De Help Desk punt NL
Kennisbank
De Helpdesk > De Helpdesk > Kennisbank

Hoe beveilig ik mijn router

Oplossing

Op 13 december 2010 vroeg Johan ******.

Hi Colani, hoe beveilig ik de router?


Beste Johan,

Dat gaat niet in een regel, zonder te weten welke hardware en softwareversie van je router blijft het lastig. ik zal proberen een en ander uit te leggen. Gebruik in ieder geval echt alleen wat je begrijpt en nodig hebt!

1. Vermijd standaard meegeleverde routers van providers: Deze routers zijn meestal niet veilig en zijn meestal dichtgetimmerd. Gebruikers kunnen maar weinig instellingen wijzigen. Als er een fout ontdekt wordt ben je afhankelijk van je provider die weer afhankelijk is van de fabrikant. In sommige gevallen kan het voorkomen dat je provider het niet toelaat de modem/router-combo niet uit te schakelen. Kijk dan of het mogelijk is het apparaat van je provider in DMZ- of bridge-modus te zetten. Kijk in de meegeleverde/online documentatie hoe/of dat mogelijk is.

2. Wijzig het standaard admin wachtwoord: Bijna elke router komt met een standaard administrator wachtwoord. KLIK Aanvallers proberen regelmatig in te loggen met deze standaardgegevens om in te breken in netwerken. De standaard wachtwoorden zijn natuurlijk makkelijk op te zoeken aangezien de gemiddelde handleiding zo online te vinden is. Daarom is het van essentieel belang je administrator-wachtwoord zo snel mogelijk te wijzigen.

3. Zorg ervoor dat je web-based management interface niet bereikbaar is vanaf het internet: Het kan natuurlijk ontzettend makkelijk zijn om routerinstellingen te wijzigen vanaf een andere locatie als je niet thuis bent, maar als jij het kan, kunnen anderen het ook (zeker als je het standaard admin wachtwoord niet hebt gewijzigd). Het is daarom raadzaam deze optie uit te schakelen. Stel desnoods een VPN-oplossing in als je toch zo nodig instellingen wil wijzigen als je niet thuis bent.

 4. Beperk het aantal IP-adressen waarmee wijzigingen kunnen worden doorgevoerd: Lang niet alle routers bieden je deze mogelijkheid, maar als je een van de gelukkigen bent, schakel deze optie dan in. Stel je router zo in dat dat de ingebouwde DHCP-server bijvoorbeeld IP-adressen in de range 192.168.0.1 tot 192.168.0.50 in. Stel de router vervolgens zo in dat bijvoorbeeld 192.168.0.53 het enige adres is dat verbinding kan maken. Let er wel op dat je dat adres handmatig toe moet wijzen op je pc als je wijzigingen wil aanbrengen in je router.

5. HTTPS toegang afdwingen en uitloggen als je klaar bent: Gebruik je browser in incognito- of privémodus als je wijzigingen gaat aanbrengen in de router. Zorg ervoor dat er geen sessie-cookies achterblijven op je computer en stel de browser zo in dat deze geen wachtwoorden opslaat voor je router.

6. Wijzig het LAN IP-adres van je router: De gemiddelde router zal standaard worden ingesteld op het eerste adres in een netblock (192.168.0.1 bijvoorbeeld) Als je de mogelijkheid hebt dit te wijzigen doe dat dan ook en gebruik een adres dat niet voorkomt in de DHCP-pool (192.168.0.100 bijvoorbeeld). Het zou nog veiliger zijn als je het volledige netblock wijzigt naar een adres dat speciaal gereserveerd is voor private netwerken, zoals: 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, en 192.168.0.0 - 192.168.255.255. Zo bescherm je jezelf tegen cross-site request forgery (CSRF)-aanvallen die je router proberen te benaderen via de browser.

7. Kies een complex Wifi-wachtwoord en een sterk beveiligingsprotocol: Kies als beveiligingsprotocol WPA2 (AES, en in geen geval het inmiddels gekraakte TKIP). WPA en WEP zijn al helemaal uit den boze en kunnen makkelijk worden gekraakt met een brute force-aanval. En als je toch bezig bent, maak ook meteen een gastennetwerk aan. Bezoekers kunnen met het gastennetwerk alleen op het internet en jij hoeft je wachtwoord van je normale draadloze netwerk niet af te geven. Je bezoekers zullen vast geen kwade intenties hebben, maar als hun apparaten zijn besmet met malware zou dat nog wel eens problemen op kunnen leveren.

8. Schakel WPS uit: Deze beveiligingsstandaard is zo (vaak) lek dat je deze beter uit kan schakelen. Het is tegenwoordig erg makkelijk de WPS-pincode te achterhalen waardoor het voor aanvallers een fluitje van een cent is om te infiltreren in je netwerk. Heb je een router die je niet de mogelijkheid biedt deze optie uit te zetten? Flash een ander besturingssysteem op de router die deze mogelijkheid wel heeft bijvoorbeeld DD-WRT.

