Je hebt een thuisnetwerk en dus heb je een router. Zo’n apparaat werkt goeddeels out-of-the-box of wellicht heeft je provider hem al voor je ingesteld. Toch kun je met een optimale configuratie de snelheid of de veiligheid verhogen of functies beschikbaar maken die handig zijn voor je netwerk. In dit artikel bespreken we een aantal van deze geavanceerde router-instellingen en geven we tips.

Er zijn tientallen routerfabrikanten en honderden routermodellen, dus kun je van ons helaas geen pasklare instructies verwachten. Het kan zelfs gebeuren dat je eigen routermodel met sommige van de vermelde functies niet overweg kan, ook niet na de nieuwste firmware-updates. Maar dat zullen uitzonderingen zijn.

We gaan hier zoveel mogelijk voorbij aan de voor de hand liggende zaken, zoals een stevig inlogwachtwoord voor je router of minimaal WPA2-encryptie voor je wifi. We focussen ons op drie aspecten. Eerst bekijken we diverse technieken om toestellen in je eigen netwerk van buitenaf bereikbaar te maken, gevolgd door een blik op diverse operationele modi waarbij we ook het nut van een extra router bekijken. Verder besteden we aandacht aan enkele technieken om de prestaties van je (draadloze) netwerk te verbeteren.

Bereikbaarheid

UPnP

De kans is zeer groot dat ook jouw router standaard met NAT (Network Address Translation) werkt. Dit zorgt ervoor dat je netwerktoestellen hetzelfde publieke ip-adres gebruiken om met het internet te communiceren. Googel op enkele van je netwerkclients bijvoorbeeld maar naar “what is my ip” en je ziet meteen wat we bedoelen. Dat biedt een voordeel qua veiligheid; de ip-adressen van je clients zijn niet zichtbaar voor de buitenwereld. Maar het nadeel is dat externe hosts niet zomaar kunnen communiceren met je netwerkclients.

Er zijn gelukkig oplossingen hiervoor, hoewel die niet allemaal even veilig zijn zonder extra beveiligingsmaatregelen. Zo bieden de meeste routers UPnP aan, oftewel Universal Plug and Play. Je hoeft deze functie alleen maar in te schakelen, waarna UPnP-compatibele apps automatisch de nodige poorten kunnen openzetten. Helaas kan die opzet ook door malware misbruikt worden als die erin slaagt netwerkclients te infecteren. 

Verder blijken UPnP-implementaties bij sommige routers niet optimaal en soms zelfs blijkt deze functie standaard ook aan wan-zijde actief. Dit laatste kun je testen via https://kwikr.nl/badupnp. Om deze redenen raden we UPnP af.

©PXimport

Forwarden

Een veelgebruikte techniek om toestellen of services ook van buitenaf bereikbaar te maken is het forwarden van poorten, te vinden in je routerinstellingen als Port forwarding of Virtual server. Stel: je wilt een beveiligingscamera op afstand kunnen volgen. Dan hoef je maar naar de betreffende poort op het (vast toegekende) interne ip-adres van die camera te verwijzen, waarbij je als externe poort (Port from) bijvoorbeeld ook 80 kunt invullen, zodat je het interne poortnummer van de camera niet mee hoeft in te voeren in de webinterface-url. Als het mogelijk is, kun je de toegelaten externe hosts veiligheidshalve beperken tot specifieke mac- of ip-adressen. Op www.portforward.com/router.htm vind je instructies voor talrijke routermodellen.

Op zich is portforwarding niet onveilig, maar dat wordt het natuurlijk wel als er veiligheidslekken gevonden worden in het toestel dat via deze techniek van buitenaf bereikbaar is – denk aan IoT-apparaten. Daarom is het aan te raden om deze apparaten in een gescheiden subnet of vlan onder te brengen.

Een variant op deze portforwarding-techniek is porttriggering, hoewel dit in de praktijk niet zo vaak voorkomt. Het komt erop neer dat zodra – en zolang – een compatibele app data uitstuurt op een specifieke poort, er automatisch een of meer poorten voor de binnenkomende data worden geforward naar de pc waarop die app draait. In tegenstelling tot bij portforwarding hoef je hier dus niet zelf het ip-adres van de pc in te vullen; het ‘triggered’ en het ‘forwarded’ poortbereik volstaan. Porttriggering is iets veiliger dan portforwarding, aangezien de poorten automatisch gesloten (horen te) worden zodra je de app afsluit.

