14 Tools om jou en je router te beschermen tegen netwerkbedrijgingen

Ken je dat ding dat op je breedband hoofdaansluiting is aangesloten? De Wi-Fi-sleutel staat erop gedrukt en je start hem opnieuw op als je breedband niet meer werkt.

Je router is het belangrijkste elektronische apparaat van je thuisnetwerk en regelt wat er binnenkomt en wat eruit gaat.

Het is de poortwachter tussen je veilige interne netwerkomgeving en het ‘Wilde Westen’ van het ongereguleerde internet. Toch wordt het vaak verwaarloosd en is extreem onveilig.

Je nederige thuisrouter

Helaas zijn de meeste routers die door Internet Service Providers (ISP’s) als onderdeel van je contract worden geleverd, ontworpen en geleverd met de focus op budget, niet op efficiëntie en veiligheid. Zelfs apparaten die hun werk goed zouden kunnen doen, hebben waarschijnlijk onveilige standaardconfiguraties, achterdeurtjes of buggy firmware.

Alle moderne routers hebben een firewallfunctie. Hoe makkelijk het voor de gebruiker is om instellingen te wijzigen en toegang te krijgen tot de firewall en de instellingen te wijzigen verschilt van fabrikant tot fabrikant. In sommige gevallen kan de gebruiker de firewallinstellingen niet eens zien. Ze worden in een black-box geleverd, geconfigureerd in een one-size-fits-all formaat.

De fabrikanten die wijzigingen in de configuratie toestaan, vertellen hun eindgebruikers zelden dat dit mogelijk is. En in de zeldzame gevallen waarin de gebruiker wordt geïnformeerd over hoe hij toegang kan krijgen tot de firewall-instellingen, maken de gebruikers daar maar zelden gebruik van.

Als het ongereguleerde internet het Wilde Westen is, dan is je firewall de sheriff. Hij moet goed uitgerust en bevoegd zijn om zijn rol correct uit te voeren. Anders kan alles en iedereen je netwerk binnenwandelen.

En dat kan ook je werkgever zijn.

Lees de kleine lettertjes

Veel organisaties nemen in hun arbeidscontracten, hun beleid voor acceptabel gebruik of hun IT-beveiligingsbeleid op dat ze zich het recht voorbehouden om alles te scannen dat met het bedrijfsnetwerk is verbonden. Dat klinkt redelijk. Het is hun netwerk en ze moeten het veilig houden. Natuurlijk zullen ze controleren wat ermee verbonden is.

Maar met de wijdverspreide overstap naar thuiswerk als gevolg van de COVID-19 pandemie, maken meer werknemers dan ooit verbinding met het bedrijfsnetwerk vanaf hun thuisnetwerk. Organisaties gebruiken poortscansoftware en penetratietestsoftware om je netwerk af te tasten, op zoek naar zwakke plekken precies zoals bedreigers dat doen.

Natuurlijk, als je werkgevers kwetsbaarheden ontdekken in je thuisrouter en -netwerk, zullen ze je niet infecteren met ransomware. Maar de wetenschap dat iemand de verdediging van je router heeft getest – het digitale equivalent van rammelen aan je deuren, de ramen proberen en onder de mat zoeken naar de sleutel – kan je toch een ongemakkelijk en verontwaardigd gevoel geven.

De eerste vraag die je je waarschijnlijk stelt is: mogen ze dat doen? Als het in een beleids- of contractdocument staat waar je onder valt, en je het relevante beleid hebt leren kennen tijdens je introductie en telkens wanneer het werd gewijzigd en opnieuw uitgegeven, dan ja, dan mogen ze dat. Zonder een dergelijke verklaring niet. Het is illegaal om poortscans en penetratietests uit te voeren op iemands netwerk zonder hun voorafgaande toestemming, zelfs als je goede bedoelingen hebt.

Daarom zeggen we: lees de kleine lettertjes. Een dergelijke verklaring kan verstopt zitten in een beleidsdocument dat van toepassing is op jou. Maar zelfs als het zo is dat je organisatie dit kan doen, zou het alleen maar beleefd en respectvol zijn als ze je eerst waarschuwen.

Een korte mededeling waarin wordt uitgelegd dat er een goedaardige scan op afstand wordt uitgevoerd op de netwerken van thuiswerkers om er zeker van te zijn dat ze veilig genoeg zijn om verbinding te maken met het bedrijfsnetwerk, is niet moeilijk om in elkaar te zetten. En het maakt een enorm verschil voor het moreel. Maar helaas wordt zo’n uitleg vaak helemaal niet gegeven.

Je router veiliger maken

Maar wat kan je doen om je router veiliger te maken, ongeacht wie er binnen probeert te komen? Wat je kunt doen hangt af van de fabrikant en het model van je router, maar er zou voor iedereen wel iets op deze lijst moeten staan.