9. Schakel functionaliteiten die je niet gaat gebruiken uit: De kans bestaat dat enkele functies in je router niet helemaal waterdicht zijn waardoor mensen daar misbruik van kunnen maken. Neem het zekere voor het onzekere en schakel alle diensten die je niet gebruikt uit. Je gebruikt ze toch niet dus je zal ze ook niet missen en aanvallers kunnen ze niet misbruiken om binnen te komen. Denk aan diensten als Telnet, UPnP, SSH en HNAP.

10. Check en update je firmware regelmatig: Welke router je ook koopt, de kans is groot dat er vroeg of laat een lek wordt ontdekt met alle gevolgen van dien. Veel moderne routers updaten hun firmware automatisch, maar andere moeten een handje geholpen worden. Houd de automatisch updatende routers goed in de gaten, soms wil de functie wel eens ophouden met werken, of de hele router gaat offline, controleer altijd zelf of je softwareversie de juiste is.

11. Netwerk segementatie: Sommige consumenten-routers geven gebruikers de mogelijkheid VLANs te maken binnen een groter privénetwerk. Deze virtuele netwerken kunnen gebruikt worden om IoT-apparaten gescheiden te houden van de rest van het netwerk. Dat komt goed van pas aangezien er keer op keer wordt bewezen dat er allerhande beveiligingsproblemen zijn met de apparaten. Aanvallers kunnen de zwakke beveiliging op IoT-apparaten misbruiken en de rest van je netwerk (inclusief verbonden apparaten) onder handen nemen.

12. MAC-adres filtering: Veel routers kunnen zo worden geconfigureerd dat alleen bepaalde MAC-adressen toegang mogen krijgen op het Wifi-netwerk. Het inschakelen van deze feature is een extra stap om kwaadwillenden buiten de deur te houden zelfs als zij het wachtwoord hebben weten te achterhalen. Let op: het is heel makkelijk om MAC-adressen te spoofen dus leun niet te zwaar op deze beveiligingsmaatregel.

13. Poort forwarding combineren met IP-filtering: Diensten die op een computer draaien die is aangesloten op een router kunnen niet worden benaderd vanaf het internet. Gebruikers zullen poorten moeten forwarden om deze diensten bereikbaar te kunnen maken. Veel programma's zullen proberen aan de hand van UPnP zelf poorten over te zetten. Deze functie heb je als het goed is al eerder uitgeschakeld waardoor dit niet werkt. Er kunnen in de router verschillende regels worden aangemaakt die ervoor zorgen dat er een bron-IP-adres of netblock moet worden gespecificeerd. Als je bijvoorbeeld een port-forwarding-regel wil maken voor poort 21 (FTP) in je router kan je ervoor zorgen dat alleen adressen van een bepaald netblock verbinding mogen maken.

14: Ga voor custom firmware: Ik heb er veel over over geschreven, maar als je een goed gedocumenteerde router hebt, zou je ook nog kunnen kijken naar een custom-firmware (DD-WRT) voor je router. Deze, op Linux gebaseerde firmware's zijn niet alleen een stuk beter beveiligd, maar hebben ook meer functionaliteit aan boord waardoor gebruikers het maximale uit hun router kunnen trekken. Bovendien zit er een gigantische community achter de routers waardoor je router veel langer (en beter) ondersteund wordt dan de tijd die fabrikanten besteden aan de router. Maar ook dan geldt dat je je router goed moet configureren.

15. Ga voor een enterprise-oplossing: Een van de betere beveiligingsmechanismen voor je router is het inschakelen van de enterprise-modus. Elke gast krijgt dan een eigen gebruikersnaam en wachtwoord waardoor een laptop/smartphone die later gestolen of verloren wordt, niet meteen een beveiligingsrisico is. Het account kan met een paar muisklikken worden uitgeschakeld en andere gasten hoeven niet te worden lastig gevallen omdat zij hun gegevens moeten wijzigen. Voor deze instelling heb je wel een RADIUS-server nodig. Dit kan je zelf regelen of je kan gebruik maken van een cloudoplossing. Hierdoor is deze optie misschien een beetje overkill voor thuisgebruik, maar handig voor op kantoor.

 
Was dit artikel bruikbaar? ja / nee
Gerelateerde artikelen Draadloos netwerk beveiligen
Uitleg routers
Cisco EPC-3925 Ziggo in Bridge + eigen router
Port forwarding, wil je dat echt?
WiFi problemen? Dit zijn de oplossingen
Wat is een router
Ziggo IP veranderen
Technicolor TC-7200 Ziggo in Bridge + eigen router
Alternatieve DNS-server instellen
Een "beknopte uitleg" van IPv6
Artikel details
Artikel ID: 133
Categorie: Hardware
Zoekwoorden router, veilig, beveiligingen, vraag, welke, instellen, hoe, mac, ip, gateway, route, subnet, net, netmask, mask, config, login, admin, beheer, http, https, wachtwoorden, wachtwoord, gebruiker, naam, adres, dd-wrt
Datum toegevoegd: 13-Dec-2010 01:38:31
Aantal bekeken: 20065
Beoordeling (Stemmen): Artikel beoordeeld 4.7/5.0 (12064)

 
« Ga terug