MBO Medewerker beheer ICT

Proefles: MBO Medewerker beheer ICT

Leuk dat je een proefles hebt aangevraagd! Tijdens deze proefles krijg je een indruk van Medewerker beheer ICT. Ook krijg je een aantal vragen over de stof. Verderop in de proefles kun je je vragen nakijken. Mocht je vragen hebben, neem dan gerust contact met ons op. Succes en veel plezier met je proefles!


Theorie: Datacommunicatie voor ICT support

Tijdens Medewerker beheer ICT leer en werk je onder andere uit het boek Datacommunicatie voor ICT support. In deze proefles neem je een kijkje in de theorie uit dit boek. Over de theorie uit het hoofdstuk Een thuisnetwerk opzetten, paragraaf 6.5 beantwoord je een aantal vragen, die je verderop in deze proefles kunt nakijken.

boek Datacommunicatie voor ICT support


Security-overwegingen in een thuisnetwerk

Draadloze netwerken hebben veel voordelen, maar hebben ook het nadeel dat ze gemakkelijk voor mensen van buitenaf toegankelijk zijn. Hier moet het draadloze netwerk tegen beveiligd worden. Deze paragraaf behandelt een aantal beveiligingsmogelijkheden.

Is mijn netwerk veilig?
Een van de belangrijkste voordelen van draadloze netwerken is het gemak en het comfort van het verbinden van de apparaten. Helaas maakt het gemak waarmee je verbinding maakt en het feit dat de informatie via de lucht getransporteerd wordt, je netwerk kwetsbaar voor het onderscheppen van de informatie en voor attacks, zie figuur 1. Voordat je draadloze netwerk geïnstalleerd is, is het belangrijk om te weten hoe je de toegang gaat beveiligen.

Figuur 1 - MBO Medewerker beheer ICT

Figuur 1: War-driving/walking/calking

War-driving, walking en calking
War-driving is het proces om in een bepaald gebied rond te rijden en naar draadloze LAN's te zoeken. Wanneer een draadloos netwerk ontdekt wordt, wordt de locatie van het WLAN aangemeld en gedeeld. Het doel van war-driving is om toegang tot het WLAN te krijgen om informatie te stelen. In sommige gevallen is het doel om aandacht te vestigen op het feit dat de meeste draadloze netwerken slecht beveiligd zijn.

Een soortgelijk proces als war-driving is war-walking, waar de persoon in een gebied rondloopt om draadloze netwerken te ontdekken. Wanneer er een WLAN ontdekt wordt, wordt een krijtstreep voor de locatie geplaatst om de status van de draadloze verbinding aan te geven.

Bij een draadloze verbinding heeft de attacker geen fysieke verbinding met je computer of een ander apparaat nodig voor toegang tot je netwerk. Het is voor een attacker mogelijk om op de signalen van je draadloze netwerk af te stemmen, net als het afstemmen op een radiozender.

De attacker kan vanaf elke locatie waar je draadloze signaal te ontvangen is toegang tot je netwerk krijgen. Nadat de attacker toegang tot je netwerk heeft, kan hij je internetservices gratis gebruiken en heeft hij tevens toegang tot de computers in het netwerk om bestanden te beschadigen of om persoonlijke en private informatie te stelen.

Deze kwetsbaarheden in een draadloos netwerk vereisen speciale beveiligingsfuncties en de implementatie ervan om je WLAN tegen attacks te beschermen.

Deze omvatten enkele eenvoudige stappen die tijdens de eerste installatie van het draadloze apparaat uitgevoerd moeten worden, evenals enkele meer geavanceerde security-configuraties.

