Wat is jullie WiFi-wachtwoord?

smartphones

Je kent het wel: de kinderen van je bezoek zitten in de puberteit en dan kunnen ze natuurlijk geen minuut zonder WiFi. Op een verjaardag wordt je eerst gefeliciteerd en vervolgens krijg je de vraag wat het WiFi-wachtwoord is.

Om ons bezoek van dienst te zijn hebben we een gastennetwerk ingericht waarmee het bezoek verbinding kan maken, maar nog steeds moeten we vertellen wat het WiFI-wachtwoord is. Je zou denken dat daar anno 2018 toch een eenvoudigere oplossing voor zou moeten zijn. Welnu, die is er!

Via een QR-code kun je tegenwoordig netwerkinstellingen inclusief wachtwoord doorgeven aan iOS- en Android-devices. Kwestie van even de code scannen en je kunt verbinding maken met het netwerk.

Instructie-kaart verbinden met gastennetwerk

Daarom besloot ik om een bordje te maken met daarop een code die ons bezoek kan scannen met hun smartphone of tablet, waarna het apparaat automatisch verbinding maakt met ons gastennetwerk. Zo is ons huis nóg meer voorbereid op de toekomst…

Inloggen zonder wachtwoord met een sleutel

network security

Om een beveiligde verbinding op te zetten naar een andere computer op het internet wordt vaak SSH (Secure Shell) gebruikt. Hetzelfde protocol wordt door SFTP (Secure File Transfer Protocol), de veilige variant van FTP.

Je logt in met een SSH- of SFTP-client door middel van een gebruikersnaam en wachtwoord. Hoewel steeds meer mensen een veilig wachtwoord gebruiken is het nog steeds mogelijk om middels een “brute force” attack wachtwoorden te achterhalen. Daarnaast gebruiken veel mensen hetzelfde wachtwoord op verschillende plekken. Op zich is dit niet vreemd, omdat het lastig is om veel wachtwoorden te onthouden, maar erg verstandig is het niet. Je hebt immers geen zicht op hoe bijvoorbeeld een webshop jouw wachtwoord bewaart. Mocht die webshop gehackt worden en daarmee jouw wachtwoord, dan is het niet ondenkbaar dat men met die wachtwoord ook toegang probeert te verkrijgen tot je e-mail, social media account en nog veel meer.

Een veiligere manier om in te loggen is met een authenticatiesleutel. Deze inlogmethode is gebaseerd op asymmetrische cryptografie en bestaat uit een private en een publieke sleutel. De private sleutel staat op je eigen computer en de publieke sleutel staat op het systeem waarop je inlogt. In plaats van een wachtwoord in te voeren, log je enkel in met je gebruikersnaam. De computer waarop je inlogt, kent je publieke sleutel en en stuurt je een challenge. Jouw computer bewerkt deze vervolgens met je private sleutel en stuurt deze terug. De computer waarop je inlogt, kan je vervolgens authenticeren.

Dit biedt twee voordelen: je hoeft geen wachtwoord meer in te voeren en de sleutel zijn véél complexer dan een wachtwoord, waardoor het nagenoeg onmogelijk is om deze te kraken.

Als je werkt op Linux of een Mac, dan is het heel eenvoudig om een private en een publieke sleutel aan te maken met het volgende commando:

ssh-keygen -t rsa

Je wordt nu gevraagd waar je de sleutel op wilt slaan. Er wordt standaard een locatie in je home directory aangegeven. Als je op enter drukt zal deze locatie gebruikt worden. Wil je liever een andere locatie gebruiken dan kun je deze nu opgeven.

Enter file in which to save the key (/home/demo/.ssh/id_rsa):

Vervolgens wordt er gevraagd om een wachtwoord waarmee je private sleutel beveiligd wordt:

Enter passphrase (empty for no passphrase):

Hoewel je een leeg wachtwoord kunt geven (dus geen wachtwoord zet op je sleutel) is het aan te raden om altijd een wachtwoord op je private sleutel te zetten. Voer nu je wachtwoord nogmaals in te verificatie.

Je private en publieke sleutel zijn nu aangemaakt. Ze zijn beide te vinden in ~/.ssh

Tot slot kopieer je je publieke sleutel naar de machine waarop je wilt inloggen:

ssh-copy-id <gebruikersnaam>@<hostname.van.je.machine>

Bij dit proces wordt je wachtwoord gevraagd. Dit is de laatste keer dat je het in hoeft te voeren voor deze machine. Wel moet je nog even je private sleutel toevoegen aan je SSH agent:

ssh-add -K ~/.ssh/id_rsa

Om de sleutel toe te voegen moet je éénmaal je wachtwoord invoeren.

