9 tips om alles uit je router te halen

Door: ignace-de-groot | 08 januari 2016 08:15

How To

Inhoudsopgave

  1. Inleiding
  2. pagina 2

Tip 5: Port triggering

Een nadeel vanuit veiligheidsoogpunt van port forwarding is dat de betreffende poort altijd blijft openstaan, tenzij je die doorverwijzingsregel (of de port forwarding-functie zelf) telkens weer zou uitschakelen op je router. Een iets veiliger alternatief is port triggering, althans wanneer de applicatie (server) die functie ondersteunt. Het komt er dan op neer dat de nodige poorten automatisch worden opengezet zodra die applicatie hierom verzoekt. Na afloop van de sessie of na een zelf in te stellen time-out worden die poorten dan vanzelf weer gesloten. Bij port triggering stuurt de betreffende applicatie namelijk data via een welbepaalde (trigger)poort uit, waarna een andere poort voor de binnenkomende data automatisch naar de juiste pc - de vragende partij - wordt doorgestuurd. In dit scenario hoef je daarom niet eens het IP- of MAC-adres van die pc in te vullen.

Port triggering: wakker schudden via de ene poort, data ontvangen via een andere.

Tip 6: UPnP & DMZ

Er zijn nog andere mogelijkheden om lokale servers (of zaken als videoconferencing of remote-play met Playstation) te benaderen. Eén ervan is UPnP (Universal Plug and Play), een verzameling gestandaardiseerde protocollen die het mogelijk maakt dat apparaten met elkaar kunnen communiceren, bijvoorbeeld voor het afspelen van video's of muziek vanaf een ander apparaat. Indien je applicatie UPnP ondersteunt, dan volstaat het in principe deze functie in te schakelen in je router. Die zorgt er dan voor dat de nodige poorten automatisch geopend worden zodat die applicatie ook vanaf het internet bereikbaar is. Hoe comfortabel UPnP ook is, deze protocolset wordt niet bepaald als erg veilig beschouwd.

Er zijn namelijk al vaker beveiligingslekken ontdekt waardoor kwaadwilligen vanaf het internet toegang krijgen tot netwerken. Je zult dus zelf de afweging moeten maken. Een andere oplossing is DMZ activeren. Dat staat voor 'demilitarized zone', hoewel de term in deze context niet echt correct is gebruikt. Wanneer je deze functie activeert en hier het IP- of MAC-adres van een netwerkclient invult, dan worden eigenlijk alle poorten tegelijk naar die pc geforward. Dat houdt meteen in dat die pc blootstaat aan (alle risico's van) het internet. Daarom doe je er goed aan die pc (via een firewall) gescheiden te houden van de rest van je netwerk. De meeste routers laten je wel toe zelf in te vullen vanaf welke externe IP-adressen je DMZ bereikbaar moet zijn; dat is net weer wat veiliger.

Een DMZ staat 'open en bloot' en verbind je dus niet zomaar met de rest van je netwerk.

VLAN

Duurdere routers voorzien ook in een wat geavanceerde functie om je netwerk te segmenteren in zogenoemde VLAN's (Virtual LAN's). In thuisnetwerken is het zelden zinvol om met VLAN's te werken, tenzij je hiermee wilt experimenteren of om op die manier een gescheiden gastnetwerk te creëren (indien je router zelf niet in zo'n functie voorziet: zie tip 1). Het opzetten van VLAN's is redelijk complex en vergt gewoonlijk ook (mede afhankelijk van de opbouw van je netwerk) het inzetten van een of meer (duurdere) 'managed' switches die met VLAN (frame tagging) overweg kunnen. Het gebruik van VLAN's valt om die reden buiten het bestek van dit artikel.

Een relatief eenvoudige netwerkopstelling met DMZ en VLAN's.

Tip 7: DHCP reservering

Sommige apparaten, zoals een NAS, een netwerkprinter of -camera, kun je het beste een vast IP-adres geven. Nu kun je dat adres natuurlijk zelf wel invullen in de netwerkinstellingen van het apparaat en het DHCP-bereik van je router buiten die pool van vaste IP-adressen houden, maar dan moet je er wel zelf op letten dat je bijvoorbeeld geen IP-adressen dubbel toekent. Een handig alternatief is dan DCHP-reservering ('address reservation'). Hierbij wordt automatisch een bepaald IP-adres - uit het DHCP-bereik - aan het MAC-adres van een toestel gekoppeld. Op die manier is dat toestel verzekerd van telkens weer hetzelfde IP-adres. Uiteraard mag je dit adres niet zelf invullen op een ander toestel. Sommige routers bieden ook ARP binding aan. Deze functie is vergelijkbaar, maar wanneer je hier een ander toestel handmatig toch ook van een al toegekend IP-adres zou voorzien, dan zal de router dat (voor verzoeken vanaf het internet) negeren. Deze functie is dus net iets veiliger omdat hiermee ongein als het zogenoemde ARP spoofing (oftewel ARP poisoning) wordt bemoeilijkt.

