Nieuwjaarsresoluties: pak je router aan

Nog een tip voor dit jaar om je digitale weerbaarheid te vergroten: richt je aandacht op een apparaat dat het zenuwcentrum van je netwerk is en, indien slecht beveiligd, het epicentrum van veel potentiële problemen.

Hoe beveilig je jouw netwerk? Voor het grootste deel gaat deze eer naar het enige apparaat dat communiceert met alle apparaten die op een internetverbinding thuis zijn aangesloten: je router. Deze gadget slaat mogelijk geen van je persoonlijke gegevens op, maar met al dat verkeer dat er doorheen vliegt, moet goede zorg voor dit netwerk een belangrijk onderdeel van je veiligheidscultuur zijn. En toch negeren we meestal beveiligingsproblemen die te maken hebben met onze routers.

In ons technologisch afhankelijk tijdperk staat zo'n kleine doos centraal in elk thuisnetwerk. De kans is zelfs groot dat je router dient als een modem, of zelfs andersom, vooral als deze door je Internet Service Provider (ISP) aan je is geleverd. Uiteraard wordt een router voor consumentenkwaliteit meestal geleverd met een ingebouwd draadloos toegangspunt (WAP), zodat we niet over kabels struikelen. Ongeacht je installatie, de router is een algeheel onderdeel van de beveiliging van je netwerk.

access-blurred-background-cable-router

Voor al het betoverende werk dat het doet, wordt een typische router normaal gesproken vergeten zodra het zijn enige voor de hand liggende doel heeft bereikt – het verbinden van het huis met internet. Dit apparaat doet stilletjes zijn ding en trekt nooit je aandacht tenzij er iets misgaat met je internetverbinding. Wat de vraag kan oproepen:

Waarom zouden we omkijken naar routers?

Simpel gezegd, een slecht beveiligde router kan alle apparaten op je netwerk openstellen voor aanvallers. Zonder te overdrijven kan een gehackte router het volgende:

En dat is verre van een volledige lijst.

Om je router te beveiligen en je te beschermen tegen hackers, moet je de instellingen van het apparaat openen en correct configureren. Dit lijkt een ontmoedigende taak, maar dat kan alleen te wijten zijn aan angst voor het onbekende. Voor de meesten zijn basisremedies op geen enkele manier een beproeving en ze zijn voldoende om de veiligheid van je router aanzienlijk te verbeteren.

De beheerdersinstellingen van je router zijn meestal draadloos toegankelijk door het IP-adres van de router in de URL-balk van een webbrowser in te voeren (het IP-adres is vaak 192.168.1.1 of 192.168.0.1, maar controleer het label op je apparaat of zoek het adres op in Google) . Misschien is het een betere manier om dat lang vergeten ding, waarschijnlijk gehuld in een dikke laag stof, via een Ethernet-kabel op je laptop aan te sluiten en pas dan het IP-adres in te voeren. In veel gevallen kun je de instellingen zelfs bereiken via een speciale smartphone-app.

Er zijn een paar onmisbare acties – afgezien van het feit dat een firewall is ingeschakeld – voor een geharde router.

Dump wat standaard is

Nu kunnen we weer oppakken waar we vorige week zijn gebleven: wachtwoorden komen constant in beeld als het gaat om het veilig en beveiligd houden van je netwerk, ook wanneer wifi-verbindingen in de mix worden gegooid. Van alle instellingen die vooraf zijn geconfigureerd door de fabrikant, is het wachtwoord voor toegang tot de beheerdersinterface van de router het eerste dat je moet vervangen door een sterk en uniek wachtwoord of wachtwoordzin. Kies ook, indien mogelijk, een niet-generieke gebruikersnaam in plaats van de standaardnaam, die in dit geval gewoonlijk een van deze vijf opties is: 'admin', 'beheerder', 'root', 'gebruiker' en helemaal geen gebruikersnaam.