That’s it! Vanaf nu kun je inloggen zonder dat je wachtwoord hoeft in te voeren. Inloggen met SSH-sleutel wordt ook gebruikt door bijvoorbeeld GitHub en Digital Ocean.



De internet-beunhaas

Afgelopen week heb ik in Oss bij vrienden een beetje aan het netwerk geklust omdat ze nogal last hadden van instabiel internetverkeer. De wifi-verbinding werkte traag en ook de bekabelde verbinding deed nogal eens moeilijk. Na wat speurwerk bleek een router aangesloten te zijn om als switch gebruikt te worden. De WAN-poort werd niet gebruikt en de DHCP-server was uitgeschakeld, maar het apparaat schakelde deze blijkbaar weer in wanneer de stroom eraf geweest was en twee DHCP-servers op hetzelfde netwerk met compleet andere instellingen gaat natuurlijk niet echt werken. De oplossing was dan ook vrij simpel: eruit met dat ding!

Omdat de wifi-verbinding ook niet lekker liep, had men op basis van “expert” een nieuwe router aangeschaft met 802.11ac. Op zich prima, maar aangezien de Ubee kabelmodem van Ziggo al als router functioneerde, leek het me verstandig om de nieuwe draadloze router als access point te configureren en in het reeds bestaande netwerk te hangen. Zo gezegd, zo gedaan… en hopla: een lekker snelle wifi-verbinding.

Men had echter ook al contact gehad met Ziggo en die hadden besloten dat de oude Ubee kabelmodem het beste vervangen kon worden door de nieuwe Connect Box. Deze zou men opsturen zodat onze vrienden hem zelf konden aansluiten.

Voor alle zekerheid heeft men toch iemand ingehuurd, die “er verstand van” zou hebben. Nu ben ik daar een voorstander van. Als je ergens geen verstand van hebt, kan het erg verstandig zijn om er iemand voor in te huren.

En vanavond was het zover…. ik werd gebeld. De ingehuurde monteur kwam er niet uit. Of ik even met de beste man kon overleggen. Tuurlijk, geen probleem! De man snapte niet waarom er geen verbinding via de wifi tot stand kwam. Hij had de WAN-poort van de router aangesloten op de Ziggo Connect Box maar kreeg geen internetverbinding.

Ik legde hem uit dat ik het apparaat als access point had geconfigureerd en dat hij enkel één van de LAN-poorten hoefde aan te sluiten op de Ziggo Connect Box. Uit zijn reactie merkte ik al een beetje dat hij mij niet helemaal snapte, want toen hij hoorde dat ik het ding geconfigureerd had, leek het hem verstandiger om de nieuw geplaatste wifi-router (die dus als access point aangesloten moest worden) dan maar te resetten. Dat zou betekenen dat het apparaat dan weer als router zou gaan werken en achter de Connect Box (wat ook een router is) zou worden aangesloten. Aangezien beide routers NAT (Network Address Translation) zouden draaien, zou dit natuurlijk onherroepelijk problemen gaan opleveren. Dit kon opgelost worden door de routefunctionaliteit van de Ziggo Connect Box uit te schakelen en hem in de zogenaamde “bridge mode” te plaatsen. De nieuwe wifi-router zou dan feitelijk de routefunctie van de Ziggo Connect Box overnemen.

Tegen beter weten in vroeg ik de man vriendelijk of hij de Ziggo Connect Box in bridge mode had gezet. Het antwoord was verrassend: hij gaf geen antwoord op mijn vraag en werd ineens een stuk onvriendelijker. Raaskallend vertelde hij dat hij deze oplossing al bij veel meer mensen had aangesloten en dat hij dit al 2,5 jaar deed. Toen trok ik mijn conclusie: hij had geen idee waar ik het over had! Het was weer eens zo’n beun de haas, die voor teveel geld niet werkende oplossingen aanbiedt. Op zich niet erg, maar dit soort prutsers realiseert zich nooit dat mensen die er wél verstand van hebben hun rotzooi achteraf weer op mogen komen ruimen!

De tirade aan de andere kant van de lijn deed mij doen besluiten om hem zijn gang maar te laten gaan. Met dit soort idioten ga ik geen discussie aan. Het kost me teveel tijd, is slecht voor mijn humeur en linksom of rechtsom moet ik achteraf de rotzooi toch op gaan ruimen.

