ID.nl logo
Huis

Versleutelde malware blijft langer onontdekt

De toenemende populariteit van encryptie heeft een schaduwzijde. Malware wordt namelijk veel moeilijker op te sporen wanneer het via versleutelde verbindingen tracht toe te slaan. Wat is er tegen versleutelde malware te doen? We spraken daarover met Michel Schaalje van beveiligingsbedrijf Cisco.

De trend van versleuteling zet door. Onderzoeksbureau Gartner voorspelt bijvoorbeeld dat dit jaar meer dan tachtig procent van al het internetverkeer versleuteling heeft. Versleuteld malafide verkeer is echter heel lastig te ontdekken, en daarmee lastig te bestrijden. Criminelen versleutelen hun malware daarom steeds vaker om virusscanners en bedrijfsbeveiligingen om de tuin te leiden. Volgens beveiligingsbedrijf Cisco duurt het voor bedrijven gemiddeld tussen de 100 en 200 dagen voor zij ongeoorloofd ssl-verkeer ontdekken in hun netwerken.

Michel Schaalje is directeur security bij Cisco. Het netelige vraagstuk van versleutelde malware neemt hij vrij koel op. “Encryptie is bedoeld om verkeer veiliger te maken. Nu zie je het tegenovergestelde ook gebeuren. Maar ja, dat kun je eigenlijk van alles wel zeggen. Als er een nieuwe technologie op de markt komt, dan is het bijna gegarandeerd dat iemand het ook voor malafide doeleinden gebruikt.”

Volgens Schaalje is de opkomst van versleutelde malware geen nieuwe ontwikkeling, maar wel een die recent een flinke vlucht heeft genomen. “We zien in het algemeen een grote stijging in versleuteld internetverkeer, en daarmee dus ook in kwaadaardig verkeer.” Hij vindt het zelf een eenvoudig verklaarbare ontwikkeling. “Criminelen proberen nu eenmaal altijd onder de radar te blijven. Als encryptie daarbij helpt is dat een logische stap.” De opkomst van Let’s Encrypt is daarbij belangrijk. “Certificaten met ‘signatures’ zijn nu spotgoedkoop en veel beschikbaar. Daar maken criminelen dankbaar gebruik van.”

Bedrijfsstructuur

Voor criminelen is het steeds vaker noodzaak om hun verkeer te versleutelen, als zij effect willen hebben. Anderzijds, zegt Schaalje, is er ook het feit dat online beveiliging niet stilstaat. “Bij organisaties wordt de beschermmuur steeds beter. Bedrijven maken vaker gebruik van een architectuurbenadering voor hun beveiliging.”

Hij doelt daarmee op het feit dat bedrijven niet alleen geld pompen in nieuwe en betere hard- en software, maar hun hele digitale bedrijfsstructuur onder de loep nemen en werknemers en afdelingen beter laten samenwerken. “Je moet daarom als crimineel slimmer zijn om onder de radar te blijven. Ze verzinnen daarom steeds meer nieuwe methodes om ergens binnen te dringen.”

©PXimport

De meeste versleuteling in malware vindt plaats in ssl-verkeer. Het gaat meestal niet om de ‘payload’ (het gedeelte van de malware dat daadwerkelijk schade aanbrengt), maar om de weg die de malware aflegt om bij een doelwit te komen. Met name het verkeer naar een ‘command and control’-server is vaak versleuteld, zegt Schaalje.

“Als je dat weet te verbergen, kun je vaak meer impact hebben die ook langer duurt.” Het duurt dan bijvoorbeeld langer voor malafide verkeer wordt opgemerkt. De encryptie maakt het moeilijk om in een netwerkanalyse te zien of verkeer naar een legitieme bron gaat (een normale website die iemand gewoon nodig heeft voor zijn werk) of naar een malafide server die allerlei bedrijfsgeheimen verzamelt.

Vormen van versleutelde malware

Aanvallers volgen met de inzet van versleutelde malware de trends in cybersecurity. Ransomware is bijvoorbeeld nog steeds een belangrijke drijfveer. Inmiddels is echter ook cryptojacking steeds populairder, en blijven andere vormen van cybercrime zoals spionage of gegevensdiefstal altijd populair.

Versleuteling in malware richt zich dus niet specifiek op één doel. Verschillende rapporten noemen verschillende doelen. In een rapport van Zscaler van vorig jaar staat bijvoorbeeld dat zestig procent van alle malware via ssl of tls in 2017 bestond uit banking trojans. Slechts een kwart van alle aanvallen zou bestaan uit ransomware, en cryptojacking werd toen nog helemaal niet genoemd.

Toch ziet Michel Schaalje een nieuwe vorm van geavanceerde malware opkomen. Die kan de vorm aannemen van ransomware, maar het uiteindelijke doel van zo’n virus is wezenlijk anders. “Zeker vorig jaar zagen we de opkomst van ‘destruction of service’. Denk daarbij aan aanvallen zoals WannaCry en (Not)Petya. Die vermomden zich weliswaar als ransomware, maar de aanvallers hadden niet het doel er geld mee te verdienen. Ze wilden er juist infrastructuren of bedrijven mee platleggen.”

