Dit onderwerp bevat 35 reacties, 14 deelnemers, en is laatst geüpdatet op 10 jaren, 11 maanden geleden door 
-
Berichten
-
goede dag, ik heb internet via orange. Als er bij mij bezoek is geef ik altijd beveiligignssleutel zodat ze kunnen surfen. Maar zijn dan ook mijn persoonlijke gegevens beschikbaar voor hun? En als dat zo is hoe kan ik dit oplossen.
Veel dank
EtienneBonjour Etienne,
Je spreekt over Orange dus ik neem aan dat je gebruik maakt van hun Livebox. Er is dan sprake van 3 verschillende beveiligingsaspecten:
1) De “administrator” login op de Livebox. Die staat standaard op username admin, password admin.
2) De beveiligingssleutel voor WEP, WPA-WPA2 of wat je ook gebruikt. Dit is de beveiliging tegen “afluisteren” van de draadloze verbinding. Deze beschermt ook de WiFi service van de Livebox tegen gebruik door derden.
3) De beveiliging en toegankelijkheid van andere computers in je lokale netwerk. Die zijn standaard allemaal “zichtbaar” en dus benaderbaar via je Livebox, aangezien deze de rol van router en default gateway voor je lokale netwerk vervult.
Op het moment dat je de beveiligingssleutel (2) van je Livebox aan derden geeft, en je hebt verder niets gedaan, kunnen deze derden op jouw Livebox inloggen met de standaard username en password (1). Bovendien kunnen deze derden dan andere computers in je netwerk benaderen (3).
Tenzij je deze derden goed kent en uitdrukkelijk vertrouwt is dit geen goed idee. Je doet er goed aan tenminste het standaard password van de Livebox te veranderen. Daarnaast moet je ook kijken naar de beveiliging van de andere computers in je netwerk, met name voor wat betreft shared folders zonder password en toegankelijkheid op afstand (RDP).
Als je de derden niet goed kent is dat allemaal niet genoeg. Je krijgt dan al snel behoefte aan een separate WiFi dienst voor je gasten, die niet in verbinding staat met je privé netwerk. Eventueel zul je bepaalde filters willen toepassen om te voorkomen dat derden via jouw WiFi dingen doen waar jij later last mee kunt krijgen. Illegale up- en downloads, kinderporno en anarchistische/terroristische fora bijvoorbeeld. Of bandbreedteverslindende activiteiten zoals videostreaming waardoor jouw hele aansluiting overbelast raakt.
Als dat laatste bij jou van toepassing is raad ik je aan een ICT deskundige in de arm te nemen en/of een standaard product hiervoor te verwerven. Dat is niet meer iets wat je zo even op een regenachtige zondagmiddag in elkaar configureert.
Salutations, Jos
Het meest directe probleem wat ik ken is dat Orange je automatisch herkent als je de Orange bezoekt.
Of dat nog steeds zo is weet ik niet, maar dat kun je eenvoudig checken.
Bezoek de Orange site via WIFI.
Ik heb bij vrienden gezien dat je dan automatisch bent ingelogd, abonnementen kunt wijzigen, alle gegevens inzien etc.
Naar mijn mening belachelijk, maar goed, dat is een andere discussie.De enige “oplossing” die ik heb gevonden is een extra account aanmaken, ook weer via Orange.fr.
Op dat moment wordt je niet meer automatisch ingelogd op de Orange site als het goed is (omdat er twee accounts zijn).En ik zou ook inderdaad zeker het Admin wachtwoord van de livebox wijzigen…
Ik weet niet hoe de huidige situatie is, maar ‘vroeger’ kon iedereen vanuit het lokale netwerk ook via ftp en telnet middels standaard wachtwoorden (niet admin, admin maar het ROOT wachtwoord) de Livebox in.
Eigenlijk is het gewoon ernstig af te raden om je lokale netwerk publiekelijk open te zetten.
Orange herkent je niet zomaar. Je moet wel al een keer hebben ingelogd en toegestaan hebben (cookie) ingelogd te blijven. Je cookies in je browser verwijderen en geen nieuwe accepteren lijkt me dan voldoende om jouw probleem op te lossen.
FransQuote:Quote uit Timo op 30/08/2013 10:19
Het meest directe probleem wat ik ken is dat Orange je automatisch herkent als je de Orange bezoekt. Of dat nog steeds zo is weet ik niet, …Dat is gedaan Timo. Zo’n drie jaar terug kraakte ik het netwerk van de buren eens als experiment, en stelde ik tot m’n verbazing vast wat je hierboven beschrijft. Sinds enige tijd is dat echter niet meer het geval.