Vast toegekende IP-adressen binnen het DHCP-bereik.

Tip 8: QOS - WMM

Zit je thuis met een paar gebruikers die er niet voor terugdeinzen geregeld zowat alle beschikbare bandbreedte op te eisen waardoor je Netflix-stream of je YouTube-video's niet meer vooruit te branden zijn? Dan is het tijd om de hulp van 'traffic shaping' oftewel QoS (Quality of Service) op je router in te roepen. Deze functie zorgt ervoor dat een specifiek toestel of een specifieke service op je netwerk een bepaalde prioriteit krijgt, waardoor een bepaalde bandbreedte (min of meer) gegarandeerd wordt. Bij bittorrent-downloads mag dat gerust wat minder zijn, gezien zo'n verbinding fouttolerant is (lees: ontbrekende bits worden opnieuw doorgestuurd), maar met audio- of videostreams, VoIP of online gaming wil je liever geen haperingen.

In zijn eenvoudigste vorm stel je bij QoS het type verkeer in en ken je dat een prioriteit (zoals High, Medium of Low) toe. Bij de wat beter uitgeruste modellen kun je ook aangeven om welke applicaties of zelfs poorten het precies gaat. Bepaalde routermodellen ondersteunen ook de standaard Wi-Fi Multimedia (WMM) die automatisch bandbreedte toekent naargelang het type verkeer (van hoge naar lage prioriteit: voice, video, andere applicaties, achtergrondtaken als afdrukken en downloaden). Deze vorm van QoS geldt echter alleen voor draadloze connecties. Nieuwere modellen voorzien in een meer 'intelligente' vorm van QoS, die zowel geldt voor een draadloze als een bekabelde verbinding. Bij Asus heet dat bijvoorbeeld 'Adaptive QoS'. Deze functie analyseert het dataverkeer en kan op basis van het verkeerstype en van de ingestelde maximum upload- en downloadlimieten, in een optimale dataprioritering voorzien.

De router analyseert het dataverkeer en prioriteert op basis van het datatype, waardoor je bijvoorbeeld bepaalt dat VoIP-verkeer altijd voorgaat.

Tip 9: Ouderlijk toezicht & antimalware

Gezien je router een centrale plaats in je netwerk inneemt (immers, het is de 'gateway' van en naar het internet) is dit een ideale plek om ook verkeer van en naar bepaalde apparaten te monitoren. Sommige routerfabrikanten bieden daarom ook een of andere vorm van antimalware aan - wat niet betekent dat die nu zomaar de antivirustool op je pc kan vervangen. Bij (sommige modellen van) Asus bijvoorbeeld heet deze module AiProtection. Naast een veiligheidsscan met concrete suggesties voor een beter beveiligde router, bevat deze ook nog de mogelijkheid om verkeer afkomstig van malafide sites te blokkeren. Dat laatste gebeurt op basis van een online database afkomstig van antivirusproducent Trend Micro. Verder bevat deze module ook een optie om het uitsturen van persoonlijke informatie afkomstig van een geïnfecteerde pc naar externe servers te blokkeren. Deze module heeft ook nog enkele opties voor ouderlijk toezicht en het is mogelijk specifieke clients de toegang tot bepaalde inhoudscategorieën (zoals Adult, P2P and File Transfer en Streaming and Entertainment) te ontzeggen. Ook hiervoor wordt Trend Micro aangesproken.

Functies voor ouderlijk toezicht vind je overigens bij meerdere routerfabrikanten terug. Vaak beperkt die zich echter tot de mogelijkheid de webtoegang van specifieke clients tot bepaalde tijdstippen te beperken en de toegang tot zelf in te vullen url's te blokkeren.

Je router kan de internettoegang voor specifieke clients op bepaalde tijden blokkeren.

Alternatieve firmware

Heeft jouw router bepaalde functies die we hier bespreken niet, dan kan het geen kwaad even op de site van de producent te controleren of er inmiddels nieuwere firmware is die dat hiaat opvult. Eventueel kun je overwegen alternatieve firmware als de erg populaire DD-WRT te installeren, uiteraard indien je router voor die firmware geschikt is. Op de genoemde site kun je ook nagaan of je router compatibel is met DD-WRT. Deze firmware voegt vaak nuttige functies toe, zoals de ondersteuning van VPN, de mogelijkheid om de toegang tot het gastnetwerk tot bepaalde tijdstippen te beperken of om de bandbreedte en het dataverbruik van individuele apparaten te monitoren. Zo kun je grootverbruikers snel identificeren en hoef je niet op iedere pc monitoringsoftware (zoals het gratis GlassWire) te installeren.

Tot slot, het is ook altijd mogelijk met behulp van een (wat oudere) pc en gratis software als pfSense (op basis van FreeBSD) je eigen router te configureren. Het spreekt voor zich dat zo'n scenario vooral gevorderde gebruikers zal aanspreken.

Ga eerst na in hoeverre jouw router overweg kan met de DD-WRT-firmware.

0 Reactie(s) op: 9 tips om alles uit je router te halen

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.