Alles wat je wil weten over beveiliging van wifi (wpa, wpa2 en wpa3)

07 juli 2018 9 Minuten 0 Reacties
wifi-shut

Wanneer je kijkt naar je wifi-verbinding in huis, dan kan het zijn dat je verdwaalt raakt in alle afkortingen. Daarom maken we dit overzicht met daarin uitleg over de belangrijkste termen, zoals de verschillende vormen van wpa. Je gebruikt deze standaarden vast al -- en nu kom je er meer over te weten.

Wpa beveiligt het wifi-netwerk

Je kent het wel: je koopt een nieuwe router (of krijgt er eentje van je provider), sluit hem aan en logt meteen in. Vergeet ook niet even het wachtwoord (opnieuw in te stellen), zodat niet iedereen zomaar van je netwerk gebruik kan maken. Dit zijn handelingen die je veelal automatisch verricht, ook omdat het installatieproces zo simpel is. De techniek erachter is dat echter niet, maar dat betekent helaas ook niet dat alles extreem veilig is. Het onlangs uitgerolde wpa3 maakt de wifi-verbinding in huis overigens wel een stuk veiliger.

Maar voordat we daar aankomen, is het handig om even een stapje terug te nemen. Want wat is wpa3 precies? En hoe heeft wpa zich in de afgelopen jaren ontwikkeld? Door gebruik te maken van wpa zorg je ervoor dat niet iedereen zomaar op je netwerk binnendringt — het is immers jouw netwerk en jouw data. Daarom is het verstandig meer te weten te komen over het wifi in huis en hoe je het eventueel beter kunt beveiligen. Ondersteunt je wifi-router momenteel de wpa2-standaard, dan zit je voorlopig in elk geval nog goed.

Dit moet je weten over wpa, tkip en aes

De afkorting wpa staat voor wi-fi protected access. Het is beveiligingstechnologie voor je wifi-netwerk in huis of op kantoor. De standaard is ontwikkeld omdat de oude standaard ervoor, wep (wired equivalent privacy), niet meer toereikend was en biedt verbeterde authentificatie- en verificatiemogelijkheden. Het protocol maakt daarvoor gebruik van twee gestandaardiseerde technologieën: Temporal Key Integrity Protocol (tkip) en Advanced Encryption Standard (aes). Die afkortingen kom je soms tegen in wifi-netwerken.

Temporal Key Integrity Protocol werkt als het ware achter de schermen van je wifi-netwerk. Het versleutelt pakketten met een vaste grootte van verzender (je router) naar een ontvanger (bijvoorbeeld je smartphone of computer). Elk pakketje wordt dan gecodeerd met een eigen sleutel, die wordt afgeleid van de hoofdsleutel. De ontvanger ‘kent’ die sleutel, maar die wordt niet doorgestuurd. De aanpassing die wordt gedaan wordt de initialisatievector genoemd; die vector wordt uiteindelijk toepast op de hoofdsleutel.

Daardoor wordt er een tijdelijke sleutel gemaakt waarmee data gecodeerd en gedecodeerd kan worden — tkip codeert de initialisatievector ook, zodat die niet onderschept kan worden. Daarvoor maakt de standaard gebruik van de message integrity check (mic): de berichten worden met elkaar vergeleken om te checken of ze nog hetzelfde zijn. Mocht er verschil zitten tussen de pakketten, omdat er bijvoorbeeld een hacker actief is, dan ziet je router dat en zal het pakket worden genegeerd. Ook kan de communicatie worden stilgelegd.

Dat klinkt dus allemaal goed, maar er waren toch wat problemen met tkip. Sinds 2012 wordt de standaard namelijk niet meer gebruikt en sinds 2013 is het verplicht tenminste wpa2-aes te gebruiken. Die afkorting staat voor advanced encryption standaard en kan je wifi-netwerk dus beter beveiligen. Daarnaast is er ook nog wpa-psk (pre-shared key). Dit is een versimpelde doch krachtigere vorm van de eerste wpa-standaard. Deze technologie maakt het hackers moeilijk door de sleutels op vaste momenten te veranderen.

En toen nam wpa2 het over

De Wi-Fi Alliance begon in 2006 officieel met de uitrol van wpa2. Eén van de grootste wijzigingen ten opzichte van de vorige versie is het verplichte gebruik van aes. Ook is ccmp (counter cipher mode met block chaining message authentication code protocol) geïntroduceerd als opvolger van tkip. Echter, tkip wordt nog steeds gebruikt als opvangnet wanneer blijkt dat apparaten ccmp niet ondersteunen, zodat je niet helemaal kwetsbaar bent als er onderweg iets fout gaat. Tkip is er ook nog steeds voor de wpa-apparaten.

Hoewel wpa2 al een stuk veiliger is, kent de standaard wel een beveiligingslek. Het is een obscuur lek, eentje waarvoor de hacker al binnen het netwerk moet zijn gedrongen om over te kunnen gaan op een kwade handeling tegen specifieke apparaten. Daardoor zijn huishoudens relatief veilig, terwijl bedrijven er meer rekening mee dienen te houden. Dit is echter niet het enige lek, aangezien een groot probleem van wpa is overgeheveld naar wpa2. Dit probleem heeft te maken met wps (wi-fi protected set-up). Maar geen nood.

