Als je een WiFi router koopt, is deze door de fabrikant meestal voorzien van een standaard paswoord (vaak “admin” en “password”). Het is van groot belang dat je de router voorziet van een eigen sterk wachtwoord, liefst nog vóórdat je de router op het internet aansluit. Als je je router niet beveiligt, creëer je feitelijk een open WiFi netwerk waarover we eerder schreven dat dit niet veilig is. WiFi routers zijn altijd voorzien van een zogenaamde web-interface: een soort ingebouwde website waarop je kunt inloggen. Sluit een netwerkkabel aan tussen de router en je laptop/computer.
Wachtwoord router instellen
In de handleiding kun je opzoeken via welk ip-adres je de router kunt benaderen. Meestal is dit 192.168.1.1. Je kunt dit ip-adres intypen in de browser en dan kom je in het inlogscherm van de router. Log in met de standaard inlognaam en het standaard wachtwoord: deze kun je meestal in de handleiding vinden. Zo niet, kun je op het internet ernaar zoeken aan de hand van merk en model van de router. Meestal staan deze standaard inlog-gegevens op de website van de fabrikant. Zoek in de web-interface naar de mogelijkheid om het wachtwoord aan te passen. Kies een sterk wachtwoord van minimaal 12 tekens. Het is verstandig om een paswoord-manager te gebruiken.
Update de firmware
Fabrikanten brengen regelmatig nieuwe firmware uit. Soms gaat het daarbij om nieuwe features, maar belangrijker is dat de beveiliging wordt ingericht volgens de laatste stand van de techniek. Bij veel routers kun je tegenwoordig via de web-interface controleren of je router beschikt over de laatste firmware. Anders moet je via de website van de fabrikant controleren of de laatste versie van de firmware op je router staat. Updaten kan dan door de firmware te downloaden. Via de web-interface van je router kun je het firmware-bestand ‘uploaden’ en aldus de laatste firmware laten installeren. Via YouTube zijn voor diverse merken routers filmpjes te vinden hoe je de firmware kunt updaten.
Kies encryptiesleutel via WPA2
Zorg dat het verkeer met de router beveiligd is met een beveiligingssleutel, gebruik daarvoor minimaal WPA2. WEP is een verouderde methode die gemakkelijk te kraken is. WPA is minder veilig. Op veel routers kun je tegenwoordig een ‘gast’ netwerk instellen. Dat is een apart netwerk, waarmee je je eigen WiFi netwerk en de apparaten daarin kunt afschermen.
Schakel WPS uit
WPS (WiFi Protected Setup) is een methode waarmee je door een druk op de knop een apparaat kunt toevoegen aan je WiFi netwerk. Het advies is om deze functies uit te schakelen, omdat gebleken is dat een hacker via een brute force attack toegang kan krijgen tot je netwerk.
UPnP uitschakelen
UPnP (Universal Plug and Play) is een techniek om het aansluiten en laten werken van apparaten en toepassingen in een (WiFi) netwerk te vergemakkelijken. Dit betekent dat er in de router automatisch allerlei poorten worden opengezet en doorgestuurd worden. Ook kunnen de firewall regels aangepast worden om bepaald verkeer door te laten. In de praktijk is dit een verraderlijke optie omdat hiermee ook zaken opengezet kunnen worden, die jouw netwerk kwetsbaar maken. Het advies is om UPnP uit te schakelen en de benodigde instellingen rondom port-forwarding zelf te doen. We zullen in een volgend blog hier aandacht aan besteden.
MAC filtering aanzetten
Indien je je WiFi netwerk nog beter wilt beschermen, kun je overwegen om te selecteren welke MAC-adressen toegang tot je netwerk mogen hebben. Elk apparaat met een ingebouwde (WiFi) netwerkkaart heeft een eigen uniek MAC-adres. MAC staat voor Media Access Control: elke netwerk-kaart heeft een eigen MAC-adres, bijvoorbeeld 00:0C:6E:D2:11:E6. Je kunt van elk apparaat het MAC-adres opzoeken en deze invoeren in de lijst van MAC-adressen die je toegang wilt geven. Hier kun je lezen hoe je het MAC-adres van je apparaat kunt opzoeken. Deze bescherming is overigens niet waterdicht. Hackers kunnen MAC-adressen ‘spoofen’ (doen alsof hun apparaat een bepaald MAC-adres heeft). Maar dan moeten ze zo’n MAC-adres eerst weten te achterhalen.
Router management
Bij veel routers kun je instellen via welk netwerk (LAN en/of WAN) de web-interface benaderd kan worden. WAN staat hierbij voor Wide Area Network en daar wordt het internet mee bedoeld. Zorg ervoor dat je alleen via je eigen LAN (Local Area Network) de router kunt managen. Wil je dit toch doen vanaf het netwerk, gebruik daarvoor dan een VPN. Duurdere routers hebben de mogelijkheid om er direct een VPN-verbinding mee op te zetten.
Router van de provider
De meeste internetgebruikers maken gewoon gebruik van de router die door de provider wordt geleverd. Sterker nog, je bent vaak verplicht om die router te gebruiken omdat er een specifiek modem is ingebouwd dat is afgestemd op het netwerk van de provider. Ook voor deze routers geldt, dat je de hier genoemde punten moet nalopen om zeker te weten dat je router veilig is afgeregeld. Het is in de meeste gevallen wel mogelijk om een eigen router ‘achter’ de router van de provider te installeren. Soms moet de router van de provider daarvoor in ‘bridge’ mode worden gezet. Hier kun je daar meer over lezen. Op de website van de provider kun je daar meestal wel informatie over vinden.
Telnet
Telnet is een protocol om een connectie te maken met een netwerk-apparaat, zoals een router. De routers met veel features kun je vaak ook via Telnet benaderen. Een dergelijke connectie kan beter gelegd worden via het beveiligde SSH protocol. Vandaag, 24 augustus 2020, bleek uit onderzoek dat 2,8 miljoen apparaten via het onbeveiligde Telnet protocol (via poort 23) benaderd kunnen worden. “Dit gebrek aan zorg en onderhoud aan de ruggengraat van duizenden organisaties wereldwijd is teleurstellend, en elk van deze apparaten moet als gecompromitteerd worden beschouwd.” aldus een van de onderzoekers Tod Beardsley van Rapid7.
