WEP-opvolger WPA2 verplicht voor WiFi-apparatuur

De tweede versie van het WiFi Protected Access-protocol, ook wel bekend als WPA2, is door de WiFi Alliance verplicht gesteld voor alle producten die een WiFi-certificatie willen voeren. De alliantie maakte WPA2 in 2004 als optie beschikbaar, maar de populariteit van WiFi en de hopeloos zwakke WEP-standaard maakten verbetering noodzakelijk. WPA2, dat net als het vorig jaar verplicht gestelde WPA een onderdeel vormt van de IEEE 802.11i-standaard, zal in twee versies beschikbaar komen. Voor consumenten is er een versie die versleuteling op basis van een wachtwoord toepast, terwijl de Enterprise-variant een modulair en uitbreidbaar authenticatiesysteem gebruikt, dat bekend staat onder de naam 'Extensible Authentication Protocol', oftewel EAP.

WiFi Alliance-logo Het verschil met WPA zit in de gebruikte encryptie; voor WPA2 is dit de AES-encryptie, terwijl WPA het met TKIP moet doen. Volgens de WiFi Alliance zijn beide protocollen overigens veilig te gebruiken: waar WPA indertijd werd ontworpen om alle tekortkomingen van WEP op te vangen, is WPA2 niet gemaakt om ontwerpfouten te verhelpen, maar alleen om het niveau van de beveiliging nog wat verder op te krikken. De organisatie liet weten dat er al rond de zeshonderd producten van de WPA2-certificering zijn voorzien.

IT-banen

Reacties (56)

Anoniem: 9264 15 maart 2006 18:01

Je kan ook je wifi acces point zo instellen dat je wel vrij kan inloggen maar bijvoorbeeld aleen op bepaalde poorten kan
zoals aleen sip open en bij enkel port 80 en de rest dicht zo kan je de mensen die een wifi foon hebben teminste nog van dienst zijn als meerdere dat doen dan heb je binnen no time een alternatief mobiel netwerk

O.a een sitecom kan dit maar icm met een zyxel p2000w V2 wifi telefoon

Maurits van Baerle 15 maart 2006 20:49

Voor mensen die zelf WPA2 willen proberen:

- Zorg dat je de meest recente drivers van je netwerkkaart hebt
- Zorg dat je de meest recente firmware in je router hebt
- Zorg dat jouw OS het ondersteunt:
Windows XP: Installeer KB893357
Mac OS X: Installeer Airport 4.2

Niet alle oudere kaarten en AP's ondersteunen het maar het zijn er meer dan je denkt.

beeman 15 maart 2006 17:49

Goede zaak natuurlijk! Nu zou de firmware nog zo aangepast moeten worden dat het een proper beveiligingsniveau veplicht stelt (en anders geen verbinding), zodat het ook daadwerkelijk overal actief wordt...

Quacka @beeman • 15 maart 2006 19:33

beveiliging moet een keuze zijn. Als ik mijn netwerk niet wil beveiligen, dan moet dit kunnen.

AlexanderOnline @Quacka • 15 maart 2006 21:23

Behalve als je hierdoor veel overlast op het internet veroorzaakt (bijv. spam)!

ATS @Quacka • 15 maart 2006 21:54

Dat is ook zo, maar het zou in elk geval een bewuste keuze moeten zijn om het uit te zetten.

Anoniem: 169573 @Quacka • 16 maart 2006 06:10

Ik begrijp het argument 'vrijheid', maar toch ben ik niet helemaal akkoord. Als jij je auto niet op slot doet, dan kan je ook een boete krijgen. Als je private data van klanten niet (afdoende) beveiligd, ben je ook in overtreding met nationale en Europese wetten op privacy. Je bent verantwoordelijk voor jouw internet-connectie, en bovendien staat er waarschijnlijk duidelijk in het contract met jouw provider dat je de verbinding niet zomaar met derden mag delen.

Je mag gerust een hoop hackers, war-drivers, spammers en virusschrijvers verwachten op jouw netwerk... Om nog maar te zwijgen over kredietkaart-fraude, identiteitsvervalsing, pedofilie en wat je nog meer kan bedenken.