©PXimport

Voor zulke aanvallen wordt gebruik gemaakt van verschillende zogenoemde ‘obfuscatiemethodes’: manieren om de daadwerkelijke daders te verbergen. De hackers maken dan bijvoorbeeld gebruik van de ‘supply chain’, oftewel andere softwaremakers die weer leveren aan het bedrijf. Vaak hebben bedrijven die hoger in de supply chain staan een minder geavanceerde beveiliging; deze zijn dus makkelijker te infecteren.

Dat geldt ook, of zelfs juist, voor aanvallen die gebruik maken van encryptie. Omdat het lastiger is die tegen te houden, is het makkelijker voor hackers om kleine bedrijven te infecteren.

Beveiligingsbedrijven moeten overstappen op een nieuwe methode om deze vorm van malware tegen te houden, maar de industrie zoekt nog steeds naar het juiste antwoord. “Antivirus is niet meer voldoende”, zegt Schaalje. “Die detecteert verkeer alleen achteraf, terwijl het al op een systeem staat. Dan is het eigenlijk al te laat.” Zeker als je het verkeer niet kunt uitlezen, kan er op dat moment van alles in het systeem gebeuren. “Het liefst wil je daarom realtime kunnen detecteren.”

Oplossingen

Beveiligingsbedrijven stappen steeds vaker over op machine learning en kunstmatige intelligentie om dergelijke aanvallen af te slaan. “Met AI kun je rariteiten in het verkeer zien, en patronen herkennen. Juist als dat foutieve patronen zijn is dat handig.”

Je kunt daarbij de parallel trekken met fingerprinting. Fingerprinting is een identificatiemethode waarbij een uniek id wordt gekoppeld aan een gebruiker (of, in dit geval, malware). Dat gebeurt op een combinatie van technische specificaties en gedragspatronen. Het is een techniek waar juist kunstmatige intelligentie veel kan betekenen. Door het verkeer te analyseren zie je patronen in de grootte van datapakketjes, metadata, de omvang van het verkeer, timestamps ... Die kunnen vaak redelijk goed aangeven wanneer je te maken hebt met malafide verkeer.

Steeds meer beveiligingsbedrijven zien daar de meerwaarde van in, al staat de ontwikkeling ervan nog in de kinderschoenen. Sterker nog, Cisco is op dit moment één van de weinige bedrijven die machine learning al actief toepast buiten de laboratoria om. Het bedrijf ontwikkelde een tool met de ietwat ongeïnspireerde naam Encrypted Traffic Analytics (afgekort ETA), die door klanten van bepaalde routers van het bedrijf kan worden bijgekocht als extra service - met de kanttekening dat al het geanalyseerde verkeer via Cisco loopt.

©PXimport

Vooralsnog doet de dienst redelijk simpele analyses. Die draaien om dingen als zelf ondertekende certificaten, een goede aanwijzing dat er iets verborgen wordt in het pakket dat liever anoniem had moeten blijven. Ook probeert de tool links te leggen met onversleuteld verkeer dat naar dezelfde bestemming loopt. Gaat dat naar een server die niet wordt herkend (of die niet legitiem lijkt), dan gaat er een streep doorheen.

Je kunt zulke machine learning alleen effectief inzetten als je enorme hoeveelheden data hebt. Hoe meer data er worden ingeladen en geanalyseerd, hoe slimmer de algoritmes worden en hoe makkelijker malware kan worden ontdekt - vandaar de verzameling van data door de eerste groepen gebruikers van ETA. Dat wordt aangevuld met handmatige analyses door teams van experts. De meeste securitybedrijven hebben die; het bekende Thalos Security is bijvoorbeeld onderdeel van Cisco, maar ook antivirusbedrijven als ESET, Kaspersky of McAfee maken gebruik van laboratoria waar malware handmatig wordt uitgepluisd door experts.

Uitdagingen

Het grote probleem waar zulke machine learning-algoritmes nu nog tegenaan lopen is het relatief hoge aantal ‘false positives’, resultaten die als malware worden aangemerkt terwijl het eigenlijk om legitiem verkeer gaat. Van de ene kant kun je beter net iets te veel legitiem verkeer aanmerken als malafide dan andersom, maar in de praktijk maakt dat het werk van bedrijven erg onpraktisch.

Schaalje zegt wel dat machine learning niet dé eindoplossing is. “Als wij het inzetten zie je dat criminelen er langzaam ook naartoe gaan. Die gebruiken het dan ook. Nu is het nog vrij ingewikkeld en duur om AI in te zetten maar in de toekomst wordt dat steeds toegankelijker.” Bovendien hebben landen die achter malware zitten ook veel middelen tot hun beschikking.

Het is heel lastig om versleutelde malware tegen te gaan – althans, als je het als op zichzelf staand probleem bekijkt. Het is een negatief bij-effect van de op zich wenselijke popularisering van encryptie. Veel bedrijven geven zelf aan dat ze voor het specifieke probleem van malware-encryptie niet goed beschermd zijn (hetzelfde A10 Networks-rapport dat we eerder noemden onderzocht dat ook). 79 procent van de ondervraagden dacht toen dat het versleutelde malware op hun eigen server kon detecteren. Slechts 17 procent zei er goed op voorbereid te zijn.