simple-login

Naast het verlagen van de kosten voor de fabrikanten, zijn deze en enkele andere standaardconfiguraties bedoeld om installatie en probleemoplossing op afstand te vereenvoudigen. De gemak-factor is echter geneigd om problemen te veroorzaken, bijvoorbeeld dat de inloggegevens vaak overduidelijk zijn en worden gedeeld door routermodellen en zelfs algehele merken. Inderdaad, de logins zijn er voor de rekening voor iedereen die een minuut kan sparen op Google, of zelfs minder dan dat: beperken om te proberen een absurd gemakkelijk te raden gebruikersnaam / wachtwoord combinatie en het kan heel goed werken op een slecht geconfigureerde router. ESET's test op 12.000 thuisrouters in 2016 heeft zelfs aangetoond dat één op de zeven dergelijke routers "veelvoorkomende standaardgebruikersnamen en -wachtwoorden gebruikte, evenals enkele vaak gebruikte combinaties".

Met routers die draadloze connectiviteit mogelijk maken (wat tegenwoordig het geval is bij vrijwel alle consumentenrouters), kunnen het merk en het model worden weggegeven door de standaardnaam van je draadloze netwerk. Verander die naam, oftewel Service Set Identifier (SSID), in iets dat je locatie niet identificeert. Je kunt ook voorkomen dat de SSID wordt uitgezonden, maar houd er rekening mee dat een grapje met zelfs maar een beetje technische snufje het toch gemakkelijk kan ruiken.

Ook wordt er vaak een standaard functie ingeschakeld met de naam Wi-Fi Protected Setup (WPS), oorspronkelijk bedoeld om nieuwe apparaten op een netwerk te brengen. Vanwege een fout in de implementatie die vertrouwt op registrar-pincodes en die het nummer eenvoudig kraakbaar maakt, kan WPS gemakkelijk worden ondermijnd. Uiteindelijk leidt dit tot aanvallen op je draadloze wachtwoord, oftewel pre-shared key (PSK).

Een andere functie die vaak standaard is ingeschakeld op routers en die een aanzienlijk beveiligingsrisico vormt, is Universal Plug and Play (UPnP). Tenzij je zeker weet dat je UPnP nodig hebt, dat is bedoeld om wrijvingsloze communicatie mogelijk te maken tussen apparaten in een netwerk maar geen authenticatiemechanisme heeft, moet je het uitschakelen. Sluit inderdaad alle protocollen af en blokkeer poorten die niet nodig zijn, omdat dit het aanvalsoppervlak op je netwerk zal verminderen.

Houd gluurders op afstand

Als het gaat om wifi-wachtwoorden (en dus bepalen wie toegang heeft tot je draadloze netwerk), is dit je kans om creatief te zijn. Je kunt maximaal 63 tekens gebruiken, maar eerlijk gezegd zou dat niet echt nodig zijn. Dat gezegd hebbende, je moet ervoor zorgen dat je wachtwoord of wachtzin lang en ingewikkeld is, zodat het bestand is tegen brute-kracht-aanvallen waarbij nietsnutten talloze gokken op een wachtwoord nemen om de juiste te vinden. Het moet natuurlijk ook verschillen van al je andere inloggegevens, inclusief degene die je gebruikt om toegang te krijgen tot de beheerdersconsole van de router.

Ook moet je een beveiligingsprotocol voor je draadloze verbinding opgeven. Er is hier niet veel keuze, en de enige optie die wordt aanbevolen is WPA2, afkorting voor 'Wi-Fi Protected Access 2'. Voor thuis is de beste optie van WPA2 de persoonlijke modus (WPA2-persoonlijk, ook bekend als WPA2-PSK) en ondersteund door AES-codering, die voor alle mogelijke doeleinden niet te achterhalen is met de hedendaagse computerbronnen. Robuuste draadloze codering codeert alle gegevens terwijl deze zich verplaatst tussen een met Wi-Fi verbonden apparaat en een router, zodat een gluurder het niet eenvoudig kan lezen, ook al hebben ze op de een of andere manier de gegevens in handen.

