Als je je ooit hebt afgevraagd wie je wifi gebruikt, ben je niet de enige. Inmiddels begrijpen de meeste mensen de noodzaak om de wifi-netwerken van hun routertoegangspunt (AP) te beveiligen. In de meeste gevallen gaat dit proces over het tegengaan van vastberaden aanvallers — tenzij wat u online doet gevoelig is, hoeft u zich hier waarschijnlijk niet al te veel zorgen over te maken — maar is gericht op het afweren van de opportunistische, weinig complexe dreiging die wordt gevormd door buren die proberen squat op je netwerk en krijg gratis toegang.
Waarom het belangrijk is om je wifi in de gaten te houden
Maar om uw netwerk te beschermen, mogen uw wifi-netwerkbeveiligingspraktijken niet alleen bestaan uit het plaatsen van obstakels voor indringers. Het moet dieper gaan en de interne status van uw netwerk monitoren om ervoor te zorgen dat alleen degenen die geautoriseerd zijn om toegang te hebben, daadwerkelijk toegang hebben. Het hebben van een diepgaand beeld van de status van uw netwerk, inclusief de apparaten erop, heeft ook diagnostische voordelen. Als u bijvoorbeeld apparaten op het netwerk kunt zien, weet u of uw draadloos verbonden printer offline gaat. Deze gids leert u hoe u dit soort monitoring kunt implementeren, eerst door een spoedcursus te geven waarin u moet zoeken en vervolgens door de opties voor het identificeren van deze indicatoren.
Hoe u kunt zien wie uw wifi gebruikt
Er zijn twee manieren waarop elk apparaat dat op uw netwerk is aangesloten, wordt geïdentificeerd, namelijk aan de hand van het respectievelijke IP-adres en MAC-adres. Het IP-adres waarmee u te maken krijgt, is geen openbaar (dwz internetbreed uniek) IP-adres, maar een IP-adres op uw interne netwerk (ook wel een lokaal netwerk of LAN genoemd) dat uw router toewijst aan elk apparaat erop.
Lokale netwerken
Elk apparaat moet een uniek adres hebben op het LAN om met de router te communiceren, of u dat apparaat nu gebruikt om internet te bereiken of met andere apparaten op het LAN praat. In de meeste gevallen wijzen routers LAN IP-adressen dynamisch toe, waarbij verschillende apparaten verschillende IP-adressen op verschillende tijdstippen krijgen, in plaats van statisch (dwz hetzelfde apparaat elke keer hetzelfde adres geven). Over het algemeen reserveert de router een reeks adressen en wijst het eerste adres in het bereik toe aan het eerste apparaat dat ermee verbinding maakt, vervolgens het tweede adres aan het tweede verbindende apparaat, enzovoort.
Mediatoegangscontrole
Zoals eerder vermeld, zijn MAC-adressen de andere hoofdaanduiding die routers gebruiken, meestal in combinatie met IP’s, om aangesloten apparaten van elkaar te onderscheiden. MAC heeft niets te maken met Apple-producten, maar verwijst naar het Media Access Control-adres van een apparaat. Dit is een hardwareserienummer dat is ingebouwd in de draadloze kaart (of, meer technisch, netwerkinterfacecontroller of NIC) van elk apparaat. Als zodanig verandert het bijna nooit.
Hostnamen
Afhankelijk van uw router krijgt u mogelijk ook informatie over de hostnaam van een apparaat of een ander soort identificatie-informatie. Een hostnaam is de naam die een computer zichzelf noemt. Dit kan ofwel bewust door de gebruiker worden gekozen of automatisch worden ingesteld door het besturingssysteem van het apparaat.
Merk en model apparaat
Een andere manier waarop routers apparaten soms onderscheiden, is door het merk en (in sommige gevallen) model van het apparaat te raden en weer te geven. Hoe bepaalt zij dit? Fabrikanten reserveren vaak een reeks van de eerste drie (van de zes) segmenten op een MAC-adres voor hun bedrijf, of zelfs voor bepaalde modellen NIC’s die ze maken, zodat hun NIC’s gemakkelijk kunnen worden geïdentificeerd, zowel binnen het bedrijf als in het openbaar. Deze aanduiding van drie eenheden wordt een OUI genoemd en bij het detecteren van een MAC zullen sommige routers een tabel met bekende OUI-blokken opzoeken en de bijbehorende invoer toewijzen aan een beschrijving van het apparaat.
Zoeken naar apparaten via uw wifi
Er zijn een aantal manieren waarop u kunt scannen naar apparaten die op uw netwerk zijn aangesloten. De eerste methode (en degene die deze handleiding zal gebruiken als het gaat om het blokkeren van verdachte apparaten) is door de webgebaseerde grafische gebruikersinterface (GUI) van de router te raadplegen. Bijna alle consumentenrouters hebben een webgebaseerde gebruikersinterface waartoe u toegang hebt (vanaf het LAN) door het eigen LAN IP-adres in uw browser in te voeren – dit is meestal te vinden in de gebruikershandleiding van uw router of, als dat niet lukt, in online ondersteuningsforums .
Sommige routerfirmware laten u historische lijsten zien van MAC-adressen die op het netwerk zijn ingelogd, maar bijna alle geven u een manier om de MAC-adressen van momenteel verbonden apparaten. Als uw router safelisting/blocklisting-functionaliteit heeft, is het vrijwel gegarandeerd dat uw router een van deze opties heeft, omdat het anders moeilijk zou zijn om te weten welke MAC’s u moet invoeren.
