Beantwoord

WPA2 en security

  • 16 oktober 2017
  • 21 reacties
  • 2175 Bekeken

Reputatie 2
Goedemorgen T-Mobile,
ik was even benieuwd wat jullie met dit verhaal gaan doen op het gebied van jullie modem.

Mag ik aannemen dat dit soort berichten ook bij jullie alarmbellen doet rinkelen?

https://tweakers.net/nieuws/130767/krack-aanval-treft-alle-moderne-wifinetwerken-door-lek-in-wpa2-standaard.html

Dinsdag 17-10 Moderator Update
Alle modems van het merk Draytek zijn niet kwetsbaar voor een Krack aanval! Dit geldt dus voor (vrijwel) alle glasvezel abonnementen!


Woensdag 18-10 13:45 Nieuwe update
Ook voor de Huawei blijkt dat de modem niet kwetsbaar blijkt voor Krack. Wel wil ik hier benadrukken dat de beveiliging rondom Krack niet alleen van toepassing is voor de modems, maar ook voor de eindapparaten, zoals je tablet, telefoon of laptop. Ik begrijp dat Apple en Microsoft druk bezig zijn met een update in verband met deze beveiligingsbreuk. Houd dus je updates in de gaten!
icon

Beste antwoord door Sander 16 oktober 2017, 16:50

Dag allen,

De bellen zijn nu zeker aan het rinkelen en actie wordt ondernomen. Laat ik alvast wat vooruit lopen op de zaken:
  • Dit geldt voor alle providers.
  • De kans is laag dat er iets gebeurt bij jou. Iemand zou dan echt heel gericht op jou moeten zoeken.

Tips
Deze tips zijn voor iedereen en altijd een goed uitgangspunt. Wil je veilig op de wifi:
  • zorg dan voor een versleutelde verbinding via VPN;
  • dan kun je ook gebruikmaken van beveiligde protocollen zoals o.a. SSH/TLS en HTTPS
  • gebruik uiteraard altijd de laatste beveiligingsupdates.

Nog meer veiligheid
Wil je nog meer zekerheid hebben over de veiligheid van je verbinding, dan kun je het beste gebruik maken van een bekabelde verbinding via ons modem. Wij garanderen dan de veiligheid op ons netwerk. Ook kun je gebruik maken van je 4G mobiele netwerk. Deze zijn beide namelijk niet te kraken met "Krack".
Bekijk origineel

21 reacties

Ik ben ook erg benieuwd of t-mobile hier een oplossing voor biedt. Volgens https://www.t-mobile.nl/thuis/internet/wifi-modem is de modem met WPA-2 beveiligd, wat zonder patch dus niet meer veilig is. Ik wil thuis wel graag veilig kunnen internetten.
Reputatie 6
Badge +17
De kans dat je wifi gehacked wordt, is net zo groot als je beroofd wordt op straat. Behoorlijk klein, maar het moet natuurlijk wel in orde zijn.
Ik neem aan dat de mensen achter de schermen druk bezig zijn.
Reputatie 6
Badge +5
Hey dikkedikkie!

Je bent er snel bij! 🙂 Ik had het topic ook gezien en meteen gemeld bij ons contactpersoon voor Huawei en Draytek. Ik hoor net dat we in gesprek zijn met hen. Voor nu is het even afwachten, maar ik meld mij weer als ik iets hoor.
Reputatie 1
Precies, ik hoop dat hier met spoed wat aan gedaan zal worden!

Draytek modem laatste patch was Januari, ik hou dus mijn hart vast. Denk dat ik voor mijn Wifi toch eens naar Ubiquiti ga kijken, die patchen binnen uren indien nodig.
Reputatie 6
Badge +5
Dag allen,

De bellen zijn nu zeker aan het rinkelen en actie wordt ondernomen. Laat ik alvast wat vooruit lopen op de zaken:
  • Dit geldt voor alle providers.
  • De kans is laag dat er iets gebeurt bij jou. Iemand zou dan echt heel gericht op jou moeten zoeken.

