Mobiele- en thuisgebruikers toegang geven tot bedrijfsnetwerk

Transcriptie

1 Mobiele- en thuisgebruikers toegang geven tot bedrijfsnetwerk Het veilig verzenden van gegevens over het internet heeft een slechte naam. Meldingen uit de pers van phishing-aanvallen op het online bankieren of het omleiden van een betaling bij ebay wekken het wantrouwen van de internetgebruiker. Ook gevallen van het onderscheppen van pincodes en creditcardnummers maken het wantrouwen alleen maar groter. Toch mag hieruit niet geconcludeerd worden dat alle dataverkeer via het internet onveilig is. Het is beslist wel mogelijk om data veilig te verzenden, althans zeker een deel van die data. Alvorens dit artikel te lezen wordt geadviseerd ook het artikel IPSec beveiligd internetverkeer door te nemen. Dit, omdat IPSec een belangrijk onderdeel vormt van een VPN-verbinding. Om de inhoud van dit artikel goed te kunnen begrijpen is een basiskennis van IPSec noodzakelijk. 1. Inbelverbinding duurder dan VPN 2. Versleuteling 3. Werking van VPN 4. Beste van twee werelden 5. Zelf aan de slag 6. Inrichten van VPN-client

2 1 Inbelverbinding duurder dan VPN Het verzenden van gegevens buiten het internet om, dus door middel van een inbelverbinding, is technisch weliswaar een haalbare en veilige oplossing, het is tegelijkertijd ook een dure oplossing. Veel goedkoper is het om via het internet te communiceren. Dit is niet moeilijk, maar wel moet aan enkele veiligheidsvoorwaarden voldaan worden. Zo biedt Windows XP Professional een VPN (Virtual Private Network) oplossing waarlangs internetgebruikers veilig hun gegevens kunnen versturen. Omdat VPN's niet te kraken blijken te zijn, is een VPN vooral interessant voor mobiele gebruikers met laptops en PocketPC's, die op afstand hun data op de thuiscomputer of het bedrijfsnetwerk willen benaderen, zonder daarbij lastig gevallen te worden door hackers. De structuur van het internet is dermate ondoorzichtig dat het voor een gebruiker praktisch onmogelijk is om te weten langs welke weg zijn gegevens over het internet worden getransporteerd. Controleren of er onderweg iets met het datapakket gebeurt is al helemaal niet mogelijk. Voert u het commando '' uit, dan kunt u zien op hoeveel plekken uw datapakket kan worden aangevallen, als dit datapakket tenminste niet beveiligd is. Het zou veiliger zijn als een computer in het internet zich gedraagt als een computer in het eigen bedrijfsnetwerk. In principe is dit precies de kern van wat een VPN voor u doet: VPN is een techniek die ervoor zorgt dat het bronadres en het doeladres zich gedragen alsof ze deel uitmaken van het lokale bedrijfsnetwerk. De truc daarbij is om de internet infrastructuur te gebruiken en de communicatiepartners te authentificeren voor het communicatieproces. Zo ontstaat als het ware een eigen netwerk binnen het grote netwerk van het internet. Alleen wie bekend zijn met de correcte IP-adressen, inlognamen en wachtwoorden kunnen communiceren via dit kleine beveiligde netwerk. Een VPN kunt u zelfs opzetten binnen het eigen LAN-netwerk; op die manier kan er veilig gevoelige informatie uitgewisseld worden tussen collega's. Zijn hackers dan helemaal buitengesloten? Niet helemaal: met behulp van een packetsniffer kunnen zij de datastroom volgen, maar zonder de juiste encryptiesleutel kunnen ze de data niet meer inkijken. 2 Versleuteling Internetpagina's worden met behulp van TCP/IP gecommuniceerd in de vorm van datapakketten. In elk TCP/IP datapakket bevindt zich alle noodzakelijke informatie zoals afzender, ontvanger en de grootte van het datapakket en uiteraard het bericht of tekst. Om deze gegevens te beschermen worden ze in een ander protocol ingebonden (IPSec). IPSec zorgt er dus voor dat andere computers het datapakket niet zullen aannemen of kunnen gebruiken. Deze techniek noemen we het bouwen van een 'tunnel'. U dient zich wel te realiseren dat een datapakket dat niet versleuteld is, ook in een tunnel kan worden onderschept en kan worden uitgelezen. Maar in principe wordt via een VPN alleen beveiligde (lees versleutelde) informatie verstuurd.