Schaalje denkt dat het probleem echter breder is en dat bedrijven zich het beste kunnen wapenen door een bredere beveiliging op te zetten. “Het is lastig te zeggen of bedrijven ‘wel of niet klaar zijn’ om zich tegen dit specifieke probleem te wapenen. Bedrijven zijn zich er steeds vaker bewust van dat er een grote kans is dat zij ooit slachtoffer worden van malware, vrijwel niemand denkt meer ‘dit is geen probleem voor ons’ of ‘ik ben niet interessant om iets te halen’. Iedereen weet dat hij de volgende kan zijn en je ziet dat mensen daar de juiste maatregelen tegen proberen te nemen.”

Die maatregelen zijn dan ook vooral een goede voorbereiding, met een goede analyse van hoe gegevens en systemen worden beveiligd en welke protocollen er zijn als er iets mis gaat.

▼ Volgende artikel
Internet in je hele huis: plannen, plaatsen en streamen
© elenabsl - stock.adobe.com
Huis

Internet in je hele huis: plannen, plaatsen en streamen

We verwachten steeds meer van onze internetverbinding en vooral van wifi verlangen we steeds meer. Waar het in het verleden misschien niet zo erg was om op de bovenste verdiepingen wat langzamer internet te hebben, wordt nu overal in huis gewerkt en gestreamd. Hoe zorg je in je hele huis voor een vlotte draadloze internetervaring?

Internetverbindingen kun je afnemen op indrukwekkende snelheden, zeker als je glasvezel hebt. Een hoge snelheid zorgt echter niet automatisch dat je overal in huis een bliksemsnelle verbinding hebt. Het verhogen van je internetsnelheid is in ieder geval geen oplossing om je draadloze netwerk te verbeteren. Daarvoor zul je op de juiste plekken in je huis wifi-accesspoints moeten plaatsen. Hoe pak je dat het best aan?

Oorzaak van problemen

Veel wifi-problemen worden veroorzaakt door de eigenschappen van de gebruikte frequentiebanden voor wifi. De 2,4GHz-band heeft wel een groot bereik, maar is druk bezet en gevoelig voor storing door bijvoorbeeld overlapping met andere wifi-netwerken. Ook het netwerk van je buren heeft immers een groot bereik. Ook de geringe beschikbare kanaalbreedte van wifi over de 2,4GHz-band is een factor, waardoor die band doorgaans geen heel goede snelheden biedt.

Een oplossing is de 5GHz-band die meer ruimte en hogere snelheden biedt. Tegelijkertijd heeft de 5GHz-band een minder groot bereik, waardoor je een verdieping hoger soms al geen goed signaal meer hebt. Dat geldt nog sterker voor de 6GHz-band die onderdeel is van de wifi 6E en 7-standaarden. Deze frequentieband biedt nog meer ruimte en snelheid, maar alleen over korte afstanden.

Voor een goede snelheid zijn de 5GHz- en 6GHz-banden dus noodzakelijk, maar door het beperkte bereik heb je vaak niet genoeg aan één draadloze router of accesspoint. Voor een goed dekkend netwerk zul je meestal meerdere accesspoints moeten hebben. Uiteraard zijn er wat vuistregels. Zo dempt een betonnen tussenvloer het signaal sterker dan de tussenmuren in je huis. Met een accesspoint per verdieping kom je waarschijnlijk dus al een heel eind.

Een goed uitgangspunt is om op iedere verdieping van je huis een accesspoint te plaatsen.

Dekking in kaart brengen

Bij het plaatsen van extra accesspoints is het handig om inzichtelijk te maken hoe de wifi-signalen zich in jouw huis verspreiden. Hiervoor kun je gebruikmaken van een wifi-scanner op je laptop of smartphone. Een toegankelijke scanner voor een Windows-laptop is NetSpot (www.netspotapp.com).

Als je het programma voor de eerste keer start, wordt gevraagd of je de licentie wilt upgraden, dat kun je negeren door op Continue te klikken. In de gratis versie mis je de onderdelen Survey en Planning, waarmee je plattegronden van je huis kunt maken. Die functionaliteit heb je niet per se nodig als je thuis wilt controleren hoe goed de dekking van je netwerk is. Gebruik het programma op de plek waar je de ontvangst van je netwerk wilt controleren.

Waarschijnlijk zie je een hele lijst van alle draadloze netwerken bij jou in de buurt. Dat kan onoverzichtelijk zijn, daarom is het handig om een filter te maken zodat je alleen jouw eigen accespoints ziet. Klik op het zoekveld rechtsboven en tik (een gedeelte van) de SSID van je draadloze netwerk in. Om te bepalen of het signaal dat je ontvangt sterk genoeg is, wordt de RSSI (Received Signal Strength Indicator) gebruikt. In NetSpot is dat de kolom Signal. Hoe dichter de getoonde waarde bij nul ligt, hoe sterker het signaal is.