Tips
Deze tips zijn voor iedereen en altijd een goed uitgangspunt. Wil je veilig op de wifi:
  • zorg dan voor een versleutelde verbinding via VPN;
  • dan kun je ook gebruikmaken van beveiligde protocollen zoals o.a. SSH/TLS en HTTPS
  • gebruik uiteraard altijd de laatste beveiligingsupdates.

Nog meer veiligheid
Wil je nog meer zekerheid hebben over de veiligheid van je verbinding, dan kun je het beste gebruik maken van een bekabelde verbinding via ons modem. Wij garanderen dan de veiligheid op ons netwerk. Ook kun je gebruik maken van je 4G mobiele netwerk. Deze zijn beide namelijk niet te kraken met "Krack".
Reputatie 1
Sander, je post begon goed maar die opties die je erna geeft heeft niet zoveel met dit maken. VPN hebben meeste van jullie gebruikers waarschijnlijk niet, ten tweede een 'fatsoenlijke' VPN die jullie 500/500 glas verbinding benut, vergeet dat maar. VPN heeft soms wat voordelen, vooral zakelijk gezien, maar particulier is het niet echt heel fijn. Tevens de zakenlui die thuis met een iOS apparaten online zitten hebben geen goede VPN. (helaas is apple nogal dramatisch daarmee). SSL verbindingen is prima, maar alsnog kan er heel veel via een omweg gesniffed worden.

Beste oplossing is inderdaad bekabelde verbindingen, echter zijn wij (moet T-mobile weten) steeds meer van onze smartphone afhankelijk, en doen daar steeds meer belangrijke zaken mee, daarmee zitten wij dan vaak weer op wifi v.w eventuele smart-home controls of andere redenen.

Maargoed, mijn hoop is dat T-Mobile de druk 'stevig' zal opvoeren bij de modem boeren.

Succes! :8
Reputatie 6
Badge +5
Bedankt JSlijkhuis,

Maargoed, mijn hoop is dat T-Mobile de druk 'stevig' zal opvoeren bij de modem boeren.


Daar mag je wel zeker van zijn! 😉
Reputatie 2
@sander. De kans dat het gebeurt mag dan wel klein zijn maar de kans is er dus wel. Ik denk dat elk lek van deze proporties niet te verwaarlozen is en dus serieus moet worden aangepakt. Tmobile heeft ook zakelijke klanten. Wat wordt er naar deze mensen gecommuniceerd hierover?

Ik had overigens wel een nieuwsbrief over de kwestie verwacht. Al was het enkel om je klant gerust te stellen.

Qua vpn. Als ik met mijn telefoon via vpn verbinding met mijn wpa2 netwerk maak helpt dat natuurlijk niets 😉
Reputatie 2
Soja en nog qua VPN. Je geeft dat als tip maar ik hen nog geen optie in het modem gevonden om met openvpn te connecten terwijl dit wel het veiligst is. Gaan jullie dat dan nu ook supporten?
Reputatie 7
Badge +10
Niet allemaal te hard van stapel lopen hoor.
Er is een lek gevonden in WPA2, dit betekent niet dat die op dit moment actief misbruikt word.
Voor zover ik weet is er op dit moment geen beveiliging beschikbaar voor wifi welke nog veilig geacht kan worden. ik ben bang dat dit nog een paar jaar gaat duren. Bovendien kan dit alleen in de buurt van je modem.
Het opzetten van een VPN verbinding klinkt veilig maar dat is het niet.
Dit komt omdat je wifi netwerk en je lan netwerk aan elkaar zijn gekoppeld. dus tenzij je altijd VPN gaat gebruiken en WiFi in een apart VLAN word geplaatst is het alleen veilig als je de WiFi uitschakelt!
Allemaal leuk een aardig, maar een patch aan de client kant is (ook) nodig.

