© PXimport

Hoe veilig is uw netwerk?

Geplaatst: 12 april 2012 - 13:47

Aangepast: 16 november 2022 - 10:19

Edmond Varwijk

Uw netwerk is de achilleshiel van uw digitale bestaan. Hoe moet u het eigenlijk beveiligen? En hoe weet u dat uw netwerk nog veilig genoeg is? Weet u zeker of uw netwerk nog wel schoon is? Misschien zijn hackers al tijden op uw netwerk actief, zonder dat u dat weet. Door de beveiligingsinstellingen van uw netwerk regelmatig bij te werken, weet u zeker dat u veilig kunt computeren.

1. ISRA en AOP

Komt u iemand tegen die over de term 'ISRA-punt' begint, dan weet u dat u met een kenner te doen hebt. Doordat we uitleggen wat deze term betekent, hoort u voortaan ook tot de experts. ISRA staat voor InfraStructuur RandApparatuur, en het is het 'scheidingspunt' waarbij aan de ene kant alle apparatuur van de internetprovider zit en aan de andere kant de apparatuur van de abonnee. Het ISRA-punt wordt daarom ook wel AOP-punt genoemd, wat staat voor Abonnee Overname Punt. Het is handig en bovendien belangrijk om te weten waar in uw netwerk dat ISRA- of AOP-punt zit. Binnen het bereik van dit punt is netwerkbeveiliging uw eigen verplichting, waardoor u ook de mogelijkheid hebt om dit deel zo goed mogelijk te configureren. Aan de de buitenzijde van het ISRA- of AOP-punt hebt u die mogelijkheid niet.

Hebt u breedbandinternet via ADSL, dan bestaat het ISRA-punt uit de splitter waar de telefoon- en internetsignalen van elkaar worden gescheiden. Het modem dat achter de splitter zit is dan veelal het apparaat dat het meest aan de 'buitenkant' van uw ISRA-omgeving staat. Hebt u breedbandinternet via de kabel, bijvoorbeeld van UPC of Ziggo, dan was het AOP-punt voorheen hoe dan ook de wandcontactdoos waar de twee coax-kabels op aangesloten kunnen worden. Veelal zit die wandcontactdoos in de meterkast. Afhankelijk van de apparatuur die u van de provider hebt ontvangen, is de wandcontactdoos ook nu nog het AOP-punt. Dat is het geval wanneer het kabelmodem, veelal van het merk Ubee, door u kan worden geconfigureerd. Kan dat niet en is het kabelmodem voor u niet toegankelijk, dan hoort dat onderdeel bij de apparatuur van de provider. In dat geval is de router die aan de binnenkant (dus aan de kant van het thuisnetwerk) zit, het eerste apparaat waarvoor u verantwoordelijk bent.

© PXimport

Duik eens in de meterkast en ontdek waar bij uw internetverbinding het ISRA- of AOP-punt zich bevindt.

Uw netwerk is het mijne niet!

Een artikel schrijven over netwerken en netwerkapparatuur is lastig, omdat er enorm veel merken en modellen apparaten zijn, die ook nog eens op heel veel verschillende manieren samen een thuisnetwerk kunnen vormen. Toch zijn er algemeen geldende principes voor netwerkbeveiliging en voor de manier waarop u die netwerkbeveiliging kunt nalopen en eventueel kunt updaten. Die algemene regels en aanwijzingen staan centraal in dit artikel. Hoewel u soms dus net even een andere route moet volgen om tot hetzelfde eindresultaat te komen, zullen de verschillen hooguit details betreffen. U kunt met dit verhaal dan ook prima aan de slag om de beveiliging van uw thuisnetwerk helemaal tip-top in orde te maken.

2. Apparaten op het netwerk

Nu u weet waar uw netwerk begint én ophoudt kunt u uw netwerk scannen om te zien welke apparaten zich er allemaal in bevinden. De meeste ervan zult u natuurlijk kennen, maar de mogelijkheid bestaat dat u nog wordt verrast. Wellicht bent u in de loop der tijd vergeten dat er bijvoorbeeld een extra computer is aangesloten op de studiekamer van een van uw kinderen, maar het is ook nooit uit te sluiten dat een ongenode buitenstaander ongevraagd gebruikmaakt van uw netwerk.

