Losning ICT

Contact opnemen


» Terug naar vorige pagina

24-03-2017

7 veel vorkomende Wi-Fi kwetsbaarheden

Het beveiligen van Wifi-netwerken begint met het gebruiken van sterkte wachtwoorden of passphrases en een goede versleuteling, maar dat is niet voldoende. Er zijn nog genoeg andere instellingen en features die je door moet lopen om de boel dicht te timmeren.


Het standaard SSID en bijbehorend wachtwoord gebruiken


De naam van je draadloze netwerk, ook wel Service Set Identifier (SSID) genoemd, kan je netwerk onveilig maken. Als je de naam van je SSID niet wijzigt kunnen kwaadwillenden aan de hand van deze naam bekende lekken/kwetsbaarheden opzoeken over de router.


Als het meegeleverde wachtwoord dan ook nog eens niet is gewijzigd, maak je het ze wel heel makkelijk. Het standaardwachtwoord staat namelijk gewoon in de handleiding. En deze handleiding is uiteraard ook gewoon online te vinden.


Mocht je een unieke naam en code hebben gekregen van je provider, acht je dan ook zeker niet veilig. Het meegeleverde wachtwoord wordt berekend aan de hand van de standaard SSID. Deze rekenmethode is inmiddels ook bekend en er zijn mensen die handige scriptjes/tools/applicaties hebben geschreven waarin je alleen maar de naam van de SSID hoeft in te voeren. De applicatie berekent dan automatisch het wachtwoord en daarmee kan je dus inloggen op het netwerk en flink huishouden. Wijzig dus niet alleen je wachtwoord, maar ook je SSID.Er zijn zelfs gevallen bekend waarin de fabrikant niet eens de moeite neemt een wachtwoord te genereren dat flink afwijkt van de SSID of het modelnummer waardoor aanvallers niet eens een script nodig hebben om de boel te kunnen raden.Kijk eens naar ons onderstaande voorbeeld: De meegeleverde modem heeft als standaard SSID TG1672G02. Dat is tegelijkertijd het modelnummer van het apparaat. Met deze informatie kunnen aanvallers dus al zoeken of er bekende kwatsbaarheden bestaan voor dit model. Het standaard Wifi-wachtwoord is TG1672G1E1F02. Volgens veel websites is dit een sterk wachtwoord, en dat klopt ook, maar in combinatie met de SSID kan je wel raden wat een aanvaller als eerste gaat proberen voordat hij op zoek gaat naar andere kwetsbaarheden. Daarom, nogmaals, wijsig je SSID én je wachtwoord. Je moest eens weten hoe vaak wij nog ongewijzigde modems en routers tegen komen. Bijna alle grote providers in Nederland (ja, ook Ziggo) hanteren deze techniek.


En als je toch bezig bent, kies dan niet voor een naam die je locatie prijsgeeft. Ook dat zien we nog wel eens. Straatnaam, huisnummer, bedrijfsnaam; allemaal informatie die de aanvaller kan gebruiken om dichterbij je router te komen en makkelijker de boel te slopen.


Zeker in combinatie met de apps die wij noemen in dit artikel is het een fluitje van een cent om zo dichtbij mogelijk te komen en de boel te misbruiken.


Netwerkhardware fysiek vergrendelen


Je kan nog zulke goede beveiligingsprotocollen loslaten op je netwerkapparatuur, als buitenstaanders makkelijk bij de apparatuur kunnen ben je verloren. Een accesspoint die gewoon op tafel staat kan letterlijk met een druk op de knop gereset worden. Dankzij de fabrieksinstellingen (en dus standaardwachtwoorden) kan de aanvaller vervolgens makkelijk inloggen en flink huishouden.


Zorg er daarom voor dat al je netwerkapparatuur achter slot en grendel zit. Voor de accesspoint kan dat misschien wat moeilijker zijn aangezien die op een goede plek (meestal in het zicht) moet hangen. Hang deze daarom zo hoog dat men er niet bij kan zonder met meubilair te moeten schuiven of een ladder moet pakken. Het zal eerder opvallen als een bezoeker met kwade bedoelingen aan het schuiven is met stoelen.Het helpt ook als je ongebruikte poorten uitschakelt.


Een gedeeld Wifi-wachtwoord hebben


Misschien niet helemaal van toepassing voor particulieren maar voor bedrijven is het iets om te overwegen. Netwerken die zijn geconfigureerd om een pre-shared key (PSK) of WPA en/of WPA2 te gebruiken vereisen meestal één wachtwoord voor iedereen om mee in te loggen op het draadloze netwerk. Dit is misschien makkelijk, maar het is geen goede manier om individueel gebruikers te beheren.