"it's more urgent for general users to patch their personal devices, whether phones, PCs or any smart device, be they watches, TVs or even cars. He recommended users get in touch with the relevant vendors to find out when patches are coming." Bron

Vooral bij Android en Linux heb je een client update nodig, Google zal binnen paar weken (security patch van november) met een update komen, wanneer dat voor andere non-Google mobieltjes komt, weet niemand.
Reputatie 2
Niet allemaal te hard van stapel lopen hoor.
Er is een lek gevonden in WPA2, dit betekend niet dat die op dit moment actief misbruikt word.
Voor zover ik weet is er op dit moment geen beveiliging beschikbaar voor wifi welke nog veilig geacht kan worden. ik ben bang dat dit nog een paar jaar gaat duren. Bovendien kan dit alleen in de buurt van je modem.
Het opzetten van een VPN verbinding klinkt veilig maar dat is het niet.
Dit komt omdat je wifi netwerk en je lan netwerk aan elkaar zijn gekoppeld. dus tenzij je altijd VPN gaat gebruiken en WiFi in een apart VLAN word geplaatst is het alleen veilig als je de WiFi uitschakelt!


Nou, better safe then sorry.
Kan best zijn dat het lek nog niet actief gebruikt wordt. Beetje het zelfde als dat er in mijn buurt niet actief aan auto diefstal wordt gedaan, wil nog niet zeggen dat een goed slot dan niet persee nodig is.
Dat er nog geen patch beschikbaar is snapt denk ik iedereen echter is het wel fijn te weten / horen van je provider dat er alles aan wordt gedaan dit wel voor elkaar te krijgen. IK ben een beetje bang dat dit een lange termijn of zelfs een vergeet dingetje gaat worden aangezien er nogal wat moeite en geld in gestopt moet worden om dit weer recht te trekken.
Overigens hoeft iemand niet in de buurt van je modem te zijn, een minimaal bereik zou al voldoende kunnen zijn.

Desondanks ben ik nog wel altijd benieuwd naar hoe tmobile dit naar haar klanten gaat communiceren of dat dit slechts een topicje op een forum blijft. En hoe zit het met zakelijke klanten? Hoe communiceert tmobile daar mee?

Qua VPN, ja goed idee alleen ondersteunt het modem (huawei in mijn geval) niet de meest veilige openvpn mogelijkheid dus die vlieger gaat niet op. Het ding is dusdanig dicht getimmerd dat de mogelijkheden zeer beperkt zijn.Daarnaast vraag ik me af hoeveel gebruikers dit überhaupt weten in te stellen en of daar vanuit tmobile dan ook ondersteuning voor komt. Ik denk het niet.
Zoals Jsluikhuis al aangeeft doen we steeds meer zaken met tablet, smartphone of anderzijds draadloze apparatuur en worden we daartoe zelfs gedwongen als de mogelijkheid tot een draadje ontbreekt. Mijn tablet / mobiel / macbook kunnen niet eens aan de kabel.
Niet allemaal te hard van stapel lopen hoor.
Er is een lek gevonden in WPA2, dit betekend niet dat die op dit moment actief misbruikt word.
Voor zover ik weet is er op dit moment geen beveiliging beschikbaar voor wifi welke nog veilig geacht kan worden. ik ben bang dat dit nog een paar jaar gaat duren. Bovendien kan dit alleen in de buurt van je modem.
Het opzetten van een VPN verbinding klinkt veilig maar dat is het niet.
Dit komt omdat je wifi netwerk en je lan netwerk aan elkaar zijn gekoppeld. dus tenzij je altijd VPN gaat gebruiken en WiFi in een apart VLAN word geplaatst is het alleen veilig als je de WiFi uitschakelt!


Nou, better safe then sorry.
Kan best zijn dat het lek nog niet actief gebruikt wordt. Beetje het zelfde als dat er in mijn buurt niet actief aan auto diefstal wordt gedaan, wil nog niet zeggen dat een goed slot dan niet persee nodig is.
Dat er nog geen patch beschikbaar is snapt denk ik iedereen echter is het wel fijn te weten / horen van je provider dat er alles aan wordt gedaan dit wel voor elkaar te krijgen. IK ben een beetje bang dat dit een lange termijn of zelfs een vergeet dingetje gaat worden aangezien er nogal wat moeite en geld in gestopt moet worden om dit weer recht te trekken.
Overigens hoeft iemand niet in de buurt van je modem te zijn, een minimaal bereik zou al voldoende kunnen zijn.

Desondanks ben ik nog wel altijd benieuwd naar hoe tmobile dit naar haar klanten gaat communiceren of dat dit slechts een topicje op een forum blijft. En hoe zit het met zakelijke klanten? Hoe communiceert tmobile daar mee?

