1
Vraag
2
Reageer en help mee
Jos33

Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

WPA/WPA2 beveiliging zwak

Ik heb een SmartWifi modem. Al mijn Apple apparaten geven aan dat de WPA/WPA2 beveiliging zwak is. Ik heb in diverse thread hier de suggestie gelezen van @Tom dat je die instellingen kunt wijzigen wanneer je inlogt op je modem. Heb ik gedaan, maar blijkbaar krijg ik andere schermen dan in het voorbeeld staat aangegeven. Ten eerste staat de WPA instelling niet onder 'Beveiliging; maar onder 'Draadloos' en daarna pas 'Beveiliging'. Het 'i' icoon geeft aan dat de encryptie 'TKIP+AES' is. Beide frequentie staat ingesteld op WPA2-PSK. Een eventuele alternatieve optie kan zijn 'WPA-PSK/WPA2-PSK', maar dat lijkt mij niet de bedoeling. De 5Ghz instelling staat 'grayed-out' en kan sowieso niet gewijzigd worden.

Ik heb het modem geoptimaliseerd met de 'SmarWifiweb.ziggo.nl' wat op zich prima gaat maar het beveiligingsniveau wordt daarmee blijkbaar ook niet geoptimaliseerd zoals mijn Apple apparaten graag willen.

Is dit wel mogelijk met de bestaande Ziggo modems?

20 Reacties 20
Visser_

Level 17
Expert
  • 2602Posts
  • 79Oplossingen
  • 1086Likes

Hoi @Jos33 ,

Als je het modem reset door met een paperclip het resetgaatje 15 seconden in te drukken of in de webinterface naar beheer->opnieuw opstarten->herstel standaard instellingen en dan op ''herstel instellingen'' drukt, moet het modem daarna automatisch de best mogelijke beveiliging hebben.

Karel.

Level 13
Expert
  • 843Posts
  • 84Oplossingen
  • 472Likes

Heb iets vergelijkbaars gehad na het uitproberen van de smart-wifi app op iPhone en iPad. Encryptie was ook terug gevallen naar TKIP. Daarna smart wifi app verwijderd en gewoon ingelogd op het modem en encryptie terug gezet naar WPA2-PSK. Helaas geen WPA3 mogelijk. Was gelijk klaar met smart wifi gebeuren. Je bent zelf gelijk alle controle kwijt. Gebruik het ook niet meer en inmiddels een eigen modem.

Rikst
Community Moderator
Community Moderator
  • 3979Posts
  • 366Oplossingen
  • 885Likes

Hoi @Jos33

Ik zie dat @Visser_ en @Karel. een aantal tips met je hebben gedeeld, heb je hier naar kunnen kijken?

Jos33
Topicstarter
Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

Ik vind dit geen oplossing. Een reset levert niks op. Ik begrijp dat @Karel een eigen modem gebruikt. Waarom levert ziggo geen modem met de gevraagde beveiligingsniveau's?

Visser_

Level 17
Expert
  • 2602Posts
  • 79Oplossingen
  • 1086Likes

Als je via een wifianalyzer kijkt, zie je dan daar TKIP+AES staan of AES?

Mijn Sagemcom modem zend gewoon standaard AES uit na een reset.Maar die is wel wat moderner en heeft zelfs WPA3.

 

Guido64

Level 12
Expert
  • 679Posts
  • 17Oplossingen
  • 244Likes

WPA2-PSK (pre shared key) of wanneer mogelijk WPA3-PSK kiezen bij voorkeur alleen met AES.

 

Kan zijn dat je wifi dan nog steeds als zwak aangegeven word dat kan komen omdat WPA2-PSK met dus een gedeelde sleutel tussen meerdere gebruikers zonder dat er gecontroleerd kan worden of het accesspoint wel is wie het zegt te zijn met andere woorden er word niet met bijvoorbeeld een certificaat gecontroleerd of je accesspoint wel is wie het zegt te zijn.

 

Iedereen kan een wifi accesspoint opzetten met dezelfde naam als jij gebruikt en zo dmv een man in the middle attack je wifi gebruikers misleiden.

Alleen met WPA(2/3)-enterprise kan je dat verhelpen. Daarvoor heb je een geschikte (zakelijke) wifi omgeving nodig waarmee dmv een certificaat kan controleren of de wifi infrastructuur wel is wie ze zegt te zijn.

 

Kortom ik vermoed dat je wifi toestellen met een WPA(2/3)-PSK AES wifi altijd zwak zal blijven aangeven.

 

Guido64_0-1668084743790.png

 

Guido64_1-1668085014385.png

 

Jos33
Topicstarter
Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

Als eenvoudige sterveling verwacht ik gewoon dat Ziggo, als een van de grootste en belangrijkste internetaanbieders in Nederland, de klanten faciliteert met een state of the art verbinding en daarvoor ook de bijbehorende apparatuur levert.

Bovenstaande oplossingen lijken mij meer bestemd voor wifi hobbyisten. Geen probleem maar dat is niet voor het grote publiek.

Ik vindt het zelf al heel wat dat ik kan inloggen op het modem en bijgaande screendump kan tonen van de opties die het Ziggo-modem biedt. En daar staat het door Apple gewenste beveiligingsniveau niet bij.

Visser_

Level 17
Expert
  • 2602Posts
  • 79Oplossingen
  • 1086Likes

Ziggo levert wel een state of the art modem, de Sagemcom.

Echter alleen in specifieke gevallen of bij de duurdere abonnementen.

Maar WPA2 AES is in principe veilig, WPA3 is niet persé nodig.Alleen WEP,WPA/WPA2 en WPA2 TKIP+AES kan je beter vermijden.

Weet je zeker dat het modem echt TKIP+AES uitzend?Dan lijkt me dat dat doorgezet moet worden naar de ontwikkelaars.

Edit ivm niet goed gelezen😉

Guido64

Level 12
Expert
  • 679Posts
  • 17Oplossingen
  • 244Likes

 

@Jos33 

Het mag amateuristisch op je overkomen maar zo is hoe draadloos netwerk werkt WPA(2/3)-PSK AES wat de meeste mensen thuis gebruiken is gewoon niet veilig daar kan een provider niets aan doen. En dat is wat jouw Apple toestellen aangeven de beveiliging is zwak en dat klopt.

 

Je kan er online genoeg over lezen:

https://www.securew2.com/blog/wpa2-psk-is-not-enough

 

Visser_

Level 17
Expert
  • 2602Posts
  • 79Oplossingen
  • 1086Likes

@Guido64,

Maar een WPA2 enterprise netwerk aanleggen vereist wel een hoop werk.Radius server enz is lastig aan te leggen in een thuisnetwerk.

Je kan wel Ziggo wifispods gebruiken, dat is wel enterprise.Echter wel maar 10mbps.En hoe veilig dat echt is, is maar de vraag.

Guido64

Level 12
Expert
  • 679Posts
  • 17Oplossingen
  • 244Likes

Klopt ik heb zelf Freeradius gekoppeld aan een Mariadb database en dynamische vlans.

Je hebt ook wifi apparatuur die hebben zelf al een radius server in hun controller zoals de Ubiquiti controller heeft een radius server daar is het redelijk gemakkelijk zelf in te stellen.

 

Ik ken die Wifipods zelf niet van Ziggo ik heb alleen een modem tegenwoordig een router (in bridge mode) van Ziggo dus ik ken verder al die Ziggo oplossingen niet.

Karel.

Level 13
Expert
  • 843Posts
  • 84Oplossingen
  • 472Likes

Kan het zijn dat een “ouder” apparaat bijv. printer of deurbel etc. ook aangesloten is via Wifi. Deze kan de snelheid verlagen, bandbreedte beperken en beveiliging “omlaag” trekken naar TKIP wat onveilig is. Dit heeft dan namelijk invloed op alle aangesloten Wifi apparaten.

 

WPA2-PSK AES (ook wel WPA2 RSNA-PSK, AES-CCMP is nog veilig genoeg en geeft op iPhone/iPad geen melding van zwak netwerk

Guido64

Level 12
Expert
  • 679Posts
  • 17Oplossingen
  • 244Likes

Beste @Karel. de onveiligheid van WPA2-PSK zit erin dat een fake accesspoint met dezelfde naam het gedeelde wachtwoord kan afvangen van de wifi users. Dat is lastiger bij wpa2-enterprise door het certificaat waarmee het accesspoint kan aantonen dat het bij jouw netwerk hoort dat kan de "man in the middle" niet dat maakt wpa2-enterprise heel veel beter en dan zal de moderne Apple toestellen van de topic starter niet meer zwak aangeven.

 

Misschien dat jij een oudere iphone / ipad hebt die wpa2-psk niet als zwak aangeeft. Maar ook al geeft jouw wifi toestel niet zwak aan toch is wpa2-psk zwak en is er een betere veiligere verbinding te maken namelijk wpa2-enterprise / wpa2-eap / wpa2-radius.

 

De theorie dat je beveiliging omlaag getrokken word door oudere wifi toestellen kan je verhinderen door je accesspoint niets op auto te zetten maar zelf handmatig vast instellen dat WPA(2/3)-PSK AES gebruikt moet worden.

 

Heb je oudere apparatuur die dit niet kan waardoor je de beveiliging lager moet zetten dan verzwak je zelf je netwerk dus dat lijkt me niet wenselijk.

Visser_

Level 17
Expert
  • 2602Posts
  • 79Oplossingen
  • 1086Likes

Maar dan moet je wel eerst het wachtwoord hebben @Guido64 .

En dat is bij WPA2 wel redelijk lastig(behalve bij oude UPC modems met de originele SSID en Password, in een paar klikken gefixt.)

Guido64

Level 12
Expert
  • 679Posts
  • 17Oplossingen
  • 244Likes

je zet een man in the middle accesspoint op die dezelfde ssid heeft als jij hebt en forceerd dan een de-auth waardoor je laptop / mobiele telefoon opnieuw verbinding gaat maken die maak verbinding met die fake accesspoint die weet je wachtwoord (PSK) natuurlijk niet dus die type moeders de vrouw even in zodat het weer werkt en dat lukt ook want die man in the middle laat gewoon alles naar internet door maar die heeft vanaf dan wel jouw PSK in handen.

 

Als je daar een fase met een certificaat tussen zou zetten zoals bij wpa2-enterprise dan heb buiten je psk of user/password ook de stap dat dat certificaat herkent moet worden en dus gaat de verbinding niet tot stand komen en dus is je wachtwoord veilig.

 

daar zit een belangrijk verschil in tussen wpa2-psk en wpa2-enterprise maar daarom moeten mensen ook wel die certificaten gebruiken want als je die validatie uit kan zetten zoals tot en met android 9 nog mogelijk is kan je die certificate validation alsnog omzeilen dat moet je dus niet doen je moet dat certificaat instellen en dus ook gebruiken dat voorkomt die man in the middle aanval.

 

Het lijkt ver gezocht allemaal maar hele volksstammen zijn hier mee bezig gastjes die dit soort dingen leren een pineapple kopen en de straten afstruinen en erop los oefenen.

Karel.

Level 13
Expert
  • 843Posts
  • 84Oplossingen
  • 472Likes

Mijn iPad/iPhone zijn up to date en zelf gebruik ik zelfs WPA3-PSK. Heb WPA2-PSK AES even uitgeprobeerd en mijn consumenten apple producten hebben hier totaal geen moeite mee.

Wel had ik meldingen van zwak wifi beveiliging toen ik eens keer gebruik maakte van de smartwifi app, die bracht in mijn situatie de beveiliging terug naar TKIP. Gelijk die app verwijderd en ga als het even kan geen gebruik meer van maken.

 

De enterprise beveiliging is geen optie voor een thuisnetwerk voor de gemiddelde consument. Daar kan je niet van verwachten dat ze een authenticatie server gaan opzetten. Het verschil tussen lan wifi en internet is dan al moeilijk. Die zijn al blij dat ze internet hebben. Zeker gelet op de vele vragen en problemen hier in de communty over het koppelen van printers, deurbellen, zonnepanelen, airco’s etc. 

 

Gebruik maken van enterpise is zakelijk en professioneel aan te bevelen maar voor een consument niet nodig en overkill. Leuk voor hobbyisten om ervaring mee op te doen.

 

In unifi can via de controller een radius server koppelen, unifi controller is zelf geen radius server. 

Guido64

Level 12
Expert
  • 679Posts
  • 17Oplossingen
  • 244Likes

Zeker daar heb je gelijk in maar het ging de topic starter erom waarom zijn verbinding als zwak aan blijft geven dat kan komen zoals jij omschrijft dat als je e.e.a. op automatisch hebt staan dat dan bij bepaalde wifi apparaten de veiligheid omlaag word getrokken daarom ook dat je dat handmatig vast zouden moeten zetten op WPA(2/3) met AES versleuteling. kan een ding dit dan niet ja dat is dan jammer maar is het te oud.

 

Dat wpa(2/3)-enterprise meer voor zakelijk omgeving is dat is zeker zo maar ja ik wil maar zeggen daar zit de zwakheid van WPA(2/3)-psk.

 

Als ik met Kismet de band bekijk geeft ie steevast bij wpa(2/3)-psk zwakke veiligheid aan dat kan bij de topic starter ook zo zijn met zijn Apple producten Apple besteed veel aandacht aan veiligheid en privacy dus zou me niets verbazen dat ze WPA(2/3)-PSK niet veilig achten wat ook zo is.

 

Het opzetten van een wpa2/3 enterprise omgeving word ook steeds gemakkelijker bij Ubiquity is het een kwestie van radius server aanzetten en configureren in de accesspoint(s). Dat is voor veel mensen ngo steeds lastig ja dat kan maar ja dat zal mettertijd ook wel steeds makkelijker worden.

Karel.

Level 13
Expert
  • 843Posts
  • 84Oplossingen
  • 472Likes

 

- De Smart wifi app was de oorzaak van de melding zwakke beveiliging, die maakte TKIP mogelijk.

- WPA2-PSK AES zijn moderne Apple producten nog steeds tevreden mee. Bij TKIP geven ze een waarschuwing.

- unifi is goed maar heb je niks aan in combinatie en als je gebruik maakt van een Ziggo smart wifi modem voor wifi.

- En dat het in de toekomst beter zal gaan hebben we op dit moment niets aan.

puppie

Level 16
Expert
  • 1558Posts
  • 42Oplossingen
  • 634Likes

@Jos33de beveiliging begint bij jou zelf.

Gebruik wachtwoorden die niet snel te ontcijferen zijn.

En niet overal hetzelfde vachtwoord.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic