Hoe beveilig je een wifi-netwerk tegen hackers?
Bij wifiinstallateur.nl helpen we ondernemers en particulieren met wifi-installaties, netwerkoptimalisatie, mesh-systemen, bekabelde oplossingen en zakelijk wifi-beheer. Hieronder vind je directe, testbare stappen om je wifi effectief te beveiligen tegen hackers.
Elke stap is praktisch toepasbaar: van snelle checks voor thuis tot enterprise-instellingen voor kantooromgevingen. Volg de instructies, voer de tests uit en verbeter waar nodig.
Start: snelle beveiligingscheck (5 minuten)
1) Log in op je router of access point via het lokale IP (vaak 192.168.0.1 of 192.168.1.1). 2) Controleer admin-gebruikersnaam en wachtwoord; wijzig direct als deze standaard zijn. 3) Controleer firmwareversie en noteer model en firmware. 4) Schakel remote administration/remote management uit. Test: probeer toegang vanaf een extern netwerk of gebruik canyouseeme.org om open beheerpoorten te vinden.
Sterke encryptie en wachtwoorden (concreet stappenplan)
1) Schakel WPA3-Personal in als alle apparaten het ondersteunen. 2) Is WPA3 niet mogelijk? Gebruik WPA2-AES (niet TKIP). 3) Zet een lang wachtwoord: minimaal 16 tekens, mix van woorden en tekens of een wachtwoordmanager-generator. 4) Schakel WPS (Wi‑Fi Protected Setup) uit. Test: verbind een nieuw apparaat en controleer met de Wi‑Fi instellingen of de beveiliging WPA3/WPA2-AES aangeeft.
Netwerksegmentatie: gast, IoT en zakelijk (stap-voor-stap)
1) Maak minimaal drie SSID’s of VLANs: Management, Zakelijk/Privé en Gast/IoT. 2) Geef elk SSID een aparte VLAN-ID en DHCP-range. 3) Zet firewallregels tussen VLANs: Gast/VLAN mag alleen internettoegang, geen toegang naar Management of Zakelijk. 4) Voor IoT: beperk verkeer tot alleen de benodigde cloud-servers of zet ze op het gast-VLAN. Test: probeer vanaf gast-SSID een device op management-VLAN te pingen; dat moet geblokkeerd worden.
Beheer en firmware: updates en veilige toegang
1) Schakel automatische updates in of plan maandelijkse firmwarechecks. 2) Gebruik een sterk uniek admin-wachtwoord en, waar mogelijk, twee-factor-authenticatie (2FA) voor beheerdersaccounts. 3) Maak een readonly beheeraccount voor dagelijkse checks, en een full-admin apart opgeslagen. 4) Schakel UPnP uit op het WAN indien niet strikt nodig. Test: voer een port-scan op je openbare IP uit (gebruik nmap of online scanner) en verifieer dat geen onnodige poorten openstaan.
Bescherm tegen lokale aanvallen (praktische maatregelen)
1) Gebruik 802.1X/RADIUS voor zakelijke netwerken: per-gebruiker authenticatie voorkomt gedeelde wachtwoorden. 2) Voor thuis: gebruik unieke SSID- en wachtwoord-combinaties; verander de SSID als je ooit een beveiligingsincident had. 3) Beperk DHCP-lease-tijd voor gast-netwerken om gecompromitteerde apparaten sneller te isoleren. Test: probeer inloggegevens van een gedeeld account en controleer of 802.1X authenticatie afwijst zonder juiste credentials.
Mesh-systemen en bekabelde oplossingen (optimaliseren voor veiligheid)
1) Gebruik bekabelde backhaul waar mogelijk: bedraad verkeer tussen mesh-knooppunten vermindert draadloze kwetsbaarheden en verbetert performance. 2) Zorg dat mesh-AP’s gescheiden managementinterfaces hebben of gebruik een controller met per-SSID beveiliging. 3) Update mesh-firmware en controleer of het systeem WPA3 en 802.11r/802.11k ondersteunt voor veilige roaming. Test: meet roaming met een smartphone; controleer dat sessies niet herautoriseren en dat verkeer via de centrale firewall blijft gaan.
Zakelijk: RADIUS, 802.1X en centraal beheer (concrete implementatie)
1) Zet een RADIUS-server op (FreeRADIUS of Windows NPS). 2) Configureer EAP-TLS of EAP-PEAP met sterke certificaten; EAP-TLS is de veiligste optie (client-certificaten). 3) Integreer met Active Directory of LDAP voor userbeheer. 4) Voer role-based access control in op basis van groep of apparaattype. Test: verbind een zakelijke laptop met 802.1X en verifieer in de RADIUS-logs dat authenticatie plaatsvindt en toegangsrechten correct worden toegekend.
Monitoring, logging en detectie (hoe je aanvallen vindt)
1) Schakel syslog en/of SIEM-integratie in voor alle access points en switches. 2) Monitor verdacht gedrag: veel mislukte auth-pogingen, onbekende MAC-adressen, sudden bandwidth spikes. 3) Gebruik netwerk-scanners (Fing, Nmap) en IDS/IPS waar mogelijk. 4) Plan regelmatige audits en pentests door een specialist. Test: genereer een false-authenticatie en controleer of het alarm of log-entry verschijnt in je monitoringdashboard.
Fysieke beveiliging en back-ups
1) Plaats AP’s en switches in afgesloten ruimtes of kasten met beperkte toegang. 2) Gebruik PoE-geschikte, beheerde switches zodat AP-beheer niet publiekelijk beschikbaar is. 3) Maak backups van configuraties en sla deze offline op; test restores jaarlijks. Test: voer een restore op een test-appliance uit en verifieer dat instellingen (VLAN, firewallregels, certificaten) intact blijven.
Testen op kwetsbaarheden: concrete tools en commando’s
1) Controle open poorten: nmap -sS -Pn -p-
Praktische checklist voor direct gebruik (10 punten)
1) Verander admin-gebruikersnaam en wachtwoord. 2) Schakel WPA3 of minimaal WPA2-AES in. 3) Zet WPS en remote management uit. 4) Maak gast-SSID en segmenteer IoT. 5) Activeer firmware-auto-updates of plan maandelijkse updates. 6) Gebruik sterke wachtwoorden + wachtwoordmanager. 7) Schakel UPnP uit op WAN. 8) Implementeer RADIUS/802.1X voor zakelijke netwerken. 9) Monitor logs en configureer alerts. 10) Bewaar configuratie-backups veilig offline.
Laatste praktische tip: voer nu direct een snelle poortscan (bijv. nmap) op je publieke IP en een verbindingscheck vanaf je gast-SSID naar je management-VLAN; als iets onverwacht bereikbaar is, is dat je eerste prioriteit om te blokkeren.