Eens verbonden met het onbeveiligde draadloze AP kan een inbreker courante hackersoftware gebruiken om apparatuur op te sporen, documenten te stelen of wachtwoorden en systemen te kraken. De inbreker kan in de praktijk immers alles doen wat de eigenaar van de gekraakte computer ook kan. De meeste AP’s en draadloze routers houden logs bij van alle activiteiten die er met de apparatuur gebeurt. Maar als het AP of de router niet beschermd is, kan de inbreker die logs natuurlijk eenvoudig wissen eens hij klaar is met zijn werk. Daarna is het vrijwel onmogelijk om te bewijzen dat iemand anders dan de eigenaar verantwoordelijk was voor het misdrijf dat met behulp van het onbeveiligde draadloze netwerk werd gepleegd.
Hoe beveilig ik mijn draadloze netwerk?
1. Wijzig de inloggegevens
Wi-Fi Access Points (AP’s) en routers zijn beveilig met een standaard inlognaam en wachtwoord, vaak gewoon tweemaal admin. Wijzig zowel de inlognaam als het wachtwoord in iets unieks. Schakel tegelijk ook de configuratietoegang via het draadloze netwerk tot AP of router uit: zo kan alleen een gebruiker die met een gewone netwerkkabel ermee verbonden is nog de configuratie wijzigen. Op die manier kan een eventuele draadloze inbreker niets wijzigen aan de configuratie van het AP of van de router.
2. Wijzig de standaardidentificatie
AP’s hebben een identificatienaam of SSID (Service Set IDentifier). Elke fabrikant gebruikt zijn eigen standaardnaam, zoals "linksys", "default" of "belkin54g" (de drie meest populaire SSID’s in Vlaanderen volgens de Belgische wardrivers). Om met een draadloos netwerk te kunnen in verbinding treden, moet de gebruiker eerst de SSID kennen. Wijzig de SSID in iets unieks. Gebruik daarbij geen voor de handliggende namen zoals de familie- of straatnaam, want inbrekers kunnen die raden.
3. Schakel het uitzenden van de SSID uit
Zorg dat AP of router zijn SSID niet uitzendt. Standaard doet het dit wel, zodat iedereen die dat wil er eenvoudig mee in verbinding kan treden. Als de SSID niet wordt uitgezonden, kunnen alleen gebruikers die de SSID kennen het AP of de router gebruiken. Let op: met gespecialiseerde apparatuur kunnen hackers toch nog de SSID achterhalen, zelfs als dit niet wordt uitgezonden. Dit is dus vooral een beveiliging tegen buren die al dan niet onbewust via uw AP internetten.
4. Schakel de encryptie van het AP in
Wi-Fi-netwerken ondersteunen standaard verschillende soorten encryptie. WEP (Wireless Encryption Protocol) en WPA (Wi-Fi Protected Access) zijn doorgaans altijd beschikbaar. Gebruik van deze twee bij voorkeur niet het oudere WEP, want dat is inherent onveilig. WPA daarentegen is redelijk veilig omdat het de door Belgische vorsers uitgevonden en door de Amerikaanse overheid goedgekeurde encryptiestandaard AES (Advanced Encryption Standard) gebruikt. Zowel het AP als de computers die met het AP moeten worden verbonden dienen WPA te ondersteunen. Is dat niet het geval, gebruik dan voorlopig WEP, maar overweeg op termijn om veiligere Wi-Fi-apparatuur met WPA te kopen. Windows XP ondersteunt WPA standaard vanaf Service Pack 2 (SP2). Als u nog niet overschakelde op SP2 wordt dat nu de hoogste tijd. Raadpleeg de handleiding hoe WPA dient te worden ingeschakeld op het AP of de draadloze router. WPA werkt met een "shared key", zeg maar een wachtwoord. Gebruikers dienen het wachtwoord dat op het AP is ingesteld ook te configureren op hun eigen Wi-Fi-verbinding. Gebruik geen te simpel wachtwoord en zorg dat het ook een of meer niet-alfanumerieke tekens zoals $, # of @ bevat.
5. Beveilig uw eigen computer(s) en netwerk
Voorzie computers, apparatuur en gegevensmappen op het netwerk van krachtige wachtwoorden en wijzig overal de standaardconfiguratie in een eigen, unieke configuratie die door een eventuele inbreker moeilijk kan worden geraden.
6. Gebruik eventueel bijkomende MAC-beveiliging
Alle netwerkapparatuur heeft een uniek adres, het zogenaamde MAC (Medium Access Control). Dat geldt voor netwerkkaarten, maar ook voor AP’s, routers, kabelmodems etc. De meeste AP’s en draadloze routers kunnen op zo een manier worden geconfigureerd dat alleen bepaalde MAC-adressen ermee kunnen worden verbonden. Identificeer de MAC-adressen van alle verbonden apparatuur en stel die vast in. Dan kan een buitenstaander het AP op geen enkele manier nog misbruiken. Raadpleeg de handleiding voor deze meer geavanceerde configuratieoptie. Gebruikers die om een of andere reden geen andere beveiliging willen of kunnen gebruiken, doen er goed aan op zijn minst de MAC-beveiliging in te stellen. Die biedt met een kleine moeite een relatief sterke bescherming tegen inbrekers.
Studenten van de Hogeschool Kempen in Geel maakten een "peace driving" website met tips over draadloze beveiliging. Op die website staan ook concrete beveiligingshandleiding voor enkele populaire draadloze routers.