Als een medewerker bijvoorbeeld het bedrijf verlaat of een draadloos apparaat wordt ontvreemd, kan de dief of ex-medewerker makkelijk inloggen op het netwerk. Je kan natuurlijk het Wifi-wachtwoord wijzigen als zoiets gebeurt maar daar hebben meer mensen last van.Als je een enterprise of 802.1x-instelling gebruikt (in combinatie met WPA2), kan je elke gebruiker een eigen gebruikersnaam en wachtwoord geven. Op deze manier hoeft er maar één record uit het systeem te worden verwijderd als er iemand weg gaat zonder dat de rest van het bedrijf er last van heeft.


Gebruik maken van WPS PIN-authenticatie


Deze feature wordt helaas nog steeds meegeleverd met veel routers en accesspoints. Wifi Protected Setup (WPS) moest er voor zorgen dat het beveiligen van netwerken makkelijker moest worden. Doordat gebruikers alleen maar een PIN-code in hoefden te vullen kon de boel veel sneller worden geconfigureerd. Helaas bevat deze feature een kwetsbaarheid waardoor kwaadwillenden de PIN-code makkelijk kunnen kwaken en het wachtwoord van de router kunnen achterhalen.


Daarom is het aan te raden deze functionaliteit niet te gebruiken. Als je de enterprise WPA2-beveiligingsoptie koest kan WPS niet worden gebruikt. Als dat niet lukt, kijk dan of je router de mogelijkheid biedt deze optie uit te schakelen. Lukt dat ook niet, koop dan een nieuwe router, dat klinkt misschien lomp maar het risico is simpelweg te groot.


De kwetsbaarheid is in 2011 ontdekt en fabrikanten hadden dus ruimschoots de tijd de WPS-technologie te updaten of te verwijderen. Helaas is dat niet gebeurd.


Gebruikers de mogelijkheid geven te verbinden met andere netwerken


Deze kwetsbaarheid is iets minder bekend maar daarom niet minder gevaarlijk. Gebruikers op de werkvloer kunnen hun apparaten verbinden met andere netwerken. Als je deze netwerken niet kent, weet je ook niet hoe veilig deze zijn en wie er bij je data kan.


Medewerkers (of hun apparatuur) kan worden belazerd door ze te laten verbinden met andere netwerken. Kwaadwillenden kunnen zelf een access point op zetten en deze dezelfde naam geven als de accesspoints op het bedrijfsnetwerk.Het zou ook kunnen dat er vanuit de medewerker-kant opzet in het spel is en dat zij bewust verbinding maken met andere netwerken omdat deze sneller zijn of geen restricties hebben. Je zal je medewerkers goed moeten informeren als dit voorkomt. Daarnaast kan je natuurlijk allerlei rules en policies loslaten op de apparatuur van de medewerkers om het verbinden met externe netwerken te voorkomen.


User-to-user snooping


Deze overlapt een beetje met de gedeelde wachtwoorden. Hoewel de meeste bedreigingen van buitenaf komen, kan het natuurlijk ook zomaar zo zijn dat een medewerker of collega niet helemaal zuiver is. Als er gebruik wordt gemaakt van de personal WPA of WPA2-mode kan iedereen op je netwerk je afluisteren. Al het verkeer dat wordt opgepikt door een network analyzer (als Wireshark) is moeilijk te begrijpen voor de meeste mensen. Er zijn echter ook password sniffers als SniffPass en session hijacking tools als Firesheep of FaceNiff) die het wel heel makkelijk maken.


Password sniffers zoeken meestal naar gebruikersnamen en wachtwoorden die in platte tekst door de lucht zweven. Dat geldt voor onversleutelde websites (HTTP), E-mail servers (POP3/IMAP) en FTP.Session hijacking tools werken op een andere manier. Deze scannen het netwerk en zoeken naar mensen die inloggen op websites die niet het volledige inlogproces versleutelen. De tool wacht tot de juiste cookies langs komen en probeert zo binnen te komen. Met sommige tools is het letterlijk met een paar drukken op de knop geregeld zonder het wachtwoord te weten.Dit geldt niet voor netwerken die in de enterprise modus draaien. Nog een reden te switchen dus.


Slecht geconfigureerde VLAN's


De meeste routers hebben guest-feature die bezoekers de mogelijkheid geven het internet op te gaan zonder andere delen van het netwerk te kunnen bereiken. Zakelijke routers, switches en accesspoints is deze optie niet altijd aanwezig en zal de beheerder deze zelf moeten instellen.


Test je zelf aangemaakte gastennetwerk goed om te kijken of de boel echt netjes van elkaar is gescheiden. Ping locaties vanaf het gastennetwerk om te kijken of deze ook echt niet bereikt kunnen worden.


» Terug naar vorige pagina