©PXimport

DMZ

Je kunt het ook over een andere boeg gooien en bijvoorbeeld een toestel met services die je publiek toegankelijk wilt maken in de DMZ (‘demilitarized zone’) van je router onderbrengen. Alle externe aanvragen worden dan naar de poort doorgestuurd die je in de DMZ hebt ingevuld, behalve de pakketjes voor de poorten die je eventueel al voor portforwarding had ingesteld.

Zo’n DMZ-opzet kan bijvoorbeeld nuttig zijn om een extra router aan de router van je provider te hangen, wanneer deze laatste geen bridge-modus ondersteunt (zie de paragraaf ‘Brug- en repeatermodus’).

Meer nog dan bij portforwarding is het van groot belang dat een toestel dat je in de DMZ hebt geplaatst, goed afgeschermd is van de rest van je netwerk. Dat kun je bijvoorbeeld doen met een firewall, en/of door het apparaat in een apart subnet te plaatsen.

Een geheel andere – en doorgaans veiliger – aanpak om je netwerk op afstand te benaderen is het inrichten van een VPN-server. Dat kan op sommige routermodellen, waaronder bij de alternatieve routerfirmware van www.dd-wrt.com en www.openwrt.org. Ook de meeste NAS’en zijn via een app voorzien van deze mogelijkheid. Een van de betere protocollen is OpenVPN, maar de configuratie daarvan is niet zo eenvoudig. Om OpenVPN op Windows op te zetten heb je ook externe software nodig, zoals OpenVPN GUI.

©PXimport

DDNS

Om via je router een interne client te bereiken, heb je normaliter wel het publieke ip-adres van je router/netwerk nodig. Helaas is dat bij de meeste thuisgebruikers een dynamisch toegekend ip-adres, dat je niet zelf kunt wijzigen.

Om dit euvel te vermijden, kun je een zogenaamde DDNS-service (Dynamic DNS) gebruiken. Je koppelt je publieke ip-adres dan aan een vaste hostnaam en een tool zorgt ervoor dat een gewijzigd ip-adres meteen aan die dienst wordt doorgegeven, zodat de koppeling intact blijft. Bekende DDNS-diensten zijn www.noip.com en www.dynu.com (ook gratis). 

De meeste routers en NAS-toestellen bieden zo’n functie aan, waarbij je niet meer hoeft te doen dan het gekoppelde domein in te vullen evenals het login-ID van de betreffende DDNS-service. Je hebt er in principe verder geen omkijken meer naar.

©PXimport

Operationele modi

WISP

Een thuisnetwerk beschikt doorgaans over één NAT-router die via de wan-kabel met (het modem en) het internet is verbonden en via de ingebouwde switch aan je eigenlijke netwerk is gekoppeld. Een DHCP-service zorgt ervoor dat de clients een geldig ip-adres toebedeeld krijgen.

Dat is de standaardsituatie, maar het is niet de enige mogelijke operationele modus voor routers. Zo bieden sommige routers ook de zogenoemde WISP-modus aan (Wireless Internet Service Provider), waarbij je via de draadloze module een verbinding opzet met (een publiek wifi-hotspot van) je provider. Dat kan handig zijn in uitzonderlijke situaties, waarbij je niet via de gebruikelijke ethernetkabel op de wan-poort verbinding kunt maken. Vervolgens kun je de internetverbinding met je andere netwerktoestellen delen, via de kabel of draadloos. Houd er wel rekening mee dat de verbindingskwaliteit doorgaans minder goed is, met hogere latentietijden, meer jitter en sporadisch pakketverlies.

Voor deze modus hoef je alleen maar WISP-functie op je router in te schakelen. Ga dan wel even na of het wan-verbindingstype is ingesteld op Dynamic IP en of je wel degelijk met de hotspot bent verbonden.

©PXimport

Bridge- en repeatermodus

De meeste routers zijn ook voorzien van een bridge-modus. Dit is een functie die twee routers tegelijk in een netwerk toelaat. De router die in bridge-modus wordt geplaatst verliest daarbij wel behoorlijk wat functionaliteit. Het toestel stuurt uiteraard nog altijd data door, maar voert niet langer NAT-specifieke taken uit. De DHCP-service en vaak de ingebouwde firewall worden eveneens uitgeschakeld.

Deze modus kan handig zijn wanneer de router van je provider weinig functionaliteit biedt of zich in een weinig optimale locatie – zoals in de meterkast – bevindt voor je draadloze netwerk. Je plaatst die dan in bridgemodus en koppelt er vervolgens een eigen router aan. Een alternatief is dat je je eigen router in de DMZ van de router van je provider plaatst (zie de eerdere paragraaf hierover).