3 3 Werking van VPN In een VPN netwerk worden twee computers met elkaar verbonden via een netwerk (LAN of internet). Het netwerk waaraan beide computers gekoppeld zijn wordt gebruikt als transportweg voor de te verzenden data. Om data beveiligd te kunnen versturen stelt VPN de gebruiker een virtuele IP-verbinding ter beschikking. Allereerst versleutelt de client het datapakket en verstuurt het pakket vervolgens via het openbare netwerk naar de VPN-server. De VPN-server ontsleutelt het ontvangen datapakket en verwerkt het verder. Dit proces heet tunneling. Er is een aantal VPNtechnieken in omloop. De meest gebruikte zijn: Het Point-to-Point Tunneling Protocol (PPTP) is geschikt voor de datatransfer van IP, IPX of NetBEUI via een IP-netwerk. Het Layer 2 Tunneling Protocol (L2TP) is geschikt voor de datatransfer van IP, IPX, NetBEUI of een ander willekeurig medium. Het protocol staat Point-to-Point-overdracht toe, zoals bij IP, X.25, of ATM. Het IP Security Protocol (IPSec) is geschikt voor de datatransfer van IP-data via een gelaagd IP-netwerk. Als we het OSI-model ter hand nemen dan werken PPTP en L2TP op de datalinklaag, waarbij de data in frames van het (PPP) wordt verpakt. Daardoor kunnen de protocollen beschikken over de typische PPP-eigenschappen zoals dynamische adressering (DHCP), datacompressie en dataversleuteling. Vooral de gebruikersauthentificatie is zeer belangrijk voor de veilige dataoverdracht. IPSec werkt in tegenstelling tot het PPTP en L2TP op de netwerklaag: het protocol versleutelt de te verzenden data inclusief alle adresinformatie en voegt een nieuwe (normale) IP-Header toe. In deze header staat het adres van de andere tunnelkant. De ontvangende computer aan het einde van deze tunnel verwijdert deze extra IP-Header, ontsleutelt het originele datapakket en stuurt het door naar het ware einddoel. 4 Beste van twee werelden Om een VPN-verbinding op te zetten kunt u gebruik maken van de 'gereedschappen voor werken op afstand' die Windows XP Professional standaard in zich heeft. Windows XP combineert hiermee alle faciliteiten die reeds aanwezig waren in Windows ME aangevuld met de krachtige netwerkfaciliteiten uit Windows Deze combinatie geeft de gebruiker een ideaal hulpmiddel in handen om veilig op afstand verbinding te leggen met de thuis- of bedrijfscomputer. De faciliteiten voor werken op afstand binnen Windows XP Professional lijken daardoor veel op die van Windows Een Windows XP computer kan een binnenkomende connectie accepteren van de volgende interfaces:

4 een dial-up modem serial interface infrarode interface parallele poort interface een VPN-interface 5. Zelf aan de slag Voor het opzetten van een VPN-verbinding beschikt Windows XP over een wizard. In het nu volgende voorbeeld gaan we ervan uit dat de Windows XP machine geen lid is van een domein. We beginnen met het opzetten van de VPN-server machine. Daarna laten we zien hoe u een VPN-client machine inricht. Voor de duidelijkheid: de VPN-server is de computer die het bericht van de verzender gaat ontvangen. 1. Om de wizard te starten klikt u op Start >> (Instellingen) >> Configuratiescherm. 2. Klik op Netwerkverbindingen. Het venster Netwerkverbindingen verschijnt. 3. Klik in het linkerdeelvenster op de optie Een nieuwe verbinding maken. De wizard Nieuwe verbinding maken start nu. 4. Klik op de knop Volgende. Als eerste kiest u het type netwerk. Omdat u een server gaat inrichten dient u de laatste optie Een geavanceerde verbinding instellen te kiezen. Klik op de knop Volgende.

