Het verbergen van je SSID lost weinig op

Een beveiligingstip die al sinds de begintijd van het web circuleert is dat je je SSID (Service Set Identifier, of liever de naam van je draadloze netwerk) verbergt door SSID Broadcast uit te schakelen in de router. Het idee is dat je netwerknaam niet bekend is en dat daarom onbekenden geen verbindingspoging kunnen maken. Dat basisidee is juist, maar er is een addertje en het kan zelfs meer kwaad doen dan goed.

Bij deze instellingen verwijder je het SSID uit de beacons die een router stuurt om een wifi-apparaat in de buurt, bijvoorbeeld een smartphone of laptop, te laten weten dat het netwerk er is. Deze beacons worden ingevoerd in de lijst van het wifi-apparaat. Als het SSID niet wordt meegeleverd, identificeren een aantal apparaten, waaronder Windows-laptops, het netwerk nog steeds maar dan als 'Verborgen netwerk'. Andere apparaten laten mogelijk niets zien of geven een netwerk zonder naam weer.

Zelfs met het uitschakelen van de SSID Broadcast, wordt het toch nog verzonden in bepaald wifi-verkeer, dat onderschept kan worden door aanvallers. Zo wordt het bijvoorbeeld gebruikt in een stap van het autneticatieproces als een apparaat verbinding maakt met het netwerk. Hoewel de meeste apparaten meestal niet zomaar de SSID uit dit verkeer halen, wordt het wel opgevangen in diverse wifihulpmiddelen als Kismet, CommView for WiFi en Airmagnet.

Om die reden is het dus een heel slecht idee om de Broadcast uit te schakelen in plaats van versleuteling te gebruiken. Het uitschakelen van deze feature na het instellen van WPA2 houdt de meeste gelegenheidshackers van je netwerk, maar heeft een negatieve impact op een netwerk dat veel wordt gebruikt, vanwege de grotere hoeveelheid netwerkverkeer die op de achtergrond wordt verwerkt.

Vermiste apparaat gevaar voor jouw netwerk

Je kunt je wifi-netwerk nog zo goed dichttimmeren, maar als je een smartphone, tablet, laptop of ander apparaat dat ermee verbindt verliest, is het niet meer veilig. Dat geldt ook voor apparaten van vrienden en familie die met jouw netwerk verbonden. Een dief kan deze netwerkinformatie doorspelen of zelf gebruiken om bijvoorbeeld de fysieke locatie van het netwerk en dus je huis te achterhalen.

Je kunt je eigen apparaat zo instellen dat je hem op afstand kunt vergrendelen of wissen om ervoor te zorgen dat mensen geen toegang krijgen tot de credentials. Ook is het een goed idee om de wachtwoorden van de netwerken waarmee je verbinding maakte daarna te veranderen. Sommige netwerken zul je niet zelf in beheer hebben, maar het is een goed idee om anderen te verwittigen van het verlies van je wifi-apparaat, vooral als het je werkgever is.

Voor thuisgebruik is het een relatief kleine moeite om de wachtwoorden van je apparaten die verbinding leggen met het netwerk daarna aan te passen, voor een organisatie met tientallen apparaten op het netwerk kan het een grote ellende zijn.

Er zijn manieren om te voorkomen dat dit een probleem wordt, maar iets als WPA2 Enterprise of MAC-filtering ligt buiten de mogelijkheden van de meeste thuisgebruikers. Bij het filteren van MAC-adressen krijgen alleen vooraf goedgekeurde apparaten aan de hand van hun hardware-adres toegang tot het netwerk en kun je die van een verloren of gestolen apparaat intrekken. Bij WPA2 Enterprise krijgt elke gebruiker een unieke gebruikersidentiteit en wachtwoord. Als een apparaat verdwijnt, kunnen deze individueel worden ingetrokken of gewijzigd zonder dat andere gebruikers daar last van ondervinden.

Actieve MAC-filtering vereist dat de hoofdgebruiker altijd toegang heeft tot de router als een nieuwe gast het netwerk op wil surfen en het obstakel van WPA2 Enterprise is dat het gekoppeld is aan authenticatie van 802.1X, wat inhoudt dat het netwerk ook een RADIUS-server moet bevatten.

Als je een MKB hebt of je thuisnetwerk toch steviger wilt beveiligen, zijn er ook diverse clouddiensten en andere hosters die zo'n server voor je kunnen draaien. IronWiFi en JumpCloud bieden zelfs gratis opties, maar dan wel met een beperkt aantal wifi-accesspoints en gebruikers, dus het is alleen voor kleine gebruikersgroepen geschikt.

