WEP-opvolger WPA2 verplicht voor WiFi-apparatuur

De tweede versie van het WiFi Protected Access-protocol, ook wel bekend als WPA2, is door de WiFi Alliance verplicht gesteld voor alle producten die een WiFi-certificatie willen voeren. De alliantie maakte WPA2 in 2004 als optie beschikbaar, maar de populariteit van WiFi en de hopeloos zwakke WEP-standaard maakten verbetering noodzakelijk. WPA2, dat net als het vorig jaar verplicht gestelde WPA een onderdeel vormt van de IEEE 802.11i-standaard, zal in twee versies beschikbaar komen. Voor consumenten is er een versie die versleuteling op basis van een wachtwoord toepast, terwijl de Enterprise-variant een modulair en uitbreidbaar authenticatiesysteem gebruikt, dat bekend staat onder de naam 'Extensible Authentication Protocol', oftewel EAP.

WiFi Alliance-logo Het verschil met WPA zit in de gebruikte encryptie; voor WPA2 is dit de AES-encryptie, terwijl WPA het met TKIP moet doen. Volgens de WiFi Alliance zijn beide protocollen overigens veilig te gebruiken: waar WPA indertijd werd ontworpen om alle tekortkomingen van WEP op te vangen, is WPA2 niet gemaakt om ontwerpfouten te verhelpen, maar alleen om het niveau van de beveiliging nog wat verder op te krikken. De organisatie liet weten dat er al rond de zeshonderd producten van de WPA2-certificering zijn voorzien.

Door René Wichers

Eindredacteur

15-03-2006 • 17:44

56

Bron: TG Daily

Reacties (56)

56
56
42
22
3
8
Wijzig sortering
Anoniem: 9264 15 maart 2006 18:01
Je kan ook je wifi acces point zo instellen dat je wel vrij kan inloggen maar bijvoorbeeld aleen op bepaalde poorten kan
zoals aleen sip open en bij enkel port 80 en de rest dicht zo kan je de mensen die een wifi foon hebben teminste nog van dienst zijn als meerdere dat doen dan heb je binnen no time een alternatief mobiel netwerk :)
O.a een sitecom kan dit maar icm met een zyxel p2000w V2 wifi telefoon ;)
Voor mensen die zelf WPA2 willen proberen:

- Zorg dat je de meest recente drivers van je netwerkkaart hebt
- Zorg dat je de meest recente firmware in je router hebt
- Zorg dat jouw OS het ondersteunt:
Windows XP: Installeer KB893357
Mac OS X: Installeer Airport 4.2

Niet alle oudere kaarten en AP's ondersteunen het maar het zijn er meer dan je denkt.
Goede zaak natuurlijk! Nu zou de firmware nog zo aangepast moeten worden dat het een proper beveiligingsniveau veplicht stelt (en anders geen verbinding), zodat het ook daadwerkelijk overal actief wordt... :)
beveiliging moet een keuze zijn. Als ik mijn netwerk niet wil beveiligen, dan moet dit kunnen.
Behalve als je hierdoor veel overlast op het internet veroorzaakt (bijv. spam)!
Dat is ook zo, maar het zou in elk geval een bewuste keuze moeten zijn om het uit te zetten.
Anoniem: 169573 @Quacka16 maart 2006 06:10
Ik begrijp het argument 'vrijheid', maar toch ben ik niet helemaal akkoord. Als jij je auto niet op slot doet, dan kan je ook een boete krijgen. Als je private data van klanten niet (afdoende) beveiligd, ben je ook in overtreding met nationale en Europese wetten op privacy. Je bent verantwoordelijk voor jouw internet-connectie, en bovendien staat er waarschijnlijk duidelijk in het contract met jouw provider dat je de verbinding niet zomaar met derden mag delen.

Je mag gerust een hoop hackers, war-drivers, spammers en virusschrijvers verwachten op jouw netwerk... Om nog maar te zwijgen over kredietkaart-fraude, identiteitsvervalsing, pedofilie en wat je nog meer kan bedenken.

Ik denk dat mensen jou heel erg verantwoordelijk zullen achten wanneer blijkt dat bijvoorbeeld een groot deel van hun spam uit jouw netwerk zou komen; of het nu komt doordat je er niets van kent -- of net het omgekeerde -- doordat je denkt beter te weten. De tijd waarin je met excuses zoals 'wat is een virus?' of 'ik wou eens zien wat er zou gebeuren' kan komen, is voorbij.