Een RSSI-waarde van zo’n -45 dBm is uitstekend. Een waarde tussen -50 en -60 dBm wordt gezien als goed, terwijl alles slechter dan -70 dBm kan leiden tot verbindingsproblemen. Voor een goed dekkend netwerk zou je overal in huis minimaal een waarde tussen de -50 en -60 dBm moeten ontvangen.

NetSpot is ook beschikbaar als gratis app voor Android waarbij je wel de mogelijkheid krijgt om een kaart te maken zonder te betalen. Voor de iOS-versie vraagt NetSpot 10 euro, zie het kader 'Wifi-sterkte meten met iOS' voor een gratis alternatief.

NetSpot laat je de signaalsterkte van je accesspoints zien.

Wifi-sterkte meten met iOS

Voor Android zijn allerlei apps te vinden waarmee je de signaalsterkte van wifi-netwerken inzichtelijk kunt maken, waaronder NetSpot. Voor het meer gesloten iOS is dat helaas niet het geval. Apple biedt gelukkig wel het AirPort-configuratieprogramma (AirPort Utility) dat je in de appstore vindt. Je zult als je de app start nog geen wifi-netwerken zien. Hiervoor open je de instellingen van iOS en klik je op Apps. Klik vervolgens op AirPort en activeer de optie WiFi-scanner. Schakel deze optie uit als je het niet nodig hebt, want de ingeschakelde wifi-scanner zorgt voor een hoger energieverbruik. Sluit eventueel eerst de AirPort-app en open hem waarna je het onderdeel WiFi-scan ziet. Klik op Scan en je krijgt een overzicht van alle netwerken in de buurt voorzien van een RSSI-waarde. Tik in het zoekveld eventueel je eigen SSID om alleen je eigen accesspoint(s) te zien.

Met een omweg kun je ook in iOS draadloze netwerken inzichtelijk maken.

Snelheid meten

De dekking van het netwerk is belangrijk, maar waarschijnlijk ben je vooral geïnteresseerd in de daadwerkelijke prestaties. Een interessante tool om de snelheid binnen je netwerk te meten is OpenSpeedTest. Deze snelheidstest kun je zelf hosten op een server of NAS, maar is ook beschikbaar als een programma voor Windows, macOS of Linux. Je voert dit programma uit op je pc, waarna je via ieder apparaat in je netwerk naar deze persoonlijke speedtestserver kunt browsen. Omdat deze server lokaal op je netwerk draait, ben je niet afhankelijk van de snelheid van je internetverbinding. Uiteraard wordt de snelheid wel beperkt door de snelheid van de netwerkaansluiting van het systeem waarop je de OpenSpeedTest-Server draait.

Ga naar de website www.openspeedtest.com en klik op Downloads. Klik vervolgens op OpenSpeedTest-Server for Desktop & Mobile (Apps) en download de Windows-versie, doorgaans heb je de X86-64-variant nodig. Je hoeft het programma niet te installeren. Mogelijk krijg je wel een pop-up van Microsoft Defender SmartScreen omdat Windows de ontwikkelaar niet herkent. Voor zover wij kunnen achterhalen, is OpenSpeedTest-server veilig om te gebruiken. Klik in de pop-up op Meer informatie en vervolgens op Toch uitvoeren om het programma te starten. Geef ook toestemming om binnenkomende verbindingen te openen voor deze applicatie.

OpenSpeedTest Server werkt heel eenvoudig. In het venster zie op welk ip-adres de server bereikbaar is. Verder zie je ook op welke poort de server wordt aangeboden. Je opent OpenSpeedTest door op het apparaat waarmee je de snelheid wilt meten, in de browser de getoonde combinatie van ip-adres en poort in te tikken: bijvoorbeeld http://192.168.1.213:3000. Klik op Start om zowel de download- als uploadsnelheid te testen. Om de test nogmaals uit te voeren, kun je de pagina verversen.

OpenSpeedTest Server draai je lokaal op een computer in je netwerk.

Op je laptop of smartphone open je het vermelde adres om de snelheidstest te starten.

Routeruitbreidingen

Waarschijnlijk ontdek je tijdens het meten plekken in huis waar de signaalsterkte en snelheid tegenvallen. Je kunt proberen om je draadloze router zo centraal mogelijk in huis te positioneren, maar vaak ontkom je niet aan extra accesspoints. Het is niet voor niets dat steeds meer internetproviders zelf ook extra wifi-apparatuur leveren. Zo biedt Ziggo SmartWifi pods die samenwerken met Ziggo's SmartWifi-modems, terwijl KPN SuperWifi-punten levert die werken met de KPN modem/routers. Odido biedt Wifi Plus, een mesh-set die samenwerkt met zijn routers.

Soms krijg je wifi-uitbreidingen gratis bij je abonnement, maar meestal betaal je extra door de apparatuur bij je provider te huren of kopen. Handig, maar er zitten natuurlijk ook nadelen aan apparatuur die je via je provider krijgt. Zo zul je doorgaans niet de nieuwste of beste technologie krijgen. Ook zijn vaak niet alle mogelijke instellingen beschikbaar, bijvoorbeeld op het gebied van kanaalkeuze. Een ander nadeel kan zijn dat je de apparatuur weer moet terugsturen als je overstapt naar een andere provider. Ook zijn er providers die geen extra wifi-apparatuur leveren.