Om te controleren welke apparaten er op uw netwerk zijn aangesloten, moet u eerst nog weten welke IP-reeks wordt gebruikt, en een ping-programma installeren. Start uw pc en voer via Start het commando cmd uit. In de DOS-prompt die hierdoor wordt geopend, typt u het commando ipconfig /all. U kunt nu het IP-adres van de pc, het adres van de standaard-gateway (de router) en het subnetmasker zien. Ga vervolgens naar de website AngryIP.org en klik op Download. Kies voor New Beta / 32-bit Executable en bewaar het programma - een scanner - op uw pc. Deze software heeft wel Java nodig, dat kunt u zo nodig nog installeren via Java.com. Start nu het programma dat u hebt gedownload, via ipscan-win32-3.0-beta6.exe. Typ bij IP Range in het eerste vak het eerste adres in de IP-reeks van uw netwerk in en in het vak to het laatste adres. Klik dan op Start en laat Angry IP Scanner alle adressen in uw netwerk scannen. Zodra het programma klaar is, krijgt u informatie over het aantal gescande hosts. Vaak zult u de waarde 254 zien, en het aantal 'hosts alive'. Die laatste waarde betreft het aantal IP-adressen dat in het netwerk door apparaten wordt gebruikt. Klik op Close om naar het hoofdvenster van het programma te gaan en kies Tools / Selection / Alive hosts. Blader nu door de lijst en noteer de IP-adressen en de bijbehorende informatie van de IP-adressen die in gebruik zijn.

© PXimport

Om alle apparaten in een netwerk te vinden, kunt u een Ping-scan uitvoeren.

IP-netwerk bepalen

Bent u niet zo bekend met IP-adressen? Geen nood. Met de informatie die u in het DOS-venster via het commando ipconfig /all hebt gevonden, komt u een heel eind. Ga naar Jodies.de en vul in het veld Address de waarde in die in het DOS-venster achter IPv4-adres staat. Vul in het veld Netmask de waarde in die staat achter Subnetmasker, doorgaans is dat 255.255.255.0 of een soortgelijke reeks. Klik dan op Calculate en neem uit de informatie die eronder wordt weergegeven het HostMin-adres over, dat is het eerste adres in het netwerk. Dit adres plakt u in de scanner in het venster IP Range. Bij HostMax ziet u het laatste IP-adres in het netwerk. Dit plakt u in het vak bij to.

© PXimport

Deze handige site helpt u om het eerste en het laatste IP-adres in het netwerk te bepalen.

3. Firmware updaten

Bij een pc vinden we het heel normaal dat Windows Update automatisch de software bijwerkt met nieuwe code die fouten herstelt, maar bij andere apparaten is dat 'bijwerken' vaak een blinde vlek. Waarschijnlijk komt dat eenvoudigweg doordat die apparaten meestal niet automatisch achter updates aangaan. Toch is dit ook daarbij een belangrijk punt. Ook voor netwerkapparaten zoals routers, modems, wireless access points en zelfs printers en scanners verschijnt - nadat ze in de winkels liggen - nog nieuwe firmware. Vaak bevat die nieuwe firmware nieuwe functies, een betere interface, of hij zorgt - en dat is uiteraard no belangrijker - voor extra beveiliging omdat er fouten mee worden hersteld. Noteer daarom van alle apparaten in uw thuisnetwerk de naam van de fabrikant, de versie van het apparaat en de versie van de firmware. Om de firmware-versie te weten te komen, moet u meestal inloggen op het apparaat en vervolgens op de statuspagina kijken. Ga daarna naar de website van de betreffende leverancier en controleer wat de meest recente firmware voor het apparaat is. Mocht dit een nieuwere versie zijn, dan moet u die downloaden en installeren. Soms is daar een installatieprogramma voor nodig dat u onder Windows kunt starten, maar meestal is het voldoende om op de upgrade- of firmwarepagina op Upgrade te klikken, de gedownloade firmware te selecteren en op Apply of Upgraden te klikken.

© PXimport

Deze firmware-upgrade van versie 1.0.0 naar versie 1.0.3 verhelpt wellicht een aantal fouten en lekken.