De meeste routers ondersteunen ook een wireless repeater-modus, ook wel ‘range extender’ genoemd. De bedoeling is duidelijk: een router in deze modus pikt het draadloze signaal van een andere router of draadloze toegangspunt op en herhaalt dit, zodat het signaal wordt versterkt. Houd er wel rekening mee dat routers kieskeurig kunnen zijn in deze modus en soms alleen met apparaten van dezelfde fabrikanten willen samenwerken.

Heeft je router standaard geen bridge- of wireless repeater-modus dan zijn er ook nog handmatige manieren om zo’n extra toestel toch een plaats te geven in je huidige netwerk.

©PXimport

Twee routers (lan-lan)

In onze eerste opzet willen we dat alle pc’s en netwerkapparaten zich met beide routers kunnen verbinden, zodat je bestanden en andere bronnen binnen je hele netwerk kunt delen. Dat gaat in het kort als volgt: noteer om te beginnen het interne ip-adres van je eerste router – waarbij we ervan uitgaan dat die correct is geconfigureerd en probleemloos functioneert – en verbind een lan-poort van de extra router met je pc. Verbreek tijdelijk de verbinding tussen je pc en de eerste router. 

Herstart vervolgens je pc, zodat die een ip-adres krijgt via de DHCP-service van de tweede router en open de webinterface van deze router. Geef die een vast ip-adres mee binnen het subnet van je eerste router, maar bij voorkeur wel buiten het DHCP-bereik. Op je tweede router vul je voor de standaard-gateway en de DNS-server telkens het interne ip-adres van je eerste router in. Sla de wijzigingen op en herstart de tweede router, waarna je hier de DHCP-service en eventueel ook de firewall uitschakelt.

Je mag nu de tweede router via de lan-poort verbinden met de rest van je netwerk. Je kunt nu je tweede router ook als draadloos toegangspunt laten fungeren, bijvoorbeeld met een verschillende SSID voor elk van de beschikbare frequentiebanden. Je stelt op beide routers bij voorkeur wel dezelfde wifi- en encryptiestandaard en hetzelfde wachtwoord in. Voor de 2,4GHz-band kun je het best uiteenlopende kanalen gebruiken, zoals 1 en 11.

©PXimport

Twee routers (lan-wan)

Het kan ook anders: je laat beide routers op verschillende subnetten werken. Zo’n constructie zorgt ervoor dat je vanuit het netwerk van de eerste (‘buitenste’) router niet zomaar de toestellen in het andere netwerk kunt bereiken. De omgekeerde richting kan nog wel – tenzij je met drie routers werkt, maar die opzet laten we hier verder buiten beschouwing. Aan het buitenste netwerk kun je dan bijvoorbeeld servers of IoT-apparaten koppelen of je gebruikt het als (draadloos) netwerk voor je kinderen of gasten.

Noteer het interne ip-adres van je primaire router en ga na of de DHCP-service wel is ingeschakeld. Vervolgens verbind je je pc via een ethernetkabel met je tweede router. Koppel de wan-poort van deze router aan een lan-poort op een switch of rechtstreeks aan je eerste router. Meld je aan bij de webinterface van de tweede router. Zorg ervoor dat het wan-connectietype hier staat ingesteld op automatische DHCP-configuratie, zodat die een extern ip-adres van je eerste router krijgt. Je kunt dit adres het best opnemen in de DHCP-reserveringen of statische leases van je eerste router.

Over naar de lokale netwerkinstellingen van de tweede router. Gebruik een ip-adres in een ander subnet dan dat van je eerste en schakel ook hier de DHCP-service in. Wellicht wil je deze router ook als draadloos toegangspunt laten fungeren; gebruik dan een ander SSID, kanaal en wachtwoord. Je kunt zelfs andere DNS-servers instellen op beide routers. Op de eerste, buitenste router kun je (voor je kinderen) bijvoorbeeld gefilterde DNS-servers van OpenDNS FamilyShield instellen: 208.67.220.123 en 208.67.222.123.

©PXimport

Dubbele portforwarding

In een opstelling zoals beschreven in de paragraaf ‘Twee routers (lan-wan)’ zul je merken dat de toestellen van het binnenste netwerk niet zomaar meer vanaf het buitenste netwerk bereikbaar zijn. Dit opzet schermt het binnenste netwerk wel beter af voor externe malversaties, maar toestellen of services in dit netwerk worden ook moeilijker bereikbaar via portforwarding. 