Qua VPN, ja goed idee alleen ondersteunt het modem (huawei in mijn geval) niet de meest veilige openvpn mogelijkheid dus die vlieger gaat niet op. Het ding is dusdanig dicht getimmerd dat de mogelijkheden zeer beperkt zijn.Daarnaast vraag ik me af hoeveel gebruikers dit überhaupt weten in te stellen en of daar vanuit tmobile dan ook ondersteuning voor komt. Ik denk het niet.
Zoals Jsluikhuis al aangeeft doen we steeds meer zaken met tablet, smartphone of anderzijds draadloze apparatuur en worden we daartoe zelfs gedwongen als de mogelijkheid tot een draadje ontbreekt. Mijn tablet / mobiel / macbook kunnen niet eens aan de kabel.


Maar hoe zou een VPN verbinding vanaf de modem helpen? Verkeer tussen je modem en je tablet, laptop, mobiel, blijft gewoon onveranderd.

En wordt ook een grote paniek gemaakt over niet zo veel, belangrijke zakken gaan allemaal via HTTPS, bank, email, social media, etc.

Windows 10 en Linux (alle moderne distros) is al gepatched.

Apple zegt dat de beta van iOS, macOS, tvOS en watchOS zijn ook al gepatchd dus binnen een paar weken wordt het uitgerold.

En Google komt ook binnen twee weken met een patch voor Android, het is aan de fabrikant van jou smartphone om dat te implementeren.

Routers die als client werken moeten ook gepatch worden, zoals WiFi repeaters.
Reputatie 7
Badge +10
Hallo RenaChan,

Het is eigenlijk heel simpel, beschouw WiFi als onveilig.

Lan en wlan is 1 netwerk. deze moet je van elkaar gaan scheiden dan heb je al een heel groot probleem opgelost.
De kans is groter dat iemand die ik niet op me netwerk wil hebben toegang heeft met de wifi code dan dat iemand hier komt langs rijden om me wifi te hacken.

SSL is ook niet per definitie veilig. We staren ons blind op een groen balkje en de datum van het Certificaat. terwijl een verlopen cert geen veiligheid issue is, maar een slechte implementatie wel kijk maar eens op https://www.ssllabs.com/ssltest/analyze.html?d=esatis.tubitak.gov.tr

of een openbaar wifi netwerk met een TLS proxy. als je verbinding maakt kom je op een portal die je uitlegt hoe je het certificaat moet installeren om verbinding te kunnen maken. vervolgens is al het verkeer naar de bank waarvan jij het veilig acht onveilig door de TLS proxy. sterker nog je kan gewoon omgeleid worden naar een Phishing site op de juiste url om zo overschrijvingen te doen zonder dat je het door heb.
Reputatie 6
Badge +5
Update!

Alle modems van het merk Draytek zijn niet kwetsbaar voor een Krack aanval! Dit geldt dus voor (vrijwel) alle glasvezel abonnementen!
Update!

Alle modems van het merk Draytek zijn niet kwetsbaar voor een Krack aanval! Dit geldt dus voor (vrijwel) alle glasvezel abonnementen!

Ik vond dit toevallig van een leverancier van Draytek apparatuur: https://data.kommago.nl/img/upload/Wifishop/Draytek_WPA2_KRACK_vulnerability.pdf

Hier staat goede informatie in, misschien dat er een sticky van gemaakt kan worden?
Reputatie 2
Kijk, dat zijn goede berichten
Reputatie 6
Badge +5
Woensdag 18-10 13:45 Nieuwe update

Ook voor de Huawei blijkt dat het modem niet kwetsbaar blijkt voor Krack. Wel wil ik hier benadrukken dat de beveiliging rondom Krack niet alleen van toepassing is voor de modems, maar ook voor de eindapparaten, zoals je tablet, telefoon of laptop. Ik begrijp dat Apple en Microsoft druk bezig zijn met een update in verband met deze beveiligingsbreuk. Houd dus je updates in de gaten!
Reputatie 2
@Sander, hebben jullie van draytek ook informatie omtrent onze modems gekregen. Als ik het bericht van draytek lees, dan is dat nog open ter interpretatie:

Enkele modem/routers met wireless beschikken over de functie Wireless WAN. Enkel als deze functie wordt gebruikt kan de router kwetsbaar zijn en wordt een firmware update geadviseerd.

Hieronder een overzicht van de modellen en de bijbehorende firmware versie die een patch gaan bevatten:
- Vigor2120n+ versie 3.8.5
- Vigor2860n+ / Vigor2860ac / Vigor2860Vac versie 3.8.5.1
- Vigor2862Bn versie 3.8.7
- Vigor2925n+ / Vigor2925ac / Vigor2925Vac versie 3.8.5


Dit kan namelijk ook een lijst zijn van de enige devices die gepatched gaan worden. Er staat nergens dat dit ook alle kwetsbare devices zijn...
Reputatie 7
Badge +10
Hallo Lezz,

Ik neem aan dat wat Sander bedoeld gaat over de Draytek en Huawei geleverd door T-Mobile.
En dat dit antwoord komt van de Leverancier en niet bij elkaar is gegoogeld.

T-Mobile Thuis hardware:
Draytek Vigor 2132 FVn: Niet vatbaar
Draytek Vigor 2130 FVn: Nog niet bekend
DrayTek Vigor VAP 900: Nog niet bekend

Huawei HG659: Niet vatbaar

AVM Fritz WLAN 1750E: Nog niet bekend
AVM Fritz WLAN 310: Nog niet bekend

LEOP je bent zelf verantwoordelijk voor je eigen apparatuur! Dus je telefoon tabled computer en gameconsole moet je dus zelf updaten!
Hallo RenaChan,

Het is eigenlijk heel simpel, beschouw WiFi als onveilig.

Lan en wlan is 1 netwerk. deze moet je van elkaar gaan scheiden dan heb je al een heel groot probleem opgelost.
De kans is groter dat iemand die ik niet op me netwerk wil hebben toegang heeft met de wifi code dan dat iemand hier komt langs rijden om me wifi te hacken.

SSL is ook niet per definitie veilig. We staren ons blind op een groen balkje en de datum van het Certificaat. terwijl een verlopen cert geen veiligheid issue is, maar een slechte implementatie wel kijk maar eens op https://www.ssllabs.com/ssltest/analyze.html?d=esatis.tubitak.gov.tr

of een openbaar wifi netwerk met een TLS proxy. als je verbinding maakt kom je op een portal die je uitlegt hoe je het certificaat moet installeren om verbinding te kunnen maken. vervolgens is al het verkeer naar de bank waarvan jij het veilig acht onveilig door de TLS proxy. sterker nog je kan gewoon omgeleid worden naar een Phishing site op de juiste url om zo overschrijvingen te doen zonder dat je het door heb.


Dat was mijn punt niet, Ik zag dat de topic in twee kanten ging, eerste vraag was wat verwacht man van T-Mobile en tweede was de oplossing van VPN gebruiken.

VPN is prima, als je vanuit de client doet, vanuit de modem\router heeft geen zin.

Over de modems is wat meer bekend, maar een WiFi modem/Router loopt gevaar alleen als deze als client gebruikt wordt, bijvoorbeeld de extenders van AVM moeten WEL de patch krijgen (als dit al niet gebeurt is) want die communiceren met de hoofdmodem via WiFi en acteren als client.

Als jou WiFi extender met kabel verbonden is, dan is de probleem niet aanwezig.

In het kort, als je WiFi modem normaal als een AP gebruikt en heb je geen draadloze extenders, hoef je geen zorgen te maken over je modem/router.

Voor nu if afwachten naar patches van fabrikanten van smartphones, tvs, laptops, tablets etc...

Daarnaast ik maak persoonlijk niet zo veel zorgen, de kans dat iemand in jou wijk jou wifi aftapt is erg klein, daarnaast alleen niet beveiligde verbindingen kunnen afgetapt worden, meest paginas zijn gewoon HTTPS.
Als bedrijf zou ik wel twee keer na denken over documenten over WiFi kopiëren, of een (file) server benaderen. Daar geldt wel de tip, zet WiFi gewoon uit.

Reageer