5 5. Zoals gezegd: we stellen een VPN-server in en kiezen derhalve voor de optie Binnenkomende verbindingen accepteren. Klik op de knop Volgende. 6. In het volgende scherm kunt u het apparaat kiezen waarover de connectie gemaakt zal worden. Moet de verbinding lopen via het LAN-netwerk dan dient u hier niets te selecteren. Klik op de knop Volgende. 7. In de volgende stap kiest u voor Een VPN-verbinding opzetten. Klik op de knop Volgende. 8. In het daaropvolgende venster kiest u de gebruiker die de VPN-verbinding mag gebruiken. U kunt ook zelf een nieuwe gebruiker toevoegen (speciaal voor de VPN- verbinding). Dit doet u door op de knop Toevoegen te klikken. U kunt dan een gebruikersnaam en wachtwoord voor de VPN-verbinding opgeven. Klik op de knop Volgende.

6 9. Vervolgens kiest u de netwerksoftware die de VPN-verbinding gaat gebruiken. Klik op de optie Internet Protocol (TCP/IP) en klik op de knop Eigenschappen. 10. Vink de optie Bellers toegang tot het LAN geven aan. Dit zorgt ervoor dat geautoriseerde gebruikers via de VPN-tunnel een verbinding kunnen maken met de computers die aangesloten zijn in het LAN. Wanneer de optie niet is geselecteerd kunnen VPN-gebruikers alleen een connectie leggen met de Windows XP VPN-server zelf.

7 11. Klik op OK om terug te keren naar de wizard en klik op de knop Volgende. 12. De wizard is nu klaar, de VPN-server is bijna geheel geconfigureerd. 13. U kunt de VPN-server terugvinden in het venster Netwerkverbindingen. Selecteer de VPNserver icoon, klik op de rechtermuisknop en selecteer de optie Eigenschappen. De VPN-clients zullen alleen het externe IP-adres van de Windows XP Professional VPN-server gebruiken. 6 Inrichten van VPN-client De VPN-client is de computer die het bericht of de data gaat verzenden. Doorgaans is dit dus de pc van de gebruiker. Om de installatiewizard te starten klikt u op 1. Start >> (Instellingen) >> Configuratiescherm. Klik op de icoon Netwerkverbindingen. Het gelijknamige venster verschijnt. 2. Klik in het linkerdeelvenster op de optie Een nieuwe verbinding maken. De wizard Nieuwe verbinding maken start. Klik op de knop Volgende. 3. Kies nu Verbinding met het netwerk op mijn werk maken. Klik op de knop Volgende. 4. Het zal duidelijk zijn dat u nu de VPN-verbinding optie dient te selecteren. Klik op de knop Volgende. 5. In de volgende stap geeft u de verbinding een duidelijke naam, waaruit blijkt met welke VPN-server u een verbinding gaat maken. Daarna dient u de naam van die server-pc of het IP-adres van die pc op te geven. 6. Rond de installatie van de client af.

8 Zodra u voortaan verbinding maakt met de VPN-server dan vraagt deze om een gebruikersnaam en wachtwoord. Vervolgens wordt de verbinding gelegd en kunt u aan een extra netwerkicoon in de taakbalk zien dat de verbinding actief is.

9 IPSec Gezien de toename van het internetverkeer wordt de vraag naar beveiligde verbindingen steeds groter. Tegelijkertijd wordt men zich ook steeds meer bewust van de gevaren die op het internet gluren. IPSec (een acroniem voor Internet Protocol Security) is een suite van protocollen die er samen voor zorgen dat IP-pakketten beveiligd over een IP-netwerk verzonden kunnen worden. Inleiding Simpel protocol Meer in detail Zo ziet een IPSec-beveiligd datapakket eruit Tunnel en transport modes IPSec gebruiksmogelijkheden Certification Authorities (CA) Praktijk Nieuwe IP-beveiligingsregel maken Activeren van de regels IPSec-regels beheren Tot slot

10 Inleiding Uit een onderzoek van Gartner blijkt dat mensen als de dood zijn dat hackers hun creditcardnummers misbruiken. Maar ook mensen die vaak betrouwbare gegevens versturen zijn bang dat deze gegevens in handen van onbevoegden komen. IPSec biedt in dit kader uitkomst. Het is een protocol dat beheerders extra mogelijkheden biedt wanneer er zogenaamde IP-filters worden toegepast. Bij IP-filters worden bepaalde verbindingen namelijk geïdentificeerd, waarna op basis van vooraf gedefinieerde regels bepaalde acties worden ondernomen op de ontvangen pakketten. Simpel protocol De identificatie van een datapakket vindt plaats op basis van het bron- en doeladres en het gebruikte protocol. Deze regels kunnen zo gecompliceerd zijn als men maar wil, maar in wezen komen ze op twee dingen neer: ofwel wordt het datapakket doorgelaten ofwel wordt het tegengehouden IPSec biedt als extra de mogelijkheid om datapakketten te versleutelen en voor authenticatie te zorgen. Hierdoor is het een zogenoemd end-to-end beveiligingsprotocol. Meer in detail IP security biedt internetgebruikers dus de mogelijkheid om op een beveiligde manier data te verzenden. De suite van protocollen verzorgt daarvoor de volgende diensten, die tijdens het verzenden van een IP-datapakket actief zijn: Integriteit Het protocol biedt de garantie dat het verzonden pakket tijdens het transport niet door derden veranderd is. Authenticatie Het protocol legt de identiteit van de communicatiepartijen vast. Tijdens een beveiligd transport van data wil men zeker weten dat de beoogde partij voor ontvangst van het datapakket ook daadwerkelijk de partij is, die het ontvangt.

11 Ontvangstbevestiging Het protocol toont aan dat wanneer er een transport van gegevens heeft plaatsgevonden de ontvangende partij dit niet kan ontkennen. Confidentialiteit Het protocol zorgt voor de daadwerkelijke beveiliging van de gegevens en garandeert de afzender dat alleen de ontvangende partij het bericht kan lezen. Het protocol wordt vooral ingezet bij het verzenden van informatie via publieke verbindingen en voorkomt zogenaamde 'Man in the middle attacks' en 'Spoofing'. Het maakt daarbij gebruik van het zogenaamde IKE-protocol (Internet Key-Exchange) waarmee de partijen worden geïdentificeerd die een verbinding tot stand willen brengen. Vervolgens wordt een verbinding opgebouwd en wordt de te verzenden data door middel van encryptie beveiligd. Zo ziet een IPSec-beveiligd datapakket eruit Een IPsec-datapakket bestaat uit een normaal IP-pakket met een of twee aanvullingen. De eerste uitbreiding is de Authenticatie Header (AH). Deze bevat de gegevens voor de authenticatie van het IP-pakket. Het AH-protocol wordt ingezet bij bijvoorbeeld RSA (Engelstalig). De tweede uitbreiding betreft de Encapsulated Security Payload header (ESP). Deze bevat de encryptiegegevens van het IP-pakket. Met behulp van ESP kunt u bepalen hoe zwaar de beveiliging voor de te verzenden data moet zijn. Zo kunt u ervoor kiezen om alleen de data te voorzien van encryptie of om het complete IP-datapakket in een ESP-dataveld te plaatsen. Hierdoor ontstaat een nieuw IP-pakket met een nieuw IP bron- en doeladres. Beide headers kunnen samen of apart aan een IP-pakket worden toegevoegd. Tunnel en transport modes IPsec kan in een drie verschillende verschijningsvormen voorkomen: De tunnel mode In deze mode wordt het complete IP-pakket in een compleet nieuw IP-pakket gestopt. Het IP-pakket heeft als bron- en doeladres het begin- en eindpunt van de tunnel. De transport mode In deze mode wordt er geen nieuw IP-pakket gemaakt, maar worden de headers (AH of ESP of allebei) in het IP-pakket gestopt. De bron- en doeladressen blijven ongewijzigd.