Om dit op te lossen moet je een dubbele portforwarding uitvoeren. Op de eerste router stuur je de externe aanvragen door naar het wan-ip-adres van je tweede router en op deze router forward je dan zoals gewoonlijk naar het ip-adres van het beoogde toestel.

Prestaties

Snelheidstests

Je wilt op je (draadloze) netwerk natuurlijk de best mogelijke prestaties. Op het internet krijg je daarvoor steevast dezelfde tips aangereikt, zoals een optimale routerlocatie en dito antenneplaatsing, een wifi-kanaal met zo weinig mogelijk storing van naburige netwerken, en up-to-date firmware met goede ondersteuning voor recente wifi-standaarden, zoals 802.11ax (wifi 6) met multi-user-technologieën als OFDMA en MU-MIMO.

Hoe dan ook, om de snelheid te meten voor en na eventuele aanpassingen kun je diverse online snelheidstests inzetten, zoals www.tiny.cc/hispeedtest, www.speedtest.net of www.dslreports.com/speedtest. Bij alle drie zie je de (gemiddelde) upload- en downloadsnelheden (en bij de eerste ook de latentietijd), maar Dslreports laat je zelf het connectietype instellen (zoals Fiber, Cable, DSL of WISP) en test tevens op eventuele ‘bufferbloat’Via een van onze artikelen op de site van ons zusterblad PCM lees je hoe je dit met SMQ (Smart Queue Management) ook op enkele andere routers kunt tegengaan.

©PXimport

QoS

SMQ is een slimmere manier om data te bufferen, aangezien die met meerdere wachtrijen werkt. Helaas ondersteunen de meeste routers deze functie vooralsnog niet. In dit geval kun je het met QoS (Quality of Service) proberen. Het komt erop neer dat je specifiek verkeer voorrang geeft en een grotere hap van de bandbreedte toestaat. Een vorm van ‘traffic shaping’, waarbij data met minder prioriteiten gebufferd kunnen worden. 

Zo zou je bijvoorbeeld torrent-downloads relatief minder bandbreedte kunnen laten gebruiken, omdat zo’n verbinding normaliter toch fouttolerant is – lees: ontbrekende bits worden nogmaals verstuurd. Bij VoIP, audiostreams of online gaming heb je wellicht juist liever geen haperingen.

Afhankelijk van je router zijn er verschillende varianten op QoS mogelijk. Bij traditioneel QoS ken je doorgaans een prioriteit toe (zoals 1 tot 7 of van High naar Low) aan zelf te bepalen toestellen, applicaties of protocollen en zal de router de beschikbare bandbreedte verdelen naargelang de toegekende prioriteiten.

Diverse routers, waaronder modellen van TP-Link, bieden tenslotte specifiek voor draadloze verbindingen de functie WMM (Wi-Fi Multimedia, of ook wel Wireless Multimedia). Deze kent bandbreedte toe naargelang het type verkeer. Zo krijgen voice en video standaard een hogere prioriteit dan achtergrondtaken als printen of downloaden. 

Routerfabrikant ASUS heeft deze meer geautomatiseerde vorm van QoS ook naar ethernetverbindingen doorgetrokken, onder de naam Adaptive QoS. Je hoeft hier alleen maar de aangeboden presets naar prioriteit te ordenen. Experimenteer gerust met QoS, maar ga wel na of het daadwerkelijk de prestaties van het beoogde verkeer verbetert.

©PXimport

Dat het internet niet veilig is en je bijvoorbeeld accountgegevens en je computer moet beveiligen, weet iedereen wel. Maar waartegen je ze moet beveiligen, dat is steeds minder duidelijk. Weten wat precies de dreiging is en welk risico je loopt, is een belangrijke stap in het kiezen van de juiste beveiligingsmaatregel. Wij gingen in gesprek met experts op dit vlak. Tegen welke dreiging moeten we ons eigenlijk beveiligen?

In een donkere kamer vol beeldschermen, zit een jongeman achter een computer. De capuchon van zijn hoodie is zo ver over zijn hoofd getrokken dat zijn gezicht onzichtbaar is . Een hacker! Hoewel maar weinigen van ons er een in het wild zijn tegengekomen, weten we allemaal hoe een hacker eruitziet. Althans, dat denken we. Maar hoe realistisch is dit beeld? En zijn we veilig genoeg als we deze hacker buiten onze computer houden? Niet volgens de experts.

