ID.nl logo
De werking van en bescherming tegen fileless malware
© Reshift Digital
Zekerheid & gemak

De werking van en bescherming tegen fileless malware

In de strijd om systemen te infecteren met malware bedenken criminelen steeds vernuftigere methodes waarmee ze de digitale beveiliging om de tuin hopen te leiden. Eén zo’n wapenfeit is het ontwikkelen van zogeheten fileless malware. Wat moet je daarover weten?

Malware evolueert. Criminelen proberen steeds nieuwe methodes te vinden waarop zij virussen kunnen verspreiden, en daarbij lijken zij zeker in de afgelopen jaren een interessante nieuwe manier te hebben ontdekt: malware zonder bestanden, waarbij virussen worden verspreid zonder sporen achter te laten en die alleen werken in het werkgeheugen van een computer. Het is een effectieve methode; om een virus doeltreffend te verspreiden, moet je namelijk vaak beveiligingssoftware zoals antivirus weten te omzeilen. Malware-zonder-bestanden is daar heel erg geschikt voor. ‘Fileless malware’ voert code uit binnen bestaande, vertrouwde computerprocessen, waardoor virusscanners ze al snel als legitiem aanmerken.

Traditionele malware is niet voor niets traditioneel. Al jaren is het de meest gebruikte methode voor de verspreiding van malware om een computersysteem binnen te dringen en een malafide bestand zoals een .dll of .exe te installeren. Dat zet vervolgens een virus op de computer, bijvoorbeeld omdat het een ‘payload’ bevat met daarin de kwaadaardige code die bestanden versleutelt (ransomware) of die persoonlijke gegevens steelt (trojans).

Antivirus wordt echter steeds geavanceerder en kan zulke bestanden steeds makkelijker herkennen. Virusscanners detecteren virussen op basis van handtekeningen (‘signatures’), die worden samengesteld uit een combinatie van factoren zoals gedrag, afkomst of grootte van het bestand, en uit een grote database van bekende malware. Ziet een antivirusprogramma verdachte activiteit met zo’n handtekening, dan wordt die geblokkeerd.

Daarom wordt bestandsloze malware steeds interessanter voor criminelen. Bij deze vorm van malware wordt juist geen bestand op de harde schijf geplaatst, maar verspreidt het virus zich via bestaande systeemfuncties. Een voorbeeld van hoe dat werkt: een slachtoffer krijgt een geïnfecteerd document binnen en schakelt macro’s in. Bij traditionele malware is dat het moment dat een bestand zich op het systeem nestelt en direct code uitvoert, bijvoorbeeld ransomware die bestanden versleutelt.

Als de crimineel in kwestie echter gebruikmaakt van een bestandsloos virus, dan gaat de code op zoek naar bestaande applicaties op het systeem (zoals PowerShell of de commandoprompt) en gebruikt die applicatie om code uit te voeren. Die blijft dan vervolgens alleen in het werkgeheugen van de computer draaien. Vanaf dat moment kan er van alles gebeuren: de malware kan inloggegevens van de computer naar een server sturen, of juist een virus (zoals ransomware) downloaden of zelfs vanaf een andere server uitvoeren.

Volledig en gedeeltelijk

Juist dat laatste aspect maakt het lastig om één enkele definitie op te stellen voor bestandsloze malware, zegt Christiaan Beek. Hij is beveiligingsonderzoeker bij McAfee Security en ziet inderdaad dat deze vorm van cybercrime in opkomst is. Hij wil het graag uitleggen, “maar dan moeten we wel eerst helder hebben wat je onder bestandsloos verstaat”, zegt hij.

Je kunt bijvoorbeeld stellen dat bestandsloze malware überhaupt geen bestanden achterlaat op de harde schijf, maar er zijn vormen van deze malware die dat juist wel doen. Er zijn ook virussen die zelf geen bestanden naar de schijf schrijven, maar die wel bestaande bestanden indirect gebruiken. “Aan het begin van de eeuw verstonden we onder fileless nog ‘alles wat in het geheugen van computers’ draait”, zegt Beek. “Tegenwoordig bedoelen we daarmee meestal malafide bestanden die een script uitvoeren via het werkgeheugen en daarom zelf geen bestanden direct op de computer plaatsen.”

