WEBVTT 00:00.540 --> 00:02.490 Instructeur: In deze les gaan we het hebben 00:02.490 --> 00:04.710 over hoe je draadloze netwerken kunt beveiligen 00:04.710 --> 00:06.900 tegen een aantal bedreigingen. 00:06.900 --> 00:09.930 Draadloze netwerken bieden ons veel gemak, maar brengen 00:09.930 --> 00:13.050 ook veel veiligheidsrisico's met zich mee, want in tegenstelling 00:13.050 --> 00:15.720 tot een draadnetwerk kan ik, zolang ik binnen het bereik 00:15.720 --> 00:18.600 van dat draadloze signaal ben, er verbinding mee maken 00:18.600 --> 00:21.780 met mijn smartphone, tablet of laptop. 00:21.780 --> 00:24.180 Om je netwerk te beschermen, moet je er echt voor zorgen 00:24.180 --> 00:26.250 dat je weet waar je apparaten verbinding mee maken 00:26.250 --> 00:28.260 en als ze eenmaal verbonden zijn, wil je er zeker 00:28.260 --> 00:31.470 van zijn dat de gegevens die worden verzonden versleuteld zijn. 00:31.470 --> 00:33.420 Het eerste wat we willen doen is ervoor zorgen 00:33.420 --> 00:36.240 dat alles wat we verzenden privé gebeurt om de veiligheid 00:36.240 --> 00:38.280 van onze netwerken te vergroten. 00:38.280 --> 00:39.360 Een van de manieren waarop 00:39.360 --> 00:41.700 we dit doen is een zogenaamde vooraf gedeelde sleutel. 00:41.700 --> 00:44.040 Bij een vooraf gedeelde sleutel hebben beide 00:44.040 --> 00:46.529 eindpunten, zowel je toegangspunt als je client 00:46.529 --> 00:49.590 op je laptop of smartphone, dezelfde coderingssleutel. 00:49.590 --> 00:52.230 Als ik een wachtwoord gebruik aan de ene kant en hetzelfde wachtwoord 00:52.230 --> 00:55.080 aan de andere kant en ze komen overeen, dan wordt dezelfde vooraf gedeelde 00:55.080 --> 00:58.200 sleutel gebruikt om die versleutelingstunnel te maken. 00:58.200 --> 00:59.460 Er zijn echter een paar problemen 00:59.460 --> 01:01.350 wanneer je een vooraf gedeelde sleutel gebruikt. 01:01.350 --> 01:04.710 Ten eerste wordt schaalbaarheid een groot probleem voor ons. 01:04.710 --> 01:07.530 Stel dat ik een kantoor heb met 50 verschillende gebruikers die allemaal 01:07.530 --> 01:09.690 verbonden zijn met het draadloze netwerk en allemaal 01:09.690 --> 01:12.150 dezelfde vooraf gedeelde sleutel gebruiken. 01:12.150 --> 01:14.160 Maar stel dat ik morgen aan het werk ga 01:14.160 --> 01:15.990 en een van de werknemers ontsla. 01:15.990 --> 01:18.210 Nu kent die werknemer de vooraf gedeelde sleutel, 01:18.210 --> 01:19.650 dus raad eens wat we moeten doen? 01:19.650 --> 01:21.480 We moeten de vooraf gedeelde sleutel wijzigen 01:21.480 --> 01:23.850 en omdat ik die vooraf gedeelde sleutel moet wijzigen, 01:23.850 --> 01:26.550 moeten alle 50 andere werknemers nu weten wat die nieuwe sleutel 01:26.550 --> 01:28.950 is en zodat we hem allemaal kunnen wijzigen. 01:28.950 --> 01:31.710 Het is alsof je de sleutel van de voordeur van je huis verwisselt. 01:31.710 --> 01:32.940 Als je 10 familieleden hebt, 01:32.940 --> 01:35.400 moet je nu 10 kopieën van die sleutel maken. 