Let wel, als je hiervoor kiest is het belangrijk dat je goed geïnformeerd aan de slag gaat.

Het standaard SSID en bijbehorend wachtwoord gebruiken

De naam van je draadloze netwerk, ook wel Service Set Identifier (SSID) genoemd, kan je netwerk onveilig maken. Als je de naam van je SSID niet wijzigt kunnen kwaadwillenden aan de hand van deze naam bekende lekken/kwetsbaarheden opzoeken over de router. Als het meegeleverde wachtwoord dan ook nog eens niet is gewijzigd, maak je het ze wel heel makkelijk. Het standaardwachtwoord staat namelijk gewoon in de handleiding. En deze handleiding is uiteraard ook gewoon online te vinden.

Mocht je een unieke naam en code hebben gekregen van je provider, acht je dan ook zeker niet veilig. Het meegeleverde wachtwoord wordt berekend aan de hand van de standaard SSID. Deze rekenmethode is inmiddels ook bekend en er zijn mensen die handige scriptjes/tools/applicaties hebben geschreven waarin je alleen maar de naam van de SSID hoeft in te voeren. De applicatie berekent dan automatisch het wachtwoord en daarmee kan je dus inloggen op het netwerk en flink huishouden. Wijzig dus niet alleen je wachtwoord, maar ook je SSID.

Er zijn zelfs gevallen bekend waarin de fabrikant niet eens de moeite neemt een wachtwoord te genereren dat flink afwijkt van de SSID of het modelnummer waardoor aanvallers niet eens een script nodig hebben om de boel te kunnen raden.

Kijk eens naar ons onderstaande voorbeeld: De meegeleverde modem heeft als standaard SSID TG1672G02. Dat is tegelijkertijd het modelnummer van het apparaat. Met deze informatie kunnen aanvallers dus al zoeken of er bekende kwatsbaarheden bestaan voor dit model. Het standaard Wifi-wachtwoord is TG1672G1E1F02. Volgens veel websites is dit een sterk wachtwoord, en dat klopt ook, maar in combinatie met de SSID kan je wel raden wat een aanvaller als eerste gaat proberen voordat hij op zoek gaat naar andere kwetsbaarheden. Daarom, nogmaals, wijsig je SSID én je wachtwoord. Je moest eens weten hoe vaak wij nog ongewijzigde modems en routers tegen komen. Bijna alle grote providers in Nederland (ja, ook Ziggo) hanteren deze techniek.

En als je toch bezig bent, kies dan niet voor een naam die je locatie prijsgeeft. Ook dat zien we nog wel eens. Straatnaam, huisnummer, bedrijfsnaam; allemaal informatie die de aanvaller kan gebruiken om dichterbij je router te komen en makkelijker de boel te slopen. Zeker in combinatie met de apps die wij noemen in dit artikel is het een fluitje van een cent om zo dichtbij mogelijk te komen en de boel te misbruiken.

Netwerkhardware fysiek vergrendelen

Je kan nog zulke goede beveiligingsprotocollen loslaten op je netwerkapparatuur, als buitenstaanders makkelijk bij de apparatuur kunnen ben je verloren. Een accesspoint die gewoon op tafel staat kan letterlijk met een druk op de knop gereset worden. Dankzij de fabrieksinstellingen (en dus standaardwachtwoorden) kan de aanvaller vervolgens makkelijk inloggen en flink huishouden.

Zorg er daarom voor dat al je netwerkapparatuur achter slot en grendel zit. Voor de accesspoint kan dat misschien wat moeilijker zijn aangezien die op een goede plek (meestal in het zicht) moet hangen. Hang deze daarom zo hoog dat men er niet bij kan zonder met meubilair te moeten schuiven of een ladder moet pakken. Het zal eerder opvallen als een bezoeker met kwade bedoelingen aan het schuiven is met stoelen.

Het helpt ook als je ongebruikte poorten uitschakelt.

Een gedeeld Wifi-wachtwoord hebben

Misschien niet helemaal van toepassing voor particulieren maar voor bedrijven is het iets om te overwegen. Netwerken die zijn geconfigureerd om een pre-shared key (PSK) of WPA en/of WPA2 te gebruiken vereisen meestal één wachtwoord voor iedereen om mee in te loggen op het draadloze netwerk. Dit is misschien makkelijk, maar het is geen goede manier om individueel gebruikers te beheren.

Als een medewerker bijvoorbeeld het bedrijf verlaat of een draadloos apparaat wordt ontvreemd, kan de dief of ex-medewerker makkelijk inloggen op het netwerk. Je kan natuurlijk het Wifi-wachtwoord wijzigen als zoiets gebeurt maar daar hebben meer mensen last van.

