde chipset. Er is dus geen goede vervangende firmware te krijgen voor dit kastje. Zonde.

We zijn hier niet aan het afgeven op D-Link, we gebruiken ze slechts als voorbeeld. Maak je geen illusies, we hadden het net zo goed kunnen hebben over Sitecom, Netgear, Linksys, TP-Link of welke comsumenten-router dan ook.

Dat er vroeg of laat een lek of backdoor gevonden wordt in hard-of software is eerder regel dan uitzondering. De vraag is, wat doet de fabrikant er aan? Of , beter nog, wat doe jij eraan? Sommige updates repareren de lekken. Maar er zijn blijkbaar ook fabrikanten die het wat minder nauw nemen met de veiligheid van de consument en de achterdeurtjes slechts verstoppen.

Gelukkig bestaan veel routers uit goed gedocumenteerde onderdelen waardoor je ook een ander besturingssysteem kan installeren op je router. Zoals eerder gemeld, is er door de jaren heen een zeer levendige community ontstaan die besturingssystemen schrijft voor bestaande, goed gedocumenteerde routers. Hiermee heb je in elk geval wat meer controle over je router.

Router-lijst

Leuk en aardig allemaal, maar welke router moet je nu halen? Deze vraag is moeilijk te beantwoorden. Het hangt heel erg af van je voorkeuren en smaak. Hoeveel poorten wil je gebruiken? Hoe belangrijk is WIFI voor je? Wil je gebruik maken van NAS-functionaliteit of VPN? Met deze vragen in je achterhoofd in combinatie met eerdergenoemde veiligheidsissues is het volgens ons het handigst om te kijken naar de "Table of hardware" van OpenWrt. In deze lijst vind je alle hardware (routers dus) die worden ondersteund door OpenWrt. Let wel op, sommige routers zijn tijdens hun levensloop, meerdere malen opnieuw uitgebracht met hardware-verbeteringen of andere chips. In deze lijst kan je vinden welke revisie je moet hebben.

Op de volgende pagina: besturingssysteem voor je router?

Wireless Freedom

Dit brengt ons meteen bij één van de router-besturingssystemen die wordt gemaakt en onderhouden door de community: OpenWrt. Het is een embedded besturingssysteem gebaseerd op de Linux-kernel en is tot stand gekomen dankzij Linksys. Deze fabrikant had de firmware van de beroemde WRT54G-router gebouwd op publiekelijk-beschikbare code die beschikbaar was onder de GPL-licentie. Dankzij die licentie was Linksys verplicht de broncode voor deze router vrij te geven waardoor iedereen aan de slag kon met deze code.

Inmiddels heeft OpenWrt zoveel wijzigingen gekregen dat er van de originele code weinig over is. Dankzij de vele aanpassingen, beschikbare drivers, en gigantische community zijn er veel verschillende versies beschikbaar voor allerhande routers, computers en hun bijbehorende architectuur.

Het credo van de mensen achter OpenWrt is "Wireless freedom" en naast het onderhouden van dit besturingssysteem, wordt er ook gewerkt aan een hele zwik aan plugins waardoor je je router extra functionaliteiten mee kan geven. Hiermee kan je je oude router nieuw leven in blazen of je gloednieuwe router uitbreiden en dichttimmeren. Een dikke, vette aanrader dus.

Uiteraard zijn er nog veel meer besturingssystemen te vinden voor je router, maar we gebruiken OpenWrt als voorbeeld. De werking van het systeem, en andere systemen behandelen wij in een ander artikel, maar je zou alvast kunnen kijken naar Tomato, DD-WRT of HyperWRT.

Volgende pagina: Kant-en-klare-oplossingen

Veiligheid niet voor alles

De kans bestaat dat je helemaal geen zin hebt om zelf aan de slag te gaan met besturingssystemen en een flinke zoektocht naar de ultieme router. Gelukkig zijn er ook nog kant-en-klare oplossingen te vinden waardoor je alsnog vrij snel klaar kan zijn met het installeren en configureren van je netwerk. De kans is echter nog groter dat je deze routers niet zo gauw in de gemiddelde electronica- of computerzaak tegenkomt. Helaas is er, net als in de smartphone- en laptopmarkt voornamelijk een race naar de bodem aan de gang. Zoveel mogelijk specs en een nog snellere processor voor een zo laag mogelijke prijs.

Dit betekent dat er ergens op bezuinigd moet worden. Jammer genoeg is dat meestal de software, ondersteuning en beveiliging. Horowitz heeft daar een mooie uitspraak voor. Als je een consumenten-router koopt, koop je de hardware en als je een zakelijke router koopt, koop je de software.

Geen consumenten-router

Wil je een router met goede, stabiele software die ook nog eens lang wordt ondersteund? Dan zal je diep in de buidel moeten tasten en niet moeten kijken naar een consumenten-router. Dat klinkt wat cru, maar het is helaas de harde waarheid. Consumenten-routers worden gewoon niet goed genoeg ondersteund en onderhouden op de lange termijn. Daardoor zal je vroeg of laat in de steek worden gelaten door de fabrikant en alsnog aan het werk moeten om de boel dicht te timmeren.

Ook Michael Horowitz van routersecurity.org drukt lezers op het hart vooral géén consumenten-routers te kopen wegens eerdergenoemde redenen. Ook andere onderzoekers en schrijvers onderschrijven dit probleem.

Mocht je toch voor een consumenten-router gaan, haal er dan eentje met goed gedocumenteerde hardware zodat je, zoals eerder vermeld, je router in elk geval softwarematig dicht kan timmeren mocht de ondersteuning eerder stoppen dan gewenst.

Zakelijke router

Je zal je heil dus moeten zoeken aan de zakelijke kant. Zakelijke routers worden veel beter en langer ondersteund door de fabrikant, maar daar betaal je uiteraard ook voor. En aangezien er in de zakelijke markt geen specs-wedloop aan de gang is, krijg je voor dat hogere bedrag ook nog eens minder functionaliteiten.

Horowitz raadt bijvoorbeeld de Pepwave Surf Soho aan. Een router die een uitstekende firmware-ondersteuning heeft van de achterliggende fabrikant. Maar dit apparaat kost je al gauw rond de 200 euro. Mocht je iets uitgebreiders willen schiet de prijs al snel omhoog naar een euro of 400.

Je zou ook kunnen kijken naar routers van Cradlepoint, PFSense, Buffalo of Draytek. Maar blijf in alle gevallen checken hoe het zit met de langdurige ondersteuning van de router, anders kan je net zo goed zelf aan de slag gaan.

Open source Router

Ten slotte willen we ook nog even de Turris Omnia noemen. Deze router is een produkt dat tot stand is gekomen dankzij crowdfunding.De mensen achter deze router zitten in een non-profitorganisatie genaamd CZ.NIC. Zij beheren het .cz top-level-domain van de Tjechische republiek en zijn een groot voorstander van open source.

Ook deze router is gebaseerd op OpenWrt maar deze router is zo in te stellen dat de updates levenslang (!!) automatisch worden uitgevoerd. Mocht je de updates liever zelf in de hand willen houden, kan dat uiteraard ook. Gebruikers kunnen ook netjes via e-mail geinformeerd worden.

Het apparaat is vanaf april leverbaar.

Volgende pagina: Configuratie van je router

Configuratie

Als je je nieuwe router uiteindelijk binnen hebt kan je aan de slag gaan. We gaan een paar open deuren intrappen maar aangezien je regelmatig hoort en leest dat het zowel bij consumenten als bedrijven toch vaak fout gaat, behandelen we ze toch even.

Het allereerste wat je doet als je met je nieuwe router aan de slag gaat is het wijzigen van je wachtwoord en, als je router het ondersteunt, je gebruikersnaam. Dat maakt het scriptkiddies in elk geval al ietsjes moeilijker.