Behalve providers bieden ook sommige routerfabrikanten draadloze uitbreidingen voor hun router. Zo kunnen gebruikers van een FRITZ!Box het draadloze netwerk uitbreiden met FRITZ!Repeaters, terwijl ook ASUS-routers dankzij AiMesh te koppelen zijn met extra accesspoints. Het geheel gedraagt zich vervolgens als één systeem en laat zich bijvoorbeeld vanuit één webinterface configureren.

©AVM GmbH

Sommige routerfabrikanten waaronder AVM FRITZ!Box leveren wifi-uitbreidingen voor hun routers.

Wifi-mesh-systeem

Een simpele oplossing om in één keer meerdere accesspoints in huis te halen, is een wifi-mesh-systeem. De accesspoints, vaak onderverdeeld in een router plus satelliet(ten), vormen samen één dekkend netwerk. In tegenstelling tot traditionele repeaters, die het signaal simpelweg doorgeven, communiceren mesh-nodes actief met elkaar en beheren ze samen de clientverbindingen.

Mesh-systemen gebruiken meestal band steering en client steering om apparaten automatisch te verbinden met het optimale accesspoint en de juiste frequentieband. Bij dualband-systemen delen de backhaul-verbindingen (tussen de nodes onderling) dezelfde radio’s als de clientverbindingen, wat de prestaties kan beperken. Triband- of zelfs quadband-systemen lossen dit op met een extra 5GHz-radio voor de backhaul, waardoor de clientbandbreedte volledig beschikbaar blijft. Veel mesh-systemen ondersteunen ook een bekabelde backhaul, wat de stabiliteit en snelheid flink verhoogt.

©TP-Link

Een wifi-mesh-systeem is een eenvoudige manier om extra accesspoints toe te voegen.

Mesh-systeem optimaliseren

Bij bedraad aangesloten accesspoints zal er een sterke relatie zijn tussen de sterkte van het aangeboden wifi-signaal en de snelheid die je kunt behalen. Bij wifi-mesh-systemen of repeaters kun je ondanks een uitstekend wifi-signaal toch last hebben van een lage doorvoersnelheid. Dat komt doordat ook de draadloze verbinding van de wifi-mesh-node of repeater met de rest van het systeem van invloed is. Wellicht dat wanneer je de satelliet op een andere plek neerzet het aangeboden wifi-signaal minder sterk is, maar dat er door een betere verbinding met de rest van het systeem toch een hogere snelheid gehaald wordt. Veel mesh-systemen en repeaters helpen je hierbij met een lampje of aanwijzingen in de app.

Let bij het verplaatsen niet alleen op de link tussen de wifi-apparatuur, maar ook op de signaalsterkte naar je laptop of smartphone. Een perfecte verbinding tussen je mesh-punten heeft weinig zin als je laptops of smartphones nauwelijks bereik hebben. Het draait dus om de balans. Gebruik je een wifi-mesh-systeem in een huis met meerdere verdiepingen? Een handige praktijktip: zet je wifi-mesh-punten zoveel mogelijk bij trapgaten. Zo profiteren ze van het open verloop tussen verdiepingen, terwijl je apparaten optimaal verbinding maken met het dichtstbijzijnde accesspoint.

Veel wifi-mesh-systemen waaronder Netgear laten je in de webinterface of app zien wat de status van de verbinding tussen de nodes is.

Roamingproblemen

In een netwerk met meerdere accesspoints zoals een wifi-mesh-systeem verwacht je dat je apparaat automatisch overschakelt naar het sterkste signaal. In de praktijk gebeurt dat niet altijd. Apparaten bepalen namelijk zélf wanneer ze overschakelen en soms gebeurt dat pas als de verbinding al te slecht is. Dit kan ervoor zorgen dat je smartphone verbonden blijft met een accesspoint op een andere verdieping, ondanks een beter signaal dichterbij. Sommige wifi-systemen ondersteunen fast roaming via technieken als 802.11k, -v en -r. Daarmee geven accesspoints extra informatie aan je apparaat over de opbouw van je netwerk, zodat er soepeler wordt geschakeld naar een ander accesspoint. Dit werkt echter alleen als je apparaat dit ook ondersteunt en dat is bij oudere apparaten lang niet altijd zo. Merk je dat apparaten verbinding verliezen of slecht presteren, probeer dan fast roaming uit te schakelen in de instellingen van je wifi-systeem en kijk of je ervaring beter wordt. Een dergelijke instelling is niet op alle systemen beschikbaar.

Hier is 802.11r (fast roaming) uitgeschakeld op een Omada-systeem.

Bedrade accesspoints

Een wifi-mesh-systeem kan een prima oplossing zijn om heel je huis van een dekkend netwerk te voorzien, maar omdat er gebruik wordt gemaakt van een draadloze verbinding tussen de nodes kunnen de prestaties tegenvallen of onvoorspelbaar zijn.

