Zes tips voor een veilig wifinetwerk op school

Een leven zonder wifi is onvoorstelbaar. Ook voor de uitbraak van de coronacrisis een half jaar geleden ging dit voor scholen op, maar sinds die tijd nog meer. Een goede wifi-verbinding is bovendien onmisbaar bij de digitale lesmethodes. Ondanks deze versnelde digitalisering in het onderwijs, moet er wel genoeg aandacht worden besteed aan het beveiligen van de ICT-omgeving. Een veilig wifinetwerk hoort daar ook bij.

Als een wifinetwerk niet goed beveiligd is, bestaat de kans dat ongewenste gebruikers van het netwerk gebruik kunnen maken, virussen en malware hun weg vinden op verschillende wifi-apparaten of alle leerlingen kunnen snuffelen in bestanden die niet voor hun ogen zijn bedoeld. Dat wil je als school natuurlijk te allen tijde voorkomen. Dat kan met behulp van deze tips om het wifinetwerk op school zo goed mogelijk te beveiligen:

1. Bedenk een eigen (moeilijk) wachtwoord voor het wifinetwerk

We beginnen maar bij het meest voor de hand liggende punt, dat helaas nog weleens vergeten wordt: verander de fabriekswachtwoorden van je router en access point. Deze standaardwachtwoorden zijn namelijk heel makkelijk te hacken, doordat ze óf gebaseerd zijn op het MAC-adres van een apparaat óf op de achterkant van het apparaat staan. In dat laatste geval kan iedereen die bij het apparaat kan komen het wachtwoord achterhalen.

Vergeet ook niet het beheerwachtwoord van het access point te wijzigen. Dit is het wachtwoord waarmee je inlogt op de beheerpagina van een apparaat. Je wilt geen standaard wachtwoord gebruiken dat ook op internet te vinden is. Deze overheidswebsite geeft tips over het opstellen van een sterk wachtwoord. Deze bevat bijvoorbeeld idealiter minimaal twintig tekens.

Een sterk wachtwoord bevat idealiter minimaal twintig tekens

2. Maak gebruik van de nieuwste beveiligingsstandaard

Via de wifi-verbinding stuur je in principe allerlei informatie door de lucht die zonder extra beveiliging makkelijk op te vangen is. Gebruik daarom minimaal de WPA2-encryptiestandaard om je netwerkverkeer te versleutelen. Binnenkort kun je zelfs gebruikmaken van WPA3. Oudere standaarden als WPA en WEP zijn achterhaald en niet langer veilig om te gebruiken. Op deze manier kun je jouw netwerk via WPA2 versleutelen:

• Ga naar de website waarop je de instellingen van je router kunt aanpassen. Deze is vaak te vinden in de handleiding.
• Zet ‘security mode’, ‘authentication’ of ‘soort beveiliging’ op WPA2-PSK of WPA2 Personal.
• Selecteer bij ‘encryption’ de optie AES.
• Vul bij ‘wachtwoord’ of ‘pre-shared key’ het wachtwoord in dat je bij stap 1 hebt bedacht.
• Stel, indien mogelijk, de ‘vernieuwinterval’, ‘e-key interval’ of ‘key renewal’ in op één uur. Dit betekent dat er elk uur automatisch een nieuwe afgeleide sleutel van je wachtwoord wordt aangemaakt.

3. Verander de naam van het wifinetwerk

Naast de wachtwoorden, is ook de naam van het wifinetwerk vaak een standaardnaam, afgeleid van het routermerk of type. Deze vallen voor hackers direct op. Om die reden is het slim om ook de naam van het wifinetwerk te veranderen naar een andere, niet herleidbare naam. Gebruik dus bijvoorbeeld niet de naam van de school. Wees creatief en bedenk een unieke naam voor het wifinetwerk.

Wees creatief en bedenk een unieke naam voor het wifinetwerk.

4. Voer iedere update uit

De fabrikant van de router komt af en toe met updates en dat is niet voor niets. Zorg dat je altijd over de laatste firmware beschikt. Update dus regelmatig de router of stel een automatisch update in. Doe dit ook bij alle wifi-apparaten. Dit betekent dat ook alle leerlingen de updates moeten uitvoeren op hun persoonlijke apparaten. Wanneer iemand niet over de laatste update beschikt, kan dit voor problemen zorgen.

5. Stel een gastnetwerk in

Stel een gastnetwerk in, waarmee leerlingen en gasten gebruik kunnen maken van ‘kaal’ internetverkeer, zonder dat zij daarbij terecht kunnen komen op het interne netwerk van de school. Hierdoor kunnen zij bijvoorbeeld niet bij de administratieve bestanden en kunnen ze geen gebruikmaken van de printers op school. Daarnaast kunnen leerlingen op deze manier geen illegale bestanden downloaden. Zo houd je virussen en ook hackers op afstand.

6. Voorkom ‘rogue access points’ en houd ongenode gasten buiten de deur

Een rogue access point wordt door een derde partij, zonder toestemming van de systeembeheerder, op een beveiligd netwerk geïnstalleerd. Via zo’n vals wifi-toegangspunt kan iemand vervolgens malware installeren en informatie uit het netwerk stelen. Een Wireless Intrusion Detection System (WIDS) kan dit soort acties herkennen en bestrijden. Een Wireless Intrusion Prevention System (WIPS) kan zelfs ongewenste partijen signaleren voordat zij zich toegang hebben verschaft tot het netwerk. 

De aanschaf en implementatie van een WIDS- of WIPS-stysteem behelst echter een fikse investering. Als dit niet mogelijk is, zijn er nog andere manieren om ongenode gasten buiten de deur te houden. Het beperken van de signaalsterkte beperkt bijvoorbeeld ook de kans dat iemand van buiten de school het netwerk kan binnendringen. Een andere optie is om tijdgebonden toegang in te stellen, waardoor mensen buiten schooluren geen gebruik kunnen maken van het wifinetwerk.