Ik denk dat mensen jou heel erg verantwoordelijk zullen achten wanneer blijkt dat bijvoorbeeld een groot deel van hun spam uit jouw netwerk zou komen; of het nu komt doordat je er niets van kent -- of net het omgekeerde -- doordat je denkt beter te weten. De tijd waarin je met excuses zoals 'wat is een virus?' of 'ik wou eens zien wat er zou gebeuren' kan komen, is voorbij.

Mensen hebben wel degelijk een verantwoordelijkheid op het internet (en bijgevolg op hun eigen computer en in hun eigen netwerk), net zoals in de samenleving, en wie dat niet gelooft, zal wel eens een schuimbekkende sysadmin met een basebal-knuppel op zijn stoep vinden op een mooie maandagochtend...

... ahhh, de kleine dingen die het leven van een sysadmin draaglijk maken...

Parasietje @Anoniem: 169573 • 16 maart 2006 23:41

En als ik dan even wil debuggen?
Als ik dan de experimentele WiFi-code voor de prism54usb-chipset (die nog geen WEP of WPA ondersteunt) op linux wil uittesten? Dan moet ik even mijn router in gaan hacken omdat die web-interface het vertikt om de beveiliging uit te zetten?

Laat ons alstublieft de vrijheden van de gebruikers niet indammen. Liever een eenvoudige web-interface met een duidelijk vindbaar "Advanced"-knopje die zoiets inderdaad niet _meteen_ toelaat, dan mensen verbieden om bepaalde dingen met hun hardware te doen. DRM anyone?

Programmeer dan gewoon simpel een standaard WPA-beveiliging met het wachtwoord "default". De router valt na 2 uur gewoon uit, als het wachtwoord op "default" blijft staan. Daarna mag de gebruiker doen wat hij wil, als het wachtwoord dan weer op "default" komt te staan, dan best. Laat ons de vrijheid om gelijk wat met hardware te doen, maar bescherm de naïeve gebruikers die het Plug 'n Play principe gewoon zijn.

Havocnl @Quacka • 16 maart 2006 09:09

Dit kan ook nog gewoon hoor. Het gaat hier om dat verplicht is in de producten. Dus alle nieuwe 802.11i wifi producten moeten het ondersteunen en kunnen gebruiken.
Of je het dan ook gebruikt is geheel aan jou, want dat is instellingswerk.

Dus je kunt ook nog gewoon alles weglaten, maarja dit is niet echt aan te raden.

ppl @Quacka • 16 maart 2006 09:52

Dat kun je niet zomaar zeggen. Er zijn namelijk diverse wettelijke bepalingen die eisen dat je je netwerk beveiligd. Als je je netwerk niet beveiligd dan werkt dit in heel veel dingen door. Beveiliging is omwille van een heleboel zaken juist noodzakelijk. Nu kun je beargumenteren dat dit alleen voor bedrijven zo is maar die loopt mank om de reden dat de wet geen verschil kent tussen consument en bedrijf (we lopen nog steeds achter de feiten aan wat betreft wetgeving op ICT gebied, zo ook op dit vlak). Gelukkig wordt er veel gedoogd op consument gebied.

Daarnaast zitten er in producten die diverse beveiligingen naast de optie om geen beveiliging te gebruiken. Die keuze is er dus zeker wel, sterker nog, hij is groter omdat je uit diverse beveiligingsopties kunt kiezen. Het is alleen zo dat er een bepaalde optie in moet zitten wil je op een apparaat een wifi sticker kunnen plakken. Er is nergens gesproken over de verplichting dat dit default aan moet staan en dat dit ook de enige optie moet zijn. Wil je een auto een personenauto noemen zul je ook aan een aantal zaken moeten voldoen. Dat je je personenauto ook alleen voor vervoer van goederen kunt gebruiken..
Je snapt het verhaal dus niet netzoals degenen die jouw reactie beoordelen.

Scary Gil @Quacka • 16 maart 2006 08:02

Het zou wel handig zijn om je draadloze verbindig te kunnen testen zonder beveiliging.

Anoniem: 151667 @Scary Gil • 16 maart 2006 08:52

Dat moet je ff uitleggen, wat wil je dan testen? Hoe snel de auto van War Driver Inc op stoep staat, of hoelang het duurt voor dat je door je provider van internet word afgekickt wegens het versturen van spam?

