Simpele tips om je WiFi-netwerk dicht te timmeren

De NSA zit in je router. En de AIVD mag straks ook meekijken. Ondertussen moet Google zich toch weer verantwoorden over het WiFi-sniffen door Streetview-auto's en heeft Nederland straks een primeur met een hackwet die poilitiemensen routers laat kraken. Dan begin je je toch af te vragen: hoe veilig is mijn router eigenlijk tegen afluisteraars?

De meeste mensen gebruiken thuis tegenwoordig WiFi en als klein bedrijf kun je ook al bijna niet meer zonder. Grote firma's hebben het netwerk helemaal ingeregeld, maar MKB's en particulieren laten de voordeur naar het netwerk praktisch open staan. Terwijl het toch zo makkelijk is om die met eenvoudige handelingen dicht te timmeren. Hier volgen enkele van deze simpele tips.

Ze vereisen dat je inlogt op de router. De methode daarvoor staat vermeld in de handleiding van de fabrikant of je provider. Of je bereikt je hem door het IP-adres van je netwerk in te voeren in de browser. Voor degenen die dat vergeten zijn, je vindt het adres door 'ipconfig /all' in te voeren in de opdrachtregel in Windows of 'ifconfig -a' in de terminals op Mac en Linux.

Zet de versleuteling aan

Het allereerste wat je moet doen is het netwerk versleutelen. Dat is zó simpel en toch doen zoveel mensen hier helemaal niets en knallen ze een onbeveiligd netwerk in de lucht. Gebruik meteen een sterk protocol, dus vermijd WEP en kies WPA of liever zelfs WPA2 als die optie in de router zit. Vrijwel alle moderne routers ondersteunen dit. Als je voor een nog forsere versleuteling gaat, moet je wel zeker weten dat de apparaten waar je verbinding mee zoekt dit ook ondersteunen.

Verander het standaardwachtwoord

Verander het wachtwoord. Dit ligt ook voor de hand, maar wederom: het is een kleine handeling waardoor je ervoor zorgt dat een ander een stuk meer moeite moet doen om in te kunnen breken op je netwerk. De standaardwachtwoorden staan vaak vermeld in algemene handleidingen, dus een 'hacker' die even googelt op het routermodel, zit in een handomdraai in je router.

Meestal vind je bij de instellingen van het WLAN alle standaardopties, zoals het wachtwoord en welk versleutelingstype moet worden gebruikt.

© PXimport

Schakel SSID-broadcast uit

De SSID (service set identifier) is je netwerknaam die je ziet als je scant op nabijgelegen WiFi-netwerken. Maar als mensen je netwerk makkelijk kunnen vinden, is het ook een stuk makkelijker om een ongewenste verbinding op te zetten. Je kunt dat uitzenden van de SSID uitschakelen, zodat toevallige voorbijgangers of wardrivende hackers je netwerk niet zien.

Zelfs als je de broadcast-functie uitzet, kunnen mensen nog steeds op je router inloggen als je de standaardnaam gebruikt. Fabrikanten verschepen hun netwerkapparatuur vaak met een standaard-SSID. Zo heten routers van Linksys bijna altijd 'Linksys', tenzij je de SSID aanpast.

Daarom is het belangrijk om éérst de SSID aan te passen en deze vervolgens te verbergen. Zo is de router onzichtbaar en wordt het lastig voor anderen om te raden wat de naam dan wel is. In de meeste routers vind je een optie waarin je 'SSID Broadcast' kunt uitvinken. Sla de wijziging op - sommige routers voeren dan een reset uit - en dat is alles.

Gebruik het MAC-filter

Je kunt beheren welke apparaten precies op je netwerk mogen, waardoor onbekende apparatuur automatisch wordt geblokkeerd. Elke stukje hardware met een netwerkoptie heeft een eigen uniek nummer, het MAC-adres. Door een whitelist aan te maken, wordt alleen de unieke hardware die je zelf hebt uitgekozen - bijvoorbeeld de eigen smartphone en de laptop van je vrouw - toegelaten. Of stel juist een blacklist in om dat vreemde apparaat dat maar steeds pogingen doet om op het netwerk te komen te blokkeren.

Het eerste wat je nodig hebt zijn de MAC-adressen van alle apparaten die je hebt. Hoe dat moet, verschilt per besturingssysteem. Ik heb hier helaas niet de ruimte om ze voor diverse populaire OS'en - bijvoorbeeld Windows, OS X, Linux, Android, iOS, Windows Phone - te behandelen, maar in de meeste gevallen vind je deze gegevens ergens bij de netwerkinstellingen of toestelinformatie. Op laptops werkt 'ipconfig /all' of 'ifconfig -a' om het MAC-adres te vinden.

Maak een notitie van al deze MAC-adressen. Dit zijn hexadecimale reeksen: zes blokjes van twee cijfers, gescheiden door dubbele punten. Bijvoorbeeld iets als '00:08:A1:00:9F:32'. Log in op de router en configureer de MAC-filtering of MAC-controle. Ook dit verschilt weer per fabrikant en model, dus je zult zelf even in de instellingen moeten rondkijken om te zien waar deze optie zit. Voeg de MAC-adressen van je apparaten toe en bewaar de gewijzigde instellingen.

Sommige apparaten raken misschien hun verbinding kwijt op het moment dat je deze optie activeert. Dat betekent waarschijnlijk dat je een tikfout hebt gemaakt of het apparaat misschien vergeten bent toe te voegen. Controleer daarom eerst of het adres van dit apparaat is meegenomen. Zaken als de gameconsole of het WiFi-speakersysteem ben je al gauw geneigd over het hoofd te zien.

Spoof een MAC-adres als test

Wil je zeker weten dat de MAC-controle werkt? Dat doe je door het MAC-adres van een pc te spoofen. Dat kan met behulp van een tool als Technitium MAC Address Changer. Dat is een simpele tool om even een vals MAC-adres te gebruiken. Probeer hierna te verbinden met het netwerk. Als dat lukt, is er iets niet goed gegaan met de configuratie van de MAC-controle.

Houd er rekening mee dat zelfs met deze tips hackers op je netwerk kunnen inbreken. Maar de drempel ligt een stuk hoger en dat is de bedoeling, want meestal hoef je je geen zorgen te maken over vastberaden hackers die specifiek jouw netwerk willen beheersen, maar komt het gevaar vooral van toevallige voorbijgangers zoals sniffende hackers en dataslurpers als Google. Deze tips houden Google in ieder geval uit je router.

Gebruik een optie als 'enable' en vul MAC-adressen in die je wilt toelaten, of kies voor 'reject' en blokkeer juist het adres van de buurman die maar steeds wil inloggen op jouw router.

© PXimport