Dreiging en risico

Door het gebruik van computers, smartphones en online diensten stellen we ons dagelijks bloot aan diverse digitale dreigingen. Welke dat precies zijn, verandert door de tijd – evenals het gevaar dat we erdoor lopen en het risico dat we ermee nemen. Overheden, maar ook bedrijven en organisaties werken veelal met dreigingsbeelden. Dat zijn analyses waarin ze de dreigingen zo concreet mogelijk maken en het risico ervan inschatten. Behalve dat het een goede manier is om de dreigingen helder te krijgen, is het vooral nuttig bij de keuze voor te nemen maatregelen.

Volgens het Cybersecurity Woordenboek is een dreiging: ‘iets, een gebeurtenis, wat gevaar of schade kan opleveren’. Bij elke dreiging hoort een risico. Dit is de ‘kans dat het ook echt gebeurt gecombineerd met de gevolgen van die de schade’. Bedoeld wordt dat wanneer bijvoorbeeld de financiële schade van een dreiging een bedrijf failliet kan laten gaan, het risico van de dreiging groter is dan alleen de kosten van de oplossing.

Lekken van persoonlijke gegevens

De schade hoeft ook lang niet altijd financieel te zijn. Het lekken van gevoelige persoonlijke gegevens heeft al snel veel meer impact en betekenis voor die persoon en vaak ook zijn omgeving, dan alleen het bedrag dat ermee gemoeid is. En dat geldt ook wanneer ransomware digitale foto’s vernietigt of je enkele weken werk kwijtraakt en daardoor een belangrijke opdracht te laat inlevert bij een opdrachtgever.

Experts stellen dat het risico het slachtoffer te worden van cybercrime, voor mensen niet lager is geworden. Cybercriminelen gaan steeds slimmer te werk, omdat er veel geld met hun activiteiten te verdienen valt. Voorkomen blijft het doel. Weten welke dreigingen er zijn, is daar een belangrijke stap bij.

Ransomware blijft schadelijk

Ransomware of gijzelsoftware is al enkele jaren de meest voorkomende en meest lucratieve vorm van cybercrime. Het is malware die de bestanden op een apparaat versleutelt en losgeld eist in ruil voor de decoderingssleutels. Betaal je niet, dan zijn de gegevens voor altijd verloren.

Bogdan Botezatu, directeur Threat Research bij Bitdefender, ziet de verzoeken om hulp dagelijks op zijn bureau landen. “En dat zijn maar al te vaak ook gewoon burgers”, zegt hij om het beeld te ontkrachten dat ransomware vooral bedrijven raakt. “De criminelen richten zich zelden op een specifiek doel, ze schieten vooral met hagel.”

Vele kleintjes leveren volgens hem genoeg geld op en ze lopen minder risico op ongewenste aandacht van pers en politie dan wanneer ze een hele grote vis vangen. Wel wordt bij het aanvallen van bedrijven steeds vaker ingezet ook op extractie, het naar buiten kopiëren van informatie en dan dreigen die te publiceren. Voor consumenten is dit volgens Botezatu in elk geval nu nog een minder voor de hand liggend scenario. “Contact maken met individuele slachtoffers is lastig en het zijn er ook veel te veel. Dan is het eenvoudiger om losgeld te vragen in ruil voor de sleutels.”

Bogdan Botezatu ontvangt dagelijks verzoeken om hulp bij ransomware.

Bronnen van besmetting

Belangrijke bronnen van een ransomwarebesmetting zijn volgens Botezatu phishingberichten, gebruik van onveilige netwerkprotocollen en kwetsbaarheden in software. Expliciet noemt hij nog besmette downloads van cracks om software zonder geldige licentie te gebruiken, en gekraakte films en e-books. “Vaak krijgt men wel een prompt van een beschermingsprogramma maar schakelt die tijdelijk uit. ‘Snel de crack draaien en daarna de beveiliging weer aan’ denk men, maar helaas werkt het niet zo. Dan ben je al besmet.”

Broddelwerk met desastreuze uitkomst

De ransomware zelf wordt ook steeds verder ontwikkeld. “Niet allemaal zijn ze even kundig”, oordeelt Botezatu over de programmeurs. Soms maken ze volgens hem hele basic fouten, waardoor het onmogelijk is de bestanden te ontsleutelen – zelfs als je betaalt en de sleutels zou krijgen. Volgens het Jaarbeeld Ransomware van Projectgroep Melissa, een samenwerkingsverband van de Nederlandse overheid en diverse private partijen uit de cybersecuritysector, kwamen er in 2023 in Nederland 29 typen ransomware voor. Volgens Botezatu maakt momenteel vooral de ransomware-variant STOP Djvu veel slachtoffers. Deze ransomware richt zich vooral op Windows-computers en wordt vooral via software-cracks verspreid en via berichten op het Discord-chatplatform.

