De beveiliging van je router stinkt: hier is hoe je het kunt oplossen

De meeste wifi-routers en netwerkgateways die door thuisklanten worden gebruikt, zijn absoluut niet veilig. Sommige zijn zo kwetsbaar voor aanvallen dat ze eruit moeten worden gegooid, zei een beveiligingsexpert op de HOPE X-hackerconferentie in New York.

'Als een router wordt verkocht bij [een bekende elektronicaketen met een blauw-geel logo], wil je hem niet kopen', zei de onafhankelijke computerconsulent Michael Horowitz tegen het publiek.



  • Black Friday deals: bekijk nu al de beste aanbiedingen!

'Als je router je wordt gegeven door je internetprovider [ISP], wil je hem ook niet gebruiken, omdat ze er miljoenen van weggeven, en dat maakt ze een belangrijk doelwit voor zowel spionagebureaus als slechteriken, ' hij voegde toe

Horowitz adviseerde dat veiligheidsbewuste consumenten in plaats daarvan upgraden naar commerciële routers die bedoeld zijn voor kleine bedrijven, of hun modems en routers op zijn minst scheiden in twee afzonderlijke apparaten. (Veel 'gateway'-eenheden, vaak geleverd door ISP's, kunnen als beide fungeren.) Bij gebrek aan een van deze opties gaf Horowitz een lijst met voorzorgsmaatregelen die gebruikers konden nemen.

  • NAAR router VPN misschien wel de beste manier om je wifi thuis te beveiligen

Problemen met consumentenrouters

Routers zijn de essentiële maar onaangekondigde werkpaarden van moderne computernetwerken. Toch realiseren weinig thuisgebruikers zich dat routers in feite volwaardige computers zijn, met hun eigen besturingssystemen, software en kwetsbaarheden.

'Een gecompromitteerde router kan je bespioneren', zei Horowitz, en hij legde uit dat een router onder controle van een aanvaller een man-in-the-middle-aanval kan uitvoeren, niet-versleutelde gegevens kan wijzigen of de gebruiker naar 'evil twin'-websites kan sturen die zich zo vaak voordoen... gebruikte webmail- of onlinebankingportalen.

Veel home-gateway-apparaten van consumentenkwaliteit laten gebruikers niet weten of en wanneer firmware-updates beschikbaar komen, hoewel die updates essentieel zijn om beveiligingslekken te dichten, merkte Horowitz op. Sommige andere apparaten accepteren geen wachtwoorden die langer zijn dan 16 tekens - de minimale lengte voor wachtwoordbeveiliging tegenwoordig.

Universele Pwn en Play

Miljoenen routers over de hele wereld hebben het Universal Plug and Play (UPnP) netwerkprotocol ingeschakeld op internetgerichte poorten, waardoor ze worden blootgesteld aan aanvallen van buitenaf.

'UPnP is ontworpen voor LAN's [local area networks] en is als zodanig niet beveiligd. Op zich is het niet zo'n big deal', zei Horowitz.

beste computermonitoren voor op het werk

Maar, voegde hij eraan toe, 'UPnP op internet is als een operatie ondergaan en de dokter aan het verkeerde been laten werken.'

Een ander probleem is het Home Network Administration Protocol (HNAP), een beheertool die op sommige oudere consumentenrouters wordt aangetroffen en die gevoelige informatie over de router via het web verzendt op http://[IP-adres van de router]/HNAP1/, en volledige controle aan externe gebruikers die beheerdersgebruikersnamen en wachtwoorden verstrekken (die veel gebruikers nooit wijzigen van de fabrieksinstellingen).

In 2014 gebruikte een routerworm genaamd TheMoon het HNAP-protocol om kwetsbare routers van het merk Linksys te identificeren waarnaar het zich zou kunnen verspreiden. ( Linksys bracht snel een firmwarepatch uit.)

'Zodra je thuiskomt, wil je dit met al je routers doen', zei Horowitz tegen de technisch onderlegde menigte. 'Ga naar /HNAP1/, en hopelijk krijg je geen reactie terug, als dat het enige goede is. Eerlijk gezegd, als je een reactie terugkrijgt, zou ik de router weggooien.'