In veel gevallen gaat het bijvoorbeeld om een tussenweg. Dan draait het virus zelf weliswaar via het werkgeheugen, maar wordt de harde schijf op een of andere manier alsnog ingezet. Beek: “Er wordt bijvoorbeeld een tijdelijk bestand gedownload, soms maar heel kort, dat zichzelf automatisch weer verwijdert. Dan zie je dus wel even kort diskactiviteit.” Ook als er met zo’n aanval een payload wordt gedownload met daarin het daadwerkelijke virus, wordt dat alsnog bestandsloos genoemd. Immers, de malware draait volledig in een door Windows vertrouwd proces, en bevat uit zichzelf geen payload.

©PXimport

Via die scripts wordt gebruikgemaakt van bestaande processen, programma’s en bestanden die al op de computer staan. Ze installeren dus zelf niks, maar voeren de code uit via bijvoorbeeld PowerShell of Windows Management Instrumentation (WMI), een andere tool die veel rechten heeft binnen Windows. In de beveiligingswereld wordt dat proces ook wel ‘living off the land’ genoemd; gebruikmaken van wat er beschikbaar is, in dit geval op een systeem. Om die reden kan bestandsloze malware heel klein zijn. “Soms gaat het om slechts vijf of zes regels code die in een macro verstopt zit. Het is niet echt raketwetenschap”, zegt Beek.

De ironie is dat bestandsloze malware alleen actief is en schade kan veroorzaken zolang een computer draait. Start je het systeem opnieuw op, dan wordt het werkgeheugen gewist en daarmee ook de malware. Dus ook om deze vorm van malware tegen te gaan, werkt het bekende ‘Have you tried turning it off and on again’ perfect. “Het probleem is alleen dat bijna niemand zijn computer tegenwoordig nog opnieuw opstart”, zegt Beek. Hij ziet dat vaak gebeuren in bijvoorbeeld bedrijven waar het dikwijls makkelijker is om een computer in de slaapstand te zetten dan helemaal opnieuw op te starten.

Oud probleem

De aanvalsmethode is niet bepaald zo oud als de weg naar Rome, maar gaat in de geschiedenis van computers wél erg lang terug. Maar de laatste jaren ziet Beek de trend van bestandsloze malware sterk opkomen, met name in het bedrijfsleven. “Er is een grote stijging te zien, zeker in het afgelopen jaar. Dat is begonnen in de hoek van landen die hackaanvallen uitvoeren.” Inmiddels, zegt hij, gebruiken ook ‘gewone’ criminelen de methode.

Dat komt doordat bestandsloze malware geen op zichzelf staande categorie malware is. Het is slechts een van de vele methodes waarop digitale criminelen hun zaken doen en waarmee zij hopen onopgemerkt te blijven. En als zo’n methode effectief blijkt, wordt die steeds vaker gebruikt. Daarom komt bestandsloze malware over het hele spectrum van cybercrime voor: in ransomwareaanvallen, cryptojacking, trojans die logins stelen en in overheidshacks.

Daarom ziet Beek wat veel andere beveiligingsbedrijven ook zien. Sinds 2017 is een duidelijke trend zichtbaar, waarbij steeds meer slachtoffers vallen. Onderzoek van het Ponemon Institute naar 665 ict-bedrijven toonde bijvoorbeeld een stijging van 30 procent aan in het aantal besmettingen met bestandsloze malware in 2018 ten opzichte van het jaar daarvoor. Ook Microsoft waarschuwde in 2018 voor de opkomst van de nieuwe vorm van infectie en kondigde nieuwe veranderingen aan voor Windows Defender om daarmee om te gaan. Cijfers verschillen per rapport, omdat verschillende bedrijven verschillende metingen doen. Maar één ding is duidelijk: de lijn stijgt.

Opvallend is dat het voornamelijk bedrijven zijn die getroffen worden door bestandsloze malware. “De impact voor consumenten is veel lager”, zegt Beek. “Als je een exploit hebt ontdekt, kun je in een bedrijfsomgeving veel meer bereiken met een infectie. Je kunt dan veel meer computers tegelijkertijd bereiken.”