Mensen hebben wel degelijk een verantwoordelijkheid op het internet (en bijgevolg op hun eigen computer en in hun eigen netwerk), net zoals in de samenleving, en wie dat niet gelooft, zal wel eens een schuimbekkende sysadmin met een basebal-knuppel op zijn stoep vinden op een mooie maandagochtend...

... ahhh, de kleine dingen die het leven van een sysadmin draaglijk maken...
En als ik dan even wil debuggen?
Als ik dan de experimentele WiFi-code voor de prism54usb-chipset (die nog geen WEP of WPA ondersteunt) op linux wil uittesten? Dan moet ik even mijn router in gaan hacken omdat die web-interface het vertikt om de beveiliging uit te zetten?

Laat ons alstublieft de vrijheden van de gebruikers niet indammen. Liever een eenvoudige web-interface met een duidelijk vindbaar "Advanced"-knopje die zoiets inderdaad niet _meteen_ toelaat, dan mensen verbieden om bepaalde dingen met hun hardware te doen. DRM anyone?

Programmeer dan gewoon simpel een standaard WPA-beveiliging met het wachtwoord "default". De router valt na 2 uur gewoon uit, als het wachtwoord op "default" blijft staan. Daarna mag de gebruiker doen wat hij wil, als het wachtwoord dan weer op "default" komt te staan, dan best. Laat ons de vrijheid om gelijk wat met hardware te doen, maar bescherm de naïeve gebruikers die het Plug 'n Play principe gewoon zijn.
Dit kan ook nog gewoon hoor. Het gaat hier om dat verplicht is in de producten. Dus alle nieuwe 802.11i wifi producten moeten het ondersteunen en kunnen gebruiken.
Of je het dan ook gebruikt is geheel aan jou, want dat is instellingswerk.

Dus je kunt ook nog gewoon alles weglaten, maarja dit is niet echt aan te raden.
Dat kun je niet zomaar zeggen. Er zijn namelijk diverse wettelijke bepalingen die eisen dat je je netwerk beveiligd. Als je je netwerk niet beveiligd dan werkt dit in heel veel dingen door. Beveiliging is omwille van een heleboel zaken juist noodzakelijk. Nu kun je beargumenteren dat dit alleen voor bedrijven zo is maar die loopt mank om de reden dat de wet geen verschil kent tussen consument en bedrijf (we lopen nog steeds achter de feiten aan wat betreft wetgeving op ICT gebied, zo ook op dit vlak). Gelukkig wordt er veel gedoogd op consument gebied.

Daarnaast zitten er in producten die diverse beveiligingen naast de optie om geen beveiliging te gebruiken. Die keuze is er dus zeker wel, sterker nog, hij is groter omdat je uit diverse beveiligingsopties kunt kiezen. Het is alleen zo dat er een bepaalde optie in moet zitten wil je op een apparaat een wifi sticker kunnen plakken. Er is nergens gesproken over de verplichting dat dit default aan moet staan en dat dit ook de enige optie moet zijn. Wil je een auto een personenauto noemen zul je ook aan een aantal zaken moeten voldoen. Dat je je personenauto ook alleen voor vervoer van goederen kunt gebruiken..
Je snapt het verhaal dus niet netzoals degenen die jouw reactie beoordelen.
Het zou wel handig zijn om je draadloze verbindig te kunnen testen zonder beveiliging.
Anoniem: 151667 @Scary Gil16 maart 2006 08:52
Dat moet je ff uitleggen, wat wil je dan testen? Hoe snel de auto van War Driver Inc op stoep staat, of hoelang het duurt voor dat je door je provider van internet word afgekickt wegens het versturen van spam?

Het is een goede zaak dat WPA2 verplicht word, hoewel ik WPA-RADIUS ook een goede optie vind.
Het is een goede zaak dat WPA2 verplicht word, hoewel ik WPA-RADIUS ook een goede optie vind
De termen RADIUS en EAP zijn sterk verbonden. Via EAP kun je een RADIUS server gebruiken voor user authenticatie.
Dat moet je ff uitleggen
Heel simpel: je verbinding werkt niet. Waarom? Je gaat dan dingen wegstrepen, zoals drivers, ontvangst, protocollen, enz. Maar ook de beveiliging moet je uit kunnen zetten om te kijken of het daar misschien aan ligt.
Anoniem: 165046 @beeman16 maart 2006 09:59
Toegangsbeveiliging hoeft niet altijd op de AP te zitten. Een AP kan zogezegd open zijn doch wanneer men probeert te connecteren komt men in een guest-netwerk en zal men steeds geredirect worden naar een authenticatieserver in het netwerk. Pas na een juiste authenticatie zal men in het juiste netwerk terecht komen.

Een toegangsbeveiliging verplichten aan te zetten op de AP zelf is overkill en slecht manageable.

Dit artikel gaat echter over het feit dat men WPA2 verplicht in de specs van een AP toe te voegen opdat een AP volledig Wifi gecertifieerd is. (Als het toestel geen WPA2 kan, zou het geen volwaardig Wifi apparaat zijn, hoewel het wel zal kunnen werken)
Jamaar sitecom...

Anyway, mijn router thuis geeft zowel WPA TKIP als AES te kunnen, wat is dat dan, gwoon WPA2 of een gepimpte versie van WPA door USR?

't Is wel fijn dat ze verplichten die beveiligiing telkens mee te nemen want er zijn nu echt nog hopeloos veel onbeveiligde draadloos netwerken, op plaatsen waar het niet wenselijk is. Verder zou het ook fijn zijn als meer fabrikanten zoals Cisco dat nu met Linksys doet een EZ Setup Wizard integreerd die ook direct minsten WPA inschakelt
Ook de eerdere versie van WPA kan al AES gebruiken. Pas vanaf WPA2 is een AP ook verplicht om AES te kunnen gebruiken, daarvoor was het 'service' van de fabrikant.

Overigens kunnen best veel AP's die AES kunnen gebruiken simpel worden geupgrade naar WPA2. De implementatie van AES was de grootste hobbel vanuit een fabrikant gezien, als hij dat al kan is de stap naar WPA2 eigenlijk betrekkelijk simpel. Je zou dus eens kunnen kijken of je fabrikant niet inmiddels een firmware update heeft waardoor je WPA2 kunt krijgen, er zijn er al redelijk wat.
Anoniem: 107960 15 maart 2006 19:31
Als je gewoon zorgt dat alles binnen je draadloos netwerk beveiligd is met wachtwoorden of via een domain, dan is zelfs het gebruiken van WEP toch geen probleem?

Zo extreem veel bereik heeft wi-fi ook weer niet en zoveel last heb je niet van hackers neem ik aan, die gaan echt niet uren naast je huis hangen om toegang te krijgen. Als ze merken dat ze nog weinig kunnen als ze op het netwerk zitten gaan ze wel een ander slachtoffer zoeken?

(Edit: overigens kom ik er net echter dat mijn ap wel WPA (aes) ondersteunt na een firmwareudpate, helaas geen WPA2, komt dat erbij of heeft gijoke hier gelijk in?)
Als je gewoon zorgt dat alles binnen je draadloos netwerk beveiligd is met wachtwoorden of via een domain, dan is zelfs het gebruiken van WEP toch geen probleem?
Uh, WEP biedt geen veiligheid, met de juiste tools is e.e.a. in de lucht goed te lezen, en dus ook alle user id's en passwords die door de lucht gaan.
Anoniem: 66422 15 maart 2006 19:32
iemand vertelde me dat oude WiFi apparaten wel eens niet WPA2 kunnen ondersteunen, zoals eerder uitgebrachte wifi adapters. Is dat waar? Dan zit je daar namelijk met je WPA2 wifi router (of, waaifaai roeter :) ) en je WPA1 pc en kun je nog niks (ingebouwde adapters in notebooks bijvoorbeeld)
Dat klopt. Er zijn veel fabrikanten die geen firmware of driver updates meer uitbrengen voor oudere AP's en kaarten. Deze zullen dus nooit WPA2 gaan ondersteunen. Overigens geldt dit meer voor de AP's omdat deze vaak domweg niet genoeg processorkracht hebben om AES uit te kunnen voeren. Voor kaarten kan het vaak in de driver wel opgelost worden die de CPU van de PC gebruikt.
Overigens kan je WiFi AP met WPA2 waarschijnlijk ook wel gewoon WEP gebruiken. Maar dan kan je net zo goed geen encryptie instellen tegenwoordig.
Anoniem: 66422 @Belboer15 maart 2006 23:33
Wat je zegt. Bovendien zijn er situaties waarin WPA2 verplicht is vanwege de veiligheid(waarom wpa2 doen als je deur toch al wagenwijd openstaat met wpa1).
Maar de WPA level zit dus in de driver, dat is wel handig om te weten. Waarom wordt dit eigenlijk niet op OS niveau afgehandeld?
waarom wpa2 doen als je deur toch al wagenwijd openstaat met wpa1
Zoals hierboven ook al door iemand anders gemeld, staat je netwerk met WPA alleen bij zwak gekozen keys 'wagenwijd open' vanwege dictionary attacks. WEP is inderdaad eenvoudig te kraken.
Ik heb hier nog een intelPro Wireless 2100 (11.b kaartje, toch echt niet de nieuwste meer) en die doet vrolijk WPA2 en EAP-TLS hoor.

Lastiger wordt het als je allerlei proprietary shizzle hebt als Symbol, mag je gelijk allemaal nieuwere handscanners aanschaffen omdat de oudere 11b modellen niet meer te upgraden zijn.
Toen ik op mijn toenmalige nieuwe router (tijd terug alweer) WPA-beveiliging ingesteld had, kon ik idd niet meer met mijn notebook op deze router komen: WEP was het hoogst haalbare voor de netwerkkaart die hierin zat, en toen hij het WPA signaal oppakte dacht ie dat dit WEP was (oftewel, dit werkte voor geen meter).

Ik vermoed dat dit ook voor WPA2 geldt in sommige situaties, maar bewijzen kan ik het (nog) niet.
Leuk al die nieuwe methodes om het nóg veiliger te maken. goed voor de bedrijven en mensen die ook de moeite nemen om het te beveiligen.

maar het gros van de consument die zelf of door "de handige neef van de vriendin van de buurjongen z'n vriend" het laat installeren hebben gewoon géén beveiliging.

het is gewoon diep triest dat mensen gewoon zo open en bloot z'n netwerk hebben open liggen op straat. sommige hebben zelfs het wachtwoord van de AP nog niet eens gewijzigd (vaak log je gewoon in met: admin/admin of admin of andere standaard logins).

Ik heb zelf geprobeerd de mensen hier in de buurt te "helpen" door ze op de hoogte te brengen van de gevaren en een voorstel te doen om het te beveiligen maar bijna iedereen zegt: "ohh maakt me niet uit, ik heb toch breedband"

imo moeten ze dáár maar es oprichten: de consument eens met de feiten in de neus duwen hoe gevaarlijk een onbeveiligd draadloos netwerk welniet is.

gat in de markt, maar niet voor mij helaas :( mensen geloven mij niet omdat ik geen bedrijf ben met een goede reputatie of waar ze een relatie mee hebben.. mijn tip voor (kleine) ICT bedrijven: ga reclame voor dit soort dingen, het is echt een goudmijn.

stel, in een dorp van 1000 bewoners heeft 20% wireless. Vaak is daar de helft van onbeveiligd..

100 mensen die onbeveiligd W_lan heb. even beetje reclame maken in de lokale krant, plak wat blaadjes rond. maak de mensen bang en stel voor om voor 25 euro per klant het te beveiligen.

100 * 25 = 2500 euro.
je bent gemiddeld zo'n 15 min bezig met het beveiligen.
25 * 4 = 100 euro per uur.

2500 / 100 = 25 uur werk voor 2500 euro

dat is zo'n 100 euro per uur voor wat W-lans te beveiligen :)


(de berekening is een schatting natuurlijk ;) het is een stuk uitgebreider maar ik wed dat dit echt veel geld kan opleveren).
Anoniem: 106923 @Frenkpie15 maart 2006 21:32
En elke keer als hun wifi verbinding eruit ligt om wat voor reden dan ook, bellen ze jou op om het gratis voor ze te maken, omdat het volgens hun aan jou ligt. (terwijl ze voorheen ongemerkt door internette op het tevens onbeveiligde netwerk van de buren)

overigens zijn er op de eikelaar en de iepelaar vast wel genoeg onbeveiligde netwerken te vinden ;)
Anoniem: 126610 @Frenkpie16 maart 2006 09:42
je vergeet je reistijden, alsmede de verplichting om je kopje koffie leeg te drinken en de vele andere vraagjes die je bij zo'n bezoek ongevraagd om de oren krijgt. Reken op zeker 30 min per klant. Dan nog is 60 eurie per uur voor een noob klusje goed betaald.
Ze moeten ook verplichten om fabrikanten updates te laten maken voor oudere apparaten. :D
Anoniem: 126610 @RetepV16 maart 2006 09:34
He-le-maal eens! Vier jaar geleden een drayteck-vigor gekocht voor serieus veel euries, maar dat ding heeft alleen wep en er is geen nieuwe firmware die wpa ondersteunt...

Je zou denken dat ik er genoeg voor heb betaald om een update te mogen verwachten. Maar wellicht is wpa technisch/hardwarematig gewoon onmogelijk met zo'n ding. Daar heb ik eerlijk gezegd geen verstand van. Iemand?
WPA eist niet veel meer hardwarematig gezien, AES encryptie daarentegen wel.