Dat drukt ook een digibeet als ik met de neus op de feiten. Ik weet alleen dat ik pas vrienden uit NL over had en dat ze wel de wifi konden opsporen op hun Iphone. Maar zonder mijn wachtwoord hadden ze geen toegang tot mijn Freebox. Maar vorig jaar (ik was toen nog bij SFR, had er de ballen verstand van en kende geen enkele inlogcode) slaagden australische gasten er toch in om via de SFR-box een wifi-verbinding tot stand te brengen met hun tablet. Hoe kan dat? Ik heb bij Google Chrome ingesteld dat iedere keer als ik internet afsluit alle cookies worden verwijderd. Is dat voldoende beveiliging?
Ik ga overwegend akkoord met Jos, maar paranoïa is ook nergens voor nodig.
In het kort:
1. Via de wifi kan men inloggen op uw router. Het is inderdaad een goed idee het standaard paswoord hiervan te vervangen, dus geen admin/admin of admin/password meer. Alhoewel dit eigenlijk niet zoveel uitmaakt, op die box kan men toch weinig kwaads doen.
2. Via de wifi kan men ook uw persoonlijke computer bereiken als die aan staat. Maar dat is nog niet hetzelfde als erop inbreken. Zelfs al heeft iemand kwade bedoelingen, dan is dat nog vrij moeilijk, zoniet onmogelijk indien uw computer afdoende beveiligd is. Dus het risico is zeer beperkt.Als het hier over een Chambre d’hôtes gaat, heeft het ook veel te maken met het vertrouwen dat u in uw gasten stelt. Ik neem aan dat u weinig (jongere) klanten krijgt die u specifiek bezoeken om op uw netwerk te kunnen inbreken? Zelfde opmerking voor het downloaden. Het mag in Frankrijk niet, maar ik neem aan dat uw gasten niet met dit doel op bezoek komen.
Kleinere maatregelen die u zou kunnen overwegen:
1. Klanten een disclaimer laten tekenen betreffende het illegaal downloaden, vergelijkbaar met wat hotels aan hun klanten voorleggen. Het zijn vrij algemene clausules met het doel u van uw verantwoordelijkheid te ontslaan indien uw klanten iets illegaals downloaden.
2. U kan eventueel een tweede wifi-netwerk voor de gasten overwegen. Op de routers van Numericable kan dit geactiveerd worden op de router zelf (“guest network”), wat het makkelijk maakt. Misschien weet iemand of deze service ook op de recentste Liveboxen van Orange bestaat? Indien u het via een aparte wifi-router wil klaarspelen, wordt het iets moeilijker, en wellicht niet echt binnen het bereik van de doorsnee computergebruiker (want dan moet je specifieke filters gaan instellen om ervoor te zorgen dat je vanop dat netwerk enkel het internet op kan).Groeten,
Wouter@Bosbess,
1. Wifi-netwerken zijn altijd ‘opspoorbaar’, zoals je dat noemt. Je kan gewoon scannen welke netwerken in de lucht hangen, dat is perfect normaal. Om erop in te loggen, heb je echter wel degelijk het paswoord nodig. En dat is voor moderne netwerken met een WPA/WPA2 beveiliging niet meer te kraken (in tegenstelling tot WEP tot voor 2-3 jaar)
2. Het is onmogelijk dat je gasten op je netwerk konden inloggen zonder de sleutel. Ofwel hadden ze de sleutel (gekregen van jou, of afgekeken van de sticker op de Box), ofwel konden ze inloggen via het publieke netwerk van SFR. SFR-boxen creëren namelijk ook een tweede, volledig apart maar betalend (!) netwerk, waarop bezoekers kunnen inloggen. Dat netwerk heeft ‘SFR-FON’, en die is vrij toegankelijk voor bezoekers (mits betaling aan SFR/Fon). Een andere mogelijkheid zie ik echt niet.Bedankt Gautier. Het is, nu je het zegt, misschien mogelijk dat de Australiërs aan het zoeken waren en dat ze toen inderdaad het netwerk hebben gevonden. Ik had geen idee dat dat mogelijk was, tot het mijn vrienden deze week tot mijn verbazing ook weer lukte. Ik zat er vorig jaar de hele tijd bij en wie weet heb ik op goed geluk een wachtwoord genoemd dat ik toen vaak gebruikte. Hoe het precies verliep kan ik me niet meer goed herinneren, maar na jouw uitleg kan het bijna niet anders dan dat het zo is gegaan.