PowerShell en WMI

Er zijn meerdere methodes om een bestandsloze aanval uit te voeren, zoals Beek eerder al uitlegde. Maar wat je vaak ziet, is dat een bestaand onderdeel van Windows wordt misbruikt om die code uit te voeren. Eén tool komt daarbij heel prominent naar voren in de strijd tegen bestandsloze malware. “PowerShell-aanvallen komen heel vaak voor”, zegt Beek. “Een aanval bestaat dan vaak uit een Base64-decode. Of er wordt een spatie geplaatst in een http-string in de code, zodat die niet opvalt als hyperlink.” Op die manier verhult de code voor virusscanners wat er precies gebeurt. Als PowerShell ineens contact legt met een server is dat namelijk al snel vreemd en verdacht, maar als je die code eerst verbergt valt dat wel mee.

©PXimport

Naast PowerShell is ook Windows Management Instrumentation (WMI) populair. Het zijn tools die toegang hebben tot diepgaande onderdelen van het Windows-ecosysteem en die dus veel zwakheden in het OS kunnen misbruiken. En, ook handig, het zijn tools die op elke Windows-computer staan. Dat maakt het überhaupt al heel makkelijk om zulke virussen in elkaar te knutselen, want ze kunnen op vrijwel elke geïnfecteerde pc toeslaan. Voor PowerShell geldt bovendien dat het in het bedrijfsleven nagenoeg onmisbaar is, voegt Beek toe.

Macro’s in Word-documenten

Het mag allemaal best geavanceerd klinken, maar zo geraffineerd hoeft een aanval niet te zijn om een systeem te infecteren. In de meeste gevallen gaat het om behoorlijk generieke aanvallen, zegt Beek. “Dat zijn aanvallen die gewoon via een document met een macro worden uitgevoerd.”

Voor wie op de hoogte is van cybercrime zal de aanvalsmethode bekend voorkomen. Een aanvaller stuurt een document per e-mail naar een potentieel slachtoffer. Als die het document opent lijkt het leeg, maar, zo staat er, de tekst wordt leesbaar als er macro’s worden ingeschakeld. Het virus zit in die macro’s en kan dan al snel toeslaan. De methode is effectief. “Hele volksstammen klikken erop”, zegt Beek. “Ik vermoed dat het in 80 tot 90 procent van de aanvallen om zo’n aanval met een document met macro’s gaat.”

Wel zien beveiligingsbedrijven tegelijkertijd een toename in aanvallen via RDP (Remote Desktop Protocol). Daarmee kunnen computers op afstand worden bestuurd, wat vooral in bedrijven veel voorkomt.

Naast macro-aanvallen via phishing volgt de opkomst van bestandsloze malware ook andere trends op het gebied van malwareontwikkeling. Malvertising is bijvoorbeeld een methode die nog af en toe wordt gespot. Daarbij wordt malware verspreid via een geïnfecteerd advertentienetwerk. Malvertising komt wel steeds minder voor, omdat steeds meer internetgebruikers een adblocker gebruiken en omdat websites in toenemende mate beter toezicht houden op de websites die zij tonen.

©PXimport

Ransomware en cryptojacking

Bestandsloze infecties komen voor over het hele spectrum van cybercrime. Het is niet voorbehouden aan één soort virus, dus het wordt niet alleen gebruikt om bijvoorbeeld ransomware te versturen. Beek: “Je ziet dat fileless malware in het begin vooral groot was bij wat we ‘nation states’ noemen, staatshackers die namens een land ergens een aanval uitvoeren. Aanvankelijk gebeurde dat voor spionage, inmiddels ook steeds vaker voor sabotage.” WannaCry en (Not)Petya zijn voorbeelden van zulke sabotagemalware, al is het niet zeker dat in al die gevallen bestandsloze malware werd gebruikt.

Er zijn wel gevallen bekend van ransomwareaanvallen waarbij een bestandsloze infectie de oorzaak was. Begin dit jaar ontdekten beveiligingsbedrijven zoals McAfee bijvoorbeeld de Anatova-ransomware die de methode inzette, en in 2017 en 2018 werd een dergelijke infectie ook al gebruikt om een cryptominingaanval op te zetten tegen bedrijven. Maar de aanvallen gaan nog langer terug: in 2003 werd de Slammer-worm ontdekt die SQL-injecties via het werkgeheugen uitvoerde.