Het uitzenden van de SSID
Een eenvoudige manier om toegang tot een draadloos netwerk te krijgen is via de netwerknaam of SSID.
Alle computers die een verbinding met het draadloze netwerk willen, moeten het SSID kennen. Standaard versturen (broadcast) routers en access-points hun SSID's naar alle computers binnen het draadloze bereik. Als SSID-broadcast geactiveerd is, zie figuur 2, kan elke draadloze client het netwerk detecteren en er, als er geen security-functies geconfigureerd zijn, verbinding mee maken.

figuur 2 - MBO Medewerker beheer ICT

Figuur 2: Default SSID-instellingen

De SSID-broadcast-functie kan uitgeschakeld worden. Wanneer deze functie uit staat, wordt het netwerk niet meer openbaar gemaakt. Elke computer die verbinding met het netwerk wil maken moet de SSID al kennen. Het uitschakelen van de SSID-broadcast alleen beschermt het draadloze netwerk niet tegen ervaren hackers. De SSID kan bepaald worden door het onderscheppen en analyseren van de draadloze packets, die tussen de clients en het access-point uitgewisseld worden. Zelfs als de SSID-broadcast uitgeschakeld is, is het voor iemand die het bekende standaard-SSID kent mogelijk om in je netwerk te komen. Als alle andere standaardinstellingen, zoals wachtwoorden en lP-adressen niet gewijzigd zijn, kunnen attackers toegang tot een AP krijgen en zelf wijzigingen aanbrengen. De standaardinformatie moet in iets veiligers en unieks veranderd worden.

Veranderen van de standaardinstellingen
Wat zijn de standaardinstellingen en waarom zijn ze er? De meeste draadloze access-points en routers worden vooraf geconfigureerd met instellingen voor SSID’s, beheerderswachtwoorden en lP-adressen. Deze instellingen maken het voor een beginnend gebruiker eenvoudiger om het apparaat in een thuis-LAN-omgeving in te stellen en te configureren. Helaas maken deze standaardinstellingen het voor een attacker eenvoudiger om op het netwerk in te breken.

figuur 3 - MBO Medewerker beheer ICT

Figuur 3: De standaardinstellingen zijn niet gewijzigd

Het veranderen van de standaardinstellingen van een draadloze router zal op zich je netwerk niet beschermen. Zo worden de SSID's bijvoorbeeld in platte tekst verzonden. Er bestaan apparaten die de draadloze signalen onderscheppen en de platte tekst lezen. Zelfs als de SSID-broadcast uitgeschakeld is en de standaardinstellingen gewijzigd zijn, kunnen attackers de naam van het draadloze netwerk leren door apparaten die de draadloze signalen onderscheppen te gebruiken.

Deze informatie wordt gebruikt om verbinding met het netwerk te maken. Er is een combinatie van verschillende methoden nodig om je WLAN te beschermen.

figuur 4 - MBO Medewerker beheer ICT

Figuur 4: De standaardinstellingen zijn gewijzigd

MAC-adresfiltering implementeren
Een manier om de toegang tot je draadloze netwerk te beperken is om precies te bepalen welke apparaten toegang tot je netwerk kunnen krijgen. Zoals reeds eerder in dit hoofdstuk besproken is, kan dit met MAC-adresfiltering bereikt worden.

MAC-adresfiltering
MAC-adresfiltering gebruikt het MAC-adres om te bepalen welke apparaten verbinding met het draadloze netwerk mogen maken. Wanneer een draadloze client verbinding probeert te maken of met een AP een associatie wil vormen, moet het zijn MAC-adresinformatie zenden. Als MAC-adresfiltering ingeschakeld is, zoekt de draadloze router of AP het MAC-adres van de verbinding makende client in een geconfigureerde database op. Alleen apparaten waarvan de MAC-adressen in de database van de router opgenomen zijn mogen verbinding maken.

Als het MAC-adres niet in de database staat, mag het apparaat geen verbinding maken of over het draadloze netwerk communiceren.

figuur 5 - MBO Medewerker beheer ICT

Figuur 5: MAC-adresfiltering

Er bestaat een aantal problemen bij deze vorm van beveiliging. Zo moeten alle MAC-adressen van alle apparaten die toegang tot het netwerk moeten hebben in de database opgenomen worden voordat ze kunnen proberen om verbinding te maken. Een apparaat dat niet door de database geïdentificeerd wordt, kan geen verbinding maken. Daarnaast bestaat de mogelijkheid voor een attacker om het MAC-adres van een ander apparaat te klonen dat wel toegang krijgt.