  • Een opzetten virtuele router is de perfecte manier om uw connecties te delen

De WPS-dreiging

Het ergste van alles is Wi-Fi Protected Setup (WPS), een gebruiksvriendelijke functie waarmee gebruikers het netwerkwachtwoord kunnen omzeilen en apparaten kunnen verbinden met een wifi-netwerk door simpelweg een achtcijferige pincode in te voeren die op de router zelf is afgedrukt. Zelfs als het netwerkwachtwoord of de netwerknaam wordt gewijzigd, blijft de pincode geldig.

'Dit is een enorm beveiligingsprobleem dat met krachttermen is verwijderd', zei Horowitz. 'Met dat achtcijferige nummer kom je hoe dan ook in de [router]. Dus een loodgieter komt naar je huis, draait de router om, maakt een foto van de onderkant, en hij kan nu voor altijd op je netwerk komen.'

Die achtcijferige pincode is niet eens echt acht cijfers, legde Horowitz uit. Het is eigenlijk zeven cijfers plus een laatste controlesomcijfer. De eerste vier cijfers worden gevalideerd als één reeks en de laatste drie als een andere, wat resulteert in slechts 11.000 mogelijke codes in plaats van 10 miljoen.

'Als WPS actief is, kun je in de router komen', zei Horowitz. 'Je hoeft maar 11.000 keer te raden' - een triviale taak voor de meeste moderne computers en smartphones.

Dan is er netwerkpoort 32764, waarvan de Franse beveiligingsonderzoeker Eloi Vanderbeken in 2013 ontdekte dat deze stilletjes open was gelaten op gateway-routers die door verschillende grote merken worden verkocht.

Via poort 32764 kan iedereen op een lokaal netwerk - inclusief de ISP van een gebruiker - de volledige administratieve controle over een router overnemen en zelfs een fabrieksreset uitvoeren zonder wachtwoord.

De poort was op de meeste getroffen apparaten gesloten na de onthullingen van Vanderbeken, maar hij ontdekte later dat hij gemakkelijk opnieuw kon worden geopend met een speciaal ontworpen datapakket dat door een ISP kon worden verzonden.

'Dit is zo duidelijk gedaan door een spionagebureau, het is verbazingwekkend', zei Horowitz. 'Het was opzettelijk, daar bestaat geen twijfel over.'

    Lees verder:De beste Dubai VPN kan de draconische internetwetten van de VAE omzeilen

Hoe u uw thuisrouter kunt vergrendelen

De eerste stap in de richting van beveiliging van de thuisrouter, zei Horowitz, is ervoor te zorgen dat de router en kabelmodem geen enkel apparaat zijn. Veel ISP's verhuren dergelijke apparaten voor twee doeleinden aan klanten, maar die klanten hebben weinig controle over hun eigen thuisnetwerken. (Als je je eigen modem nodig hebt, bekijk dan onze aanbevelingen voor de beste kabelmodem.)

'Als je een enkele doos zou krijgen, die volgens mij de meeste mensen een gateway noemen,' zei Horowitz, 'zou je contact kunnen opnemen met de ISP en ze de doos kunnen laten stompen, zodat het als een modem fungeert. Dan kun je er je eigen router aan toevoegen.'

Vervolgens raadde Horowitz klanten aan om een ​​low-end commerciële Wi-Fi/Ethernet-router te kopen, zoals de Pepwave Surf SOHO , die te koop is voor ongeveer $ 200 (maar pas op voor prijskrakers), in plaats van een gebruiksvriendelijke router die slechts $ 20 kan kosten.

Op commerciële routers is het onwaarschijnlijk dat UPnP of WPS is ingeschakeld. De Pepwave, merkte Horowitz op, biedt extra functies, zoals het terugdraaien van de firmware voor het geval een firmware-update misgaat. (Veel hoogwaardige consumentenrouters , vooral die gericht op gamers, bieden dit ook.)

Ongeacht of een router commercieel of consumentenvriendelijk is, er zijn verschillende dingen, variërend van gemakkelijk tot moeilijk, die beheerders van thuisnetwerken kunnen doen om ervoor te zorgen dat hun routers veiliger zijn.