Configuratie aanpassen

Elk apparaat in uw netwerk is behalve van firmware ook van een configuratie voorzien. Die bestaat uit een combinatie van verplichte instellingen en voorkeursinstellingen van de fabrikant, aangevuld met aanpassingen die door de gebruiker zijn doorgevoerd. Het is van groot belang om regelmatig - en hoe dan ook na een firmware-upgrade - in te loggen op uw netwerkapparaten en de instellingen na te lopen. Na een update moet u met name letten op functies die door de vernieuwde firmware zijn toegevoegd en die standaard zijn ingeschakeld terwijl u dat niet wilt. Het gaat daarbij om standaardopties die eerder waren in- of uitgeschakeld en nu niet meer, maar ook om nieuwe functies die de beveiliging kunnen versterken. Denk daarbij aan een upgrade die de mogelijkheid verbeterd om uw draadloos netwerk te beveiligen, door behalve WPA ook WPA2 aan te bieden. Als bijlage bij nieuwe firmware of als informatie op de website waar u de firmware downloadt, hoort een leverancier van netwerkapparatuur informatie te verstrekken over wat er is veranderd in de firmware ten opzichte van de vorige versie. Loop door de lijst met wijzigingen heen. Vergeet, wanneer u een aantal firmwareversies hebt overgeslagen, niet om goed naar de wijzigingen te kijken die in de vorige updates zijn doorgevoerd. Log daarbij in op het netwerkapparaat en maak een vergelijking. Kijk naar wat u in de beschrijving van de nieuwe firmware tegenkomt en onderzoek de verschillen met de huidige configuratie van het apparaat. Pas die configuratie aan waar u dat nodig vindt.

© PXimport

Controleer welke veranderingen in nieuwe firmware zijn doorgevoerd en wat de gevolgen daarvan zijn voor de opties en instellingen van het betreffende apparaat.

4. Wachtwoorden wijzigen

Er zijn maar weinig netwerkapparaten die meerdere beheeraccounts met bijbehorende wachtwoorden ondersteunen. Op een router, een switch en een wireless accesspoint is doorgaans maar één account aanwezig, dat van de Admin of de Root. Daar hoort dan een wachtwoord bij dat doorgaans al bij de installatie is ingesteld, maar dat daarna bij steeds meer mensen bekend wordt. Er is bijvoorbeeld een gezinslid dat toch echt hoognodig iets moet wijzigen, of de Admin gaat een week met vakantie waarna er een storing optreedt die alleen kan worden opgelost door in te loggen. Om de configuratie van deze netwerkapparaten te beschermen en vooral ook te voorkomen dat anderen per ongeluk of met opzet wijzigingen aanbrengen die de beveiliging van het netwerk verzwakken, is het belangrijk de wachtwoorden op netwerkapparaten periodiek te wijzigen. Denk daarbij aan een interval van bijvoorbeeld zes maanden of een jaar. Daarmee past u de wachtwoorden weliswaar niet heel vaak aan, maar het zorgt al voor een flinke verbetering ten opzichte van de situatie waarbij u ze nooit verandert.

Start op de pc het programma Keepass. Als u dit niet eerder hebt gebruikt en de software nog niet hebt geïnstalleerd, kunt u hem downloaden van KeePass.info. Als u Keepass nog niet kent, maakt u eerst na installatie van de software een beveiligde wachtwoordkluis aan, met daarin voor elk netwerkapparaat een Entry. Zet daarin per Entry op de regel Title de naam van het apparaat, bij User name de gebruikersnaam waarmee op het apparaat kan worden ingelogd en bij Password en Repeat een wachtwoord. Eventueel kunt u bij URL nog de link naar de webinterface van het apparaat plakken. Log vervolgens in op het betreffende apparaat en ga naar Password of Beheer en vervolgens naar Toegang. Zorg voor een sterk wachtwoord door behalve letters ook cijfers, hoofdletters en leestekens te gebruiken, Keepass geeft de kracht van uw wachtwoord heel mooi aan bij Quality. Gebruik voor ieder netwerkapparaat een ander wachtwoord, en wijzig dit eens in de zoveel tijd.