12 De iterated mode Deze mode is een combinatie van de tunnel en de transport mode. IPSec gebruiksmogelijkheden Voorlopers van IPsec als security-dienst zijn de Altavista Tunnel (hiermee konden gebruikers van Altavista een beveiligde toegang tot een server krijgen), SSH of Secure Shell (hiermee is het mogelijk om op een beveiligde manier een telnet sessie te voeren) en VPN of Virtual Private Network. De laatste is verreweg de meest bekende IPSec-toepassing. Dankzij VPN kan een filiaal of een thuiswerker via een clientprogramma verbinding maken met een server van het bedrijfsnetwerk. Juist het bedrijfsleven vraagt om dit soort toepassingen, maar ook bijvoorbeeld banken hebben er groot belang bij. Immers, men stimuleert de klant een internetrekening te openen, maar dan moet men de klant ook absolute veiligheid kunnen bieden. Certification Authorities (CA) Vanaf het ontstaan van IPSec heeft men het gebruik van Certification Authorities aangemoedigd. CA's vereenvoudigen de configuratie van routers en eventuele hostmachines voor gebruik van IPSec. Het grote voordeel van een CA schuilt in het uitwisselen van de sleutels voor decryptie. Dankzij CA hoeven er geen 'pre-shared' sleutels te worden gebruikt en kan men volstaan met het opgeven van de CA. Hierdoor hoeven er geen publieke sleutels handmatig uitgewisseld worden. In een Windows 2000/2003 omgeving kan binnen de Active Directory een eigen CA opgezet worden. Deze CA kan geraadpleegd worden door andere Windows-systemen, waarbij in de Active Directory hun certificaat wordt aangevraagd. Ook certificaten van andere CA's kunnen worden opgenomen; daardoor zijn ook bestaande CA's te gebruiken. In Windows 2003 kunt u de IPSec policies ook inzetten voor andere zaken. Windows Server 2003 biedt namelijk een extra IP-filter. Zo kan men bijvoorbeeld een webserver beveiligen, terwijl deze toch bereikbaar is via Remote Desktop of een Terminal Service. In dit geval heeft u een webserver met een openbare interface, waarmee gebruikers via poort 80 contact kunnen maken. Een tweede interface is niet mogelijk via IPSec, want er kan alleen maar contact gemaakt worden via één interface (de openbare). Om toch contact te maken via Remote Desktop dient u over een aantal zaken te beschikken op deze webserver:

13 Een regel, die pakketten blokkeert. Een regel, die pakketten doorlaat. Een filter, dat verbindingen met de webserver op poort 80 identificeert. Het bronadres mag daarbij van elk willekeurig IP-adres afkomstig zijn. Een webserveraanvraag op poort 80 is immers volkomen openbaar. Een filter, dat pakketten van een beheerder doorlaat en andere afweert. Alle andere aanvragen moeten geweerd worden. Praktijk Om een IP-filter in te stellen doet u het volgende: 1. Opent u eerst het MMC (Microsoft Management Console) via het configuratiescherm: Systeembeheer >> Lokaal beveiligingsbeleid. 2. Om een nieuwe regel toe te voegen klikt u op de knop Een IP-beveiligingsbeleid toevoegen. 3. De IP Security Policy Wizard start nu op. Hier geeft u een naam aan de nieuwe regel, bijvoorbeeld Webserver en Remote Desktop. Deze naam ziet u later terug in de lijst. Belangrijk om te weten bij het instellen van een nieuwe regel is dat er slechts één policy (beleidsregel) actief kan zijn. Het is dus noodzakelijk om alle filterlijsten en -regels, die u nodig hebt, in één policy op te nemen. 4. In het volgende scherm van de wizard wordt gevraagd of de regel de Default Response Rule moet worden. 5. De wizard wordt daarna afgesloten. U hoeft alleen de eigenschappen van de regel verder te bewerken. Een IP-Security-Policy bestaat dus uit een filter-lists en filter-actions. De lijsten bevatten informatie over de vormen van dataverkeer, de lijst met acties legt vast welke acties ondernomen moeten worden op bepaald dataverkeer Nieuwe IP-beveiligingsregel maken Heeft u een regel gemaakt dan selecteert u hem in de lijst van regels en dubbelklikt u op de regel. Opnieuw wordt er een wizard actief en wel de Wizard Beveiligingsregel. De vragen die de wizard stelt hebben duidelijk betrekking op IPSec; voor het IP-filter zijn ze van geen belang.

