Veilig en gemakkelijk wifi delen met je gasten

© PXimport

Veilig en gemakkelijk wifi delen met je gasten

Geplaatst: 18 maart 2015 - 07:01

Aangepast: 14 december 2022 - 12:25

Edmond Varwijk

Wifi-netwerken berusten erop dat je vertrouwde apparaten en gebruikers op je netwerk toestaat en dat elk apparaat op dat netwerk blijft. Wil je gasten toegang tot je wifi-netwerk geven, dan moet je beveiligingsmaatregelen delen of uitschakelen. Niet ideaal. Hoe deel je veilig je draadloos netwerk?

Tip 01: Veilige wifi

MAC-filtering en versleuteling zijn de twee belangrijkste maatregelen om een wifi-netwerk te beveiligen. De eerste zorgt ervoor dat alleen bekende apparaten (waarvan het hardware-adres, het zogenoemde MAC-adres, in een speciale whitelist van de router staan opgenomen) verbinding kunnen maken met het netwerk en de versleuteling zorgt ervoor dat alleen apparaten die de juiste code kennen, de informatie die via het netwerk wordt gedeeld ook kunnen lezen.

Samen zorgen MAC-filtering en versleuteling ervoor dat apparaten die niet in het MAC-filter genoemd staan of die de sleutel niet kennen, geen gebruik kunnen maken van de wifi-verbinding. Heb je bezoekers over de vloer en wil je dat zij ook jouw wifi-netwerk kunnen gebruiken, dan moet je ofwel de beveiliging opheffen, ofwel moet je de code van de versleuteling met hen delen en hun apparaten in de lijst met vertrouwde apparaten opnemen. De beveiliging uitzetten is echt af te raden, terwijl het delen van de code niet verstandig is omdat ze die dan ook kunnen blijven gebruiken nadat ze zijn vertrokken.

 

© PXimport

Tip 01 Een goed beveiligd draadloos netwerk is niet zomaar te gebruiken door gasten.

Tip 02: Gasttoegang

De meest eenvoudige manier om gasten toegang tot het internet te geven, is met een aparte wifi-verbinding voor gasten, dat toch op dezelfde router draait als het eigen draadloze netwerk. Sommige routers bieden deze mogelijkheid. Kijk in de handleiding of op de website van de producent van jouw router of die de mogelijkheid voor gasttoegang biedt. Zo ja, log dan in op de router, ga naar de optie Gasttoegang of Gastnetwerk (of vergelijkbare bewoordingen) en schakel deze in.

Kies een SSID (naam van een draadloos netwerk) dat wanneer je het opnoemt, duidelijk verstaanbaar is en geen moeilijke reeks cijfers en letters bevat. Bijvoorbeeld '4Gasten' (voor gasten) of 'BijOnsThuis'. Doe hetzelfde met het wachtwoord: maak dit niet te makkelijk, maar zorg er wel voor dat het duidelijk is uit te spreken en er dan geen twijfel is hoe je het schrijft anders zullen je gasten snel typfouten maken.

 

© PXimport

Tip 02 Kies een naam en een wachtwoord dat wanneer je het mondeling doorgeeft geen twijfels laat over hoe je het precies schrijft, om typfouten te voorkomen.

Tip 03: Verbinding maken

Zodra je van je gasten de vraag krijgt of ze verbinding mogen maken met jouw wifi-netwerk, dan geef je ze vanaf nu de speciale gastnaam van het netwerk en het bijbehorende wachtwoord. Dit wachtwoord is niet het wachtwoord van de versleuteling, maar het is nodig om nadat er verbinding is gemaakt ook echt naar het internet te kunnen. Het gastnetwerk heeft een zogenoemde 'walled garden': zodra verbinding is gemaakt met het netwerk moet een browser moet worden geopend en daar moet het wachtwoord worden ingetypt.

Daarna heeft de bezoeker toegang tot het wifi-netwerk en het internet. Hun verbinding is ook echt beperkt tot internettoegang, vanaf het gastnetwerk is het niet mogelijk verder verbinding te maken met jouw eigen thuisnetwerk.

 

© PXimport

Tip 03 Om ook echt te kunnen internetten moeten alle gasten het netwerkwachtwoord bevestigen in de browser.

Test de beveiliging

Voordat je het gastnetwerk ook echt deelt met gasten, is het belangrijk de beveiliging ervan te testen. Je wilt namelijk zeker weten dat de gebruikers van het gastnetwerk niets anders kunnen dan naar het internet. Maak daarom met een eigen notebook verbinding met het gastnetwerk.