Eenvoudige oplossingen voor uw draadloze thuisrouter

De beheerdersreferenties wijzigen van de standaard gebruikersnaam en wachtwoord. Dat zijn de eerste dingen die een aanvaller zal proberen. De handleiding van uw router zou u moeten laten zien hoe u dit moet doen. Als dat niet het geval is, Google het dan.

Maak het wachtwoord lang, sterk en uniek, en zorg dat het niet lijkt op het normale wachtwoord om toegang te krijgen tot het wifi-netwerk.

Wijzig de netwerknaam of SSID , van 'Netgear', 'Linksys' of wat dan ook de standaard is tot iets unieks — maar geef het geen naam die u identificeert.

'Als je in een flatgebouw in appartement 3G woont, noem je SSID dan niet 'Appartement 3G',' grapte Horowitz. 'Noem het 'Appartement 5F'.

Automatische firmware-updates inschakelen als ze beschikbaar zijn. Nieuwere routers, waaronder de meeste mesh-routers, werken de routerfirmware automatisch bij.

WPA2 draadloos inschakelen encryptie zodat alleen geautoriseerde gebruikers op uw netwerk kunnen springen. Als je router alleen de oude WEP-standaard ondersteunt, is het tijd voor een nieuwe router.

Schakel de nieuwe WPA3-coderingsstandaard in als de router dit ondersteunt. Vanaf medio 2021 doen echter alleen de nieuwste routers en client-apparaten (pc's, mobiele apparaten, smarthome-apparaten) dat.

Wi-Fi Protected Setup uitschakelen , als uw router dit toelaat.

Een wifi-gastnetwerk instellen en het gebruik ervan aan bezoekers aanbieden, als uw router een dergelijke functie heeft. Stel indien mogelijk het gastnetwerk zo in dat het zichzelf na een bepaalde tijd uitschakelt.

'Je kunt je gastnetwerk aanzetten en een timer instellen, en drie uur later schakelt het zichzelf uit', zei Horowitz. 'Dat is een hele mooie beveiligingsfunctie.'

Als je veel smart-home- of Internet of Things-apparaten hebt, is de kans groot dat veel van hen niet erg veilig zijn. Verbind ze met uw gast-wifi-netwerk in plaats van uw primaire netwerk om de schade als gevolg van een mogelijke inbreuk op een IoT-apparaat te minimaliseren.

Gebruik geen cloudgebaseerd routerbeheer als de fabrikant van uw router dit aanbiedt. Zoek in plaats daarvan uit of u die functie kunt uitschakelen.

'Dit is een heel slecht idee,' zei Horowitz. 'Als je router dat biedt, zou ik het niet doen, want nu vertrouw je een ander persoon tussen jou en je router.'

Veel 'mesh router'-systemen, zoals Nest Wifi en Eero , zijn volledig cloudafhankelijk en kunnen alleen met de gebruiker communiceren via cloudgebaseerde smartphone-apps.

Hoewel die modellen beveiligingsverbeteringen bieden op andere gebieden, zoals met automatische firmware-updates, is het misschien de moeite waard om te zoeken naar een mesh-achtige router die lokale beheerderstoegang mogelijk maakt, zoals de Netgear Orbi.

Matig moeilijke oplossingen voor thuisrouters

Installeer nieuwe firmware wanneer deze beschikbaar komt. Dit is hoe routermakers beveiligingspatches installeren. Log regelmatig in op de administratieve interface van uw router om dit te controleren — hier is een handleiding met meer informatie.

Bij sommige merken moet u mogelijk de website van de fabrikant raadplegen voor firmware-upgrades. Maar zorg dat u een back-uprouter bij de hand hebt als er iets misgaat. Bij sommige routers kunt u ook een back-up maken van de huidige firmware voordat u een update installeert.

Stel uw router in om de 5 GHz-band te gebruiken voor Wi-Fi in plaats van de meer standaard 2,4 GHz-band, indien mogelijk - en als al uw apparaten compatibel zijn.

'De 5 GHz-band gaat niet zo ver als de 2,4 GHz-band', zei Horowitz. 'Dus als er een of twee blokken verderop een slechterik in je buurt is, ziet hij misschien je 2,4-GHz-netwerk, maar misschien niet je 5-GHz-netwerk.'