De administratieve interface, menu’s en instellingen verschillen van merk tot merk en van model tot model, dus we kunnen je geen stap-voor-stap handleiding geven. Maar het vinden van de juiste instellingen in je router voor de items in onze lijst zou niet al te lastig moeten zijn – als je er bij mag. Als je ISP het apparaat heeft geblokkeerd en je geen toegang geeft tot de kritieke instellingen, zie dan punt 1.

1. Is de router van je internetprovider slecht?

Over het algemeen zijn ISP-routers minder veilig dan routers die – vaak door dezelfde fabrikanten – rechtstreeks aan consumenten worden verkocht. Hard gecodeerde achterdeurtjes komen vaker voor en beveiligingspatches en firmware-upgrades verschijnen vaak veel later dan de fixes en patches voor de direct-to-consumer modellen. Dit is omdat de firmware in routers die door ISP’s worden geleverd, is aangepast aan die ISP en er aangepaste patches voor nodig zijn.

Niets weerhoudt je ervan om je eigen router te kopen en die in plaats daarvan te gebruiken. Houd de router die je van je ISP hebt gekregen en gebruik hem als reserve. Als je een probleem hebt met je breedband en je vraagt je af of het een probleem met de router is of een probleem in de externe breedbandinfrastructuur, dan kun je de router van je internetprovider gebruiken en kijken of het probleem verdwijnt. Als dat zo is, ligt het probleem bij je router; als dat niet zo is, ligt het probleem extern.

2. Wijzig het standaard beheerderswachtwoord

Aangezien veel routers de fabriek verlaten met standaard beheerderswachtwoorden, vormt dit een kwetsbaarheid voor potentiële bedreigingen. Hackers of andere personen met een scansoftware zullen proberen het merk en model van de router te achterhalen – door de metadata in de antwoorden van je router op hun verzoeken te onderzoeken – en de standaard beheerdersgegevens opzoeken.

De eerste keer dat je je router aansluit om hem te configureren, moet je het beheerderswachtwoord wijzigen in een veilig en robuust wachtwoord. Of, nog beter, in een wachtwoordzin zoals drie woorden verbonden door leestekens. En als je toch bezig bent, zorg er dan voor dat de webinterface van de beheerder niet toegankelijk is vanaf het internet. Jij gaat je router niet op afstand beheren, dus geef niemand anders de kans.

3. Gebruik een router die VPN ondersteunt

Als je echt, echt externe toegang tot je router nodig hebt, gebruik dan een router die VPN-verbindingen (Virtual Private Network) ondersteunt. Beperk VPN-verbindingen tot die op een lijst met goedgekeurde IP-adressen of tot een IP-adresbereik. Als je dus weet dat je misschien vanuit je kantoor naar je router moet VPN’en, voeg dan je kantoor toe aan de IP-adressen op de witte lijst.

4. Ga zelfs thuis Incognito

Zelfs wanneer je verbinding maakt met je router vanuit je eigen netwerk, is het een goed gebruik om gebruik te maken van anoniem browsen, de incognitomodus, of welke naam je browser ook gebruikt voor browsen in het geheugen. Op die manier slaat je browser geen referenties of IP-adressen op die anderen op jouw computer kunnen gebruiken om verbinding te maken met je router.

Laat je browser nooit de gegevens voor de router onthouden. Je moet ze zelf onthouden en elke keer opnieuw invoeren. Of gebruik een wachtwoordbeveiliging.

5. Accepteer alleen verbindingen vanaf een specifiek IP-adres

Je kunt sommige routers zo instellen dat ze alleen verbindingen van beheerders accepteren vanaf één lokaal IP-adres en alle verbindingen van andere adressen weigeren. Als je dit gaat doen, gebruik dan een IP-adres dat geen deel uitmaakt van de DHCP-pool (Dynamic Host Configuration Protocol). Als je computer zijn IP-adres verliest, leaset en een nieuw IP-adres krijgt toegewezen – door je router! – krijg je geen toegang tot de router.

6. Gebruik een robuust Wi-Fi-wachtwoord

Kies een robuust Wi-Fi wachtwoord en gebruik de sterkste encryptie-instelling van je apparaat. De nieuwste routers ondersteunen Wi-Fi Protected Access 3 (WPA3), maar de meeste routers zijn beperkt tot Wi-Fi Protected Access 2 (WPA2).

7. WPS uitschakelen

Schakel Wi-Fi Protected Setup (WPS) uit. Het uitgangspunt van WPS was om het instellen van Wi-Fi en het verbinden met Wi-Fi-netwerken voor niet-technische gebruikers te vereenvoudigen. Het werd echter zelden gebruikt en bevatte een kwetsbaarheid waardoor bedreigers Wi-Fi-netwerken konden compromitteren.

Er werden patches en fixes uitgerold, maar niet alle modellen werden gepatcht en niet alle fabrikanten reageerden op het probleem. Het is het veiligst om het uit te schakelen en een bekabelde verbinding te gebruiken voor de configuratie.

8. Schakel diensten uit die je niet gebruikt

Routers ondersteunen allerlei protocollen en verbindingstypes. Je hebt ze bijna zeker niet nodig, dus schakel ze uit. Hoe minder deuren en ramen een gebouw heeft, hoe moeilijker het is voor een inbreker om binnen te komen. Hetzelfde geldt voor je router. Sluit alle poorten en open alleen de poorten die je gebruikt. Hoe minder verbindingstypes de router accepteert, hoe veiliger je bent.

Je kunt diensten zoals Ping, Telnet, Universal Plug and Play (UPnP), Secure Shell (SSH) en Home Network Administration Protocol (HNAP) uitschakelen.

9. Gebruik geen cloudgebaseerd routerbeheer

Als je router dit ondersteunt, schakel het dan uit. Je wilt niet dat je router praat met de cloud van de fabrikant. Dat plaatst nog een laag tussen jou en de router die je moet vertrouwen. Je gaat je router lokaal beheren, dus schakel dit uit.

10. Patch je router regelmatig

Je bent gewend om updates voor je computer te krijgen, en je smartphone krijgt patches en fixes als er kwetsbaarheden worden ontdekt en aangepakt. Hetzelfde proces gebeurt ook met je router. Bij de meeste routers is dit een handmatig proces, maar sommige routers kunnen zo worden ingesteld dat ze regelmatig een melding geven dat je moet controleren op updates.

Als je handmatige updates uitvoert, controleer dan de ondersteuningspagina van de fabrikant voor je router. Een keer per maand is waarschijnlijk genoeg.

11. Wi-Fi-toegang regelen

Bij veel routers kun je een lijst van apparaatidentiteiten configureren. Deze worden Media Access Control (MAC)-adressen genoemd. Deze zijn uniek voor elk apparaat in het netwerk. Dat betekent dat alleen erkende en geautoriseerde apparaten verbinding kunnen maken met je Wi-Fi.

Stel een gast-WiFi in voor bezoekers als je router dat toestaat. Dat geeft bezoekers Wi-Fi-toegang tot internet zonder andere apparaten op je netwerk te onthullen of bloot te geven.

12. Segmenteer je netwerk

Sommige consumentenrouters hebben de mogelijkheid om VLAN’s (Virtual Local Area Networks) binnen andere netwerken te configureren. Zo kun je bijvoorbeeld apparaten van het internet of things (IoT) isoleren van de rest van je netwerk.

IoT-apparaten zijn notoir onveilig. Veel van hen schenden de meest elementaire beveiligingsmaatregelen. Ze stellen zichzelf bijvoorbeeld bloot aan het internet met onbeveiligde protocollen en beheerderswachtwoorden die niet veranderd zijn. Een goede manier om ze te beheren is om ze gescheiden houden in hun eigen VLAN.

13. Wijzig je DNS-instellingen

Wijzig de instellingen van je Domain Name System en verander de standaardwaarden van je ISP.

Gerespecteerde diensten die je kunt gebruiken zijn:

  • OpenDNS: 208.67.220.220 of 208.67.222.222
  • Google DNS: 8.8.8.8 of 8.8.4.4
  • Cloudflare: 1.1.1.1 of 1.0.0.1

14. Overweeg aangepaste firmware voor je router

Gevorderde gebruikers kunnen overwegen om de firmware van de fabrikant volledig uit te schakelen en deze te vervangen door een gratis, open-source alternatief. Deze zijn meestal gebaseerd op Linux of Berkeley Software Distribution (BSD) distributies. Ze zijn vaak veiliger, vollediger en beter configureerbaar dan de standaard firmware van de fabrikant en ondersteunen vaak VPN-protocollen.

Twee van de bekendere producten zijn OpenWRT en DD-WRT, maar er zijn veel alternatieven beschikbaar. Deze, door de gemeenschap ondersteunde projecten, zijn vaak beter dan de fabrikanten in het uitbrengen van patches en fixes.

Laten we duidelijk zijn. Het “flashen” van de firmware vereist technische expertise om het goed te doen. Als je dit doet met een router binnen de ondersteuningscyclus, vervalt de garantie. En in het ergste geval “brick” je je apparaat, waardoor het volledig onbruikbaar wordt. Zorg ervoor dat je weet wat je doet voordat je verder gaat of schakel technische hulp in.

De kern van de zaak

Je router is het verbindingspunt tussen jou en de buitenwereld – aandacht op dit gebied is cruciaal voor de veiligheid op het web!

Afhankelijk van je netwerk- en connectiviteitsbehoeften, het merk van de router, de flexibiliteit van de router- en firewallinstellingen en je technische kennis, kun je zoveel mogelijk van deze stappen toepassen om je huis te beschermen tegen digitale aanvallen.

Gerelateerde begrippen

Marshall Gunnell

Marshall is een technologisch schrijver uit Tokio en is een groot fan van videogames. Hij bezit professionele kennis van de kunst en heeft onder andere geschreven voor VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier en nog veel meer.