Heb je de mogelijkheid om netwerkkabels aan te leggen, dan is dat altijd aan te raden. Zo heb je een betrouwbare backbone voor je netwerk die je kunt gebruiken om je met behulp van accesspoints je huis op de juiste plek van wifi te voorzien. Veel wifi-mesh-systemen kun je trouwens ook bedraad gebruiken, dus je hebt ook wat aan netwerkkabels als je al zo’n systeem gebruikt.

Je kunt losstaande accesspoints kopen die je individueel moet configureren, maar als je toch kabels naar een centraal punt gaat trekken, is investeren in een geïntegreerd systeem al snel handiger. Populair voor systemen voor thuis zijn TP-Link Omada en Ubiquiti UniFi waarbij je in beide gevallen de keuze hebt uit een groot aantal verschillende accesspoints, switches en zelfs routers. Een router die onderdeel is van het systeem is niet noodzakelijk, maar kan handig zijn als je wilt werken met VLAN's. Als je een router van een andere fabrikant gebruikt, zul je de VLAN's ook op die router moeten configureren.

Controller

Omada en UniFi werken het best als je een controller gebruikt die constant actief is, beide fabrikanten bieden diverse mogelijkheden voor zo’n controller. Zo biedt Ubiquiti routers met ingebouwde controller of de losse Cloud Key Gen2 en TP-Link verkoopt controllers zoals de OC200.

De controllersoftware kun je met wat moeite ook op een server of NAS installeren in een Docker-omgeving, waarmee je dezelfde mogelijkheden krijgt. Als alternatief kun je ook een softwarematige controller op je pc installeren die je gebruikt voor de configuratie. Omdat de controller dan niet constant draait, mis je wel geavanceerdere mogelijkheden zoals fast roaming. TP-Link biedt daarnaast sinds enige tijd met Omada Cloud Essentials een gratis cloudgebaseerde controller.

Zowel Ubiquiti als TP-Link bieden een losse controller in de vorm van bijvoorbeeld de Cloud Key Gen2 of OC200.

Accesspoints

Netwerkfabrikanten waaronder TP-Link en Ubiquiti bieden een hele reeks aan accesspoints met verschillende mogelijkheden en vooral prijzen. Omdat je thuis in vergelijking met een bedrijf waarschijnlijk een beperkt aantal apparaten hebt, zijn in de praktijk de goedkoopste wifi6-accesspoints met dualband en een 2x2-radio al erg interessant. De kracht van een goed thuisnetwerk zit hem immers meer in de aanwezigheid van meerdere accesspoints, bovendien zijn de wifi-chips in veel laptops of smartphones ook een beperkende factor.

Wil je toch meer kracht, dan vind je in het assortiment van beide fabrikanten ook snellere en vooral duurdere accesspoints. Houd er rekening mee dat de snelste accesspoints meer energie verbruiken en gebruikmaken van een multi-gigabit-aansluiting, waardoor er een duurdere switch noodzakelijk is om zo’n accesspoint te gebruiken.

Voor thuisgebruik zijn accesspoints voor in wandcontactdozen erg interessant, zoals de TP-Link EAP-615-Wall of Ubiquiti U6 In-Wall. Dergelijke accesspoints zijn ontworpen om relatief laag in de kamer aan een muur te hangen en daardoor uitermate geschikt om op de locatie van een oude telefoon- of televisieaansluiting te monteren. De meeste varianten hebben ook nog eens een ingebouwde switch met drie poorten zodat je op die plek ook direct wandaansluitingen hebt. Daarvoor moet je de aanwezige telefoon- of coaxkabel vervangen door een netwerkkabel. In de volgende paragrafen gaan we in op wat je op het gebied van kabels nodig hebt.

©Jeroen Boer | ID.nl

Een TP-Link Omada EAP615-Wall op de plek van waar ooit een telefoonaansluiting zat.

De juiste kabel

Om een bedraad accesspoint te kunnen gebruiken, heb je netwerkkabels nodig. Die zijn er in twee soorten: met soepele (stranded) of vaste (solid) aders. Voor netwerkkabels die je in leidingen of op een andere manier permanent in je huis verwerkt, gebruik je kabels met een vaste kern. Let er daarbij op dat je kabels koopt met aders die van koper gemaakt zijn, soms wordt dat aangeduid als CU.

Verder moet je nog een keuze maken voor de snelheidscategorie. Daar kunnen we kort over zijn: kies voor een Cat6-kabel. Deze kabel werkt tot een lengte van 55 meter prima met een netwerksnelheid van 10 Gbit/s. In een doorsnee huis zul je een dergelijke lengte waarschijnlijk niet halen.

Kabels uit hogere categorieën als Cat 6a bieden voor thuis daarom geen praktische voordelen, terwijl ze door het gebruik van extra afscherming veel stugger en dikker zijn. Het gaat je bijvoorbeeld nooit lukken om twee Cat6a-kabels door een 16mm-leiding te krijgen, terwijl dat bij het gebruik van Cat5e- of Cat6-kabels vaak wel mogelijk is. Voor een dubbele wandaansluiting heb je immers ook twee kabels nodig. Ben je van plan om een wanddoos af te werken met een accesspoint, dan heb je slechts één kabel nodig.