Hoewel het probleem met wps wel degelijk groot is, duurt het toch een tijdje voordat hackers binnen zijn. Met een moderne computer kan het ergens tussen de twee en veertien uur duren voordat een hacker het netwerk binnengedrongen is. Daardoor doe je er goed aan wps uit te schakelen binnen je router. Als het mogelijk is, kun je ook andere software op dat apparaat zetten zodat alle sporen van wps worden verwijderd, waardoor je zeker weet dat een dergelijke aanval niet kan plaatsvinden. Maar dat is iets voor experts en gevorderden.

Wat is nu het beste voor je netwerk?

Op moment van schrijven (juni 2018) kun je het beste voor het netwerk kiezen waar wpa2 + aes bij staat. Is er geen wpa2, ga dan voor de combinatie wpa en aes. Het slechtste wat je kunt doen is gaan voor een open netwerk of een netwerk met alleen wep-beveiliging (een standaard zo oud dat we hem niet in dit artikel hebben genoemd). Daarnaast doe je er dus goed aan wps uit te schakelen, indien mogelijk, zodat je minder vatbaar bent voor een aanval. Echter, de toekomst staat al om de hoek te wachten en dat is wpa3.

De wifi-standaard van de toekomst: wpa3

Omdat wifi-apparaten nu alweer zo’n veertien jaar hetzelfde protocol gebruiken (wpa2), is het tijd voor een opvolger. De Wi-Fi Alliance heeft eind juni laten weten dat de organisatie vanaf nu apparaten gaat certificeren die ondersteuning aanbieden voor wpa3. Hackers krijgen het nu een stuk moeilijker je netwerk binnen te dringen wanneer ze lukraak wachtwoorden proberen te raden. Bovendien moeten die mensen fysiek in de buurt zijn van je netwerk, aangezien de data niet offline te gebruiken is wanneer het netwerk de sleutels ververst.

Dan kun je dus als hacker gedecodeerde informatie hebben verkregen uit het netwerk — maar als het wifi-netwerk op dat moment een andere sleutel nodig heeft, dan sta je dus als hacker met lege handen. Wpa3 zorgt er dus voor dat die sleutels constant veranderen. Mochten er toch onverhoopt mensen binnendringen op je netwerk, omdat ze in de buurt blijven, dan zien ze slechts een beperkte hoeveelheid van je data. Het betreft dan alleen de data die op dat moment door het netwerk gaat — alle voorgaande data is dus onbereikbaar voor die mensen.

Het feit dat wpa3 om de hoek staat is goed en slecht nieuws. Het goede nieuws is dat je er als gebruiker niets van merkt. Je voltooit nog steeds dezelfde handelingen om toegang tot krijgen tot je wifi-netwerk (opzoeken, aanklikken, wachtwoord invullen, wachtwoord veranderen), maar de technologie is vooralsnog niet meteen voor iedereen bereikbaar. Je router moet de beveiligingsstandaard namelijk ondersteunen. Fabrikanten kunnen daarvoor updates uitbrengen, maar de kans is groter dat je een nieuwe router moet kopen.

Bovendien is het nu ook zo dat vrijwel geen van je apparaten in huis ondersteuning aanbieden voor wpa3. Wanneer je dus een router met wpa3 in huis haalt, dan vallen de wifi-apparaten terug op de wpa2-versleuteling. Dat is geen ramp, want die standaard werkt voor het grootste deel nog steeds goed — maar er is natuurlijk niet voor niets een opvolger beschikbaar. Naast een nieuwe router zul je dus ook nieuwe apparaten moeten kopen die wpa3 ondersteunen (of je hoopt dat de fabrikant je huidige apparaten in huis gaan updaten).

De Wi-Fi Alliance verwacht dat de uitrol van wpa3 volgend jaar een hoge vlucht neemt. Voorlopig is het protocol nog niet verplicht voor fabrikanten. Echter, de volgende generatie wifi, 802.11ax, staat ook op het punt gelanceerd te worden. Verwacht wordt dat de massa deze technologie eind 2019 gaat omarmen en dan zal het nieuwe beveiligingsprotocol ook een stuk populairder worden. Wanneer de adoptie van apparaten met de nieuwe wifi-standaard en het protocol toeneemt, dan wordt wpa3-ondersteuning verplicht gemaakt.

Voor nu moet je het dus nog doen met wpa2. Dat dit protocol al meer dan tien jaar oud is, vormt een minder groot probleem dan je wellicht denkt. De beveiliging wordt namelijk constant geüpdatet om nieuwe exploits tegen te gaan. De Wi-Fi Alliance meldt dat dit ook zal gelden voor zijn opvolger; er zullen dus regelmatig updates uitkomen om nieuwe bedreigingen tegen te gaan. Wat die updates zullen omhelzen is op moment van schrijven nog niet bekend. Maar mocht er een kwetsbaarheid bekend zijn, dan kan die dus worden verholpen.

Meer lezen?

Voor meer achtergrondartikelen kun je terecht in onze sectie voor tips en advies. Zo lees je hier alles over het thuisnetwerk van je smarthome en waar je zoal aan moet denken. We hebben artikelen geschreven over routers, modems en wifi, maar ook over het mesh-netwerk en mu-mimo, een complex wifi-systeem voor sneller internet.

Reacties (0)