Bij WPA was AES nog optioneel, bij WPA2 is het ondersteunen van AES verplicht. AP's met langzamere CPU's kunnen dus geen AES gebruiken en daardoor geen WPA2 draaien, eventueel wel WPA met TKIP, dat is slechts een software kwestie.
Zoals Nintendo en hun DS...
Anoniem: 146814 15 maart 2006 18:45
Neeeeeee, alsjeblieft niet. Het wardriven is net zo leuk! :+

Maar serieus, wat heeft WPA2 voor zin, als standaard iedere vorm van encryptie uit staat?

Zorg dat alle apparaten een unieke WPA key standaard aan hebben staan. De key moet dan wel uitgezet kunnen worden voor hotspots etc, maar een "reset to factory settings" moet de key gewoon weer aan zetten.

Ik zie de laatste tijd steeds meer speedtouches die al encryptie aan hebben staan, nu de andere merken nog.
Automatisch key-exchange: Diffie-Helmann --> een automatische sleutel toekennen --> zou standaard aan moeten staan (is dit ondersteund?)
Goeie zaak, vorige week liet een collega mij zien door middel van een Microsoft training , hoe gemakkelijk het eigenlijk is om een WEP en WPA TKIP beveiliging te kraken is, ik schrok er toch wel van hoe snel en makkelijk dat eigenlijk is.
Daar heb je echt wel een Microsoft training voor nodig :P

Dit voorbeeld maakt heel wat duidelijk
http://eks0.free.fr/whax-...oppix-wepcrack_config.xml
Op WLANs met weinig traffic kan je alsnog de key kraken door via corrupte paketten verkeer uit te lokken.

@SKiLLa: Kijk naar de link, ik praat geen poep als ik zeg dat WEP zo lek is als een zeef, en dat ligt gewoon aan het gebruikte algoritme. De keys herhalen zich na afzienbare tijd. Als ik het goed heb worden ze zelfs lineair gegenereerd...
Praat geen poep; WEP = zwak; WPA (met TKIP) is vele malen sterker en WPA met AES is nog een stukje veiliger. WEP vs WPA is als een Lada vs een Ferrari.

Als je WPA binnen afzienbare tijd kraakt dan heb je gewoon een enorm zwakke keyphrase gebruikt; met een fatsoenlijke key + key renewal op bv. een uur kom je in de praktijk nergens binnen hoor.

En 'een Microsoft training' slaat nergens op, sinds wanneer geeft MS trainings in 'WPA cracking' ? Misschien betrof het een Proof-of-Concept van het zwakke WEP algorithme, maar niet WPA ...

En anders nodig ik iedereen uit m'n WiFi te komen hacken; als het je lukt, kun je een kratje pils + een baan krijgen; postcode 1607CW; SID = office.<xxxxx> met een WRT54g ... er zitten maar 2 APs op die postcode :Y)
En 'een Microsoft training' slaat nergens op, sinds wanneer geeft MS trainings in 'WPA cracking' ? Misschien betrof het een Proof-of-Concept van het zwakke WEP algorithme, maar niet WPA ...
dit slaat wel degelijk ergens op, Lab 20 van de Train Signal trainig is een Microsoft training en hierin zie je heel duidelijk inclusief uitleg hoe een WEP en WPA TKIP (door middel van dictionary dus) gekraakt kan worden.

de opset van dit filmpje is niet het laten zien hoe je het moet doen (maar wat wel gebeurd) maar laten zien hoe zwak het is.
ik heb net even de kinderporno op je harde schijf bekeken en daar maak je geen vrienden mee.
Die baan laat dus maar zitten met zo''n baas ;)
Wow, hier kijk ik van op, iedereen maar zeggen dat het Train Signal materiaal waardeloos is en je leert er gewoon hacken!!
@ Seven of nice

is wel moeilijker, maar ik geloof dat ze het met een dictionary attack (geloof dat ze het zo noemde) toch nog binnen aanzienlijke tijd voor elkaar kregen.
Een dicitionay attack is, zoals de naam als zegt, een aanval die alle woorden uit een woordenboek probeert als wachtwoord.

Als jij dus een niet voor de hand liggend wachtwoord gebruikt met cijfers en leestekens erin (lees: een wachtwoord uit een goede wachtwoord generator), dan werkt een dictionary attack niet meer. Je zal dan moeten brute-forcen wat véél langer duurt.
WEP = in 10 minuutjes gekraakt, WPA is heel wat lastiger hoor.
Het leek ook wel eens voor de lol leuk om in een stad te zien of je via een wifi-hack kan internetten ofzo.

En dan zullen er zeker wel anderen zijn die verder gaan dan dat en kwaadere bedoelingen hebben.
Vaak staat de encryptie niet eens aan toch.

Op dit item kan niet meer gereageerd worden.