©Jeroen Boer | ID.nl

Als je Cat6-kabels gebruikt, is het mogelijk om twee kabels door één leiding te trekken.

Kabels trekken en afwerken

Het trekken van netwerkkabels door leidingen vraagt een zorgvuldige aanpak. Je gebruikt hiervoor een trekveer: een stevige metalen of kunststof veer waarmee je kabels door buizen en loze leidingen kunt voeren. Je steekt eerst de trekveer volledig door de leiding. Aan het uiteinde maak je de netwerkkabel stevig vast, bijvoorbeeld door enkele aders om het oogje van de trekveer te draaien en het geheel glad af te tapen om haken te voorkomen.

Bij het trekken is het belangrijk om met twee personen te werken: één iemand die de kabel invoert en een ander die rustig trekt. Als het trekken moeizaam gaat, kan wat talkpoeder of speciaal kabelglijmiddel helpen. Gebruik geen zeep, want dat gaat plakken, waardoor je zo’n kabel er nooit meer uitkrijgt. Werk de kabels in je meterkast netjes af met een opbouw-wandcontactdoosje of een patchpanel, afhankelijk van hoeveel kabels je hebt. Voor veel huizen is een desktop-patchpanel met acht of tien aansluitingen een handig product.

Accesspoint aansluiten

Hoewel we je normaal gesproken afraden om een stekker op een stugge kabel te knijpen, maken we voor een accesspoint een uitzondering. Een kabel die op een accesspoint is aangesloten zul je immers waarschijnlijk nauwelijks aanraken. Thuis is het soms zelfs je enige optie, want het is natuurlijk niet fraai als je een inbouwdoos moet gebruiken voor een netwerkaansluiting waar je een accesspoint met een kabeltje op aansluit. Zeker als je een wandcontactdoos-accesspoint op een inbouwdoos monteert heb je weinig ruimte voor een stekker. Een netwerkstekkertje dat je direct zonder knikbeschermer op de kabel krimpt, is dan de enige praktische oplossing. Zorg er wel voor dat je daadwerkelijk stekkertjes gebruikt die bedoeld zijn voor netwerkkabels met een vaste ader.

De aansluiting voor een accesspoint voor in een wandcontactdoos zit achterop en steekt vaak een beetje uit, dus er is niet veel ruimte in een inbouwdoos voor de aansluiting.

De juiste switch

Bedraad aangesloten accesspoints krijgen meestal ook hun voeding via de netwerkkabel, Power over Ethernet genoemd (of PoE). Soms wordt hiervoor een PoE-injector meegeleverd, een speciale voeding die je vlak voor de netwerkkabel kunt aansluiten en dan kunt doorlussen naar een switch zonder PoE. Als je meerdere accesspoints hebt, is een switch voorzien van PoE al snel handiger.

Uiteraard zorgt de toevoeging van PoE wel voor een hogere prijs, al hangt dat ook af van het gewenste vermogen. De belangrijkste standaarden zijn PoE of 802.3af, die zo'n 15 watt per poort kan leveren, en PoE+ of 802.3at die tot 30 watt per poort kan leveren. Nog hoger kan ook, zo kan PoE++ of 802.3bt minimaal 60 watt per poort leveren. Dat laatste is voor thuis echter zelden nodig en zulke switches zijn behalve prijzig doorgaans ook actief gekoeld.

Behalve het maximale vermogen per poort hebben de meeste PoE-switches ook een totaal maximaal vermogen voor alle poorten samen en dat kan (flink) lager liggen dan bijvoorbeeld vier keer 30 watt. Dat is niet heel erg, want veel PoE gevoede apparaten vragen veel minder dan 30 watt. Let er wel goed op dat het geleverde vermogen per poort en van de switch past bij de accesspoints die je wilt gebruiken.

Maak je gebruik van een netwerksysteem zoals TP-Link Omada of Ubiquiti UniFi, dan is het handig om een switch binnen dat productportfolio aan te schaffen. Die is dan zichtbaar in de interface van het systeem.

Bedrade accesspoints kun je centraal van een netwerksignaal en voeding voorzien met een PoE-switch.

Kabelproblemen mesh-systeem

Je kunt veel wifi-mesh-systemen ook (deels) bedraad gebruiken, maar soms loop je daarbij tegen eigenaardigheden aan. Zo werkt het bedraad aansluiten van satellieten doorgaans het best als je ze aansluit achter de hoofdnode, ook als deze niet als router is geconfigureerd. Dat kan lastig zijn als je een bedraad netwerk met als middelpunt een switch in de meterkast hebt, maar alle nodes van je wifi-systeem ergens anders in huis wilt plaatsen.

Vaak moet je bedrade satellieten achter de routernode van een wifi-mesh-systeem aansluiten.

