I.

Netwerken

Computers die met elkaar verbonden zijn, zitten in wat men een netwerk noemt. Een netwerk kan enorm zijn zoals het internet, maar ook een klein thuisnetwerk is een netwerk.

Een netwerk maakt gebruik van een protocol voor de communicatie tussen computers of aangesloten apparaten, die nodes worden genoemd. Een node is dus elk fysiek apparaat dat op een netwerk is aangesloten en dat de mogelijkheid heeft om gegevens over het netwerk te maken, te ontvangen of te verzenden. Een node heeft gewoonlijk zijn eigen IP-adres om de specifieke apparaatbron voor het verzenden en ontvangen van gegevens te identificeren. In een thuisnetwerk bijvoorbeeld zijn een pc, een smartphone, een printer en een internetrouter allemaal voorbeelden van knooppunten in hetzelfde netwerk.

Het internet als netwerk

Het internet is in wezen een netwerk van netwerken. Het verbindt individuele netwerken, zoals thuisnetwerken, overheidsnetwerken en bedrijfsnetwerken, door gegevens te versturen via verschillende knooppunten die op het internetnetwerk zijn aangesloten. Zo kunnen gegevens in een oogwenk de hele wereld rondreizen.

Het netwerk van netwerken op het internet maakt de verbinding van netwerkknooppunten met andere netwerkknooppunten mogelijk, met het doel het gegevensverkeer van de afzender naar de beoogde doelserver te leiden. Geen enkele entiteit controleert alle nodes in het netwerk, waardoor het een zogenaamd gedistribueerd netwerk is. Dit is een kernelement bij het handhaven van de integriteit van het internet en de gegevens die het uitwisselt.

In het onderstaande voorbeeld stelt elk punt een knooppunt voor, en elk knooppunt kan een routingdienst of een volledig netwerk zijn. Het verkeer van knooppunt A naar knooppunt Z zal door het internet worden geleid via meerdere knooppunten die worden bepaald door de routinginformatie van de knooppunten. De route hoeft niet voor elk gegevenspakket dezelfde te zijn. Elk knooppunt hoeft de netwerktopologie niet te begrijpen, in plaats daarvan hoeft het alleen de volgende stap op de route naar het doel te kennen.

Laten we eens nader kijken naar een netwerk en hoe het verbonden is met het internet en andere knooppunten. Zie de onderstaande afbeelding voor een voorbeeld.

Een netwerk dat een verbindingsroute tussen nodes weergeeft

Het internet is een netwerk van netwerken. Uw thuisnetwerk is niet meer dan één netwerk in het verdeelde netwerk dat het internet is.

Netwerk van netwerken

1. Academische netwerken, 2. Thuisnetwerken, 3. Mobiele netwerken, 4. Zakelijke netwerken, 5. Netwerkproviders

Een thuis- (of lokaal) netwerk

Wanneer u thuis verbinding maakt met een netwerk, of dat nu via wifi of een bekabeld netwerk is, bevindt u zich in een apart netwerk dat met het internet is verbonden, meestal via een thuisrouter. De router geeft u toegang tot het internet en weet welke apparaten zich binnen het thuisnetwerk bevinden en welke daarbuiten. Hij weet ook waar verkeer voor onbekende doelen naartoe moet worden doorgestuurd. Sommige routers bieden ook een soort beveiliging tegen het verkeer buiten het thuisnetwerk. Deze bescherming hangt af van het merk en model van de router en andere mogelijke apparaten die u tussen uw computer en het externe netwerk hebt staan. Netwerkproviders kunnen ook diensten verkopen die uw netwerk beschermen.

Het is belangrijk om te begrijpen dat elk aantal knooppunten waar uw verkeer doorheen gaat nadat het uw thuisnetwerk heeft verlaten, mogelijk uw communicatie kan monitoren of afluisteren. We hebben in het vorige hoofdstuk geleerd hoe belangrijk het is om communicatie te beveiligen. In dit hoofdstuk zullen we ons concentreren op hoe we ervoor kunnen zorgen dat het netwerk waar ze doorheen reist ook veilig is.

Laten we eens inzoomen op uw thuisnetwerk.

Thuisnetwerk

A. Internet serviceprovider; B. Mobiele telefoon; C. Wifi-modem ; D. Smart-tv; E. Laptop

De meeste thuisnetwerken bestaan alleen uit een modem/router en de apparaten zijn via een draadloze verbinding met de router verbonden. De modem kan een apart apparaat zijn naast de router of ze kunnen in hetzelfde apparaat zijn geïntegreerd. In dat geval maken alle apparaten verbinding met de router. Velen beschouwen het thuisnetwerk (of lokaal netwerk zoals het ook wel wordt genoemd) als een vertrouwd netwerk. Dit betekent dat de meeste apparaten niet proberen verbindingen in dat netwerk te blokkeren, bijvoorbeeld voor het delen van bestanden. De router geeft ook de gegevens door tussen de apparaten die er rechtstreeks mee verbonden zijn, zonder het verkeer via het bredere internet te leiden. De router kan alle gegevens zien die er doorheen gaan als de gegevens niet gecodeerd zijn. Als u geen beveiligde verbinding met uw router tot stand brengt, is het draadloze verkeer bovendien mogelijk helemaal niet versleuteld en kan elk apparaat dat dichtbij genoeg is om de radiogolven op te vangen, het niet-versleutelde verkeer afluisteren.

De lokale netwerkverbinding versleutelen

De eerste stap waar u voor moet zorgen, is het gebruik van een beveiligde verbinding met de wifi-router. Normaal gesproken is de standaardconfiguratie op de meeste routers om een versleutelde verbinding te gebruiken, maar er zijn een paar dingen waar u zich bewust van moet zijn:

1) Standaard wachtwoorden op sommige apparaten zijn algemeen bekend. Als de aanvaller het merk en model van uw router kent, kan hij proberen de standaardgegevens te gebruiken en zich bij uw netwerk aan te sluiten.

  • U moet altijd het standaardwachtwoord voor toetreding tot het netwerk wijzigen. Net als bij het maken van loginwachtwoorden voor uw onlineaccounts, moeten wachtwoorden voor toegang tot uw lokale netwerk gebruik maken van goede praktijken (zie hoofdstuk 2.3) om ervoor te zorgen dat ze niet te gemakkelijk te raden of te brute forceren zijn.

2) Standaard heeft iedereen in uw lokale netwerk toegang tot de beheerinterface van de router. Deze is gewoonlijk beveiligd met een bekende gebruikersnaam en wachtwoord die gemakkelijk op het internet te vinden zijn.

  • U dient ook het wachtwoord te wijzigen dat wordt gebruikt om toegang te krijgen tot de beheerinterface van de router.

3) De router gebruikt mogelijk een oudere versie van versleuteling die gemakkelijk te kraken is. Versies van het protocol die u moet vermijden zijn WEP en WPA, die verouderd zijn.

  • WPA2 en de nieuwe WPA3-versleuteling zijn veiliger. Als uw wifirouter WPA3 ondersteunt, overweegt u best daarop over te schakelen. Instructies om dit te controleren op basis van uw type computer vindt u hieronder.

Note

Uw wifibeveiliging controleren op een Mac-computer

Terwijl u de Option (alt)-toets ingedrukt houdt, klikt u op het wifi-pictogram op uw werkbalk. Het gebruikte protocol vindt u onder het kopje Beveiliging.

Uw wifibeveiliging controleren op een Windows 10-computer

Klik in Windows 10 op het pictogram wifiverbinding in de taakbalk. Klik op Eigenschappen onder uw wifiverbinding. Zoek naar wifidetails en zoek daaronder naar Beveiligingstype.

Het is belangrijk op te merken dat het beveiligen van uw lokale netwerk slechts de eerste stap naar netwerkbeveiliging is. Zelfs als u uw wifiverbinding versleutelt (met bijvoorbeeld WPA2), wordt uw verkeer alleen versleuteld van uw computer naar de wifirouter. Als u een beveiligde lokale netwerkverbinding hebt, is de inhoud van het verkeer versleuteld als het naar de router wordt gestuurd, maar de router zal hem decoderen voor het doorsturen. Als het volgende knooppunt in de route een beveiligde verbinding rechtstreeks met de router gebruikt, wordt het verkeer met een andere sleutel versleuteld en naar het volgende knooppunt verzonden. Als het volgende knooppunt zich echter op het internet bevindt, is het verkeer helemaal niet noodzakelijk versleuteld, tenzij u een versleuteld protocol zoals SSL of TLS gebruikt voor het verkeer. We zullen meer leren over deze protocollen in de volgende sectie over de protocol stack.

Toegang van buitenaf tot een netwerk beperken

Als een netwerk, zoals een thuisnetwerk, verbonden is met een ander netwerk, zoals het internet, dient de verbinding beperkt te worden tot alleen wat nodig is. Anders zijn alle diensten die in het thuisnetwerk beschikbaar zijn voor iedereen op het internet beschikbaar. In een thuisnetwerk doet de modem meestal dienst als die filter. De functionaliteit van deze filtering wordt een firewall genoemd op en de meeste besturingssystemen (de besturingssoftware op uw apparaten) is er ook een ingebouwd.

Een firewall beperkt het verkeer dat er doorheen gaat op basis van zijn regels. De eenvoudigste firewallregels laten gewoon alle verkeer door of laten gewoon alles vallen. Afhankelijk van de firewall kan hij echter heel wat functies hebben, en kan hij analyse van het verkeer toelaten om te bepalen of het moet worden doorgelaten.

Firewalls kunnen zowel soft- als hardwarematig zijn. Over het algemeen wilt u beide soorten. Een softwarematige firewall op uw computer beschermt uw computer tegen bedreigingen die afkomstig zijn van het netwerk waarop u zich bevindt. Deze bedreigingen omvatten zaken als virussen en bugs zoals malware die uw computer kunnen beschadigen of overnemen. Een hardwarematige firewall is een goed hulpmiddel om uw lokale netwerk te beschermen tegen het internet. Een voorbeeld hiervan is de modem, een fysiek apparaat dat dienst doet als netwerkafscheiding door al het inkomende en uitgaande verkeer te screenen.

De meeste firewalls werken op pakketniveau (we leren meer over pakketten in het volgende onderdeel over de protocol stack). Ze filteren pakketten op basis van hun type, afzender adres en poort of het ontvanger adres en poort. Meer geavanceerde next-generation firewalls bieden meer mogelijkheden, zoals versleutelde verkeersinspectie, antivirus scanners, inbraakdetectie en pakketinspectie. Sommige firewalls maken stateful inspectie van het verkeer mogelijk.

De router van uw thuisnetwerk bevat waarschijnlijk een basis-firewall die (het meeste) verkeer naar het internet toestaat, maar verkeer van het internet weigert dat niet door u is geïnitieerd, zoals het antwoord op een verzoek om een webpagina. In de meeste andere gevallen, vooral als u een bedrijf runt, zal een eenvoudige firewall waarschijnlijk niet voldoende bescherming bieden voor u.

Voorbeeld

Denk bijvoorbeeld aan het gebruik van een openbare wifihotspot om uw e-mail te controleren. Als u uw e-mail niet over een versleutelde verbinding downloadt, kan het netwerk de inhoud van de e-mails zien. Als u geen vertrouwd wifinetwerk gebruikt, zoals een thuisnetwerk, wie controleert het netwerk dan? Kun u erop vertrouwen dat niemand alle niet-versleutelde communicatie leest binnen het lokale netwerk dat u gebruikt? U hebt misschien services voor het delen van bestanden (AirDrop bijvoorbeeld) ingeschakeld binnen uw directe netwerk, dat nu door iedereen met netwerktoegang kan worden gecontroleerd.

Een voorbeeld van wifiaanvallen in de praktijk was te zien in 2015, toen een deskundig team van hackers aantoonde hoe riskant het gebruik van een onbeveiligde draadloze verbinding kan zijn. Het team demonstreerde de risico's door drie Britse politici te hacken ook al wisten de politici dat ze deelnamen aan het experiment.

Zero trust

‘Zero trust’ is een term die steeds vaker wordt gebruikt als het over beveiligingsarchitectuur gaat. Hij betekent dat in plaats van aan te nemen dat een intern netwerk en de apparaten binnen dat netwerk kunnen worden vertrouwd, ervan moet worden uitgegaan dat alle apparaten vijandig zijn. Alle apparaten moeten worden geauthenticeerd en hun beveiliging moet worden geëvalueerd vooraleer ze op het netwerk mogen.

Netwerksegmentatie (het scheiden van netwerksegmenten met grenzen die worden gecontroleerd en alleen toegang tot elkaar verlenen via afzonderlijk gedefinieerde methoden) is een vaak gebruikte methode om controle toe te voegen aan een netwerk, althans in bedrijfsnetwerken. Toezicht op de apparaten en verbindingen is ook essentieel voor het bereiken van het ‘zero trust’-model.

Waar traditionele thuisnetwerken gewoon toestaan dat alle apparaten verbinding maken en communiceren binnen het netwerk, zou u met zero trust alleen geverifieerde apparaten toegang geven tot het netwerk en vereisen dat alle interne communicatie ook geverifieerd wordt. In de praktijk is het moeilijk om op uw thuisnetwerk ‘zero trust’ te bereiken, omdat de meeste apparaten ofwel geen authenticatie ondersteunen, ofwel afhankelijk zijn van de mogelijkheid om rechtstreeks verbinding te maken met andere apparaten en deze te bedienen.

Voorbeeld

Een gewone smart-tv, bijvoorbeeld, maakt zich helaas niet druk om de verbindingen die hij toestaat, omdat hij is ontworpen om te worden gebruikt in een vertrouwd netwerk. Hoewel het een ergernis kan zijn als uw partner per ongeluk een film op zijn telefoon in een aangrenzende kamer pauzeert, moeten deze beveiligingsproblemen ernstiger worden genomen als u uw thuisnetwerk deelt met een onbekende gast, bijvoorbeeld als u Airbnb aanbiedt.

Next section
II. Een korte blik op de protocol stack