Ik kan me niet verenigen met het standpunt van Gautier. Wie de router op root niveau beheerst kan en mag alles, inclusief u uit uw eigen netwerk gooien. Ook kan standaard de inhoud van elke PC op het netwerk door iedereen binnen het eigen lokale netwerk worden bekeken omdat vrijwel iedereen z’n PC ‘deelt’ binnen het lokale netwerk.
Aangezien ook ‘nerds’ met vakantie gaan en dan niks anders te doen hebben dien je daar rekening mee te houden. Dat is geen paranoia maar realiteit. Ook voor WPA2 zijn overigens hacking tools in omloop, dus waan je niet te veilig.
De goede veiligheidamaatregel is, om je hele netwerk incl router achter een knop te zetten, die alle stroom afbreekt. En die knop alleen op aan te zetten als je echt wilt gaan compueteren Daarnaast met CCleaner na ieder gebruik jouw computer op te schonen. Wipe ook relelmatig daarna je harde schijf om compromiterende informatie te wissen. Je genereert meer compromiterende zaken dan je je bewust bent
Een variatie op HansPiet’s oplossing: mijn belangrijke zaken staan op een NAS (network attached storage). Twee voordelen: backup van mijn gegevens, je kunt er heel moeilijk in komen want beveiligd en ik zet het ding meestal uit totdat ik ga backuppen of bepaalde files nodig heb.
Tenslotte kun je ook directories versleutelen.Steven
Quote:Quote uit Fransco op 30/08/2013 11:00
Orange herkent je niet zomaar. Je moet wel al een keer hebben ingelogd en toegestaan hebben (cookie) ingelogd te blijven. Je cookies in je browser verwijderen en geen nieuwe accepteren lijkt me dan voldoende om jouw probleem op te lossen.
FransDat was wel zo hoor, in een ieder geval nog 1.5 jaar geleden. Goed dat dat nu kennelijk is aangepast want het was idioot IMHO.
De Gautier oplossing voor het openen van een tweede ‘guest’ netwerk op je bestaande router is de meest simpele. Cisco routers ( de meeste dan) kunnen dat standaard. Je kan zelf de services die dat guest netwerk geeft beperken. Dus alleen mail en internet bijvoorbeeld. Zonder kraaktools is de rest van je draad of wifi gebonden netwerk niet bereikbaar, en ach, de NSA kan overal in en uit. Maar kan de Livebox ook een tweede account aanmaken?
Quote:Quote uit ratatouille op 12/09/2013 12:20
Maar kan de Livebox ook een tweede account aanmaken?Ik heb dat niet gevonden.
Meestal is een tweede router het goedkoopste.
Dus gasten op de Livebox WIFI, zelf via een UTP kabel een extra WIFI router aansluiten en die gebruiken voor WIFI toegang.
Zit er als extra beveiliging nog NAT en eventueel een firewall tussen de bezoekers en je computers.Stja,
Ik heb het idee dat iedereen die hier komt erg blij is met internet en maar een ding wil facebooken en mailen en verder niks, zijn ook geen types die hacken dus gewone mensen.
Die beveiligingen bieden juist uitdaging en alles open is de “oude” internet gedachte en houd ik aan.
In amsterdam stond de draadloze router voor het raam en er zaten bij ons huis vele mensen met een laptop en daar ben ook nooit gehacked!Albert, erg mistig hier 87
Hoe weet je het verschil tussen nooit gehackt en dagelijks gehackt, maar niks van gemerkt want ik kijk geen logfiles na? 😮 😉
Gehakt, wat heeft men te verbergen?
Wie is geïnteresseerd in onze bewegingen of wat valt er te gehakten?
De wachtwoorden of de identiteit van mij of van jullie?
Dat kan toch niet waar zijn, wij zijn toch geen prooi, met de franse ipnummers.
Dat is toch iets van dichtbevolkte gebieden met bundels van ipnummers.
En scammen van berichten, Jako je gaat me toch niet vertellen dat ik hier bedreigd word.
Wat valt er te halen of bereiken? Of ben ik naïef en te goed van geloof?