Het is een goede zaak dat WPA2 verplicht word, hoewel ik WPA-RADIUS ook een goede optie vind.

zytec @Scary Gil • 16 maart 2006 09:39

Het is een goede zaak dat WPA2 verplicht word, hoewel ik WPA-RADIUS ook een goede optie vind

De termen RADIUS en EAP zijn sterk verbonden. Via EAP kun je een RADIUS server gebruiken voor user authenticatie.

_Thanatos_ @Scary Gil • 16 maart 2006 12:19

Dat moet je ff uitleggen

Heel simpel: je verbinding werkt niet. Waarom? Je gaat dan dingen wegstrepen, zoals drivers, ontvangst, protocollen, enz. Maar ook de beveiliging moet je uit kunnen zetten om te kijken of het daar misschien aan ligt.

Anoniem: 165046 @beeman • 16 maart 2006 09:59

Toegangsbeveiliging hoeft niet altijd op de AP te zitten. Een AP kan zogezegd open zijn doch wanneer men probeert te connecteren komt men in een guest-netwerk en zal men steeds geredirect worden naar een authenticatieserver in het netwerk. Pas na een juiste authenticatie zal men in het juiste netwerk terecht komen.

Een toegangsbeveiliging verplichten aan te zetten op de AP zelf is overkill en slecht manageable.

Dit artikel gaat echter over het feit dat men WPA2 verplicht in de specs van een AP toe te voegen opdat een AP volledig Wifi gecertifieerd is. (Als het toestel geen WPA2 kan, zou het geen volwaardig Wifi apparaat zijn, hoewel het wel zal kunnen werken)

Daenney 15 maart 2006 18:07

Jamaar sitecom...

Anyway, mijn router thuis geeft zowel WPA TKIP als AES te kunnen, wat is dat dan, gwoon WPA2 of een gepimpte versie van WPA door USR?

't Is wel fijn dat ze verplichten die beveiligiing telkens mee te nemen want er zijn nu echt nog hopeloos veel onbeveiligde draadloos netwerken, op plaatsen waar het niet wenselijk is. Verder zou het ook fijn zijn als meer fabrikanten zoals Cisco dat nu met Linksys doet een EZ Setup Wizard integreerd die ook direct minsten WPA inschakelt

Maurits van Baerle @Daenney • 15 maart 2006 18:34

Ook de eerdere versie van WPA kan al AES gebruiken. Pas vanaf WPA2 is een AP ook verplicht om AES te kunnen gebruiken, daarvoor was het 'service' van de fabrikant.

Overigens kunnen best veel AP's die AES kunnen gebruiken simpel worden geupgrade naar WPA2. De implementatie van AES was de grootste hobbel vanuit een fabrikant gezien, als hij dat al kan is de stap naar WPA2 eigenlijk betrekkelijk simpel. Je zou dus eens kunnen kijken of je fabrikant niet inmiddels een firmware update heeft waardoor je WPA2 kunt krijgen, er zijn er al redelijk wat.

Anoniem: 107960 15 maart 2006 19:31

Als je gewoon zorgt dat alles binnen je draadloos netwerk beveiligd is met wachtwoorden of via een domain, dan is zelfs het gebruiken van WEP toch geen probleem?

Zo extreem veel bereik heeft wi-fi ook weer niet en zoveel last heb je niet van hackers neem ik aan, die gaan echt niet uren naast je huis hangen om toegang te krijgen. Als ze merken dat ze nog weinig kunnen als ze op het netwerk zitten gaan ze wel een ander slachtoffer zoeken?

(Edit: overigens kom ik er net echter dat mijn ap wel WPA (aes) ondersteunt na een firmwareudpate, helaas geen WPA2, komt dat erbij of heeft gijoke hier gelijk in?)

zytec @Anoniem: 107960 • 16 maart 2006 09:41

Als je gewoon zorgt dat alles binnen je draadloos netwerk beveiligd is met wachtwoorden of via een domain, dan is zelfs het gebruiken van WEP toch geen probleem?

Uh, WEP biedt geen veiligheid, met de juiste tools is e.e.a. in de lucht goed te lezen, en dus ook alle user id's en passwords die door de lucht gaan.

Anoniem: 66422 15 maart 2006 19:32

iemand vertelde me dat oude WiFi apparaten wel eens niet WPA2 kunnen ondersteunen, zoals eerder uitgebrachte wifi adapters. Is dat waar? Dan zit je daar namelijk met je WPA2 wifi router (of, waaifaai roeter

) en je WPA1 pc en kun je nog niks (ingebouwde adapters in notebooks bijvoorbeeld)

Belboer @Anoniem: 66422 • 15 maart 2006 19:54

Dat klopt. Er zijn veel fabrikanten die geen firmware of driver updates meer uitbrengen voor oudere AP's en kaarten. Deze zullen dus nooit WPA2 gaan ondersteunen. Overigens geldt dit meer voor de AP's omdat deze vaak domweg niet genoeg processorkracht hebben om AES uit te kunnen voeren. Voor kaarten kan het vaak in de driver wel opgelost worden die de CPU van de PC gebruikt.
Overigens kan je WiFi AP met WPA2 waarschijnlijk ook wel gewoon WEP gebruiken. Maar dan kan je net zo goed geen encryptie instellen tegenwoordig.

Anoniem: 66422 @Belboer • 15 maart 2006 23:33

Wat je zegt. Bovendien zijn er situaties waarin WPA2 verplicht is vanwege de veiligheid(waarom wpa2 doen als je deur toch al wagenwijd openstaat met wpa1).
Maar de WPA level zit dus in de driver, dat is wel handig om te weten. Waarom wordt dit eigenlijk niet op OS niveau afgehandeld?

PatMan @Anoniem: 66422 • 16 maart 2006 13:50

waarom wpa2 doen als je deur toch al wagenwijd openstaat met wpa1

Zoals hierboven ook al door iemand anders gemeld, staat je netwerk met WPA alleen bij zwak gekozen keys 'wagenwijd open' vanwege dictionary attacks. WEP is inderdaad eenvoudig te kraken.

alt-92 @Anoniem: 66422 • 15 maart 2006 19:57

Ik heb hier nog een intelPro Wireless 2100 (11.b kaartje, toch echt niet de nieuwste meer) en die doet vrolijk WPA2 en EAP-TLS hoor.

Lastiger wordt het als je allerlei proprietary shizzle hebt als Symbol, mag je gelijk allemaal nieuwere handscanners aanschaffen omdat de oudere 11b modellen niet meer te upgraden zijn.

Top-Rob @Anoniem: 66422 • 15 maart 2006 20:25

Toen ik op mijn toenmalige nieuwe router (tijd terug alweer) WPA-beveiliging ingesteld had, kon ik idd niet meer met mijn notebook op deze router komen: WEP was het hoogst haalbare voor de netwerkkaart die hierin zat, en toen hij het WPA signaal oppakte dacht ie dat dit WEP was (oftewel, dit werkte voor geen meter).

Ik vermoed dat dit ook voor WPA2 geldt in sommige situaties, maar bewijzen kan ik het (nog) niet.

Frenkpie 15 maart 2006 21:20

Leuk al die nieuwe methodes om het nóg veiliger te maken. goed voor de bedrijven en mensen die ook de moeite nemen om het te beveiligen.

maar het gros van de consument die zelf of door "de handige neef van de vriendin van de buurjongen z'n vriend" het laat installeren hebben gewoon géén beveiliging.

het is gewoon diep triest dat mensen gewoon zo open en bloot z'n netwerk hebben open liggen op straat. sommige hebben zelfs het wachtwoord van de AP nog niet eens gewijzigd (vaak log je gewoon in met: admin/admin of admin of andere standaard logins).

Ik heb zelf geprobeerd de mensen hier in de buurt te "helpen" door ze op de hoogte te brengen van de gevaren en een voorstel te doen om het te beveiligen maar bijna iedereen zegt: "ohh maakt me niet uit, ik heb toch breedband"

imo moeten ze dáár maar es oprichten: de consument eens met de feiten in de neus duwen hoe gevaarlijk een onbeveiligd draadloos netwerk welniet is.

gat in de markt, maar niet voor mij helaas

mensen geloven mij niet omdat ik geen bedrijf ben met een goede reputatie of waar ze een relatie mee hebben.. mijn tip voor (kleine) ICT bedrijven: ga reclame voor dit soort dingen, het is echt een goudmijn.

stel, in een dorp van 1000 bewoners heeft 20% wireless. Vaak is daar de helft van onbeveiligd..