Ik heb de man maar succes gewenst en nadat hij weg was heb ik nog even gebeld naar onze vrienden in Oss. Blijkbaar had hij zijn social skills ook al gebotvierd op de Ziggo helpdesk, maar die waren hem nogal beu en hadden de hoorn erop gegooid. Een paar simpele testjes wezen al snel uit dat de man exact het prutswerk had uitgevoerd waar ik al bang voor was. Hij had de nieuwe router achter Ziggo-router aangesloten. Beide met NAT-functionaliteit. Natuurlijk kun je dan surfen en ook je e-mail werkt prima, maar probeer maar eens fatsoenlijk je PlayStation te verbinden…. dat gaat dus niet werken. De bekabelde apparaten had hij gedeeltelijk aangesloten op de wifi-router en gedeeltelijk op de Connect Box. Hierdoor konden alle apparaten wel verbinding maken met het internet, maar de apparaten die via wifi gekoppeld waren, konden onmogelijk verbinding maken met de bekabelde apparaten die waren aangesloten via de Ziggo Connect Box. De apparaten die bekabeld waren aangesloten via de nieuwe router konden dat natuurlijk wel. Kortom: deze prutser had een situatie gecreëerd die voor een leek nooit meer op te lossen zijn, want dan moet je op zijn minste weten wat NAT is en door hebben dat het compleet verkeerd aangesloten is. Een leek denkt dan al snel (terecht) dat het probleem in het aangesloten apparaat zit en voor je het weet wordt er weer een computer afgeleverd bij de lokale computerboer die natuurlijk geen enkel probleem kan ontdekken, maar wel graag betaald wil worden voor zijn onderzoek van het apparaat.

De wifi-functionaliteit van de Ziggo Connect Box had de beste man uitgeschakeld, omdat volgens hem deze altijd slecht werkte. OK, de hardware in de door Ziggo geleverde apparatuur is inderdaad geen topspul, maar om het dan maar uit te schakelen en deze prutser zijn niet-werkende oplossing te laten installeren…. geef mij dan maar de wifi van Ziggo, die lossen het probleem in ieder geval op wanneer het niet (meer) werkt. Wanneer je als klant achteraf deze prutser belt omdat je netwerkproblemen hebt, zal hij je niet kunnen helpen omdat hij niet eens door heeft dat hij het probleem zelf heeft veroorzaakt!



Dit weekend ga ik maar even langs om andermans rotzooi weer op te ruimen. Mocht je in Oss wonen en het vermoeden hebben dat je ook met deze prutser te maken hebt, wees dan gewaarschuwd! Deze oplossing biedt hij, volgens eigen zeggen, bij alle Ziggo-klanten aan. Standaard adviseert hij een Sitecom WLR8100 1750AC router. Geen beste router, maar prima in te zetten als access point.

Kortom: de hardware is wel OK, maar laat in godsnaam deze prutser niet aan je netwerk klussen. Is het al te laat en heeft hij zijn prutswerk al geleverd? Laat dan even een berichtje achter in de comments zodat ik je op weg kan helpen om de rotzooi op te ruimen. Rest me alleen nog om deze beunhaas te wijzen op deze leerzame link: watbenjedan.nl

Netwerk-upgrade met 802.11ac

Vanuit het niets leek mijn wifi-verbinding in huis ineens tergend langzaam geworden te zijn, zelfs zo erg dat ik maar besloot om voorlopig mijn laptop bekabeld aan te sluiten op het netwerk. Dit was natuurlijk geen ideale situatie: een (net iets te korte) netwerkkabel die naar de aansluiting in de muur liep, rondrennende kinderen die natuurlijk niet uitkijken en niet langer de mogelijkheid om even ergens anders te gaan zitten.



Mijn thuisnetwerk heb ik al wat jaartjes geleden aangesloten toen we ons huis gingen verbouwen. Omdat toch alles open lag hebben we maar gelijk overal netwerkkabel getrokken. In elke ruimte in het huis is een netwerk-aansluiting aanwezig. Destijds waren wifi-verbinding nog niet zo snel en vaak onbetrouwbaar. Toen de 802.11g-standaard uit kwam zijn we de wifi actiever gaan gebruiken. Om een goede dekking te krijgen hebben we meerdere antennes geplaatst en roaming geconfigureerd. Later hebben we een upgrade uitgevoerd door het netwerk naar de 802.11n standaard te tillen.