Ik kijk wel regelmatig in de logs van de diverse routers die we hebben maar heb nog een attempt gezien die iets van enige gehakt had.
Zoals de waard is vertrouwd die zijn gasten.Open internet voor iedereen en gehakt alleen van slager!
Groet Jako, Albert 87
Totdat je creditcard een keer gebruikt wordt zonder jouw medeweten. Piep je wel anders. Beveiligen tot je een ons weegt. Vervelend maar helaas, het is nodig.
Tsjonge Jaap. Wat een angst. In mijn netwerk heb ik een Fonera staan met een open verbinding. Kunnen de kinderen en kleinkinderen van de buurvrouw ook even het Net op als ze op bezoek zijn.
De gasten die ik heb (familie en goede vrienden) zie ik echt niet mijn netwerk afstruinen. En wat niet voor vreemde ogen bestemd is, staat op mijn NAS. En wat supergeheim is, zit op een USB-sleutel van 8Gb die aan mijn autosleule vastzit. Vergeet ik nooit.Steven
Ik heb me niet helemaal juist uitgedrukt blijkbaar. Waar ik op doel is de meest optimale beveiliging naar de buitenwereld toe en vooral vanuit die buitenwereld naar je eigen interne installatie. Firewalls, goede passwords, IP afscherming en zo. Daarbij kan ‘angst’ niet groot genoeg zijn. Inderdaad Steven, binnen mijn netwerk heb ik voor de famile en vrienden die hier komen de boel zo open en makkelijk mogelijk gemaakt. En de oplossing met de NAS is bij mij exact als bij jouw. Sterker. Op die NAS is mijn privé spul beschermd achter password en encryptie, maar staat ook openbaar spul zoals muziek en video’s. Leuk voor de gasten. Ze kunnen er openbaar bij, net alsof ze op een internetsite kijken.
Overigens (lichtelijk ironisch bedoeld), dat niet vergeten van de USBstick dachten diverse legerofficieren ook. Toch lagen diverse geheimen op straat omdat ze op USB sticks stonden. TE gemakkelijk te verliezen/vergeten en zo. Als je er iets op zet, goed versleutelen dus.Zelfs een NAS kan reuze ‘gevaarlijk’ zijn in de handen van een amateur. Een NAS kun je uitstekend beveiligen, maar veel leveranciers willen gewoon ‘simpel in gebruik’ verkopen. Het gevolg is dat menig NAS (iomega, HP) standaard (uit-de-doos) geheel open staat en zelfs een opening maakt naar internet (via UPnP) zodat de gebruiker de inhoud van zijn NAS eenvoudig altijd en van over de hele wereld kan bereiken.
Helaas kan de rest van de wereld dat dan ook…
Klopt wat betreft de installatie. Toen ik mijn Synology NAS installeerde was het nog een heel gedoe alle rechten toe te kennen en zaken te beveiligen. Ondanks dat ik een “gevorderderde gebruiker” kan worden genoemd. Bij mij is het vooral een backup, geen server. En hij staat meestal uit.
Wat de USB-sleutel betreft. Net vandaag een uisprak van een Franse rechtbank gelezen dat als je een USB-sleutel in je computer op het werk stopt, de inhoud niet meer als “privé” kan worden aangemerkt. Geeft te denken.Steven
Bonjour,
We dwalen inmiddels wat af van de oorspronkelijke vraag, die naar mijn idee inmiddels duidelijk beantwoord is. Inmiddels lijkt het meer te gaan om de vraag welk niveau van beveiliging noodzakelijk of wenselijk is. Daarbij zie ik hier en daar opmerkingen voorbij komen die naar mijn mening toch enige nuancering verdienen.
Quote:Quote uit Jaap Pijpe op 16/09/2013 09:02
Waar ik op doel is de meest optimale beveiliging naar de buitenwereld toe en vooral vanuit die buitenwereld naar je eigen interne installatie. Firewalls, goede passwords, IP afscherming en zo. Daarbij kan ‘angst’ niet groot genoeg zijn.Quote:Quote uit Albert op 13/09/2013 09:55
Ik heb het idee dat iedereen die hier komt erg blij is met internet en maar een ding wil facebooken en mailen en verder niks, zijn ook geen types die hacken dus gewone mensen.
Die beveiligingen bieden juist uitdaging en alles open is de “oude” internet gedachte en houd ik aan.Met alle respect, maar deze stellingen zijn in het tegenwoordige hackertijdperk niet meer houdbaar. Directe aanvallen vanuit de buitenwereld op thuiscomputers zijn heel erg moeilijk geworden omdat die vrijwel allemaal achter een privé router (Livebox, Neufbox etcetera) met private IP addressing zitten. Met andere woorden, het IP adres van de thuiscomputer zit in een serie die niet via Internet bereikt kan worden. Dus met de traditionele perimeter security van de thuiscomputeraar zit het meestal wel goed.
Echter, net als het aloude paard van Troje worden tegenwoordig de gevaarlijkste bedreigingen ongemerkt door de thuiscomputeraars zelf binnengehaald. De hiervoor gebruikte technieken staan bekend onder namen als drive-by download aanvallen en malvertising. De aldus op de thuiscomputers geïnstalleerde malware weet zich steeds vaker dermate goed te verbergen dat zelfs de oplettende gebruiker niets in de gaten heeft, totdat zijn bankrekening of creditcard wordt geplunderd. En dat geldt niet uitsluitend voor Windows computers maar net zo goed voor Linux computers en allerlei mobiele telefoons en tablets.
Niemand is verplicht zijn privé omgeving te beveiligen en iedereen mag met zijn apparatuur, computers en netwerken doen wat hij wil. Maar het valt niet te ontkennen dat elk apparaat met een netwerkaansluiting risico’s loopt, en dat deze risico’s verveelvoudigen wanneer men derden hiervan gebruik laat maken. Ik kan dan ook niet anders dan aanbevelen privé en publiek nadrukkelijk gescheiden te houden en grote zorg te besteden aan de beveiliging van het geheel. Het merendeel van de gebruikers heeft namelijk niet het flauwste idee van de risico’s die ze lopen.
Salutations, Jos
Kort en goed. Mee eens Jos. En zo is het bij mij dan ook.
Ik wilde even de ‘angst’ clausule recht zetten. That’s all.Vrijwel alle routers kennen inderdaad een prima beveiliging. Helaas is die waardeloos omdat elk apparaat en programma, virus/trojan van binnen het netwerk die router open kan zetten via UPnP. De router neemt aan dat verzoeken vanuit het lokale netwerk geautoriseerd zijn, terwijl de gemiddelde gebruiker juist van niks weet. Dat wordt nog eens verergerd door fabrikanten die vrijwel elk nieuw apparaat direct blootstellen aan het internet en instructies om dit te beveiligen onder druk van de commerciële afdeling weg moffelen want dat is ’te moeilijk’ en dat verkoopt niet.
Veel computers/printers/scanners/smart-TV’s/satellietontvangers zijn daardoor helemaal niet beschermd achter een NAT, de router wordt keurig open gezet en stuurt de poort door naar het apparaat. Heel handig voor gamers, nog handiger voor hackers.
Voor geïnteresseerden kijk eens op http://www.shodanhq.com/
Controleer of je zelf onwetend diensten aanbiedt en meer.De oplossing is overigens simpel: UPnP uitzetten op je router en alle apparaten zitten weer veilig achter je NAT.
Hay Jako,Jos,
Inderdaad spreek alleen over de gebruikers van ons internet hier terplekke.
De internetkant is zo dicht als een kater z’n kont.
Dat is vanzelfsprekend en onze apparatuur extra beveiligd en de backup manueel in de kluis.Maar heb ik zelf juist een huiverig gevoel over dat soort websites waar Jako naar verwijst en daar zijn er miljoenen van en de betrouwbaarheid van dit soort sites waag ik te betwijfelen.
Ohja, ik heb gecheckt en de UPnP staat uit! Nou gelukkig maar.
Ciao Albert, veels te veel regen hier 87
De site wordt o.a. aanbevolen door het Nederlandse Nationaal Cyber Security Centrum:
De wifi op de livebox uitschakelen. Dan aan de ethernet poort van de livebox een switch hangen (10 euro), en aan de switch twee wifi routers (tp-link, v/a 20 euro p/s). 1 wifi router is voor jezelf, de andere is voor de gasten. Op de routers: WPA2/PSK beveiliging aanzetten. WPS uitschakelen. UPNP uitschakelen. Enable AP Isolation. Op de routers instellen dat ze alleen vanaf een bepaald IP of MAC-adres beheerd kunnen worden.
Je moet ingelogd zijn om een antwoord op dit onderwerp te kunnen geven.