Gebruikers authenticeren
Naast MAC-adresfiltering is het implementeren van authenticatie een andere manier om te bepalen wie er verbinding met je netwerk mag maken. Authenticatie is het proces van het geven van toegang tot een netwerk op basis van een set credentials (letterlijk: geloofsbrieven). Het wordt gebruikt om te controleren of het apparaat dat verbinding probeert te maken te vertrouwen is.

Het gebruik van een gebruikersnaam en een wachtwoord is de meest voorkomende vorm van authenticatie. In een draadloze omgeving zorgt authenticatie nog steeds dat de host die verbinding maakt gecontroleerd wordt, maar handelt het verificatieproces een klein beetje anders af. Authenticatie, indien geactiveerd, moet gebeuren voordat de client toestemming heeft om verbinding met WLAN te maken. Er bestaan drie typen draadloze authenticatiemethoden: open authenticatie, PreShared Key (PSK) en Extensible Authentication Protocol (EAP).


Open Authentication
Standaard hebben draadloze apparaten geen authenticatie nodig. Alle clients zijn in staat om een associatie te maken, ongeacht wie ze zijn, zie figuur 6. Dit wordt open authenticatie genoemd. Open authenticatie mag alleen in openbare draadloze netwerken gebruikt worden, zoals in veel scholen en restaurants. Het kan ook gebruikt worden in netwerken waar authenticatie op een andere manier uitgevoerd wordt nadat het apparaat verbinding met het netwerk heeft. De setup-utility van veel routers schakelt open authenticatie uit en stelt automatisch een veiliger gebruikersauthenticatie in op het draadloze LAN.

figuur 6 - MBO Medewerker beheer ICT

Figuur 6: Open authenticatie

Mag ik binnen komen?
Nadat de authenticatie ingeschakeld is, ongeacht de gebruikte methode, moet de client zich succesvol authentiseren voordat hij een associatie met het AP krijgt en het netwerk mag gebruiken. Als zowel authenticatie als MAC-adresfiltering ingeschakeld zijn, vindt eerst de authenticatie plaats.

figuur 7 - MBO Medewerker beheer ICT

Figuur 7: Authenticatie van een computer

Wanneer de authenticatie succesvol is, controleert het AP het MAC-adres met de MAC-adrestabel. Wanneer dit gecontroleerd is voegt het AP het MAC-adres van de host toe aan de host-tabel. De client is nu met het AP geassocieerd en kan verbinding met het netwerk maken.

Data-encryptie
Oudere draadloze routers gebruikten een encryptie die bekend is als Wired Equivalency Protocol (WEP) om de draadloze transmissie tussen clients en het accesspoint te beveiligen. Het Wired Equivalency Protocol (WEP) is een security-functie die het netwerkverkeer encrypt als het door de lucht reist. WEP gebruikt zogenaamde pre-shared keys (vooraf gedeelde sleutels) om de data te encrypten en te decrypten. Een WEP-key bestaat uit een reeks cijfers en letters en is meestal 64 of 128 bits lang. In bepaalde gevallen ondersteunt WEP 256-bits encryptiekeys.

figuur 8 - MBO Medewerker beheer ICT

Figuur 8: WEP-key

WEP kent echter een aantal zwakke punten, zoals het gebruik van één statische key op alle WEP-apparaten in het draadloze LAN. Er bestaan programma’s waarmee attackers de WEP-key kunnen ontcijferen. Deze programma's zijn gratis op het internet te downloaden. Nadat de attacker de key ontcijferd heeft, heeft hij volledige toegang tot de verzonden informatie.

Een manier om dit beveiligingslek te ontwijken is om de key regelmatig te veranderen.
Een andere manier is om een meer geavanceerde en veiligere encryptie te gebruiken, die bekend staat als Wi-Fi Protected Access (WPA).

WPA2 gebruikt eveneens encryptie-keys van 64 tot 256 bits. WPA2 genereert echter, in tegenstelling tot WEP, elke keer dat een client een verbinding met het AP opbouwt een nieuwe, dynamische key. Daarom wordt WPA2 als veiliger dan WEP gezien, omdat het aanzienlijk moeilijker te kraken is. De versie van WPA2 die voor thuisnetwerken ontworpen is, wordt aangegeven als WPA2-PSK. De PSK geeft aan dat dit een encryptiemethode is die gebaseerd is op een pre-shared key, in dit geval configureer je een passphrase, een wachtwoord met de lengte van een alinea.