Vervolgens zet je je wps uit. Deze beveiligingsstandaard is zo (vaak) lek dat je deze beter uit kan schakelen. Het is tegenwoordig erg makkelijk de WPS-pincode te achterhalen waardoor het voor aanvallers een fluitje van een cent is om te infiltreren in je netwerk. Heb je een router die je niet de mogelijkheid biedt deze optie uit te zetten? Flash een ander besturingssysteem op de router die deze mogelijkheid wel heeft.

Als je Wi-Fi gaat gebruiken stel deze dan minimaal in op WPA2 met AES (En gebruik in géén geval het inmiddels gekraakte TKIP)

Zorg ervoor dat je Wi-Fi wachtwoord lang genoeg is. 14 karakters zou voldoende moeten zijn.

Zet "remote administration" uit. Er worden vaak lekken gevonden in routers die het mogelijk maken in te breken op je netwerk. Dit betekent uiteraard ook dat je zelf niet meer je router kan bedienen vanaf een andere locatie. Dat moet dan maar, veiligheid voor alles.

Verander de standaard naam van je SSID. Vaak wordt het merk en typenummer weergegeven in de draadloze netwerknaam. Hierdoor kunnen kwaadwillenden gerichter zoeken naar lekken in je router.

Gebruik een gasten-netwerk. Het gasten-netwerk geeft bezoekers een beperkte toegang tot jouw netwerk. Hierdoor kunnen je gasten wel internetten, maar, bijvoorbeeld, niet je NAS leegplukken. Mochten je gasten Windows 10 gebruiken kunnen je gedeelde netwerkgegevens bij mensen terecht komen waarvan jij niet wil dat ze toegang hebben tot je volledige netwerk. Ze zouden misbruik kunnen maken van je netwerk, NAS of domotica. Het klinkt als discriminatie maar het is niet anders: Windows 10 gebruikers altijd op het gastennetwerk.

Check en update je firmware regelmatig. Welke router je ook koopt, de kans is groot dat er vroeg of laat een lek wordt ontdekt met alle gevolgen van dien.

Wijzig het standaard-ip adres van je router. De kans is heel groot dat de gemiddelde scripkiddie als allereerst gaat brute-forcen op 192.168.1.1

Zet UPnP uit. Er zijn verschillende routers die vatbaar zijn voor malafide UPnP-paketten waardoor de configuratie van je router gewijzigd kan worden door kwaadwillenden met alle gevolgen van dien. Mocht je met software werken die het protocol wel nodig hebben, kies dan voor port-forwarding.

Schakel functionaliteiten die je niet gaat gebruiken uit.

Volgende pagina: Test je netwerk

Test je netwerk

Ok, de boel staat op z'n plek en is geconfigureerd. Voordat je al je hardware aan je router hangt is het natuurlijk van belang de boel te testen. Steve Gibson heeft daar een hele handige website voor gebouwd waarmee je kan testen welke poorten van je router zichtbaar zijn voor de buitenwereld. Hoe minder poorten er zichtbaar zijn hoe beter. Dan weet je tenminste dat men wat meer moeite zal moeten doen om te achterhalen welke services er in je netwerk draaien.

Ook zijn er verschillende software-pakketten waarmee je bijvoorbeeld de doorvoersnelheid van je router kan testen. Die bewaren wij voor een ander artikel aangezien wij het nu vooral over de veiligheid hebben.

Laatste tip

Ten slotte willen we nog één tip meegeven mocht je van je provider zo'n handige modem hebben gekregen met ingebouwde router: Gebruik deze niet en hang alsnog een router aan je modem. Sommige providers zullen dat afraden maar de firmware in deze modems is ook niet al te best en het updaten van de firmware kan je meestal niet zelf doen. Je bent afhankelijk van je provider die weer afhankelijk is van de fabrikant. Bovendien zijn veel standaard-functies geblokkeerd voor de consument, waardoor je niet het maximale uit je netwerk kan halen en het evenmin optimaal kunt beveiligen.