Het beveiligen van een draadloze router is een voortdurende strijd geweest sinds de eerste dagen van wifi.
Er zijn talloze soorten versleuteling en protocolupdates geweest waarvan constant is aangetoond dat ze gebreken vertonen die kunnen worden misbruikt.
Daarmee zijn genoemde routers veel veiliger geworden en met de juiste configuratie kunnen ze zeer veilige apparaten zijn.
Beste beveiligingsinstellingen voor een router
Niet al deze opties zijn voor iedereen mogelijk. Dit is gewoon een lijst met de best mogelijke instellingen voor het beveiligen van een router.
- Schakel WPS uit (WiFi Protected Setup)
- Schakel indien mogelijk de 2,4 GHz-frequentie uit
- Maak alleen verbinding met een router met een apparaat (smartphone, tablet, laptop) dat een 802.11ac-apparaat is.
- Schakel WPA2 / WPA3-codering in en voer een lang wachtwoord in.
- Verzwak het wifi-signaal indien mogelijk.
- Voer nooit wachtwoorden of gebruikersnamen in een pop-up in. Ga altijd rechtstreeks naar de admin-pagina van een router om gebruikersnamen en wachtwoorden in te voeren.
- Wijzig de standaard gebruikersnaam / wachtwoord voor het inloggen op de admin-pagina van de router.
- Werk de firmware van de router bij
- Wijzig de naam van de SSID-uitzending.
WEP, WPA, WPA 2, WPA 3-codering
Elke router moet een basisversleuteling hebben. Zoals bijna iedereen weet, vraagt een open wifi-signaal om problemen.
WEP is notoir gemakkelijk te hacken en wordt niet veel gebruikt sinds 2003, toen er een beveiligingsfout in werd gevonden.
Standaarden voor routerversleuteling
Versleuteling | Jaar | Veiligheid |
WEP | 1999 | Slecht |
WPA | 2003 | Arm |
WPA 2 TKIP | 2004 | Arm |
WPA 2 AES | 2004 | Medium |
WPA 3 | 2019 | Mooi zo |
De originele WPA heeft ook talloze beveiligingsfouten en is niet langer erg veilig.
WPA2 AES of de nieuwe WPA3 moet worden ingeschakeld voor WiFi en met een lang wachtwoord / parafrase.
Er zijn hacks voor WPA2 AES, maar het is veel moeilijker te hacken dan de oudere coderingsstandaarden.
WPA3 is een nieuwe standaard die wordt vrijgegeven en voegt veel beveiligingsfuncties toe die oudere protocollen niet hebben.
Routers met de nieuwe WiFi 6 AX en WPA3 worden langzaamaan geïntroduceerd.
WPS
WPS (WiFi Protected Setup) is een methode die veel routers gebruiken om apparaten eenvoudig draadloos met een router te verbinden.
In 2012 is een fout gevonden in WPS waardoor de pinnen kunnen worden aangevallen, waardoor elke beveiliging zoals WPA / WPA2 wordt omzeild.
Veel nieuwe routers hebben een manier gevonden om dit te omzeilen door een WPS-knop te gebruiken die wordt ingedrukt en WPS slechts een korte tijd inschakelt voordat deze wordt uitgeschakeld.
Niet alle routers doen dit echter en bij sommige is WPS standaard ingeschakeld.
Populaire programma's zoals Reaver ingebouwd in Kali Linux kunnen de WPS-pinnen binnen 2-10 uur kraken, waarbij de Pixiewps-aanval dit veel sneller kan doen op sommige routers.
Als uw router WPS heeft ingeschakeld, schakel het uit anders staat het open voor de bovengenoemde populaire aanval.
Frequenties van 5 GHz / 2,4 GHz en 802.11ac-protocol
Tot 2013, 2,4 GHz was de enige frequentierouters die voor wifi werden gebruikt.
Sinds 2,4 GHz overvol is, is het 5 GHz-bereik geïntroduceerd.
Dit soort routers worden dual-band routers genoemd omdat ze zowel 2,4 GHz als 5 GHz kunnen gebruiken voor een wifi-signaal.
Voor degenen die niet weten, kan geen enkele draadloze kaart worden gebruikt om een router aan te vallen.
Er moeten specifieke USB-dongles / -adapters met de juiste chipset worden gebruikt.
Er is een overvloed aan USB-adapters die een router aan de 2,4 GHz-kant kunnen hacken.
Momenteel is er een tekort aan USB-adapters die de 5 GHz-frequentie van een router kunnen hacken.
Er zijn een paar USB-adapters die dat kunnen, maar met beperkt succes.
De reden voor het beperkte slagingspercentage is het 802.11ac-protocol.
WiFi-hacktools zijn eenvoudigweg nog niet bijgewerkt om dit nieuwe protocol aan te vallen.
Alleen 802.11n- en 802.11ac-protocollen werken in het 5 GHz-bereik. 802.11n bestaat al een tijdje en werkt zowel op 2,4 GHz als op 5 GHz.
802.11ac werkt alleen in het 5 GHz-bereik.
802.11n wordt gebruikt voor oudere apparaten die verbinding moeten maken met een router, maar het is een bekend protocol dat kan worden gehackt met veel tools voor het kraken van wifi.
Momenteel is een router die is ingesteld om alleen wifi uit te zenden in het 5 GHz-bereik met het 802.11ac-protocol bijna niet te hacken met de huidige wifi-hacktools.
Elk apparaat dat op een router is aangesloten, moet ook in staat zijn om het 802.11ac-protocol te gebruiken, aangezien elke installatie zo goed is als de zwakste schakel.