Een ander bekend voorbeeld is Kovter, een zogenaamd scareware-politievirus. Het virus begon als een grote pop-up die werd geactiveerd als een gebruiker bestanden downloadde. De pop-up leek afkomstig van de politie en maande gebruikers een boete te betalen voor het downloaden, meestal in bitcoins of cadeaukaarten. Het lijkt qua werking veel op het Ukash-politievirus dat in 2012 en 2013 rondging. Onderzoekers van Trend Micro ontdekten dat de malware een paar jaar geleden evolueerde en bestandsloos werd. Beek: “Bestandsloze virussen zijn slechts een manier om een aanval te maskeren.” Wat voor aanval dat dan precies is, is minder belangrijk; het kan alles zijn waarvoor je een virus zou inzetten.

Opsporen

Dat maakt het veel lastiger om zulke malware te detecteren. Traditionele antivirus probeert malware tegen te houden op basis van inhoud: wat zit er in een bestand of een datapakketje, en is dat bekend of verdacht? Bij bestandsloze malware is het veel belangrijker naar gedrag te kijken, zegt Beek. “Je stelt dan de vraag: ‘Klopt dit gedrag wel? Is dit logisch?’ Als je bijvoorbeeld ziet dat iemand een e-mail opent, dat een minuut later PowerShell wordt geopend en daarna internetverkeer naar buiten gaat, dan is dat natuurlijk verdacht.” Beveiligingsbedrijven zien veel heil in machine learning, dat steeds beter wordt in het detecteren van zulk verdacht gedrag.

Bestandsloze malware brengt een extra probleem met zich mee. Omdat er niets op de harde schijf wordt geplaatst, is het in veel gevallen ook lastig om achteraf aan opsporing en identificatie te doen.

“Het is sowieso al een probleem dat een computer aan moet blijven staan, voordat je die gaat onderzoeken”, zegt Beek. En hoewel veel gewone gebruikers hun computers lang niet altijd afsluiten, is dat wel een van de eerste dingen die een systeembeheerder doet als hij verdachte activiteit spot.

Dat maakt het volgens Beek ook heel moeilijk om specifieke daders aan te wijzen. “Attributie, zoals we dat noemen, is soms erg lastig. Zeker als iemand alleen scripts uitvoert via PowerShell, dan is het heel moeilijk te achterhalen wie zo’n aanval heeft uitgevoerd. Misschien kun je wel wat sporen vinden op de machine zelf, zoals event logs, maar je bent altijd afhankelijk van de context.” Daarmee doelt hij vooral op andere activiteit op de machine die mogelijk iets kan zeggen over een aanval of over andere apparaten op het netwerk waar meer informatie te vinden is over een aanval.

Net zoals bij andere soorten malware spelen hackers ook in dit geval een kat-en-muisspel met onderzoekers en malwarebestrijders. “Criminelen doen steeds meer moeite om lagen van obfuscatie toe te voegen, manieren om malware te verbergen voor scanners. Op die manier kunnen ook nieuwe technologieën zoals machine learning ze niet zomaar meer detecteren. Het blijft een spel.” Ondertussen blijft het advies van kracht dat beveiligingsexperts bij elke nieuwe dreiging herhalen: update systemen, open geen vreemde links of documenten, en denk logisch na voor je iets opent.

▼ Volgende artikel
Internet in je hele huis: plannen, plaatsen en streamen
© elenabsl - stock.adobe.com
Huis

Internet in je hele huis: plannen, plaatsen en streamen

We verwachten steeds meer van onze internetverbinding en vooral van wifi verlangen we steeds meer. Waar het in het verleden misschien niet zo erg was om op de bovenste verdiepingen wat langzamer internet te hebben, wordt nu overal in huis gewerkt en gestreamd. Hoe zorg je in je hele huis voor een vlotte draadloze internetervaring?