Er zijn twee oudere Wi-Fi-beveiligingsmodes die mogelijk nog steeds beschikbaar zijn op je router – WPA's eerste iteratie, eenvoudigweg WPA genoemd, en de echt oude Wired Equivalent Privacy (WEP). Er is echter geen reden om een van beide te gebruiken, vooral de gemakkelijk te hacken WEP, omdat WPA2 al sinds 2006 verplicht is op alle gecertificeerde hardware door Wi-Fi Alliance.

Natuurlijk wachten sommigen van ons smachtend af op de komst van WPA3-compatibele netwerkhardware op de markt. Aangezien deze nieuwe beveiligingsstandaard is ingesteld om een aantal belangrijke verbeteringen voor draadloze beveiliging in te luiden, waaronder een betere verdediging tegen aanvallen die het wachtwoord raden, kan het echt niet snel genoeg komen.

Update, update!

In essentie zijn routers computers en de besturingssystemen, in dit geval de firmware, moeten worden bijgewerkt tegen security kwetsbaarheden. In feite zijn routers berucht omdat ze worden overspoeld door beveiligingslekken, voornamelijk vanwege hun verouderde firmware, wat meestal komt omdat wij, de routereigenaren, dergelijke updates nooit installeren. Dit maakt het gemakkelijker voor indringers, omdat veel aanvallen worden ondersteund door eenvoudige scans voor routers met bekende veiligheidslekken.

router-laptop

Om te controleren of de firmware van je router up-to-date is, navigeer je naar het admin paneel van het apparaat. Tenzij je een moderne router bezit die zichzelf automatisch bijwerkt of je op de hoogte brengt van nieuwe firmwareversies, moet je de website van de leverancier bezoeken en controleren of er een update beschikbaar is. Als dat zo is, dan weet je wat je moet doen. Dit is geen eenmalige taak. Zorg daarom regelmatig voor nieuwe updates, minstens enkele keren per jaar.

Het is heel goed mogelijk dat, wanneer de maker van de router geen updates meer voor je apparaat uitgeeft, er mogelijk geen updates hoeven te worden geïnstalleerd. Dit kan vooral gebeuren met oudere routers, in dat geval is het beste wat je kunt doen simpelweg een nieuwere router kopen.

Naast updates om kwetsbaarheden te verhelpen, is er nog een andere beloning voor het upgraden van je firmware. De nieuwe firmwareversie bevatten mogelijk ook prestatieverbeteringen en nieuwe functies, inclusief functies die de beveiliging verbeteren.

Bonus tips

Wat zou je nog meer kunnen doen, en met een minimale inspanning natuurlijk? Hier zijn nog een aantal snelle tips:

Elke router zou je moeten toelaten om verschillende netwerken aan te maken, wat vooral handig is met eenvoudig hackable Internet-of-Things (IoT) apparaten. Als je huis 'slim' is, overweeg dan om al die IoT-technologieën in een gescheiden netwerk in quarantaine te plaatsen, zodat de kwetsbaarheden ervan niet kunnen worden misbruikt om toegang te krijgen tot de gegevens op je computer, smartphone of opslagapparaten. Je kunt eventueel ook een apart netwerk voor je kinderen en hun gadgets instellen.

Overweeg ook om een apart netwerk voor gasten in te stellen. Op die manier deel je alleen je internetverbinding, niet je netwerk, en voorkom je dat het risico van malware van hun apparaten overspringt naar jouw digitale eigendommen in een mogelijk scenario dat een gast, hoe onbewust ook, je netwerk kan aantasten.

Het is ook goed om extern beheer voor je router uit te schakelen om de kans te verkleinen dat aanvallers er vanaf de hele wereld aan knoeien, bijvoorbeeld door een kwetsbaarheid te misbruiken. Op die manier is fysieke toegang tot je router vereist om wijzigingen in de instellingen aan te brengen.

Conclusie

Er is veel meer aan routerbeveiliging dan wat we in dit blog hebben aangekaart. Het aanpassen van al je instellingen die als ‘lijm’ al je apparaten met internettoegang bij elkaar houdt, zal echter nog een heel eind op weg zijn om je algehele beveiliging te versterken. De 'goedaardige verwaarlozing' waarmee we onze routers gewoonlijk behandelen, kan erg schadelijk zijn.