Als je een enterprise of 802.1x-instelling gebruikt (in combinatie met WPA2), kan je elke gebruiker een eigen gebruikersnaam en wachtwoord geven. Op deze manier hoeft er maar één record uit het systeem te worden verwijderd als er iemand weg gaat zonder dat de rest van het bedrijf er last van heeft.

Gebruik maken van WPS PIN-authenticatie

Deze feature wordt helaas nog steeds meegeleverd met veel routers en accesspoints. Wifi Protected Setup (WPS) moest er voor zorgen dat het beveiligen van netwerken makkelijker moest worden. Doordat gebruikers alleen maar een PIN-code in hoefden te vullen kon de boel veel sneller worden geconfigureerd. Helaas bevat deze feature een kwetsbaarheid waardoor kwaadwillenden de PIN-code makkelijk kunnen kwaken en het wachtwoord van de router kunnen achterhalen.

Daarom is het aan te raden deze functionaliteit niet te gebruiken. Als je de enterprise WPA2-beveiligingsoptie koest kan WPS niet worden gebruikt. Als dat niet lukt, kijk dan of je router de mogelijkheid biedt deze optie uit te schakelen. Lukt dat ook niet, koop dan een nieuwe router, dat klinkt misschien lomp maar het risico is simpelweg te groot.

Lees ook: De lange zoektocht naar een veilige router

De kwetsbaarheid is in 2011 ontdekt en fabrikanten hadden dus ruimschoots de tijd de WPS-technologie te updaten of te verwijderen. Helaas is dat niet gebeurd.

Gebruikers de mogelijkheid geven te verbinden met andere netwerken

Deze kwetsbaarheid is iets minder bekend maar daarom niet minder gevaarlijk. Gebruikers op de werkvloer kunnen hun apparaten verbinden met andere netwerken. Als je deze netwerken niet kent, weet je ook niet hoe veilig deze zijn en wie er bij je data kan.

Medewerkers (of hun apparatuur) kan worden belazerd door ze te laten verbinden met andere netwerken. Kwaadwillenden kunnen zelf een accesspoint op zetten en deze dezelfde naam geven als de accesspoints op het bedrijfsnetwerk.

Het zou ook kunnen dat er vanuit de medewerker-kant opzet in het spel is en dat zij bewust verbinding maken met andere netwerken omdat deze sneller zijn of geen restricties hebben. Je zal je medewerkers goed moeten informeren als dit voorkomt. Daarnaast kan je natuurlijk allerlei rules en policies loslaten op de apparatuur van de medewerkers om het verbinden met externe netwerken te voorkomen.

User-to-user snooping

Deze overlapt een beetje met de gedeelde wachtwoorden. Hoewel de meeste bedreigingen van buitenaf komen, kan het natuurlijk ook zomaar zo zijn dat een medewerker of collega niet helemaal zuiver is. Als er gebruik wordt gemaakt van de personal WPA of WPA2-mode kan iedereen op je netwerk je afluisteren. Al het verkeer dat wordt opgepikt door een network analyzer (als Wireshark) is moeilijk te begrijpen voor de meeste mensen. Er zijn echter ook password sniffers als SniffPass en session hijacking tools als Firesheep of FaceNiff) die het wel heel makkelijk maken.

Password sniffers zoeken meestal naar gebruikersnamen en wachtwoorden die in platte tekst door de lucht zweven. Dat geldt voor onversleutelde websites (HTTP), E-mail servers (POP3/IMAP) en FTP.

Session hijacking tools werken op een andere manier. Deze scannen het netwerk en zoeken naar mensen die inloggen op websites die niet het volledige inlogproces versleutelen. De tool wacht tot de juiste cookies langs komen en probeert zo binnen te komen. Met sommige tools is het letterlijk met een paar drukken op de knop geregeld zonder het wachtwoord te weten.

Dit geldt niet voor netwerken die in de enterprise modus draaien. Nog een reden te switchen dus.

FaceNiff in actie

Slecht geconfigureerde VLAN's

De meeste routers hebben guest-feature die bezoekers de mogelijkheid geven het internet op te gaan zonder andere delen van het netwerk te kunnen bereiken. Zakelijke routers, switches en accesspoints is deze optie niet altijd aanwezig en zal de beheerder deze zelf moeten instellen.

Test je zelf aangemaakte gastennetwerk goed om te kijken of de boel echt netjes van elkaar is gescheiden. Ping locaties vanaf het gastennetwerk om te kijken of deze ook echt niet bereikt kunnen worden.

Lees ook: 4 minder bekende Wifi-gevallen om te vermijden