Wij schreven al eerder waar je op moest letten als je op zoek was naar een nieuwe router. Maar wat als je net een nieuwe router hebt gekocht of niet zoveel geld uit wil geven? Hier heb je wat tips waarmee je de boel alsnog kan dichttimmeren.

Vermijd standaard meegeleverde routers van providers

Deze routers zijn meestal niet veilig en zijn meestal dichtgetimmerd. Gebruikers kunnen maar weinig instellingen wijzigen. Als er een fout ontdekt wordt ben je afhankelijk van je provider die weer afhankelijk is van de fabrikant. In sommige gevallen kan het voorkomen dat je provider het niet toelaat de modem/router-combo niet uit te schakelen. Kijk dan of het mogelijk is het apparaat van je provider in DMZ- of bridge-modus te zetten. Kijk in de meegeleverde/online documentatie hoe/of dat mogelijk is.

Wijzig het standaard admin wachtwoord

Bijna elke router komt met een standaard administrator wachtwoord. Aanvallers proberen regelmatig in te loggen met deze standaardgegevens om in te breken in netwerken. De standaard wachtwoorden zijn natuurlijk makkelijk op te zoeken aangezien de gemiddelde handleiding zo online te vinden is. Daarom is het van essentieel belang je administrator-wachtwoord zo snel mogelijk te wijzigen.

Zorg ervoor dat je web-based management interface niet bereikbaar is vanaf het internet

Het kan natuurlijk ontzettend makkelijk zijn om routerinstellingen te wijzigen vanaf een andere locatie als je niet thuis bent, maar als jij het kan, kunnen anderen het ook (zeker als je het standaard admin wachtwoord niet hebt gewijzigd). Het is daarom raadzaam deze optie uit te schakelen. Stel desnoods een VPN-oplossing in als je toch zo nodig instellingen wil wijzigen als je niet thuis bent.

Beperk het aantal IP-adressen waarmee wijzigingen kunnen worden doorgevoerd

Lang niet alle routers bieden je deze mogelijkheid, maar als je een van de gelukkigen bent, schakel deze optie dan in. Stel je router zo in dat dat de ingebouwde DHCP-server bijvoorbeeld IP-adressen in de range 192.168.0.1 tot 192.168.0.50 in. Stel de router vervolgens zo in dat bijvoorbeeld 192.168.0.53 het enige adres is dat verbinding kan maken. Let er wel op dat je dat adres handmatig toe moet wijzen op je pc als je wijzigingen wil aanbrengen in je router.

HTTPS toegang afdwingen en uitloggen als je klaar bent

Gebruik je browser in incognito- of privémodus als je wijzigingen gaat aanbrengen in de router. Zorg ervoor dat er geen sessie-cookies achterblijven op je computer en stel de browser zo in dat deze geen wachtwoorden opslaat voor je router.

Wijzig het LAN IP-adres van je router

De gemiddelde router zal standaard worden ingesteld op het eerste adres in een netblock (192.168.0.1 bijvoorbeeld) Als je de mogelijkheid hebt dit te wijzigen doe dat dan ook en gebruik een adres dat niet voorkomt in de DHCP-pool (192.168.0.100 bijvoorbeeld). Het zou nog veiliger zijn als je het volledige netblock wijzigt naar een adres dat speciaal gereserveerd is voor private netwerken. Zo bescherm je jezelf tegen cross-site request forgery (CSRF)-aanvallen die je router proberen te benaderen via de browser.

Kies een complex Wifi-wachtwoord en een sterk beveiligingsprotocol

Kies als beveiligingsprotocol WPA2 (AES, en in geen geval het inmiddels gekraakte TKIP). WPA en WEP zijn al helemaal uit den boze en kunnen makkelijk worden gekraakt met een brute force-aanval. En als je toch bezig bent, maak ook meteen een gastennetwerk aan. Bezoekers kunnen met het gastennetwerk alleen op het internet en jij hoeft je wachtwoord van je normale draadloze netwerk niet af te geven. Je bezoekers zullen vast geen kwade intenties hebben, maar als hun apparaten zijn besmet met malware zou dat nog wel eens problemen op kunnen leveren.

Schakel WPS uit

Deze beveiligingsstandaard is zo (vaak) lek dat je deze beter uit kan schakelen. Het is tegenwoordig erg makkelijk de WPS-pincode te achterhalen waardoor het voor aanvallers een fluitje van een cent is om te infiltreren in je netwerk. Heb je een router die je niet de mogelijkheid biedt deze optie uit te zetten? Flash een ander besturingssysteem op de router die deze mogelijkheid wel heeft of ga op zoek naar een veilige router.

Schakel functionaliteiten die je niet gaat gebruiken uit

De kans bestaat dat enkele functies in je router niet helemaal waterdicht zijn waardoor mensen daar misbruik van kunnen maken. Neem het zekere voor het onzekere en schakel alle diensten die je niet gebruikt uit. Je gebruikt ze toch niet dus je zal ze ook niet missen en aanvallers kunnen ze niet misbruiken om binnen te komen. Denk aan diensten als Telnet, UPnP, SSH en HNAP.

Check en update je firmware regelmatig

Welke router je ook koopt, de kans is groot dat er vroeg of laat een lek wordt ontdekt met alle gevolgen van dien. Veel moderne routers updaten hun firmware automatisch, maar andere moeten een handje geholpen worden. Houd de automatisch updatende routers goed in de gaten, soms wil de functie wel eens ophouden met werken wegens conflicterende versienummers (Netgear Nighthawk R7000) of verlopen domeinen.

Netwerk segementatie

Sommige consumentenrouters geven gebruikers de mogelijkheid VLANs te maken binnen een groter privénetwerk. Deze virtuele netwerken kunnen gebruikt worden om IoT-apparaten gescheiden te houden van de rest van het netwerk. Dat komt goed van pas aangezien er keer op keer wordt bewezen dat er allerhande beveiligingsproblemen zijn met de apparaten. Aanvallers kunnen de zwakke beveiliging op IoT-apparaten misbruiken en de rest van je netwerk (inclusief verbonden apparaten) onder handen nemen.

MAC-adres filtering

Veel routers kunnen zo worden geconfigureerd dat alleen bepaalde MAC-adressen toegang mogen krijgen op het Wifi-netwerk. Het inschakelen van deze feature is een extra stap om kwaadwillenden buiten de deur te houden zelfs als zij het wachtwoord hebben weten te achterhalen. Let op: het is heel makkelijk om MAC-adressen te spoofen dus leun niet te zwaar op deze beveiligingsmaatregel.

Op de volgende pagina: Het complexere werk

Poort forwarding combineren met IP-filtering

Diensten die op een computer draaien die is aangesloten op een router kunnen niet worden benaderd vanaf het internet. Gebruikers zullen poorten moeten forwarden om deze diensten bereikbaar te kunnen maken. Veel programma's zullen proberen aan de hand van UPnP zelf poorten over te zetten. Deze functie heb je als het goed is al eerder uitgeschakeld waardoor dit niet werkt. Er kunnen in de router verschillende regels worden aangemaakt die ervoor zorgen dat er een bron-IP-adres of netblock moet worden gespecificeerd. Als je bijvoorbeeld een port-forwarding-regel wil maken voor poort 21 (FTP) in je router kan je ervoor zorgen dat alleen adressen van een bepaald netblock verbinding mogen maken.

Ga voor custom firmware

Wij hebben er al een paar keer eerder over geschreven, maar als je een goed gedocumenteerde router hebt, zou je ook nog kunnen kijken naar een custom-firmware voor je router. Deze, op Linux gebaseerde firmwares zijn niet alleen een stuk beter beveiligd, maar hebben ook meer functionaliteit aan boord waardoor gebruikers het maximale uit hun router kunnen trekken. Bovendien zit er een gigantische community achter de routers waardoor je router veel langer (en beter) ondersteund wordt dan de tijd die fabrikanten besteden aan de router.

Is dit allemaal te veel moeite voor je? Dan kan je altijd nog op zoek gaan naar een router die van huis uit al wat beter is beveiligd. Maar zelfs dan geldt dat je je router goed moet configureren.

Ga voor een enterprise-oplossing

Een van de betere beveiligingsmechanismen voor je router is het inschakelen van de enterprise-modus. Elke gast krijgt dan een eigen gebruikersnaam en wachtwoord waardoor een laptop/smartphone die later gestolen of verloren wordt, niet meteen een beveiligingsrisico is. Het account kan met een paar muisklikken worden uitgeschakeld en andere gasten hoeven niet te worden lastig gevallen omdat zij hun gegevens moeten wijzigen.

Voor deze instelling heb je wel een RADIUS-server nodig. Dit kan je zelf regelen of je kan gebruik maken van een cloudoplossing. Hierdoor is deze optie misschien een beetje overkill voor thuisgebruik, maar handig voor op kantoor.

Rogue-AP detectie

Als kwaadwillenden erg graag op je netwerk willen komen of inloggegevens willen verzamelen, kunnen zij natuurlijk ook zelf een nep-draadloos netwerk opzetten. Het kan erg lastig zijn om zulke netwerken te detecteren en daarom is het handig om Rogue-Access point (AP) detectie in te zetten. Dat kan via je eigen AP of draadloze controller-fabrikant. De exacte detectie methode en functionaliteiten verschillen, maar de meeste scannen de draadloze signalen en geven je een waarschuwing als er een nieuwe AP wordt gedetecteerd in de buurt van geautoriseerde APs.

Sommige AP-fabrikanten bieden een volledig draadloos detectiesysteem aan (Wireless Intrusion Detection system, WIDS). Deze diensen kunnen verschillende draadloze aanvallen en verdachte activiteiten detecteren. Dit geldt ook voor foutieve de-autorisatieverzoeken, verkeerd geassocieerde verzoeken en MAC-adres spooding.

Uitgebreidere WIPS-tools gaan zelfs nog een stapje verder en nemen tegenmaatregelen zoals het blokkeren van verdachte clients.

Mocht je fabrikant geen AP-detectie of WIPS-mogelijkheden levert, kijk dan eens als een 3rd-party-oplossing van bedrijven als 7SIGNAL, Cape Networks en Netbeez.