Zijn er in Nederland eigenlijk nog wel bedrijven zonder WiFi-netwerken? De friettent? De bakker? Nee, ook die hebben een WiFi signaal in de lucht. Bij bedrijven in grote kantoorgebouwen is het niet eens de vraag. Om nog maar te zwijgen over organisaties die met hun core business volledig afhankelijk zijn van hun WiFi verbinding.
En voor alles in de ICT geldt: als het bestaat, valt het ook te misbruiken. Iets onschuldigs als een Wifi-netwerk kan voor fanatieke hackers al een poort naar binnen zijn. Ook al zou u het misschien niet zo snel verwachten.
Gelukkig zijn aanvallers geen onaantastbare ICT-goden: een pentest gericht op WiFi-netwerken helpt eventuele zwakheden doelgericht te verhelpen. En: in dit artikel geven we ook al tips!
Maar eerst: wat kunnen hackers allemaal met zwakheden in WiFi-netwerken? We lichten een paar opties uit. Gewoon om een beeld te geven:
Packet Sniffing
Een hacker binnen het het bereik van uw Wifi-netwerk kan ‘packet sniffing’-tools inzetten. Hierbij onderscheppen ze de gegevens die apparaten en de router heen en weer sturen. En die gegevens? Die varrieren van gebruikersnamen tot wachtwoorden of zelfs creditcardgegevens. Allemaal in platte tekst als de boel niet goed versleuteld is.
Man-in-the-Middle (MITM) aanvallen
Dan de ‘man-in-the-middle’ (MITM) aanvallen. Hierbij plaatsen ze zichzelf tussen een gebruiker en bijvoorbeeld de router. Ook om al het verkeer in het midden te onderscheppen. En: manipuleren. Zonder dat de gebruiker of het netwerk het merkt. Denk aan valse inlogpagina’s invoegen om inloggegevens te stelen. Of zelfs valse updates injecteren om malware te verspreiden naar alle aangesloten endpoints zoals laptops.
Exploitatie van kwetsbaarheden
Dan nog kwetsbaarheden in verouderde firmware of ongepatchte apparaten: die kunnen hackers uitbuiten om diep in het netwerk door te dringen. Van daaruit hebben ze vrije toegang tot bedrijfsgegevens, kunnen ze gevoelige informatie stelen of zelfs volledige controle over het netwerk overnemen.
Tips voor veiligere WiFi-instellingen
Er zijn een aantal dingen die u zelf al direct kan doen om de manier waarop uw WiFi-netwerk is ingeregeld minder kwetsbaar te maken. We hebben de tips (waarvan enkelen ook handig zijn voor thuis) opgesomd! Hou er wel rekening mee dat cyberaanvallen complex zijn: zie deze tips dus als een basis. Maar niet als het volledige WiFi-‘hekwerk’:
1. Zorg ervoor dat de beheerpagina niet toegankelijk is
Idealiter gebeurt beheer vanuit een netwerksegment speciaal voor beheer. Door dit gedeelte af te sluiten door segmentatie – het scheiden van alle netwerk segmenten zodat het moeilijker is van het ene segment op het andere te komen – voorkomt u dat onbevoegden veranderingen aan kunnen brengen aan de configuratie.
2. Creëer een gastennetwerk
Een gastennetwerk is niet alleen voor restaurants en hotels. Eigenlijk is het voor elke organisatie (en huishouden) een simpele veiligheidsmaatregel. Een gastennetwerk is namelijk een WiFi-netwerk waarbij de gebruiker dus wél gebruik kan maken van het internet, maar geen toegang kan krijgen tot het interne bedrijfsnetwerk.
3. Versleutel het netwerk
We benoemden eerder al hoe aanvallers informatie – zoals wachtwoorden – in platte tekst kunnen onderscheppen als er geen encryptie is. Zorg voor WPA3 of, als dat niet beschikbaar is, minimaal WPA2 als encryptiemethode en stel een sterk wachtwoord in.
4. Schakel WPS uit
WPS (WiFi Protected Setup) is een functie die is ontworpen om het gemakkelijker te maken om nieuwe apparaten aan je WiFi-netwerk toe te voegen door een druk op de knop of een PIN-code. Maar juist die PIN is één van de redenen dat het kwetsbaar(der) is. Aanvallers kunnen die namelijk brute-forcen om zo zelf toegang te krijgen tot het netwerk.
Schakel deze functie uit om de mogelijke beveiligingsrisico’s te verminderen.
5. Houdt de firmware altijd up-to-date
Dit geldt eigenlijk voor alle software en firmware: voer updates altijd zo snel mogelijk uit. Want updates zijn er geregeld om kwetsbaarheden te verhelpen. Een update niet uitvoeren kan betekenen dat u onnodig kwetsbaar blijft.
6. Beperk het bereik van de WiFi
Misschien is deze tip wat onverwacht. Maar hoe verder de WiFi reikt, hoe eenvoudiger het voor (fanatieke) derden is om vanaf een parkbankje toegang te krijgen. Een kleiner bereik zorgt er in het meest gunstige geval voor dat iemand in het gebouw moet zijn om wat te kunnen doen.
7. Implementeer MAC-adresfiltering
MAC-adresfiltering is een extra beveiligingslaag voor WiFi-netwerken. Door specifieke MAC-adressen toe te voegen aan een lijst van toegestane apparaten, kan een netwerkbeheerder controleren welke apparaten verbinding kunnen maken met het netwerk.
8. Denk ook aan de fysieke beveiliging van de access points
Het klinkt overdreven, maar dat is het niet. Een algemene security best practice is ervoor zorgen dat derden geen toegang kunnen krijgen tot fysieke onderdelen van de IT omgeving. Ideaal gezien dus ook de access points niet. Hang ze op plekken die niet gemakkelijk toegankelijk is voor onbevoegden.
Meer lezen over het testen van de fysieke beveiliging van uw IT? Bekijk deze pagina over de fysieke pentest.
9. Schakel verborgen SSID in
Het verbergen van uw netwerknaam, maakt het hackers moeilijker uw netwerk te vinden. En dat maakt het logischerwijs ook weer minder makkelijk een succesvolle aanval te doen. Het verbergen van de SSID biedt dus weer wat extra beveiliging.
10. Monitor uw netwerkverkeer
Meten is weten: die uitspraak komt niet voor niets vaak voorbij. Er is veel waarheid in. In het geval van cyberaanvallen kan er altijd onverwacht toch iets gebeuren. In dat geval is het beste wapen het monitoren op verdachte activiteiten. Dan detecteert u aanvallen in een vroegtijdig stadium. Onderzoek dus zeker of monitoring met een SOC een passende optie is voor uw organisatie.
Eén keer alles goed instellen
Cyber security is een on-going proces. Eén pentest of één audit laten uitvoeren om vervolgens “Nu zijn we veilig” te zeggen, is helaas geen optie. Kwetsbaarheden blijven ontstaan. En hackers vinden altijd nieuwe manieren om misbruik te maken.
Bovenstaande tips zorgen voor een mooi vertrekpunt. Alles bij elkaar opgeteld maakt het aanvallers al een stuk minder makkelijk. En dat is natuurlijk het doel.