100 mensen die onbeveiligd W_lan heb. even beetje reclame maken in de lokale krant, plak wat blaadjes rond. maak de mensen bang en stel voor om voor 25 euro per klant het te beveiligen.

100 * 25 = 2500 euro.
je bent gemiddeld zo'n 15 min bezig met het beveiligen.
25 * 4 = 100 euro per uur.

2500 / 100 = 25 uur werk voor 2500 euro

dat is zo'n 100 euro per uur voor wat W-lans te beveiligen

(de berekening is een schatting natuurlijk

het is een stuk uitgebreider maar ik wed dat dit echt veel geld kan opleveren).

Anoniem: 106923 @Frenkpie • 15 maart 2006 21:32

En elke keer als hun wifi verbinding eruit ligt om wat voor reden dan ook, bellen ze jou op om het gratis voor ze te maken, omdat het volgens hun aan jou ligt. (terwijl ze voorheen ongemerkt door internette op het tevens onbeveiligde netwerk van de buren)

overigens zijn er op de eikelaar en de iepelaar vast wel genoeg onbeveiligde netwerken te vinden

Anoniem: 126610 @Frenkpie • 16 maart 2006 09:42

je vergeet je reistijden, alsmede de verplichting om je kopje koffie leeg te drinken en de vele andere vraagjes die je bij zo'n bezoek ongevraagd om de oren krijgt. Reken op zeker 30 min per klant. Dan nog is 60 eurie per uur voor een noob klusje goed betaald.

RetepV 15 maart 2006 18:47

Ze moeten ook verplichten om fabrikanten updates te laten maken voor oudere apparaten.

Anoniem: 126610 @RetepV • 16 maart 2006 09:34

He-le-maal eens! Vier jaar geleden een drayteck-vigor gekocht voor serieus veel euries, maar dat ding heeft alleen wep en er is geen nieuwe firmware die wpa ondersteunt...

Je zou denken dat ik er genoeg voor heb betaald om een update te mogen verwachten. Maar wellicht is wpa technisch/hardwarematig gewoon onmogelijk met zo'n ding. Daar heb ik eerlijk gezegd geen verstand van. Iemand?

Maurits van Baerle @Anoniem: 126610 • 16 maart 2006 11:06

WPA eist niet veel meer hardwarematig gezien, AES encryptie daarentegen wel.

Bij WPA was AES nog optioneel, bij WPA2 is het ondersteunen van AES verplicht. AP's met langzamere CPU's kunnen dus geen AES gebruiken en daardoor geen WPA2 draaien, eventueel wel WPA met TKIP, dat is slechts een software kwestie.

90710 @RetepV • 15 maart 2006 19:17

Zoals Nintendo en hun DS...

Anoniem: 146814 15 maart 2006 18:45

Neeeeeee, alsjeblieft niet. Het wardriven is net zo leuk!

Maar serieus, wat heeft WPA2 voor zin, als standaard iedere vorm van encryptie uit staat?

Zorg dat alle apparaten een unieke WPA key standaard aan hebben staan. De key moet dan wel uitgezet kunnen worden voor hotspots etc, maar een "reset to factory settings" moet de key gewoon weer aan zetten.

Ik zie de laatste tijd steeds meer speedtouches die al encryptie aan hebben staan, nu de andere merken nog.

WinL @Anoniem: 146814 • 15 maart 2006 18:57

Automatisch key-exchange: Diffie-Helmann --> een automatische sleutel toekennen --> zou standaard aan moeten staan (is dit ondersteund?)

Bargemanos 15 maart 2006 17:50

Goeie zaak, vorige week liet een collega mij zien door middel van een Microsoft training , hoe gemakkelijk het eigenlijk is om een WEP en WPA TKIP beveiliging te kraken is, ik schrok er toch wel van hoe snel en makkelijk dat eigenlijk is.