01:35.400 --> 01:37.410 Omdat al je klanten hetzelfde wachtwoord en dezelfde 01:37.410 --> 01:39.630 sleutel gebruiken, wordt het voor ons erg moeilijk om sleutels 01:39.630 --> 01:42.120 te wijzigen en goed sleutelbeheer uit te voeren. 01:42.120 --> 01:43.470 Dat is een van de belangrijkste redenen 01:43.470 --> 01:46.590 waarom we geen vooraf gedeelde sleutels gebruiken in grote omgevingen. 01:46.590 --> 01:49.350 Maar als je een klein kantoor hebt of een thuiskantoor zoals je 01:49.350 --> 01:51.930 huis of een klein kantoor met 10 werknemers of minder, dan 01:51.930 --> 01:54.660 kun je een vooraf gedeelde sleutel gebruiken omdat het heel makkelijk 01:54.660 --> 01:57.030 is om netwerken op die manier te configureren omdat je 01:57.030 --> 01:59.070 maar een paar apparaten hebt. 01:59.070 --> 02:00.720 Als we nu kijken naar draadloze beveiliging, 02:00.720 --> 02:04.110 dan zijn er drie belangrijke methodes die we hiervoor kunnen gebruiken. 02:04.110 --> 02:08.250 De eerste is WEP en dan hebben we WPA en WPA2. 02:08.250 --> 02:09.570 Als we het over WEP hebben, 02:09.570 --> 02:11.850 hebben we het over Wired Equivalent Privacy. 02:11.850 --> 02:13.680 Dit was de oorspronkelijke draadloze beveiliging 02:13.680 --> 02:15.240 die helemaal terug werd uitgevonden met 02:15.240 --> 02:18.840 de eerste versie van wifi met 802. 11. 02:18.840 --> 02:21.600 Nu beweerde het dat het net zo veilig was als bekabelde netwerken, 02:21.600 --> 02:24.240 vandaar de naam "bekabelde gelijkwaardige privacy". Maar de waarheid is dat het niet veilig 02:24.240 --> 02:26.580 is en tegenwoordig zou je WEP nooit 02:26.580 --> 02:29.550 meer moeten gebruiken omdat het een erg 02:29.550 --> 02:32.070 onveilig protocol is. 02:32.070 --> 02:35.250 WEP werkt met een vooraf gedeelde sleutel. 02:35.250 --> 02:38.880 Iedereen heeft dezelfde sleutel en het is een statische 40 bits 02:38.880 --> 02:41.370 sleutel die erg klein is en makkelijk te brute-forcen 02:41.370 --> 02:44.130 of te raden met een sterke computer. 02:44.130 --> 02:46.410 Om WEP veiliger te maken, hebben ze in de 02:46.410 --> 02:49.470 loop der tijd de sleutel geüpgraded van 40 bits naar 64 02:49.470 --> 02:52.560 bits en daarna weer naar 128 bits en dat loste het sleutellengteprobleem 02:52.560 --> 02:54.628 op, maar niet een ander probleem dat 02:54.628 --> 02:58.440 bekend staat als de initialisatievector. 02:58.440 --> 02:59.850 WEP werkt met een 24-bits 02:59.850 --> 03:02.820 initialisatievector, een reeks van 24 03:02.820 --> 03:05.400 enen en nullen die deze initialisatievector 03:05.400 --> 03:08.040 wordt genoemd. 03:08.040 --> 03:10.590 Dit wordt in duidelijke tekst verzonden en als je genoeg 03:10.590 --> 03:12.540 van deze initialisatievectoren opvangt, 03:12.540 --> 03:15.750 kun je in feite de coderingssleutel kraken en de vooraf gedeelde sleutel 03:15.750 --> 03:18.960 achterwaarts raden die je hebt gebruikt voor je WEP-wachtwoord. 03:18.960 --> 03:21.642 Met Aircrack NG kun je dit met de meeste moderne 03:21.642 --> 03:24.990 laptops in ongeveer twee tot drie minuten doen. 03:24.990 --> 03:28.020 De volgende waar we het over willen hebben is WPA. 03:28.020 --> 03:31.590 WPA of Wifi Protected Access was de vervanger van WEP 03:31.590 --> 03:33.150 vanwege de zwakte van deze 03:33.150 --> 03:35.850 24-bits initialisatievector. 03:35.850 --> 03:37.920 Om dit te voorkomen introduceerden 03:37.920 --> 03:41.280 ze TKIP, het temporal key integrity protocol. 03:41.280 --> 03:44.790 Nu vervangt TKIP die 24-bits initialisatievector door 03:44.790 --> 03:47.610 een nieuwe vector die 48 bits lang is. 03:47.610 --> 03:49.260 Dit verdubbelde de kracht ervan, maar 03:49.260 --> 03:50.850 dat wordt nog steeds als vrij zwak beschouwd 03:50.850 --> 03:53.280 als het aankomt op moderne computers. 03:53.280 --> 03:54.870 Het andere dat ze deden was het toevoegen 03:54.870 --> 03:57.420 van een nieuw type encryptie genaamd RC4, of Rivest 03:57.420 --> 04:00.870 Cipher 4 en het is vrij goed, maar nogmaals, naar hedendaagse maatstaven 04:00.870 --> 04:03.630 wordt dit als zwak beschouwd. 04:03.630 --> 04:06.690 WPA wilde ook wat integriteit toevoegen aan je apparaten en dat deden 04:06.690 --> 04:09.090 ze door ervoor te zorgen dat niemand een man in the middle-aanval 04:09.090 --> 04:11.820 kan uitvoeren en de informatie kan veranderen. 04:11.820 --> 04:14.760 Om dat te doen, gebruikten ze iets dat de MIC heette, de message 04:14.760 --> 04:16.980 integrity check, wat een vorm is van hashing van 04:16.980 --> 04:19.050 de gegevens voordat ze werden verzonden en op 04:19.050 --> 04:21.300 die manier kon je controleren of ze niet werden gewijzigd 04:21.300 --> 04:24.090 terwijl ze onderweg waren door het netwerk. 04:24.090 --> 04:26.460 WPA zag ook dat er een fout zat in deze vooraf gedeelde 04:26.460 --> 04:28.320 sleutel en de mogelijkheid om heel snel 04:28.320 --> 04:30.990 nieuwe sleutels te versturen, dus voegden ze iets toe 04:30.990 --> 04:34.290 dat bekend staat als ondernemingsmodus binnen WPA. 04:34.290 --> 04:36.270 Met de enterprise modus kon een gebruiker zich 04:36.270 --> 04:38.820 authenticeren voordat sleutels werden uitgewisseld 04:38.820 --> 04:40.500 en ze moesten dan tijdelijk nieuwe sleutels 04:40.500 --> 04:43.680 kunnen aanmaken tussen de client en het toegangspunt. 04:43.680 --> 04:46.740 Dit probeerde het probleem van de schaalbaarheid van de vooraf gedeelde 04:46.740 --> 04:49.650 sleutel op te lossen, maar uiteindelijk wordt WPA nog steeds als 04:49.650 --> 04:51.450 zwak beschouwd volgens de huidige standaarden 04:51.450 --> 04:54.300 en wordt het vervangen door een modernere versie die bekend staat 04:54.300 --> 04:56.850 als WPA2 of Wifi Protected Access 2. 04:56.850 --> 04:59.160 Nu is WPA2 de huidige standaard en die zijn gemaakt 04:59.160 --> 05:02.460 als onderdeel van de 802. 11i-standaard. 