Houd er rekening mee dat dit op elk moment kan veranderen, aangezien hackersoftware en -hardware voortdurend in ontwikkeling zijn.
Momenteel is een router met de 2,4 GHz-kant uitgeschakeld, samen met WPS-ondersteuning uitgeschakeld, met WPA2-codering en alleen het gebruik van de 5 GHz-frequentie met het 802.11ac-protocol bijna onmogelijk om te hacken.
Niets is ooit volledig onkraakbaar, maar er is een zeer geavanceerde kwaadwillende aanvaller voor nodig om dat soort instellingen te kraken.
Een beginnende hacker met scriptkiddie zou niet in staat zijn om de veelheid aan wifi-hacking YouTube-video's te bekijken en een dergelijke installatie momenteel te kraken.
Man-in-the-middle-aanval
Man-in-the-middle-aanvallen genaamd MitM zijn wanneer een hacker zichzelf tussen een router en een apparaat plaatst dat ermee is verbonden.
Een kwaadwillende hacker die een MitM-aanval uitvoert, kan een routersignaal uitschakelen waardoor de persoon wordt gedwongen verbinding te maken met zijn computer, waardoor het slachtoffer weer online kan.
De meeste gebruikers zijn zich hier niet van bewust en blijven online surfen. De aanvaller kan alle gegevens bekijken terwijl deze door hun computer gaan en wachtwoorden of andere gegevens die worden bekeken, vastleggen.
MitM-routeraanvallen zijn er in vele vormen en populaire zijn een pop-up die een gebruiker een nep-router-login-pagina laat zien die er legitiem uitziet.
Als een gebruiker zijn gebruikersnaam en wachtwoord invoert op een nep-MitM-aanvalspagina, mag hij blijven denken dat hij het probleem heeft verholpen.
Ondertussen heeft een kwaadwillende aanvaller hun informatie verkregen.
Om dit soort aanvallen tegen te gaan, moet u niet blindelings uw gebruikersnaam en wachtwoord invoeren.
Weet waar de inloginstellingen op een laptop, tablet of smartphone zich bevinden en voer daar alleen informatie in.
Een router mag nooit een pop-up weergeven waarin om informatie wordt gevraagd. Als dit het geval is, logt u handmatig in op een router met een bekabelde verbinding en controleert u de instellingen.
Wijzig de aanmeldingsreferenties van een Routers Default Admin Page
Alle routers hebben een standaard gebruikersnaam en wachtwoord om in te loggen op de admin-pagina.
Vaak zoiets eenvoudigs als gebruikersnaam: beheerder, Wachtwoord: beheerder
Dit moet worden gewijzigd in iets veiligs, omdat het een gemakkelijke manier is voor iemand die zich op hetzelfde netwerk bevindt en het IP-adres van uw router invoert om er toegang toe te krijgen.
Wijzig de standaard SSID-uitzendnaam
Alle routers worden geleverd met een standaard uitzendnaam, zoals Linksys- of Dlink-routers die de naam Linksys of Dlink uitzenden als de WiFi AP-verbindingsnaam.
Het wijzigen van de uitzendnaam geeft een aanvaller minder informatie over de kwetsbaarheden die de router heeft.
Een Linksys-router heeft andere kwetsbaarheden dan een Dlink-router, enzovoort.
Een van de dingen die ik doe, is in plaats van de router een unieke koosnaam te geven, deze te veranderen in de naam van een andere routerfabrikant.
Als het bijvoorbeeld een Linksys-router is, wijzigt u de SSID in Dlink en vice versa.
Dit kan een aanvaller in verwarring brengen, omdat ze denken dat ze een bepaalde router aanvallen met bekende kwetsbaarheden terwijl het iets heel anders is.
WiFi-bereikafstand
Afstand kan belangrijk zijn bij wifi, maar kan een router blootstellen aan aanvallen.
Alle draadloze routeraanvallen hebben een goed wifi-signaal nodig om hun werk te doen als ze geen goed signaal kunnen krijgen, dan is het niet mogelijk.
Aanvallers gebruiken signaalversterkers om een zwak signaal te versterken, dus hier kan vaak niet veel aan worden gedaan.
Niettemin, als u geen sterk draadloos signaal nodig heeft, kan het verzwakken ervan een aanval helpen voorkomen.
Veel routers hebben een instelling om de wifi-signaalsterkte aan te passen die naar beneden of naar boven kan worden aangepast.
Router verschillen
Als het gaat om fabrikanten van routers, hebben ze allemaal verschillende interfaces en opties.
Het is onmogelijk om in één bericht te vermelden waar de locatie van deze instellingen is voor de vele routers die worden verkocht.
De meeste opties zijn universeel, zoals WEP-, WPA-, WPA2-codering, maar hoe de opties worden geactiveerd, verschilt van router tot router.
De opties van een routersinterface kunnen altijd worden gegoogeld of de handleiding kan worden gevonden en bekeken voor de instellingen.
Het belangrijkste dat u moet weten over het beveiligen van een router, zijn de universele beveiligingsopties die de meeste routers hebben.
Samenvatting
Elke router is altijd acceptabel voor aanvallen, maar door eenvoudige dingen zoals hierboven te doen, wordt uw risico aanzienlijk verminderd.
Vaak zullen wifi-aanvallers doorgaan naar een gemakkelijker doelwit (aangezien er veel zijn) in plaats van uren of zelfs dagen te verspillen aan het proberen zich te richten op een moeilijke configuratie.