14 1. Allereerst vraagt de wizard wat voor soort tunnel gebouwd moet worden, zie afbeelding. 2. Vervolgens vraagt de wizard voor welke netwerkverbinding de regel actief moet zijn. De opties zijn alle, LAN of RAS. 3. Daarna kunt u de filterlijst kiezen op basis waarvan Windows het dataverkeer van en naar de server gaat controleren. Een filterlijst bestaat in feite uit meerdere filters, waarbij alle filters samen bepalen welk dataverkeer wel en welk niet wordt toegestaan.

15 Wilt u dus gebruik maken van Remote Desktop-verbindingen dan zult u hiervoor een filter moeten opnemen. Dit filter zult u moeten vertellen op welk IP-adres de verbinding tot stand moet komen. Verder heeft u nog een poortnummer nodig, waarop Remote Desktop verbinding kan krijgen. De Windows Remote Desktop wordt net zoals de Terminal Server via het RDP (Remote Desktop Protocol) aangestuurd en gebruikt in het algemeen poortnummer De wizard vervolgt met de vraag of de regel gespiegeld moet worden, anders gezegd of hij voor beide richtingen geldt. Daarna moet u het IP-bronadres opgeven, want de regel geldt ook voor verkeer van het eigen werkstation richting de eigen webserver. Het bronadres wordt dus het IP-adres van uw eigen machine, althans het adres waarmee uw werkstation in het netwerk (het internet) bekend is. Dat kan ook het adres zijn van de Internet- Gateway. 5. In de volgende wizard-stap wordt het doeladres opgegeven. Dit is het IP-adres van de webserver, immers deze is de bestemming en de regel wordt op de webserver zelf aangemaakt. 6. Vervolgens dient u het te gebruiken protocol op te geven. RDP behoort tot de keuzemogelijkheden.

16 Activeren van de regels U komt tot slot terug in het dialoogvenster IP-Filter-List. De zojuist aangemaakte regel kunt u hier terugvinden. Standaard zijn er reeds enkele filters voorgedefinieerd, twee daarvan zijn Blokkeren (Block) en Toestaan (Allow). Voor het lokaal RDP-verkeer kiest u de regel Allow, om uw eigen Remote Desktop-verbinding te leggen met de webserver. Door met de OK-knop te bevestigen wordt de regel actief. Deze regel is echter nog lang niet klaar omdat de toegang tot poort 80 van een willekeurig bronadres nog niet actief is. In dat geval dient u een regel aan te maken waarbij u communicatie met de webserver toestaat, niet alleen lokaal maar vanuit alle machines. Normaal gesproken zijn dit alle willekeurige IP-adressen, dus moet de rest van het dataverkeer geblokkeerd worden. Wanneer de regel actief is heeft u de webserver optimaal beveiligd. IPSec-regels beheren Erg praktisch is de eigenschap dat u de IPSec-regels eenvoudig kunt verdelen via de Active Directory. Moet de regel voor het gehele domein gelden dan wordt de regel automatisch over alle hostmachines verdeeld. Kortom, het is vrij eenvoudig om het LAN-netwerkverkeer te beveiligen dankzij de IP-regel. Het beheer van de IPSec-regels kunt u uitvoeren dankzij twee speciale IPSec snap-ins voor de Microsoft Management Console (MMC). Een snap-in regelt het beheer van de IPfilters en de andere bewaakt de uitvoer van de IPSec-filter.

17 Voor het controleren van het IPSec-verkeer gebruikt u de IPSec-monitor. Dit is een snap-in die u via het MMC toevoegt, zie afbeelding. Deze snap-in toont informatie over het verloop van de communicatie tussen de twee partijen. Bovendien kan de monitor tonen, welke regels op een computer of in een Active Directory-domein zijn ingesteld. Meer informatie Het gebruik van IPsec zal de komende tijd zeker toenemen, denk daarbij vooral aan VPNtoepassingen. Bedrijven zullen voor thuiswerkplekken en mobiele werkplekken een beveiligde verbinding willen opzetten met de bedrijfsserver. Ook wordt het IPSec-protocol tegenwoordig ingezet door verschillende router-fabrikanten en dus reeds hardwarematig ingebouwd.

