Sinds enkele jaren blaast men hoog van de toren dat een WEP beveiliging van draadloze netwerken achterhaald is en men overal gebruik zou moeten maken van WPA(2).
Wanneer ik de configuratie van een doorsnee huis-tuin-en-keuken router nader bekijk zie ik dat, zelfs de hedendaagse nieuwe toestellen, nog steeds de WEP beveiliging optie aan boord hebben. Is WEP dan werkelijk zo zwak als men beweerd?
Enige tijd geleden had mijn buurman problemen met zijn draadloze netwerk. De configuratie nader bekeken zag ik dat men gebruik had gemaakt van WEP beveiliging. Deze configuratie was opgezet door installateurs van een niet nader te noemen grote internet service provider op de Belgische markt.
Ik ben geen beveiligingsexpert maar ik wilde de uitspraken over de zwakheid van WEP die overal rondgestrooid wordt toch eens aan de praktijk toetsen. Nadien ben ik ook gaan kijken naar de sterktes en zwaktes van WPA(2). Alle tests in dit document heb ik uitgevoerd op mijn persoonlijk (draadloze) netwerk.
Mijn tests heb ik in PDF formaat gegoten en kan je hier downloaden (760 KB).
Tegenwoordig speelt er een reclamespotje van Telenet op televisie wat ook draait omtrent draadloze netwerkbeveiliging. Ik post het niet om reclame te maken voor deze provider, enkel om een glimlach op het gezicht te toveren:
WEP is inderdaad zo zwak als beweerd wordt (in 2007 slaagden enkele onderzoekers er in om in 95% van de gevallen een 104-bits WEP-key te kraken in < 1 min, op een Pentium M).
En de reden dat de internet-providers (allemaal) WEP installeren is dat oudere OS-versies & drivers voor oudere hardware soms geen WPA ondersteunen, en dus offeren ze veiligheid op voor eenvoud van installeren.
Inderdaad, met oudere hardware heb ik ook al eens problemen gehad dat WPA niet werkte. Wat ik me er nog van kan herinneren heeft een firmware upgrade de oplossing geboden.
Ik hoop toch dat ISP’s twee keer nadenken voordat ze hun klanten met een zeef opzadelen…