05:02.460 --> 05:04.770 Het werd voor het eerst geïmplementeerd, het 05:04.770 --> 05:07.620 was Wireless G, en daarna in Wireless N en Wireless AC. 05:07.620 --> 05:09.390 Het vereist sterkere authenticatie 05:09.390 --> 05:11.970 en sterkere encryptie- en integriteitscontroles. 05:11.970 --> 05:15.300 De integriteitscontrole wordt uitgevoerd met behulp van CCMP. 05:15.300 --> 05:17.550 CCMP staat voor Counter Mode with Cipher 05:17.550 --> 05:19.080 Blockchaining Message Authentication 05:19.080 --> 05:20.910 Code Protocol, wat een hele mond vol 05:20.910 --> 05:22.817 is die je niet hoeft te onthouden voor 05:22.817 --> 05:25.560 het examen of wat het betekent. 05:25.560 --> 05:28.890 Wat je wel moet onthouden is dat elke keer dat je CCMP ziet 05:28.890 --> 05:33.210 je moet denken aan dit is een onderdeel van WPA2-beveiliging. 05:33.210 --> 05:34.890 Het tweede wat ze deden was het 05:34.890 --> 05:37.680 oudere encryptiemechanisme van RC4 via VES Cipher 05:37.680 --> 05:40.350 4 vervangen door het nieuwe mechanisme dat bekend 05:40.350 --> 05:43.410 staat als Advanced Encryption Standard of AES. 05:43.410 --> 05:47.047 Nu gebruikt AES een 128-bits sleutel en sommige nieuwere modellen 05:47.047 --> 05:50.700 kunnen zelfs een 256-bits sleutel of meer gebruiken. 05:50.700 --> 05:52.995 Dit geeft je extra beveiliging en vertrouwelijkheid 05:52.995 --> 05:56.280 van je gegevens die over dit draadloze netwerk gaan. 05:56.280 --> 05:58.410 Op het moment van deze opname is AES 05:58.410 --> 06:01.890 nog steeds niet gebroken en WPA2, het algoritme zelf is nog 06:01.890 --> 06:03.990 niet gebroken dus het is een goed ding 06:03.990 --> 06:05.400 om te gebruiken als je een 06:05.400 --> 06:07.950 lang, sterk wachtwoord hebt. 06:07.950 --> 06:09.810 De enige manier waarop mensen deze netwerken 06:09.810 --> 06:12.720 op dit moment kunnen kraken is door middel van wachtwoordaanvallen en 06:12.720 --> 06:14.640 dat betekent dat ze de wachtwoorden proberen 06:14.640 --> 06:16.500 te raden door elke mogelijke optie te raden met 06:16.500 --> 06:19.350 behulp van een brute force aanval of een woordenboekaanval. 06:19.350 --> 06:20.700 Dus als je je netwerken wilt beschermen, 06:20.700 --> 06:24.210 zorg er dan voor dat je een goed, lang, sterk wachtwoord gebruikt. 06:24.210 --> 06:27.390 WPA2 ondersteunt ook twee verschillende modi, afhankelijk van het 06:27.390 --> 06:29.370 netwerk waarop je het gaat gebruiken. 06:29.370 --> 06:32.070 Als je het in een thuisomgeving of een klein kantoor gebruikt, zul je een 06:32.070 --> 06:33.900 vooraf gedeelde sleutel gebruiken waarbij iedereen 06:33.900 --> 06:35.520 hetzelfde wachtwoord heeft. 06:35.520 --> 06:37.800 Dit staat bekend als de persoonlijke modus. 06:37.800 --> 06:40.260 De andere manier is door het te gebruiken in een grote 06:40.260 --> 06:42.030 omgeving waar u de bedrijfsmodus gebruikt 06:42.030 --> 06:43.500 en dat is waar elke gebruiker een 06:43.500 --> 06:46.560 enkele gebruikersnaam en wachtwoord krijgt die uniek voor hen 06:46.560 --> 06:48.990 zijn en ze zullen een centrale authenticatieserver 06:48.990 --> 06:52.170 gebruiken met behulp van native WPA2 of dat overdragen naar een 06:52.170 --> 06:55.320 801. 1x authenticatieserver. 06:55.320 --> 06:56.360 Voor het examen wil ik dat 06:56.360 --> 06:59.040 je vier dingen onthoudt over draadloze beveiliging en als 06:59.040 --> 07:00.120 je de vier dingen op deze 07:00.120 --> 07:02.340 grafiek onthoudt, zul je het geweldig doen. 07:02.340 --> 07:04.590 Ten eerste, altijd als je het woord open ziet 07:04.590 --> 07:06.270 in verband met een draadloos netwerk, 07:06.270 --> 07:10.440 betekent dat geen beveiliging, geen bescherming, geen wachtwoord. 07:10.440 --> 07:11.820 Als je WEP hoort, wil ik dat 07:11.820 --> 07:14.580 je dit associeert met initialisatievectoren. 07:14.580 --> 07:15.990 Dat is de fout in WEP en dat is waar 07:15.990 --> 07:17.880 je over zult horen tijdens de test. 07:17.880 --> 07:19.235 WEP is zwak, WEP is slecht. 07:19.235 --> 07:22.140 WEP gebruikt initialisatievectoren. 07:22.140 --> 07:23.995 Als je WPA ziet, wil ik dat je denkt 07:23.995 --> 07:27.227 aan TKIP en RC4 omdat TKIP allemaal werd gebruikt om de initialisatievectoren 07:27.227 --> 07:31.680 te vervangen en RC4 was de vorm van versleuteling. 07:31.680 --> 07:35.070 Nogmaals, WPA wordt als zwak beschouwd, gebruik het niet. 07:35.070 --> 07:37.920 Als je vervolgens WPA2 ziet, moet je 07:37.920 --> 07:41.250 denken aan de acroniemen CCMP en AES. 07:41.250 --> 07:43.470 CCMP is een Integrity Protocol en AES 07:43.470 --> 07:46.350 is het encryptiemechanisme dat we gebruiken. 07:46.350 --> 07:48.720 Dit is je sleutel tot het beantwoorden van draadloze 07:48.720 --> 07:50.760 vragen voor de veiligheid op de examendag. 07:50.760 --> 07:53.760 Laten we het nu eens hebben over het filteren van MAC-adressen. 07:53.760 --> 07:56.457 We kunnen onze toegangspunten configureren met een ACL 07:56.457 --> 07:58.470 en deze kan naar deze adressen kijken en bepaalde 07:58.470 --> 08:01.020 MAC-adressen toestaan of weigeren om verbinding te 08:01.020 --> 08:02.700 maken met het netwerk. 08:02.700 --> 08:05.340 Als mijn iPhone bijvoorbeeld verbinding probeert te maken met 08:05.340 --> 08:08.010 het netwerk en het is niet geautoriseerd of het staat op de Deny-lijst, 08:08.010 --> 08:09.720 dan kan het die handdruk niet maken en kan 08:09.720 --> 08:11.460 het niet communiceren. 08:11.460 --> 08:13.230 Het probleem met Mac-filtering is nog 08:13.230 --> 08:15.150 steeds dat het heel gemakkelijk is om je 08:15.150 --> 08:17.520 MAC-adres te veranderen en te vervalsen. 08:17.520 --> 08:19.500 Gebruikers met kennis van zaken kunnen hun Mac-adres 08:19.500 --> 08:21.960 heel snel wijzigen met behulp van vrij verkrijgbare hulpprogramma's 08:21.960 --> 08:24.630 en het duurt echt zo'n vijf seconden om het te doen. 08:24.630 --> 08:26.100 Dit zal sommige mensen tegenhouden, 08:26.100 --> 08:29.190 maar het is niet waterdicht en het zal niet iedereen tegenhouden. 