Open dan de webpagina en geef het wachtwoord. Nu ben je verbonden met het gastnetwerk. Open dan via Start de Opdrachtprompt en voer het commando ipconfig /all uit. De notebook zou nu een ander IP-adres in een andere IP-reeks moeten hebben dan de computers die ook met deze router verbonden zijn, maar in het echte thuisnetwerk (bedraad dan wel draadloos). Je eigen apparaten hebben bijvoorbeeld IP-reeks 192.168.1.x en apparaten op het gastnetwerk de reeks 192.168.3.x. Probeer eens een computer of NAS op het thuisnetwerk te pingen. Je moet dan telkens de foutmelding 'Timeout bij opdracht' krijgen. Tot slot kun je nog het commando tracert (gevolgd door een IP-adres op het thuisnetwerk) kunnen uitvoeren. Ook dat zou niet moeten werken, opnieuw een timeout.

 

© PXimport

Tip 04: Zo moet het niet

Ondersteunt de eigen router geen gastnetwerk, dan kun je een gastnetwerk maken met een tweede router. Dit is wel iets moeilijker, vooral omdat je er nu zelf voor moet zorgen dat het thuisnetwerk niet toegankelijk is voor de gebruikers van het gastnetwerk! Dit is essentieel en vereist dat de koppeling van de routers op de goede manier gebeurt. Je kunt het namelijk ook verkeerd doen en dan is heel het thuisnetwerk toegankelijk voor alle gebruikers van het gastnetwerk, en dat wil je niet.

Maak om te beginnen een schets van het huidige netwerk. Noteer de internetverbinding, de modem, de router, het wireless-accesspunt en de gebruikte IP-adressen. Modem, router en wireless-accesspunt kunnen één en hetzelfde apparaat zijn, maar dat hoeft niet. Bedenk nu hoe je de tweede router gaat plaatsen en welk van de routers je gaat gebruiken voor het gastnetwerk. Essentieel is dat het thuisnetwerk op een eigen router is geconfigureerd en dat de router van het gastnetwerk NIET op een LAN-poort van die thuisnetwerkrouter aangesloten mag zijn.

 

© PXimport

Tip 04 Zo moet het dus niet! In beide gevallen zal het thuisnetwerk toegankelijk zijn vanaf het gastnetwerk.

Tip 05: Zo kan het wel

Hoe moet het dan wel? Heb je een aparte modem-router van je internetprovider en is die ook uitgerust met wifi, gebruik dan die voor het gastnetwerk en gebruik de tweede router voor het thuisnetwerk. De router van het thuisnetwerk wordt met de WAN-poort aangesloten op een LAN-poort van de router van de internetprovider. De router van het thuisnetwerk zal nu pogingen om vanaf het gastnetwerk naar het thuisnetwerk te gaan, blokkeren.

Standaard blokkeert een router namelijk alle binnenkomende verbindingen op de WAN-poort. Een tweede mogelijkheid is achter de modem of modemrouter van de internetprovider, twee routers te plaatsen. Beide met hun WAN-poort aangesloten op een LAN-poort van de modemrouter van de internetprovider. Dit is een goede oplossing wanneer de modemrouter van de internetprovider geen wifi ondersteunt. Het grote voordeel hiervan is dat je de router met het gastnetwerk kunt uitschakelen wanneer er geen gasten zijn.

 

© PXimport

Tip 05 Dit is beide wel goed. In beide gevallen zal verkeer afkomstig van het gastnetwerk door de firewall in de router van het thuisnetwerk worden geblokkeerd.

Tip 06: Router configureren

Afhankelijk van welke opstelling je kiest zul je één of meerdere routers moeten configureren. Gebruik je de modemrouter van de internetprovider voor het gastnetwerk, configureer dan daar een draadloos netwerk met een gemakkelijke naam en een niet al te moeilijke WPA2-sleutel. Schakel MAC-filtering uit. Configureer op de router voor het thuisnetwerk een wifi-netwerk met een sterke WPA2-sleutel en neem alle bekende apparaten op in de lijst voor MAC-filtering en sta alleen hen toegang tot het thuis-wifi-netwerk toe.

Gebruik je twee routers achter de modemrouter van de internetprovider, dan is de configuratie niet veel anders, alleen moet je het op twee routers configureren. Gebruik voor het lokale netwerk liefst aparte netwerkreeksen, bijvoorbeeld 192.168.1.1 tot .254 voor het thuisnetwerk en 192.168.2.1 tot .254 op de andere router. Noodzakelijk is dit niet, maar het is vaak handig bij het oplossen van storingen.

 

© PXimport

Tip 06 Door twee routers van verschillende merken te gebruiken, voorkom je dat je de configuraties door elkaar haalt. De routers een duidelijke naam geven, helpt ook.

Tip 07: Gastrouter

Een aantal instellingen zijn specifiek voor de router met het gastnetwerk. Zo zal het aantal apparaten op het thuisnetwerk hoger liggen dan op het gastnetwerk en zullen de apparaten op het thuisnetwerk langer verbonden zijn dan de apparaten van de bezoekers. Hier kun je gebruik van maken door op een paar punten de configuratie van de gastrouter anders in te stellen dan die van het thuisnetwerk.