18 Draadloos Wifi-netwerk installeren Wireless networking, ook wel aangeduid met de term WLAN (Wireless Local Area Network), is hot. Met termen als Bluetooth, hotspots, infrarood en WiFi wordt de argeloze computergebruiker 'lekker' gemaakt voor draadloos computergebruik. In dit artikel leest u wat u voor een draadloos WiFi-netwerk nodig hebt en hoe u een dergelijk netwerk zelf installeert. Draadloos netwerken installeren Voor een netwerk hebt u minimaal twee computers nodig. Om draadloos te kunnen werken is één PC of notebook al voldoende. U kunt er namelijk voor kiezen om draadloos verbinding te maken met uw router. Dat is bijvoorbeeld thuis handig. Zo kunt u altijd en overal in en rond het huis en en surfen. In dit artikel gaan we echter uit van een kleine kantooromgeving bestaand uit een aantal desktop PC's en notebooks. PC's en notebook zijn uitgerust met Windows XP en verder beschikt u over een breedband Internetverbinding (ADSL of kabel). De modem of router die u gebruikt zit aan de ene kant gekoppeld aan uw telefoonverbinding of kabelaansluiting en aan de andere kant aan uw PC of router. Let op: een ADSL-modem met USB-aansluiting is niet geschikt voor gebruik in een netwerk. Aanvullende hardware Naast de bestaande hardware moet u wat extra spullen aanschaffen. Deze zijn vrijwel overal verkrijgbaar en bepaald niet duur. In de eerste plaats hebt u een zender nodig of eigenlijk een koppelingskastje. De draadloze verbinding wordt tot stand gebracht doordat de 'computersignalen' via radiogolven door de lucht worden geseind. Zo'n koppelingskastje heet een Accesspoint. Het Accesspoint is de spin in uw draadloze web. Het kastje zendt en ontvangt radiosignalen op een frequentie van zo'n 2.4 gigaherz (GHz). Veel Accesspoints zijn voorzien van een zichtbare antenne. Om de radiosignalen bij de PC te kunnen ontvangen hebt u ook een ontvanger nodig. Welk type ontvanger hangt af van de computers die u gebruikt. In ons voorbeeld beschikt u over een desktop computer en een notebook. In de desktop PC's monteert u een ontvanger in de vorm van een uitbreidingskaart. Zo'n kaart noemen de fabrikanten meestal een Wireless LAN PCI card. Veel van deze kaarten hebben een antenne aan de achterzijde. In een notebook past geen gewone uitbreidingskaart, maar wel een PC Card (soms PCMCIA Type II genoemd). Een draadloze PC Card schuift u in een uitbreidingsslot op de notebook. Een stukje van de kaart steekt buiten de notebook

19 uit en bevat een onzichtbare antenne. Veel nieuwe notebookmodellen hebben echter al een ingebouwde draadloze netwerkkaart. Wanneer u niet alleen wilt netwerken, maar ook wilt surfen op Internet, dan hebt u in plaats van een Accesspoint een gecombineerde draadloze router/accesspoint nodig. Zo'n apparaat wordt vaak een Wireless BroadBand Router genoemd. Dit kastje ontvangt aan de ene kant uw Internet verbinding en vormt aan de andere kant de schakel tussen de diverse PC's in uw draadloze netwerk. Hebt u al een router, dan kunt u volstaan met alleen een Accesspoint. WiFi Gelukkig is er een internationale standaard voor draadloze communicatie. Deze heet IEEE b. Aangezien niet-techneuten dat niet kunnen onthouden wordt de standaard ook WiFi genoemd. Dat is een afkorting voor Wireless Fidelity. De genoemde IEEE b specificatie gebruikt een maximale doorvoersnelheid van 11 Mbps. Dat is dus aanzienlijk minder dan de 100 Mbps van een modern bekabeld netwerk. Sinds kort is een opvolger beschikbaar in de vorm van de g specificatie. Deze heeft een maximale doorvoersnelheid van 54 Mbps. De industrie heeft dit keer goed nagedacht, want apparaten die de g specificatie gebruiken zijn backwards compatibel met b. Een bestaande Wireless card is dus niet meteen onbruikbaar als u een snelle g Router/Accesspoint koopt. Voor de echte snelheidsduivels is er trouwens alweer een snellere variant in opkomst. Super G belooft de dubbele snelheid van de huidige standaard g. Dit wordt voorlopig nog bereikt door aan de bestaande standaards allerlei handigheidjes toe te voegen. Daarom zien wij Super G nog niet als een goed alternatief. Houdt u het voorlopig nog maar even op Accesspoints en draadloze kaarten volgens de g standaard. En voor wie het graag precies wil weten: er is nog een andere specificatie voor draadloze dataverbindingen tussen apparaten, genaamd Bluetooth. De Bluetooth technologie is vooral bedoeld voor verbindingen tussen kleine en draagbare apparaten, zoals PDA's, mobiele telefoons, printers, scanners, digitale camera's en telefoons. De doorvoersnelheid is dan ook laag: maximaal 1 Mbps. Dat maakt deze technologie oninteressant voor netwerken. We beperken ons in dit artikel dus tot WiFi. Installatie Als leverancier van de benodigde hardware kozen wij voor Belkin. Op de website van dit bedrijf vindt u handige Wizards die u naar de juiste producten leiden. Klik bijvoorbeeld op de SOHO Networking Wizard voor advies over uw situatie. Voor ons voorbeeldkantoor met een aantal desktop PC's, notebooks en een ADSL-Internetverbinding adviseerde men een draadloze kabel/dslgatewayrouter, een draadloze netwerkkaart voor de desktop-pc's en draadloze notebook netwerkkaart voor de notebooks. De router was in ons geval