Beveiligingsplan
Het is van belang om te weten dat de beveiligingsmaatregelen gepland en geconfigureerd moeten worden, voordat je het AP op het netwerk of ISP aansluit.
De meest basale beveiligingsinstellingen zijn:

  • Verander de standaardwaarden van de SSID, gebruikersnamen en wachtwoorden.
  • Schakel SSID-broadcast uit.
  • Configureer MAC-adresfiltering.

figuur 9 - MBO Medewerker beheer ICT

Figuur 9: Security-instellingen voor het draadloze netwerk

In figuur 10 zijn een aantal geavanceerde beveiligingsmaatregelen te zien, zoals:

  • Configureer encryptie met behulp van WPA2.
  • Configureer authenticatie.
  • Configureer dataverkeerfiltering.

figuur 10 - MBO Medewerker beheer ICT

Figuur 10: Geavanceerde beveiligingsinstellingen

Houd er rekening mee dat geen enkele beveiligingsmaatregel op zich je draadloze netwerk volledig beveiligt. Het combineren van meerdere technieken zal de integriteit van je beveiligingsplan versterken.

Bij het configureren van de clients is het van belang dat de SSID overeenkomt met de SSID die op het AP geconfigureerd is. SSID's zijn hoofdlettergevoelig, zodat de karakterstring exact overeen moet komen. Daarnaast moeten de encryptiekeys en authenticatie-keys ook exact overeenkomen.

 

Einde theorie


Vragen over het hoofdstuk Een thuisnetwerk opzetten, paragraaf 6.5

Ben je benieuwd of je de theorie goed hebt begrepen? Beantwoord dan de onderstaande vragen. De antwoorden komen later in de proefles terug.

  1. Beschrijf kort hoe WPA2 werkt met encryptie keys
  2. Noem vier instellingen om een WiFi netwerk te beveiligen
  3. Welke drie authenticatiemethoden bestaan er voor computers die verbinding willen maken met een draadloos netwerk?

Bekijk hier de antwoorden

Onderstaand kun je jouw antwoorden controleren.

  1. Beschrijf kort hoe WPA2 werkt met encryptie keys


    WPA2 werkt met een dynamische encryptie keys. Elke keer dat er een verbinding wordt gemaakt met het Wireless Access point is er een nieuwe key.

  2. Noem vier instellingen om een WiFi netwerk te beveiligen

    1. Schakel SSID broadcast uit
    2. Configureer MAC filtering
    3. Configureer WPA2 encryptie
    4. Configureer dataverkeerfiltering
  3. Welke drie authenticatiemethoden bestaan er voor computers die verbinding willen maken met een draadloos netwerk?

    1. Open authenticatie
    2. PreShared Key (PSK)
    3. Extensible Authentication Protocol (EAP)

Studeren op jouw moment

Bij NTI kun jij studeren wanneer het jou uitkomt. Je start met een opleiding wanneer jij dat wilt. Je bepaalt zelf waar en wanneer je studeert in een online leeromgeving en met echte studieboeken. Zo kun jij een opleiding goed combineren met een drukke baan, hobby’s en gezinsleven. Dus echt studeren op jouw moment.

Studeren op jouw moment bij NTI

Ben je na het volgen van de proefles enthousiast geworden over MBO Medewerker beheer ICT?

Je kunt elke dag starten met MBO Medewerker beheer ICT, dus zet vandaag nog de eerste stap!

Daarom studeer jij bij NTI op jouw moment

  1. Erkende opleidingen, bekende naam
  2. Studeren met veel persoonlijk contact
  3. Voordelig studeren, transparant over kosten
  4. Flexibel studeren
  5. Overal studeren met onze online leeromgeving
  6. Persoonlijke begeleiding door mentoren en ervaren docenten
  7. Werkgevers zijn snel overtuigd

Neem gerust contact met ons op, als je nog vragen hebt. Succes met het kiezen van je opleiding!

1 / 1