Historische logboeken
De tweede manier om een inventaris van aangesloten apparaten te maken, zijn de historische logboeken van een router. Niet alle routers geven beheerders toegang tot de volledige logboeken, maar als u een subset van logboeken kunt openen, is er een mogelijkheid dat u een historisch record kunt bekijken van MAC’s die verbinding hebben gemaakt. Dit zijn zeker niet de enige manieren om een basiscatalogus van apparaten op het netwerk te maken, maar het zijn degenen die zowel eenvoudig zijn als binnen het bestek van deze tutorial passen.
Rogue-apparaten blokkeren
Als uw telling van netwerkapparaten een frauduleus apparaat aan het licht brengt, is de volgende stap om het te blokkeren. De beste manier om dit te doen is ofwel door een safelist- of blocklist-beleid vast te stellen, algemeen bekend als respectievelijk whitelisting of blacklisting (hoewel die termen uit de mode raken voor safelist en blocklist).
Blokkeren
Dus welke van deze tactieken moet je gebruiken om mensen uit je wifi-netwerk te krijgen? Blocklisting is goed als je netwerktopografie (de apparaten die er normaal gesproken verbinding mee maken) regelmatig verandert, of als je apparaten gebruikt waarvan je het MAC-adres niet zeker weet. Zodra u een niet-geautoriseerde gebruiker detecteert, voert u eenvoudig hun MAC-adres in het blokkeerlijstbeleid in en alle apparaten die overeenkomen met dat MAC-adres (wat alleen dat ene zou moeten zijn) wordt een verbinding geweigerd.
Veilige lijst
Safelisting is echter een veel veiliger beleid, omdat het alle apparaten blokkeert die Niet doen overeenkomen met de opgegeven lijst met geautoriseerde MAC-adressen. Dit is ook goed als uw malafide gebruiker enigszins geavanceerd is en MAC-spoofing heeft gebruikt. MAC-spoofing is een op software gebaseerde techniek waarmee mensen een nep MAC-adres naar keuze kunnen verzenden in plaats van het adres dat in de NIC van hun apparaat is ingebouwd. Terwijl MAC-spoofing gemakkelijk blokkeringslijsten kan omzeilen, omdat de aanvaller gewoon een van de miljarden MAC-adressen nodig heeft die niet op uw lijst staan, zou de aanvaller een van de weinige apparaten moeten raden die u hebben expliciet geautoriseerd, wat hoogst onwaarschijnlijk is, tenzij ze meer moeite hebben gedaan om u te bespioneren (wat ver buiten het bestek van deze gids valt). Om dit te doen, moet u het MAC-adres invoeren van elk apparaat dat u en andere geautoriseerde gebruikers van het netwerk ooit op het netwerk willen gebruiken. U hoeft dit niet bij de eerste poging goed te doen, dus zolang er ten minste één apparaat dat u kunt bedienen op de veilige lijst staat, kunt u zich opnieuw aanmelden bij de gebruikersinterface van de router en MAC’s toevoegen (of verwijderen) van de veilige lijst.
Hoe u mensen van uw wifi kunt schoppen
Routers van verschillende fabrikanten, en zelfs die van verschillende generaties of productlijnen van dezelfde fabrikant, kunnen sterk variëren in hun gebruikersinterface, dus er is geen enkele reeks aanwijzingen die voor alles werken. Om het basisconcept te laten zien van het implementeren van een safelist-beleid, volgt hier een voorbeeld van het gebruik van een gewone Netgear-consumentenrouter (de N-serie) waarop de nieuwste firmwareversie is geïnstalleerd. Aangezien dit model alleen een veilige lijst toestaat, en aangezien dat het aanbevolen beleid is om indringers buiten uw netwerk te houden, zullen de onderstaande stappen die methode demonstreren.
-
Bepaal het MAC-adres van geautoriseerde apparaten die al zijn aangesloten. Het is het beste om hiermee te beginnen en vervolgens meer apparaten toe te voegen die u later indien nodig wilt kunnen aansluiten, in plaats van te wachten met het catalogiseren van elk apparaat dat u wilt verbinden. Het is beter om nu een paar legitieme gebruikers en alle onwettige gebruikers buiten te sluiten dan elke legitieme en onwettige gebruiker toegang te geven tot uw netwerk terwijl u op al uw apparaten jaagt.
-
Navigeer naar de safelist-beleidspagina van de web-GUI van uw router. Dit kan iets anders worden genoemd dan ‘veilige lijst’, zoals ’toegangslijst’, dus controleer op pagina’s met een synonieme titel als u deze niet kunt vinden.
-
Kies de optie om Bewerking de safelist-beleidstabel, maar schakel het nog niet in.
-
Voeg op elke regel een van de MAC-adressen toe die u wilt autoriseren en alle andere relevante of nuttige informatie die u erbij wilt voegen, zoals een apparaatnaam of beschrijving. Herhaal dit voor elke MAC die u wilt autoriseren.
-
Wanneer u klaar bent met het toevoegen van alle apparaten die u wilt opnemen, activeert u het safelist-beleid. Onthoud dat u dit beleid kunt wijzigen om apparaten toe te voegen of te verwijderen wanneer de gebruikers in uw netwerk veranderen.