© PXimport

Vernieuw minimaal één keer per jaar de wachtwoorden waarmee u op netwerkapparaten kunt inloggen.

5. MAC-adressen opschonen

Behalve de wachtwoorden moet u ook de lijst met MAC-adressen - die in het MAC-filter voor het draadloos netwerk zijn terug te vinden - regelmatig onderhouden. Deze lijst vervuilt vaak doordat adressen er wel aan worden toegevoegd, maar meestal niet worden verwijderd. Hierdoor wordt uw netwerk verder 'open gezet' dan strikt noodzakelijk. Log in op de router of het wireless accesspoint. Ga naar Draadloos netwerk en vervolgens naar MAC-filter. Wanneer u MAC-filtering gebruikt, zult u hier een aantal MAC-adressen zien. Dit zijn de netwerkadressen van bijvoorbeeld notebooks, tablets, smartphones en gameconsoles, allemaal apparaten die gebruik mogen maken van uw draadloos netwerk. Kopieer alle adressen en zoek bij elk adres uit bij welk apparaat in uw netwerk het hoort. Mac Address Lookup, kan daarbij behulpzaam zijn. U kunt er een MAC-adres invoegen om vervolgens via String het merk van het bijbehorende apparaat te achterhalen. Komt u er niet achter van welk apparaat een bepaald MAC-adres is? Verwijder het dan uit de router. Noteer het adres, bijvoorbeeld in een Excel-bestand of in Keepass en zet erbij dat het is verwijderd en op welke datum. Schoon zo de hele lijst op, tot er alleen nog MAC-adressen in staan waarvan u precies weet bij welke draadloze apparaten ze horen. Noteer ook deze informatie in een document.

© PXimport

Beperk de toegang tot uw draadloos netwerk, door onbekende MAC-adressen uit het MAC-filter te halen.

6. Versleuteling vernieuwen

Anders dan een bekabeld netwerk vereist een draadloos netwerk geen fysieke toegang. Iedereen die een notebook of smartphone heeft, kan proberen toegang tot uw netwerk te krijgen. Het MAC-filter houdt de meeste pogingen wel tegen, maar het is niet waterdicht. Een MAC-adres kan namelijk redelijk eenvoudig voor een ander apparaat worden gebruikt. De enige echt goede beveiliging van uw netwerk bestaat uit versleuteling. Ook daarbij geldt dat het verstandig is om hem eens in de zoveel tijd te vernieuwen. Open hiervoor het programma Keepass. Als u niet bekend bent met deze software, kunt u tip 4 nog even teruglezen. Maak een Entry aan voor de WLAN-sleutel en typ in het vak Password een nieuwe beveiligingssleutel. Herhaal dit bij Repeat en bewaar de sleutel via OK. Ga nu naar de webinterface van de router en log hier in. Ga naar WLAN-beveiliging en selecteer - wanneer dat nog niet is gebeurd - Beveiligingsmodus / WPA2-Personal. Zet bij Wachtzin of WPA2-sleutel het nieuwe wachtwoord voor het draadloos netwerk. Bevestig via Instellingen bewaren. Start nu elk van uw mobiele apparaten op en log in op uw netwerk. U zult zien dat de verbinding met het draadloos netwerk is verbroken. Klik op het symbool voor het draadloos netwerk en selecteer uw eigen netwerk. Voer nu de nieuwe netwerksleutel in, zodat u weer online bent.

© PXimport

De sleutel voor het draadloos netwerk moet op de router gelijk zijn aan de sleutel die is opgeslagen op de apparaten die het draadloos netwerk gebruiken.