CopperCAT @Bargemanos • 15 maart 2006 17:59

Daar heb je echt wel een Microsoft training voor nodig

Dit voorbeeld maakt heel wat duidelijk
http://eks0.free.fr/whax-...oppix-wepcrack_config.xml
Op WLANs met weinig traffic kan je alsnog de key kraken door via corrupte paketten verkeer uit te lokken.

@SKiLLa: Kijk naar de link, ik praat geen poep als ik zeg dat WEP zo lek is als een zeef, en dat ligt gewoon aan het gebruikte algoritme. De keys herhalen zich na afzienbare tijd. Als ik het goed heb worden ze zelfs lineair gegenereerd...

SKiLLa @CopperCAT • 15 maart 2006 18:09

Praat geen poep; WEP = zwak; WPA (met TKIP) is vele malen sterker en WPA met AES is nog een stukje veiliger. WEP vs WPA is als een Lada vs een Ferrari.

Als je WPA binnen afzienbare tijd kraakt dan heb je gewoon een enorm zwakke keyphrase gebruikt; met een fatsoenlijke key + key renewal op bv. een uur kom je in de praktijk nergens binnen hoor.

En 'een Microsoft training' slaat nergens op, sinds wanneer geeft MS trainings in 'WPA cracking' ? Misschien betrof het een Proof-of-Concept van het zwakke WEP algorithme, maar niet WPA ...

En anders nodig ik iedereen uit m'n WiFi te komen hacken; als het je lukt, kun je een kratje pils + een baan krijgen; postcode 1607CW; SID = office.<xxxxx> met een WRT54g ... er zitten maar 2 APs op die postcode

Bargemanos @SKiLLa • 15 maart 2006 18:22

En 'een Microsoft training' slaat nergens op, sinds wanneer geeft MS trainings in 'WPA cracking' ? Misschien betrof het een Proof-of-Concept van het zwakke WEP algorithme, maar niet WPA ...

dit slaat wel degelijk ergens op, Lab 20 van de Train Signal trainig is een Microsoft training en hierin zie je heel duidelijk inclusief uitleg hoe een WEP en WPA TKIP (door middel van dictionary dus) gekraakt kan worden.

de opset van dit filmpje is niet het laten zien hoe je het moet doen (maar wat wel gebeurd) maar laten zien hoe zwak het is.

SED @SKiLLa • 15 maart 2006 20:47

ik heb net even de kinderporno op je harde schijf bekeken en daar maak je geen vrienden mee.
Die baan laat dus maar zitten met zo''n baas

gumkop @SKiLLa • 15 maart 2006 22:33

Wow, hier kijk ik van op, iedereen maar zeggen dat het Train Signal materiaal waardeloos is en je leert er gewoon hacken!!

Bargemanos @Bargemanos • 15 maart 2006 17:56

@ Seven of nice

is wel moeilijker, maar ik geloof dat ze het met een dictionary attack (geloof dat ze het zo noemde) toch nog binnen aanzienlijke tijd voor elkaar kregen.

ShadowLord

@Bargemanos • 15 maart 2006 18:03

Een dicitionay attack is, zoals de naam als zegt, een aanval die alle woorden uit een woordenboek probeert als wachtwoord.

Als jij dus een niet voor de hand liggend wachtwoord gebruikt met cijfers en leestekens erin (lees: een wachtwoord uit een goede wachtwoord generator), dan werkt een dictionary attack niet meer. Je zal dan moeten brute-forcen wat véél langer duurt.

RSpliet @Bargemanos • 15 maart 2006 17:53

WEP = in 10 minuutjes gekraakt, WPA is heel wat lastiger hoor.

gp500 @Bargemanos • 15 maart 2006 17:53

Het leek ook wel eens voor de lol leuk om in een stad te zien of je via een wifi-hack kan internetten ofzo.

En dan zullen er zeker wel anderen zijn die verder gaan dan dat en kwaadere bedoelingen hebben.
Vaak staat de encryptie niet eens aan toch.

Op dit item kan niet meer gereageerd worden.

WEP-opvolger WPA2 verplicht voor WiFi-apparatuur

Lees meer

IT-banen

Reacties (56)

Sorteer op:

Weergave: