Berichten

Vijf methoden waarmee de meest voorkomende Wi-Fi beveiligingsproblemen gemanaged kunnen worden

Tegenwoordig zijn de Wi-Fi netwerken veel veiliger dan het bekabelde netwerk in hetzelfde gebouw. Dit klinkt in eerste instantie misschien wat vreemd, maar dit is vaak wel het geval. Vroeger was dit wel anders. 20 jaar geleden, rond de introductie van WLAN, konden aanvallers op allerlei manieren de beveiligingsprocedures en -protocollen omzeilen. De industrie heeft dan ook veel aandacht besteed aan het veiliger maken van WLAN’s en dat is zeker gelukt. Maar alle technologische ontwikkelingen van de afgelopen jaren brengen ook weer nieuwe uitdagingen bij het beveiligen van een netwerk met zich mee.

Vijf Wi-Fi beveiligingsmethoden

  1. Stipt op één staat het gebruik van digitale certificaten. Deze methode heeft de voorkeur omdat certificaten vrijwel niet kunnen worden gerepliceerd. Dit in tegenstelling tot door gebruikers gemaakte wachtwoorden. Deze methode is echter ook de meest complexe voor de netwerkbeheerder. Tenzij er een gebruiksvriendelijk self-service inschrijvingssysteem aanwezig is voor het automatiseren van de autorisatie, kan het maken en distribueren van certificaten en veilige WLAN-instellingen voor gebruikers een tijdrovende klus worden.
  2. De tweede methode is een op gebruikersnaam en wachtwoord gebaseerde authenticatie, vaak gekoppeld aan een gebruikersdatabase zoals Microsoft Active Directory. Dit werkt goed, maar netwerkbeheerders moeten voorzichtig te werk gaan en ervoor zorgen dat de juiste servercertificaten worden geïmplementeerd. Het is van belang dat de gebruikers een legitieme server aanspreken en dat de wachtwoorden van gebruikers complex genoeg zijn. Een goed wachtwoordbeleid hoeft helemaal niet zo ingewikkeld te zijn als men vaak denkt. Op deze website kunt u meer lezen over hoe wachtwoorden vaak worden gekraakt en hoe u de beveiliging van uw systemen kunt verbeteren.
  3. Daarnaast zijn er apparaten die niet geschikt zijn voor de bovenstaande beveiligingsmethoden, maar het is uiteraard belangrijk dat deze apparaten ook beveiligd worden. Het gaat hierbij veelal om IoT-apparatuur waardoor men beperkt is tot Pre-Shared Key-authenticatie. Het gebruik van Dynamic Pre-Shared Key (unieke sleutel per apparaat) verbetert de beveiliging en beperkt de gevolgen als een sleutel wordt ontdekt.
  4. In 2019 gaan we de introductie van een verdere beveiligingsverbetering, WPA3, tegemoet zien. Deze nieuwe Wi-Fi beveiligingsstandaard zal WPA2 op den duur gaan vervangen en verbetert de coderingssterkte en het gemak van het instellen van bovengenoemde methoden.
  5. Tot slot is er nog de op rollen gebaseerde toegang; met een geschikte WLAN-infrastructuur kunnen de bovenstaande toegangsmethoden worden toegewezen aan gebruikersrollen. Definieer wat is toegestaan voor een gebruikerstype en pas dienovereenkomstig regels toe. Rollen bieden een overvloed aan besturingselementen, van VLAN-toewijzing, eenvoudige poort- en protocolgebaseerde firewallregels tot op toepassingen gebaseerde herkenning en controle, inclusief URL-filtering.

Bekijk onze Wi-Fi security pagina voor meer informatie over dit onderwerp of lees het volledige artikel op de blog van Ruckus Networks →

Wi-Fi Alliance lanceert opvolger van WPA2

wifi-security-banner-alcadis

De Wi-Fi Alliance lanceert Wi-Fi CERTIFIED WPA3, een nieuwe generatie beveiliging voor Wi-Fi netwerken. WPA3 bouwt voort op WPA2, een beveiligingstechnologie die al ruim een decennium wordt toegepast op Wi-Fi netwerken.

WPA3 bevat verschillende nieuwe features die het beveiligen van Wi-Fi netwerken vereenvoudigen, meer robuuste authentificatie mogelijk maken en een sterke cryptografie toepassen voor gevoelige data. WPA3 is interoperabel met WPA2 apparaten.

WPA3-Personal en WPA3-Enterprise

Het nieuwe WPA3 bestaat uit twee verschillende modi: WPA3-Personal en WPA3-Enterprise. Beide maken gebruik van de laatste beveiligingsmethoden, faseren het gebruik van legacy protocollen uit en vereisen het gebruik van Protected Management Frames (PMF). Kenmerkend voor de twee modi zijn:

  • WPA3-Personal: biedt wachtwoord-gebaseerde authentificatie die meer veiligheid levert, ook als gebruikers wachtwoorden kiezen die niet aan de doorsnee beveiligingseisen voldoen. WPA3 maakt gebruik van Simultaneous Authentication of Equals (SAE), een protocol voor het opstellen van veilige sleutels voor apparaten om gebruikers beter te beschermen tegen aanvallers die wachtwoorden proberen te raden.
  • WPA3-Enterprise: levert een beveiliging die gelijkstaat aan 192-bit versleuteling en bevat aanvullende beveiligingsmaatregelen voor netwerken waarover gevoelige data wordt verstuurd, zoals netwerken van overheden en financiële instellingen. De 192-bit security suite zorgt ervoor dat een combinatie van cryptografische tools wordt toegepast op WPA3-netwerken.

WPA2 blijft ook na de invoering van WPA3 verplicht voor alle Wi-Fi CERTIFIED apparaten. Naarmate de omarming van WPA3 toeneemt, wordt deze vereiste op termijn omgezet naar WPA3.

Wi-Fi CERTIFIED Easy Connect

De Wi-Fi Alliance lanceert ook Wi-Fi CERTIFIED Easy Connect, een nieuw programma dat het eenvoudiger maakt apparaten met een beperkte of geen beeldscherm te beveiligen. Wi-Fi Easy Connect stelt gebruikers in staat om ieder apparaat veilig te verbinden met een draadloos netwerk door de configuratie van het apparaat uit te voeren via een apparaat dat wel over een beeldscherm beschikt. Hiervoor is een zogeheten ‘quick response’ code beschikbaar, die uitsluitend hoeft worden gescand om het apparaat te configureren.

Bron: Dutch IT-channel

Wi-Fi Alliance kondigt WPA3-encryptieprotocol aan

Het WPA2-protocol beschermt al meer dan een decennium het overgrote deel van de Wi-Fi netwerken. Lange tijd voldeed dit meer dan prima, maar vorig jaar is er door een Belgische beveiligingsonderzoeker een lek in het protocol gevonden, genaamd KRACK. Vorig jaar is dit specifieke lek in WPA2 op veel apparaten met een patch gedicht, maar voor veel oude apparaten blijft het een risico en ook bij nieuwe apparaten moet er rekening mee gehouden worden.

De Wi-Fi Alliance heeft nu de opvolger van het 14 jaar oude protocol aangekondigd. WPA3 voorkomt niet alleen fout in de handshake maar brengt gelijk een aantal andere beveiligingsverbeteringen met zich mee. Zo moet op open netwerken de data van gebruikers beter beveiligd worden door standaard encryptie toe te passen.

Netwerken die gebruik maken van korte wachtwoorden zijn beter beveiligd (maar nog steeds zijn korte wachtwoorden niet aangeraden) door de mogelijkheden op een brute-force aanval in te perken. Apparaten zonder visuele interface, zoals lampen, thermostaten en andere IoT-devices, kunnen beter beveiligd worden door via een smartphone beveiligingsinstellingen aan te passen.

Begin 2018 moet de WPA3-standaard definitief zijn en de officiële certificatie van start gaan.

Bron: Hardware.Info

(Update) Lek in Wi-Fi beveiliging WPA2 – KRACK

De media staan er vol mee, er is een beveiligingslek in het WPA2 wireless protocol genaamd KRACK. Hiermee kunnen aanvallers via de draadloze verbinding meekijken met het internetgebruik en mogelijk malware installeren.

KRACK
Een Belgische onderzoeker heeft dit lek blootgelegd. KRACK staat voor ‘Key Reinstallation Attack’ en maakt gebruik van een ontwerpfout in de cryptografische protocollen door een reeds gebruikte sleutel opnieuw te installeren. Kortom de manier waarop een apparaat een ‘sleutel’ uitwisselt met een Wi-Fi verbinding.

Doordat deze uitwisseling van de sleutel kan worden gemanipuleerd, kunnen kwaadwillenden inbreken op de Wi-Fi verbinding. Hierdoor ben je te volgen bij wat je op internet doet. Ook kunnen aanvallers je valse websites voorschotelen.

Een aanvaller moet fysiek in de buurt van een Wi-Fi netwerk zijn om het lek te misbruiken. Alleen onversleuteld internetverkeer is dan inzichtelijk. Steeds meer websites en apps gebruiken HTTPS-verbindingen die wel zijn versleuteld, en daarom niet kunnen worden afgeluisterd.

Statements van Wi-Fi leveranciers
Om ons te beschermen zullen veel Wi-Fi leveranciers nieuwe updates beschikbaar stellen om deze aanval tegen te gaan. Vanuit onze Wi-Fi leveranciers zijn er statements afgegeven over KRACK. Deze verschillende statements kunt u hieronder lezen.

  • Ruckus / Xclaim

Bekijk hier het document.

UPDATE: Ruckus heeft inmiddels verschillende software patches beschikbaar gesteld die een oplossing bieden voor het WPA2 KRACK issue. Deze patches zijn beschikbaar via de website van Ruckus.

  • Alcatel-Lucent Enterprise

Bekijk hier het document van ALE.  (update)

Lees ook meer over het statement van ALE op hun website en hun blog.

UPDATE: Alcatel-Lucent Enterprise heeft een nieuwe firmware release beschikbaar gesteld die een oplossing biedt voor het WPA2 KRACK issue. Indien u vragen heeft of deze firmware wilt downloaden, kunt u contact opnemen met onze supportafdeling via support@alcadis.nl.

  • EnGenius

Lees hier het persbericht van EnGenius.

  • SonicWall

Lees hier het persbericht van SonicWall.

  • Technicolor

Bekijk hier het statement van Technicolor. 

  • WiFi Alliance

De WiFI Alliance heeft ook een statement afgegeven met betrekking tot KRACK. Bekijk het statement hier.

Kwetsbaarheden in clients
Er is veel zichtbaarheid van de fabrikanten van Wi-Fi netwerkapparatuur ten aanzien van de door hen genomen maatregelen. Minder belicht is echter het feit dat de zwakheden die zijn blootgelegd ook grotendeels gerelateerd zijn aan de client apparatuur. Elke Wi-Fi toestel is hierdoor kwetsbaar. Met name Android 6 (Marshmallow) is hiervoor gevoelig. Google heeft al aangegeven de komende tijd maatregelen te zullen treffen. Hoewel Apple’s IOS minder kwetsbaar lijkt heeft deze fabrikant ook aangegeven zo snel mogelijk software updates ter beschikking te stellen. Microsoft heeft aangegeven reeds updates ter beschikking te hebben. De boodschap is dan ook dat u ervoor dient te zorgen dat uw client apparatuur van de juiste updates en beveiligingsupdates is voorzien.

Het effect van KRACK in de praktijk

Het WPA / WPA2-protocol is na de bekendmaking van KRACK niet fundamenteel gebrekkig. Dit betekent dat de blootstelling beperkt en fixeerbaar is zonder dat WPA2 geheel ongeschikt wordt verklaard. Software- / firmware-patches worden of zijn al ter beschikking gesteld. Het is belangrijk om te weten dat, hoewel deze aanvallen technisch haalbaar zijn, ze niet mogelijk zijn zonder toegang tot uw netwerk en er bovenal een zeer grote mate van expertise en verfijning benodigd is om deze succesvol uit te voeren. Wij raden altijd aan dat iedereen die geïnteresseerd is in het beveiligen van hun WLAN-netwerk, regelmatig audits uitvoert van hun beveiligingsinfrastructuur en -procedures om ervoor te zorgen dat alles in overeenstemming is met de “best practices” en leveranciersaanbevelingen.

Mocht u naar aanleiding van dit bericht nog vragen hebben, dan kunt u contact opnemen met uw Accountmanager of neem contact met ons op via sales@alcadis.nl of 030-65 85 125.

Lek in Wi-Fi beveiliging WPA2 – KRACK

De media staan er vol mee, er is een beveiligingslek in het WPA2 wireless protocol genaamd KRACK. Hiermee kunnen aanvallers via de draadloze verbinding meekijken met het internetgebruik en mogelijk malware installeren.

KRACK
Een Belgische onderzoeker heeft dit lek blootgelegd. KRACK staat voor ‘Key Reinstallation Attack’ en maakt gebruik van een ontwerpfout in de cryptografische protocollen door een reeds gebruikte sleutel opnieuw te installeren. kortom de manier waarop een apparaat een ‘sleutel’ uitwisselt met een Wi-Fi verbinding.

Doordat deze uitwisseling van de sleutel kan worden gemanipuleerd, kunnen kwaadwillenden inbreken op de Wi-Fi verbinding. Hierdoor ben je te volgen bij wat je op internet doet. Ook kunnen aanvallers je valse websites voorschotelen.

Een aanvaller moet fysiek in de buurt van een Wi-Fi netwerk zijn om het lek te misbruiken. Alleen onversleuteld internetverkeer is dan inzichtelijk. Steeds meer websites en apps gebruiken HTTPS-verbindingen die wel zijn versleuteld, en daarom niet kunnen worden afgeluisterd.

Statements van Wi-Fi leveranciers
Om ons te beschermen zullen veel Wi-Fi leveranciers nieuwe updates beschikbaar stellen om deze aanval tegen te gaan. Vanuit onze Wi-Fi leveranciers zijn er statements afgegeven over KRACK. Deze verschillende statements kunt u hieronder lezen.

  • Ruckus / Xclaim

Bekijk hier het document.

  • Alcatel-Lucent Enterprise

Bekijk hier het document van ALE.

Lees ook meer over het statement van ALE op hun website en hun blog.

  • EnGenius

Lees hier het persbericht van EnGenius.

  • SonicWall

Lees hier het persbericht van SonicWall.

  • Technicolor

Bekijk hier het statement van Technicolor. 

  • WiFi Alliance

De WiFI Alliance heeft ook een statement afgegeven met betrekking tot KRACK. Bekijk het statement hier.

Kwetsbaarheden in clients
Er is veel zichtbaarheid van de fabrikanten van Wi-Fi netwerkapparatuur ten aanzien van de door hen genomen maatregelen. Minder belicht is echter het feit dat de zwakheden die zijn blootgelegd ook grotendeels gerelateerd zijn aan de client apparatuur. Elke Wi-Fi toestel is hierdoor kwetsbaar. Met name Android 6 (Marshmallow) is hiervoor gevoelig. Google heeft al aangegeven de komende tijd maatregelen te zullen treffen. Hoewel Apple’s IOS minder kwetsbaar lijkt heeft deze fabrikant ook aangegeven zo snel mogelijk software updates ter beschikking te stellen. Microsoft heeft aangegeven reeds updates ter beschikking te hebben. De boodschap is dan ook dat u ervoor dient te zorgen dat uw client apparatuur van de juiste updates en beveiligingsupdates is voorzien.

Het effect van KRACK in de praktijk

Het WPA / WPA2-protocol is na de bekendmaking van KRACK niet fundamenteel gebrekkig. Dit betekent dat de blootstelling beperkt en fixeerbaar is zonder dat WPA2 geheel ongeschikt wordt verklaard. Software- / firmware-patches worden of zijn al ter beschikking gesteld. Het is belangrijk om te weten dat, hoewel deze aanvallen technisch haalbaar zijn, ze niet mogelijk zijn zonder toegang tot uw netwerk en er bovenal een zeer grote mate van expertise en verfijning benodigd is om deze succesvol uit te voeren. Wij raden altijd aan dat iedereen die geïnteresseerd is in het beveiligen van hun WLAN-netwerk, regelmatig audits uitvoert van hun beveiligingsinfrastructuur en -procedures om ervoor te zorgen dat alles in overeenstemming is met de “best practices” en leveranciersaanbevelingen.

Mocht u naar aanleiding van dit bericht nog vragen hebben, dan kunt u contact opnemen met uw Accountmanager of neem contact met ons op via sales@alcadis.nl of 030-65 85 125.