Omdat er minder apparaten op het gastnetwerk zullen zijn, kun je bij DHCP volstaan met een veel lager aantal beschikbare adressen. Bijvoorbeeld maar vijf of tien maximaal, en dus de adressen van .50 tot .55 of .60. Ook kun je de tijd dat ze een IP-adres bezet houden beperken. Zet de Leasetijd bijvoorbeeld op 120 minuten. En ook heel belangrijk: blokkeer op de gastrouter de instelling Toegang via WLAN. Zo voorkom je dat gebruikers van het wifi-netwerk kunnen inloggen op de router. Dit laatste is trouwens op elke router aan te bevelen.

 

© PXimport

Tip 07 Voorkom dat gastgebruikers kunnen inloggen op de router door toegang via WLAN uit te schakelen.

Gebruik een hotspot

In plaats van zelf het gastnetwerk te verzorgen, kun je dit ook uitbesteden aan je internetprovider. Veel internetproviders (in elk geval UPC, Ziggo en KPN) bieden hun klanten een speciaal wifi-netwerk (de claim is 'landelijk dekkend', maar dat moet je met een flinke korrel zout nemen). Op de routers van al hun klanten, en vermoedelijk bij jou dus ook, hebben deze providers een apart tweede netwerk geconfigureerd. Abonnees van deze internetproviders kunnen wanneer ze onderweg zijn (en dus ook wanneer ze bij jou te gast zijn) dat netwerk gebruiken.

Bij Ziggo en KPN heet dit Wifi Buitenshuis en bij UPC WifiSpots, maar de werking is overal dezelfde. Om dat netwerk te gebruiken, moeten de gasten wel een gebruikersnaam en code hebben van hun eigen provider en gebruikmaken van een hotspot van hun eigen provider. Heb jij een andere provider, dan is er misschien een hotspot via één van je buren dat ze kunnen gebruiken. Zo is het ook bedoeld immers.

 

© PXimport

Tip 08 Maak inloggen gemakkelijk, deel je logingegevens via een QR-code.

Tip 08: Sjiek delen

De WPA2-sleutel van het gast-wifi-netwerk moeten intypen is en blijft weinig gastvrij en foutgevoelig. Een leuke manier om dit gemakkelijker te maken, is door de netwerkgegevens via een QR-code aan te bieden. Bijna elke telefoon of tablet heeft wel een app om deze codes te lezen en anders is die altijd nog snel te downloaden. Sommige fabrikanten zoals Sitecom bieden een handige app voor het beheer van de router waarmee je ook een QR-code met de netwerkgegevens kunt genereren.

Heb je geen app, ga dan naar deze website, voer de netwerkgegevens in en klik op Generate. Bijvoorbeeld Android-smartphones hoeven alleen de code te scannen en verbinden dan al direct met het netwerk. Je kunt de QR-code printen en ophangen in een fotolijstje of afdrukken op kleine kaartjes die je aan je gasten uitdeelt. Maar pas op! De QR-code beschermt niet je wachtwoord. Hoewel deze manier erg makkelijk is, is het niet extra veilig! Je wachtwoord is met de QR-code voor iedereen leesbaar.

Wie is verantwoordelijk bij gedeeld internet?

Ben jij verantwoordelijk voor wat jouw gasten doen via jouw internetverbinding, of niet? Je fungeert in zekere zin als internetprovider en die zijn volgens de wet niet aansprakelijk voor wat hun abonnees doen. We vroegen het ICT-jurist Arnoud Engelfriet die zich al sinds 1993 met internetrecht bezig houdt en daarover publiceert op zijn weblog. "Formeel val je als particulier die zijn wifi deelt niet onder de beperkte aansprakelijkheid voor accessproviders, maar dat betekent niet dat je automatisch aansprakelijk bent voor alles wat je gebruikers doen.

Je moet wel hebben kunnen voorzien dát ze iets illegaals of vervelends gaan doen en dat zal in de praktijk niet snel het geval zijn. Het maakt daarbij niet uit of je het wachtwoord deelt of dat je een apart gastnetwerk maakt." Dit betekent dan weer niet dat je geen last kunt hebben van wat jouw gasten doen. Wordt er spam of malware verspreid, dan zal jouw internetprovider de internetverbinding blokkeren. Daarbij maakt het niet uit of jouw eigen pc dat doet of een apparaat van een gastgebruiker. Informeer je gastgebruikers daarom dat je wilt dat ze hun laptop geüpdatet hebben (als ze die gebruiken) en dat ze antivirussoftware gebruiken. Daarmee beperk je het risico dat er iets misgaat al flink.

 

© PXimport

Je bent niet direct verantwoordelijk voor wat gasten via jouw internetverbinding doen, maar kunt er wel last van hebben.

Deel dit artikel
Voeg toe aan favorieten