▼ Volgende artikel
Waar voor je geld: 5 luxe citruspersen voor minder dan 170 euro
© murziknata - stock.adobe.com
Huis

Waar voor je geld: 5 luxe citruspersen voor minder dan 170 euro

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Dit keer: automatische citruspersen voor een mooi prijsje.

Zin in écht lekker sap? Met een citruspers maak je dat zo zelf. Het is veel smaakvoller dan sap uit een pak en zit bomvol vitamines, zonder toegevoegde suikers of andere onzin. Met een elektrische citruspers heb je binnen een minuut een heerlijk vers sapje. Ideaal voor je sinaasappel bij het ontbijt, maar ook superhandig voor een scheutje citroen door je salade of limoen in je drankje. Makkelijk, snel, en puur natuur. Wij vinden vijf luxe automatische exemplaren voor je.

Solis Citrus Press Station 8454

De Solis Citrus Press Station is ontworpen voor het persen van diverse soorten en maten citrusvruchten. Het apparaat is uitgerust met een massief metalen persarm waarmee je met minimale inspanning druk uitoefent op de vrucht. Zodra je de hendel naar beneden drukt, start de motor van 160 Watt automatisch. De speciaal gevormde perskegel is gemaakt van zwaar gegoten aluminium. De behuizing van de citruspers is vervaardigd uit roestvrij staal. Voor het schoonmaken kunnen de onderdelen die met sap in aanraking komen, van het apparaat worden losgemaakt en in de vaatwasser worden gestopt. De sapuitloop heeft een druppelstop, die je omhoog kunt klappen om te voorkomen dat er sap op het aanrecht lekt na het persen. Het apparaat staat op antislipvoetjes voor stabiliteit tijdens het gebruik.

Princess 201853 Black Steel

Bij de Princess 201853 staat de constructie van gegoten aluminium centraal en dat maakt het apparaat robuust. De pers wordt aangedreven door een stille motor met een vermogen van 160 Watt. De perskegel is universeel ontworpen en heeft opstaande randen, waardoor deze geschikt is voor zowel kleine als grote citrusvruchten zonder dat je van opzetstuk hoeft te wisselen. Het persen activeer je door de sterke aluminium persarm naar beneden te bewegen. Het sap stroomt vervolgens door een roestvrijstalen pulpfilter direct in het glas. Dankzij dit filter worden vruchtvlees en pitten van het sap gescheiden. De uitloop is voorzien van een druppelstopsysteem. Na gebruik zijn de vaatwasserbestendige onderdelen, zoals de perskegel en het filter, eenvoudig te verwijderen en te reinigen.

CASO CP 330 Pro

Dit model, de Caso CP 330 Pro, is voorzien van een roestvrijstalen behuizing en een eveneens roestvrijstalen perskegel. Het gebruik is gericht op eenvoud: je plaatst een gehalveerde citrusvrucht op de kegel en de motor met een vermogen van 160 Watt start vanzelf zodra je de hendel naar beneden beweegt. Het sap vloeit door een roestvrijstalen zeef direct in een glas dat je onder de tuit plaatst. Om nadruppelen op het werkblad te voorkomen, kan deze saptuit omhoog worden geklapt. De stabiliteit van de machine wordt verzekerd door de zuignappen aan de onderzijde, die ervoor zorgen dat het apparaat stevig op zijn plek blijft staan tijdens het persen. De losse onderdelen zijn afneembaar en kunnen in de vaatwasser worden gereinigd. De motor van het apparaat is extra stil in gebruik.

Hendi Citruspers

De Hendi Citruspers heeft een behuizing van roestwerend materiaal. De perskom, zeef en de drie meegeleverde perskegels zijn gemaakt van roestvrij staal en ABS-kunststof. Die onderdelen zijn afneembaar en kunnen in de vaatwasser. De motor, met een vermogen van 180 Watt, zorgt voor een rotatiesnelheid van 1500 toeren per minuut en wordt bediend met een aan-/uitschakelaar. Voor de veiligheid is er een polycarbonaat anti-spatkap aanwezig die het sap opvangt. Je perst de vruchten door middel van de hefboomarm. Dit model wordt geleverd met drie verschillende, verwisselbare perskegels die zijn ontworpen voor kleine en grote citrusvruchten.

Gastroback Advanced Pro S

Een specifiek kenmerk van de Gastroback 41150 Design Juicer Advanced Pro S is de aanwezigheid van twee verschillende roestvrijstalen zeven. Hiermee heb je de mogelijkheid om zelf de hoeveelheid vruchtvlees in je sap te bepalen, afhankelijk van welke zeef je gebruikt. De behuizing van het apparaat is volledig vervaardigd uit geborsteld roestvrij staal. Het persen gebeurt door middel van een massieve aluminium pershendel, die je met lichte druk naar beneden beweegt om de motor te activeren. Deze motor heeft een vermogen van 100 Watt en is ontworpen om stil te functioneren. De perskegel is universeel, wat betekent dat je er diverse formaten citrusvruchten op kunt gebruiken, van limoenen tot grapefruits. De sapuitloop is voorzien van een druppelstop. Voor de reiniging kun je alle afneembare onderdelen loskoppelen en in de vaatwasser plaatsen.