Dit ging een aantal jaren prima. Er kwamen steeds meer apparaten bij met een wifi-verbinding, zoals smartphones, smart-TV’s, mediaspelers, een iPad en een thermostaat. Hierdoor werd het wifi-netwerk steeds zwaarder belast, maar omdat niet alle apparaten tegelijkertijd zwaar gebruik maken van het netwerk was het allemaal nog te doen. Toch begonnen steeds meer apparaten tegelijkertijd meer data over het netwerk te versturen en we konden al merken dat het allemaal niet meer zo snel was als voorheen. En nu begon de antenne voor de benedenverdieping ook nog eens te haperen.

In eerste instantie dacht ik nog dat er een probleem was met de internetverbinding, maar toen bleek dat ook onze smartphones een trage verbinding hadden en mijn laptop bekabeld prima functioneerde leek het er toch steeds meer op dat het probleem door de wifi veroorzaakt werd.

Nu had ik een tijdje al eens gekeken naar de nieuwe 802.11ac standaard, maar tot nu toe was ik er nog niet aan toegekomen om daar eens serieus naar te kijken. Ook de relatief hoge prijs was iets dat me voorlopig tegen hield. Maar intussen waren de prijzen behoorlijk gedaald en de onwerkbare situatie t.a.v. mijn wifi-netwerk zorgde er voor dat ik toch maar eens 802.11ac in het netwerk ging introduceren. Ik kocht een 802.11ac wifi-router die ik als Access Point configureerde. Hierdoor kon ik het apparaat op een strategische locatie plaatsen aangezien mijn router, zoals bij veel mensen, in de meterkast geplaatst is en dit niet echt een goede plaats is met betrekking tot de verbinding en eventuele verstorende signalen.

Eenmaal verbonden met het nieuwe access point bleek de wifi-verbinding een héél stuk sneller geworden te zijn.

Hosts file aanpassen op de Mac zonder terminal

Als je een web-applicatie ontwikkelt, heb je vaak een lokale ontwikkelomgeving draaien via bijvoorbeeld een Virtual Machine of in een container. Dan is het handig om een domeinnaam naar je localhost (127.0.0.1) te laten verwijzen. Dit kan natuurlijk worden door in de terminal je /etc/hosts aan te passen en vervolgens je DNS-cache te clearen.

Voor de luie ontwikkelaar is er op de Mac een handig tooltje, dat het mogelijk maakt om deze file direct vanuit je systeemvoorkeuren aan te passen: Hosts Preferences Panel is open-source en kan gratis gedownload worden van Github.

Na het installeren kun je hosts file direct vanuit je systeemvoorkeuren wijzigen en hoef je ook niet meer handmatig je DNS-cache te flushen.

Een alternatieve DNS gebruiken

DNSOnlangs werd Ziggo het slachtoffer van een DDOS-aanval op enkele van hun DNS-servers.

DNS-servers zijn computers die een internet-adres omzetten naar een IP-adres. Wanneer je een adres intikt in je webbrowser, vraagt je je computer aan de DNS-server wat het IP-adres is wat bij dit internet-adres hoort. Vervolgens zal je webbrowser verbinden met het betreffende IP-adres. Als je webbrowser geen antwoord krijgt van de DNS-server, dan zal de pagina niet geopend kunnen worden.

DNS wordt voor bijna alle internet-gerelateerde diensten gebruikt, dus ook om je e-mail op te halen of te verzenden, te Skypen, enz. Als er dus een probleem is met de DNS-server, dan heeft dat tot gevolg dat heel veel diensten niet meer werken.

Daarom gebruikt je internetprovider meestal 2 DNS-servers. Mocht er eentje niet meer werken, dan is de tweede nog beschikbaar. Echter, werkt de tweede DNS-server ook niet meer dan ontstaat er een probleem. En dat is wat er bij Ziggo gebeurde. Door de DDOS-aanval gingen beide servers onderuit.

Het probleem is eenvoudig te omzeilen: gebruik de DNS-servers van Ziggo niet meer, maar configureer je computer zo dat hij andere DNS-servers gaat gebruiken. Microsoft biedt instructies over hoe je dit moet doen in Windows. Als je je DNS-instellingen wilt wijzigen op je Apple device, kijk dan hier voor instructies.

Wil je dat al je apparaten in huis een andere DNS gaan gebruiken, dan kun je de instellingen op je router aanpassen. Veel apparaten gebruiken de router als DNS-server, die vervolgens de verzoeken doorstuurt naar de DNS-server die geconfigureerd is. Meestal zijn dit de primaire en secundaire DNS-servers van je provider, maar je kunt er natuurlijk ook zelf andere servers in configureren. Raadpleeg hiervoor de handleiding van je router.

Alternatieve DNS-server zijn bijvoorbeeld beschikbaar van Google en OpenDNS.