20 een Belkin g draadloze DSL-/kabelgateway-router. Ook de draadloze netwerkkaarten voor desktop-pc's en notebooks werkt volgens de g standaard. Volgens de fabrikant is deze standaard het meest gemakkelijk te implementeren en is een bereik tot maar liefst 457 meter mogelijk. Dat laatste geldt natuurlijk alleen voor de meest ideale omstandigheden, in de praktijk zal het veel minder (circa 75 meter) zijn. De Wizard op de Belkin site biedt twee mogelijkheden voor het aansluiten van onze notebook: via een Draadloze Notebook Netwerkkaart (CardBus) voor notebook-pc's of via een Draadloze USB Netwerkadapter. Deze laatste is wel erg flexibel, want via de USB-kabel laat het apparaatje zich verbinden met elke moderne laptop óf desktop. Ook de draadloze netwerkkaarten voor desktop-pc's en notebooks werkt volgens de g standaard. Volgens de fabrikant is deze standaard het meest gemakkelijk te implementeren en is een bereik tot maar liefst 457 meter mogelijk. Dat laatste geldt natuurlijk alleen voor de meest ideale omstandigheden, in de praktijk zal het veel minder (circa 75 meter) zijn. De Wizard op de Belkin site biedt twee mogelijkheden voor het aansluiten van onze notebook: via een Draadloze Notebook Netwerkkaart (CardBus) voor notebook-pc's of via een Draadloze USB Netwerkadapter. Deze laatste is wel erg flexibel, want via de USB-kabel laat het apparaatje zich verbinden met elke moderne laptop óf desktop. Helaas bleek deze draadloze USB netwerkadapter nog volgens de b standaard te werken. De doorvoersnelheid is daarmee beperkt tot 11 Mbps. Belkin heeft, net als andere fabrikanten, een g insteekkaart (PCMCIA) voor notebooks. Deze heeft op dit moment dus onze voorkeur, maar zodra er een g USBnetwerkadapter beschikbaar komt is dat ook een prima keuze. Aansluiten Wireless Accesspoint Hebt u al een router of server die uw Internetverbinding regelt, dan volstaat het aansluiten van een Accespoint op uw netwerk. Dit aansluiten is niet moeilijk en breidt uw netwerk in een keer uit met draadloze connectiviteit. Het aansluiten gaat als volgt: 1. Sluit het Wireless Accespoint via een netwerkkabel aan op het bestaande netwerk. 2. Zet het Accesspoint aan. Klaar! 3. Het Accesspoint krijgt automatisch - mits de DHPC-server in de router aanstaat - van de in het netwerk aanwezige router een IP-adres toegekend. 4. Hebt u geen DHPC-server, dan zult u het Accesspoint handmatig moeten configureren. Volg daarvoor de instructies van de meegeleverde handleiding.