Overige malware

Door alle aandacht voor ransomware lijkt het bijna of er geen ‘gewone’ malware meer is. Die is er nog genoeg. Het Duitse antivirus-certificeringslab AV-Test ziet ze allemaal voorbijkomen. Erik Heyland, manager van het Test en Research Lab bij AV-Test somt de enorme aantallen varianten trojans, backdoors, webscripts, miners, worms, PUA’s, droppers en nog veel meer op. De aantallen nieuwe varianten lopen in de miljoenen per jaar. AV-Test heeft op https://portal.av-atlas.org een online dashboard staan met informatie over actuele dreigingen, zoals virussen, spamberichten en aanvallen op IoT-apparaten.

AV-Test heeft een online dashboard met dreigingsinformatie.

Jij bent geld waard

Phishing, smishing, infostealers; het zijn allemaal manieren waarop criminelen proberen persoonlijke gegevens zoals wachtwoorden en creditcardnummers in handen te krijgen. Ze doen dit via e-mails en sms-berichten die verwijzen naar nep-websites of door met een infostealer-programma informatie op de pc of Mac te verzamelen door login-/sessie-cookies en credentials die je in browsers bewaart, te stelen.

De verschillende vormen om informatie te verzamelen, worden volgens de experts steeds geavanceerder en daarmee gevaarlijker. Niet alleen investeren de criminelen meer tijd en middelen in hun aanvallen, kunstmatige intelligentie biedt hun ongekende nieuwe mogelijkheden. Daarbij is de opbrengst van een aanval door de manier waarop wij met wachtwoorden omgaan vaak veel groter dan het op eerste hand lijkt. Botezatu noemt dit een van zijn grootste frustraties. “Hackers hebben talloze manieren om deze informatie te oogsten. Voor de meeste accounts is het ook geen kwestie van hoe, maar alleen wanneer de gegevens worden gestolen. Hergebruik je inloggegevens, dan verlies je meer dan alleen dat account.”

Oplichting even gevaarlijk

Volgens Marc Vos, senior-manager bij McAfee, is internetoplichting inmiddels net zo gevaarlijk als malware en ransomware. Daarbij zijn volgens hem juist deze vormen van online criminaliteit steeds lucratiever voor de criminelen. “De meeste mensen begrijpen wel dat een pc beveiligd moet worden, maar dat ze zelf eigenlijk een veel ‘interessanter’ doelwit zijn wordt vaak vergeten.” Of zoals Botezatu aanvult: “Mensen denken dat hun informatie niet waardevol is. Maar eigenlijk is elk onderdeel van een online identiteit te misbruiken en te verkopen. Overal hangt een prijskaartje aan.”

Hackers en IoT

Volgens Botezatu is er niet één groep of soort hackers. Hij gebruikt dan ook liever scenario’s om enkele groepen te duiden. Voor consumenten zeker relevant is de ‘opportunistische hacker’ die het internet scant met kant-en-klare tools op zoek naar kwetsbaarheden. Ze hebben vooral succes bij smart-apparatuur zoals slimme deurbellen, IP-camera’s, smart speakers, maar ook printers en babyfoons. Ze vormen hier botnets mee die ze gebruiken om DDOS-aanvallen uit te voeren. Een tweede scenario is dat gekaapte apparatuur wordt gebruikt om internetverkeer te routeren en te verbergen, bijvoorbeeld om toegang te geven tot strafbare content. Volgens Botezatu ziet niet iedereen van wie de apparatuur gekaapt is zichzelf direct als slachtoffer. “Wordt jouw IP-adres gebruikt om vitale infrastructuur aan te vallen, dan kan dat serieus repercussies hebben”, waarschuwt hij.

Bij IoT-apparaten is ook al snel de privacy in het gedrang. “Wereldwijd gaat het om 22 miljard verbonden apparaten en dat aantal neemt alleen maar toe. IP-camera’s en babymonitors slaan vaak beelden op in de cloud. Hack je die, dan kun je direct bij mensen in huis kijken. Er blijft dan geen privacy over, maar het wordt dan ook een fysiek risico. Criminelen kunnen meekijken en zien waar je belangrijke zaken bewaart, maar ook wanneer je thuis bent of juist niet. Opnieuw relevante informatie die geld waard is.”

Social media

Steeds vaker zijn ook hackers geïnteresseerd in accounts van social media, YouTube en e-mail. Ze gebruiken deze accounts om als jou andere accounts ‘te liken’ en een boost te geven, om fake-nieuws en fake-succesverhalen te verspreiden. Populair is ook advertising-fraude. Hierbij maakt men een account aan bij een advertentieverkoper om daarna met gestolen accounts eindeloos op deze advertenties te klikken. “Per klik is het een minimaal bedrag, maar aangestuurd met een botnet en veel gestolen accounts is het al snel een leuke inkomstenbron.”

Mobiele dreigingen

Aangezien er ontzettend veel data op mobiele apparaten staan, zoals wachtwoorden en apps die je gebruikt bij multifactor-inloggen, is er volgens Peter Hendriks, solutions-manager bij ESET, alle reden de beveiliging van mobiele apparaten serieus te nemen. Smartphones zijn veiliger dan pc's en Macs, maar waterdicht is die veiligheid niet. “Dat geldt voor Android maar ook iOS. Apples mobiele OS is meer afgeschermd, maar het is niet zo dat je mobiele devices onschendbaar zijn.”

Mobiele apparaten worden veel aangevallen voor phishing en vishing (spraak-phishing). Een groot risico is de installatie van apps buiten de standaard Android- of Apple-appstore om. Apps in die stores worden door Apple en Google op kwaliteit en ook beveiliging gecontroleerd, maar dat geldt niet voor apps uit andere bronnen. Lang had ook alleen Android de optie om alternatieve stores te gebruiken, maar inmiddels moet ook Apple andere appwinkels toelaten.

“Het risico van het downloaden van malware is hierdoor groter geworden”, aldus Hendriks. Botezatu van Bitdefender onderschrijft dit: “Op iOS zijn attacks zeldzaam, maar voor Android zien we zeker twintig tot dertig reports van frauduleuze apps per maand.” Bitdefender onderzoekt op dit moment een Android-app die in de Google Playstore wordt aangeboden en die de smartphone gebruikt als proxy voor crimineel netwerkverkeer. “Het grote voordeel van smartphones is dat ze eigenlijk altijd ingeschakeld zijn én verbonden zijn met het internet”, aldus Botezatu. Dit maakt smartphones volgens hem extra interessant. Daarbij is ook de bandbreedte steeds minder een beperking. Bovendien bevatten mobiele apparaten veel informatie over de gebruiker.

Conclusie

Als gebruiker kun je er niet omheen: het internet is niet veilig en daarmee ook alle apparaten die we met het internet verbinden niet. Dat geldt voor de computer, de smartphone, maar ook voor alle andere apparaten die we steeds meer toelaten in ons huis en in ons leven. En juist omdat we er zo vertrouwd mee zijn en ze ook willen vertrouwen, is het belangrijk de risico’s goed in ogenschouw te nemen. De experts en rapporten van de overheid laten zien dat de dreiging groot genoeg is om beveiliging ruim aandacht te geven.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we binnen een bepaald thema naar zulke deals. Ben je op zoek naar een bewakingscamera met een hoge beeldkwaliteit? Vandaag hebben we vijf interessante modellen voor je gespot.

TP-Link Tapo C325WB

De TP-Link Tapo C325WB is goedkoop en levert ook nog eens een scherp beeld. Met een resolutie van 2688 × 1520 pixels identificeer je moeiteloos personen en huisdieren. Aan weerszijden van de lens bevinden zich twee felle ledlampen. Die gaan na bewegingsdetectie in het donker vanzelf branden, zodat je nachtelijke opnames in kleur kunt maken. Overigens herkent de Tapo C325WB op eigen houtje mensen, voertuigen, honden en katten. Je ontvangt daarvan desgewenst pushberichten op je smartphone, waarna je in de TP-Link Tapo-app livebeelden opvraagt. Uiteraard kijk je net zo makkelijk eerdere opnames terug.

Voor het opslaan van beeldmateriaal kun je kiezen tussen verschillende opties. De eenvoudigste methode is om een microSD-kaart van maximaal 512 GB in het apparaat te plaatsen. Als alternatief kun je de video's op een geschikte NAS of (tegen betaling) in de cloud bewaren. Je verbindt de Tapo C325WB via een ethernetkabel of wifi met het (draadloze) thuisnetwerk. De IP66-gecerificeerde behuizing is weerbestendig, waardoor je hem ook buiten kunt ophangen.

TP-Link Tapo C225

Als je alleen binnenshuis wilt opnemen, is deze goedkope pan- en tilt-camera een goede keuze. Het camerahoofd van de TP-Link Tapo C225 kan op eigen houtje horizontaal (340 graden) en verticaal (60 graden) bewegen. Je hebt in een kamer dus geen last van dode hoeken. Bepaal bijvoorbeeld dat de camera een huisdier of (klein)kind automatisch moet volgen. Vervolgens neem je in de TP-Link Tapo-app live een kijkje. Dankzij een respectabele resolutie van 2560 × 1440 pixels ogen de beelden scherp. Bepaal in de app in hoeverre je meldingen wilt ontvangen van bewegende objecten, personen, huisdieren en geluiden.

Een opvallende functie is de privacyknop. Wanneer je daarop drukt, stopt de Tapo C225 meteen met filmen. Verder voer je op afstand een gesprek, want de behuizing bevat een speaker en microfoon. Voor de opslag van video's plaats je een microSD-kaart van maximaal 512 GB in de behuizing. Een andere mogelijkheid is om de beelden naar een geschikte NAS door te sluizen. Lees hier een uitgebreide review over deze veelzijdige camera.

Eufy Eufycam E330 (2-pack + basisstation)

Met dit starterspakket van Eufy bewaak je de voor- en achterkant van je woning. En hoe, want de twee bijgesloten camera's ondersteunen een 4K-resolutie van 3840 × 2160 pixels. Hierdoor herken je zelfs na digitaal inzoomen moeiteloos personen. Zodra de bewakingscamera's met netstroom zijn verbonden, bewaar je opnames op het inbegrepen basisstation. Standaard is er een opslagcapaciteit van 16 GB beschikbaar, maar dat breid je met een eigen interne schijf optioneel uit naar maximaal 16 TB. Zeker wanneer je continu wilt opnemen, is extra opslagruimte een vereiste. Je kunt als alternatief ook alleen filmpjes van gebeurtenissen opslaan.

Naast een hoge resolutie biedt de Eufycam E330 ook nog eens nachtzicht in kleur. Er zijn namelijk een lichtgevoelige sensor en ledlamp geïntegreerd. Verder is de functie gezichtsherkenning de moeite waard. Je ontvangt desgewenst pushmeldingen zodra er familie of vrienden bij je op de stoep staan. Woon je groot? Overweeg dan een bewakingssysteem met vier camera's. Daarnaast is de Eufy Eufycam E330 ter uitbreiding los te koop.

Lees ook: 5 fouten met je beveiligingscamera die je hierna nooit meer maakt

EZVIZ BC1c 4K

Deze oplaadbare 4K-bewakingscamera van Ezviz is momenteel goedkoper dan ooit. Zodra je de BC1c 4K met wifi verbindt, kijk je naar opnames en livebeelden in een resolutie van 3840 × 2160 pixels. Je hangt de IP65-gecertificeerde behuizing zo'n beetje overal op. In de behuizing bevindt zich namelijk een accu met een riante capaciteit van 10.400 mAh. Dat scheelt weer stroomdraden trekken! Ben je van plan om de beveiligingscamera op een locatie met veel zonlicht te monteren? Koop de BC1c 4K dan inclusief zonnepaneel, zodat je de batterij niet of nauwelijks via netstroom hoeft op te laden.

De behuizing heeft plek voor een microSD-kaart tot maximaal 512 GB. Verder is de behoorlijke diagonale kijkhoek van 135 graden een pluspunt. Hierdoor vangt de lens een groot deel van de kamer, tuin of oprit in beeld. Zodra de camera een persoon of voertuig detecteert, ontvang je hiervan een melding op je smartphone. Bovendien begint de BC1c 4K automatisch met opnemen. Overige voordelen zijn de ondersteuning voor tweewegaudio en nachtzicht in kleur.

Foscam G4P-B

De Foscam G4P-B heeft een stevige behuizing, waardoor je hem gerust op een drukke of risicovolle plek kunt ophangen, zoals aan de straatzijde waar kinderen spelen. Het apparaat werkt op netstroom, waardoor je 24/7 kunt opnemen. Kies voor het opslaan van videomateriaal tussen drie mogelijkheden, namelijk een microSD-kaart (max 256 GB), een geschikte NAS of cloudopslag. Voor laatstgenoemde optie moet je wel een betaald abonnement afsluiten.

De G4P-B heeft een ethernetaansluiting, zodat je het apparaat op een bekabeld netwerk kunt aansluiten. Dat verhoogt de betrouwbaarheid van de beeldoverdracht. Is er geen bekabelde netwerkaansluiting beschikbaar, dan verbind je deze beveiligingscamera net zo makkelijk met wifi. Gunstig is verder de ruime videoresolutie van 2560 × 1440 pixels. Daarnaast reikt de nachtzichtfunctie tot ongeveer twintig meter. Onder de productnaam G4P-W is er ook een witte uitvoering verkrijgbaar.