Externe beheerderstoegang uitschakelen , en beheerderstoegang via wifi uitschakelen . Beheerders mogen alleen verbinding maken met routers via bekabeld Ethernet. (Nogmaals, dit zal niet mogelijk zijn met veel mesh-routers.)

Geavanceerde routerbeveiligingstips voor technisch onderlegde gebruikers

Wijzig de instellingen voor de administratieve webinterface , als uw router dit toestaat. Idealiter zou de interface een veilige HTTPS-verbinding moeten afdwingen via een niet-standaard poort, zodat de URL voor beheerderstoegang zoiets zou zijn als, om het voorbeeld van Horowitz te gebruiken, 'https://192.168.1.1:82' in plaats van de meer standaard 'http://192.168.1.1', die standaard de internetstandaard poort 80 gebruikt.

De incognito- of privémodus van een browser gebruiken bij het openen van de beheerinterface, zodat de nieuwe URL die u in de bovenstaande stap hebt ingesteld niet wordt opgeslagen in de browsergeschiedenis.

Schakel PING, Telnet, SSH, UPnP en HNAP uit , als dat mogelijk is. Dit zijn allemaal protocollen voor toegang op afstand. In plaats van hun relevante poorten in te stellen op 'gesloten', stelt u ze in op 'stealth' zodat er geen reactie wordt gegeven op ongevraagde externe communicatie die mogelijk afkomstig is van aanvallers die uw netwerk onderzoeken.

'Elke router heeft een optie om niet te reageren op PING-commando's', zei Horowitz. 'Het is absoluut iets dat je wilt inschakelen - een geweldige beveiligingsfunctie. Het helpt je te verbergen. Natuurlijk ga je je niet verstoppen voor je ISP, maar je gaat je verstoppen voor een vent in Rusland of China.'

Wijzig het Domain Name System (DNS) van de router server van de eigen server van de ISP naar een server die wordt onderhouden door OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) of Cloudflare (1.1.1.1, 1.0.0.1).

Als u IPv6 gebruikt, zijn de bijbehorende OpenDNS-adressen 2620:0:ccc::2 en 2620:0:ccd::2, die van Google zijn 2001:4860:4860::8888 en 2001:4860:4860:: 8844, en die van Cloudflare zijn 2606:4700:4700::1111 en 2606:4700:4700::1001.

Gebruik een virtueel particulier netwerk (VPN) router om uw bestaande router aan te vullen of te vervangen en al uw netwerkverkeer te versleutelen.

'Als ik VPN-router zeg, bedoel ik een router die een VPN-client kan zijn', zei Horowitz. 'Vervolgens meld je je aan bij een VPN-bedrijf en alles wat je via die router verstuurt, gaat via hun netwerk. Dit is een geweldige manier om te verbergen wat je doet voor je internetprovider.'

Veel wifi-routers voor thuis kunnen worden 'geflitst' om open-sourcefirmware uit te voeren, zoals de DD-WRT-firmware , die op zijn beurt het OpenVPN-protocol native ondersteunt. Meeste van de beste VPN services ondersteunen ook OpenVPN en geven instructies over het instellen van open-sourcerouters om ze te gebruiken.

Eindelijk, gebruik Shields Up van Gibson Research Corp poort-scanservice op https://www.grc.com/shieldsup . Het zal uw router testen op honderden veelvoorkomende kwetsbaarheden, waarvan de meeste kunnen worden verholpen door de beheerder van de router.

[Dit verhaal is oorspronkelijk gepubliceerd in juli 2014 en is sindsdien bijgewerkt met nieuwe informatie.]

  • Zijn gratis VPN's het risico waard? Experts zeggen nee
  • Wat is een mesh-router en heb je er een nodig?
  • Beste wifi-extenders
De beste routerdeals van vandaagVroege Black Friday Sale eindigt over02uur12minuten02droogKorting NETGEAR WiFi 6 Mesh-bereik... Amazone Prime $ 129,99 $ 73,53 Visie Korting 4-poorts NETGEAR EAX20 - Wi-Fi... Dell $ 129,99 $ 79,99 Visie Korting NETGEAR - EAX20 AX1800 WiFi 6... Walmart $ 149,99 $ 95,58 Visie Bekijk meer deals bij Amazone Walmart Beste koop Dell We controleren elke dag meer dan 250 miljoen producten voor de beste prijzen