7. Firewall sluiten

Behalve het draadloos netwerk en de beveiliging ervan, is er nog een ander onderdeel van de router dat aandacht vraagt: de firewall. De firewall is zowel de poortwachter als de portier van uw thuisnetwerk. In de meeste routers is het aantal mogelijkheden om de router te configureren de laatste jaren alleen maar kleiner geworden. Steeds meer gebeurt op de automatische piloot, waarbij als hoofdregel geldt dat verkeer 'van buiten naar binnen' alleen toegang krijgt als het expliciet is toegestaan, terwijl verkeer 'van binnen naar buiten' alleen wordt tegengehouden als het expliciet is verboden. Het verbieden van uitgaand verkeer is bij sommige routers zelf niet eens mogelijk. Log in op de router en ga naar het onderdeel Beveiliging / Firewall. Controleer of de firewall is Ingeschakeld en of Anonieme internetverzoeken of Ping ook wordt geblokkeerd. Dat maakt uw thuisnetwerk nog meer onzichtbaar voor mogelijke indringers die vanaf internet toegang willen krijgen. Een firewall is er echter niet alleen om tegen te houden. Er zijn ook goede redenen om bepaalde poorten juist te openen en verbinding van buitenaf toe te staan. Dit onderdeel kan in de firewall zitten, maar vaak wordt het onder de noemer 'Portforwarding' of 'Toepassingen & Games' apart geconfigureerd. Daar kunt u dan in aangeven dat een bepaalde poort in de firewall moet worden geopend voor verkeer van buiten naar binnen. Dat levert een gat in de beveiliging op, maar het kan nodig zijn als u bijvoorbeeld uw thuis-pc via internet wilt kunnen overnemen vanaf een andere computer. Controleer of de uitzonderingen die zijn geconfigureerd daadwerkelijk nodig zijn. Is dat niet het geval, schakel ze dan uit. Als na een paar dagen blijkt dat dit geen problemen oplevert, kunt u ze definitief uit de configuratie verwijderen.

© PXimport

Als een opening in de firewall geen functie meer heeft, kunt u hem maar beter sluiten.

8. Firewall controleren

Nu u de poorten in de firewall waar nodig hebt gesloten, is het tijd de firewall te controleren. Dat controleren moet 'van buitenaf' gebeuren, dus vanaf internet. Zelf kunt u dat niet, u zit immers binnen uw thuisnetwerk, maar u kunt voor deze taak gebruikmaken van gespecialiseerde websites. Een bekende en betrouwbare aanbieder is Gibson Research. Dit bedrijf biedt met ShieldsUP! een online poortscanner aan die uw thuisnetwerk - of eigenlijk de router met firewall die de ingang ervan bewaakt - test op openingen. Start de webbrowser en ga naar GRC.com. Klik dan op Services / ShieldsUP!. Als eerste staat er een uitgebreide tekst en wordt uw IP-adres of hostnaam getoond. Klik op Proceed. Nu bent u bij de eigenlijke scanner aangekomen. Zodra u er toestemming voor geeft, probeert de online dienst vanaf internet verbindingen te maken met uw thuisnetwerk.

Wanneer u de firewall in tip 7 hebt nagekeken en zo nodig de beveiliging ervan goed hebt aangescherpt, zal het ShieldsUP! niet lukken om toegang te krijgen. Als eerste kunt u controleren of er mogelijk gedeelde mappen open staan voor ongenode gasten die vanaf internet toegang zoeken. Klik daarvoor op File Sharing en wacht tot de test is afgelopen. Een goed resultaat is de melding dat poort 139 'does not exist' en dat met NetBIOS geen verbinding met de computer kan worden gemaakt. Nu kunt u de volledige test uitvoeren. Klik daarvoor op All Service Ports. De site voert nu de meest uitgebreide test uit, en als het resultaat goed is, kleuren alle vakjes groen. Dat is het teken dat de verbinding niet kan worden gemaakt, en dat zelfs niet duidelijk wordt of op het IP-adres van uw thuisnetwerk eigenlijk wel een netwerk, router of computer aanwezig is. Uw router geeft dan namelijk geen enkele reactie. Kleurt een van de vakjes blauw, dan is het maken van de verbinding mislukt maar heeft uw netwerk dat wel gemeld. Het heeft daarmee verraden dat het bestaat. Kleurt een vakje rood, dan is de betreffende poort open. Vergelijk de open poorten met de poorten die in de firewall bij Portforwarding of Toepassingen & Games zijn geconfigureerd. Zijn daar geen poorten geconfigureerd? Dan zouden alle vakjes groen moeten zijn. Als dat niet het geval is, ziet u iets over het hoofd.

© PXimport

Als finale test kunt u via de website van Gibson Research de toegang vanaf internet controleren.

Deel dit artikel
Voeg toe aan favorieten