08:29.190 --> 08:30.660 Als je je Mac-adres wilt wijzigen 08:30.660 --> 08:33.420 en je gebruikt tools zoals Mac Address Changer voor Windows, 08:33.420 --> 08:36.210 Mac Daddy X voor OSX- en MAC-systemen of Mac changer voor 08:36.210 --> 08:37.890 Linux, dan zijn dit allemaal heel 08:37.890 --> 08:40.560 eenvoudige tools om te gebruiken. 08:40.560 --> 08:42.411 Mac adressen zullen je geen geweldige 08:42.411 --> 08:46.500 bescherming bieden, maar volgens het examen is het een bescherming die je 08:46.500 --> 08:48.840 kunt gebruiken als onderdeel van je verdedigings- 08:48.840 --> 08:50.940 en dieptestrategie. 08:50.940 --> 08:53.100 In de echte wereld hoef je je dus niet al te veel zorgen te maken 08:53.100 --> 08:55.230 over het filteren van de Mac, maar voor het examen beschouwen 08:55.230 --> 08:57.450 ze het wel als een goede beveiligingsmaatregel. 08:57.450 --> 09:00.300 Vervolgens hebben we het uitschakelen van je SSID broadcast, 09:00.300 --> 09:02.550 wat wordt beschouwd als een kleine beveiligingshulp 09:02.550 --> 09:04.410 om je netwerken te beschermen. 09:04.410 --> 09:06.930 Volgens het examen is dit, net als MAC-filtering, 09:06.930 --> 09:08.730 goed om te doen. 09:08.730 --> 09:10.260 In de echte wereld duurt het 09:10.260 --> 09:13.200 echter niet lang om een verborgen SSID te vinden. 09:13.200 --> 09:15.390 Wat is nu precies een SSID? 09:15.390 --> 09:17.850 Nou, het staat voor de server set identifier en 09:17.850 --> 09:20.520 het is hoe je draadloze netwerk eigenlijk heet. 09:20.520 --> 09:22.260 Als je bijvoorbeeld naar Starbucks gaat, 09:22.260 --> 09:24.390 hebben ze er een met de naam "Starbucks Guest" of als 09:24.390 --> 09:27.360 je naar mijn huis gaat, heb ik er een met de naam "Dion" en op die manier kun 09:27.360 --> 09:29.160 je zien dat de serverset naar buiten gaat en 09:29.160 --> 09:31.920 zegt: "Hé, Dion is hier, moet ik er verbinding mee maken? En als je naar een netwerk zoekt, zie 09:31.920 --> 09:33.120 je al die lijsten 09:33.120 --> 09:35.700 met namen om je heen, toch? 09:35.700 --> 09:38.670 Als je het uitzenden van de Server Set ID uitschakelt, wordt deze 09:38.670 --> 09:40.230 niet uitgezonden en zal deze niet 09:40.230 --> 09:42.630 verschijnen in de beschikbare netwerken. 09:42.630 --> 09:44.670 Op deze manier moet de gebruiker handmatig de naam 09:44.670 --> 09:46.350 intypen om verbinding te maken met je netwerk, 09:46.350 --> 09:48.210 zodat ze echt moeten weten dat het er is. 09:48.210 --> 09:49.920 Het probleem hiermee is dat het met behulp 09:49.920 --> 09:52.680 van draadloze penetratietechnieken heel eenvoudig is om deze te 09:52.680 --> 09:55.080 vinden en je er nog steeds verbinding mee kunt maken. 09:55.080 --> 09:57.240 Als je alleen je uitzending uitschakelt, 09:57.240 --> 09:58.740 is dat niet erg veilig. 09:58.740 --> 10:01.320 Maar als je dit doet in combinatie met MAC-filtering en 10:01.320 --> 10:03.240 een goed, lang en sterk wachtwoord, begin 10:03.240 --> 10:04.830 je de beveiliging te gelagen en krijg 10:04.830 --> 10:06.903 je een betere beveiligingshouding.