Internetverbindingen kun je afnemen op indrukwekkende snelheden, zeker als je glasvezel hebt. Een hoge snelheid zorgt echter niet automatisch dat je overal in huis een bliksemsnelle verbinding hebt. Het verhogen van je internetsnelheid is in ieder geval geen oplossing om je draadloze netwerk te verbeteren. Daarvoor zul je op de juiste plekken in je huis wifi-accesspoints moeten plaatsen. Hoe pak je dat het best aan?

Oorzaak van problemen

Veel wifi-problemen worden veroorzaakt door de eigenschappen van de gebruikte frequentiebanden voor wifi. De 2,4GHz-band heeft wel een groot bereik, maar is druk bezet en gevoelig voor storing door bijvoorbeeld overlapping met andere wifi-netwerken. Ook het netwerk van je buren heeft immers een groot bereik. Ook de geringe beschikbare kanaalbreedte van wifi over de 2,4GHz-band is een factor, waardoor die band doorgaans geen heel goede snelheden biedt.

Een oplossing is de 5GHz-band die meer ruimte en hogere snelheden biedt. Tegelijkertijd heeft de 5GHz-band een minder groot bereik, waardoor je een verdieping hoger soms al geen goed signaal meer hebt. Dat geldt nog sterker voor de 6GHz-band die onderdeel is van de wifi 6E en 7-standaarden. Deze frequentieband biedt nog meer ruimte en snelheid, maar alleen over korte afstanden.

Voor een goede snelheid zijn de 5GHz- en 6GHz-banden dus noodzakelijk, maar door het beperkte bereik heb je vaak niet genoeg aan één draadloze router of accesspoint. Voor een goed dekkend netwerk zul je meestal meerdere accesspoints moeten hebben. Uiteraard zijn er wat vuistregels. Zo dempt een betonnen tussenvloer het signaal sterker dan de tussenmuren in je huis. Met een accesspoint per verdieping kom je waarschijnlijk dus al een heel eind.

Een goed uitgangspunt is om op iedere verdieping van je huis een accesspoint te plaatsen.

Dekking in kaart brengen

Bij het plaatsen van extra accesspoints is het handig om inzichtelijk te maken hoe de wifi-signalen zich in jouw huis verspreiden. Hiervoor kun je gebruikmaken van een wifi-scanner op je laptop of smartphone. Een toegankelijke scanner voor een Windows-laptop is NetSpot (www.netspotapp.com).

Als je het programma voor de eerste keer start, wordt gevraagd of je de licentie wilt upgraden, dat kun je negeren door op Continue te klikken. In de gratis versie mis je de onderdelen Survey en Planning, waarmee je plattegronden van je huis kunt maken. Die functionaliteit heb je niet per se nodig als je thuis wilt controleren hoe goed de dekking van je netwerk is. Gebruik het programma op de plek waar je de ontvangst van je netwerk wilt controleren.

Waarschijnlijk zie je een hele lijst van alle draadloze netwerken bij jou in de buurt. Dat kan onoverzichtelijk zijn, daarom is het handig om een filter te maken zodat je alleen jouw eigen accespoints ziet. Klik op het zoekveld rechtsboven en tik (een gedeelte van) de SSID van je draadloze netwerk in. Om te bepalen of het signaal dat je ontvangt sterk genoeg is, wordt de RSSI (Received Signal Strength Indicator) gebruikt. In NetSpot is dat de kolom Signal. Hoe dichter de getoonde waarde bij nul ligt, hoe sterker het signaal is.

Een RSSI-waarde van zo’n -45 dBm is uitstekend. Een waarde tussen -50 en -60 dBm wordt gezien als goed, terwijl alles slechter dan -70 dBm kan leiden tot verbindingsproblemen. Voor een goed dekkend netwerk zou je overal in huis minimaal een waarde tussen de -50 en -60 dBm moeten ontvangen.

NetSpot is ook beschikbaar als gratis app voor Android waarbij je wel de mogelijkheid krijgt om een kaart te maken zonder te betalen. Voor de iOS-versie vraagt NetSpot 10 euro, zie het kader 'Wifi-sterkte meten met iOS' voor een gratis alternatief.

NetSpot laat je de signaalsterkte van je accesspoints zien.

Wifi-sterkte meten met iOS

Voor Android zijn allerlei apps te vinden waarmee je de signaalsterkte van wifi-netwerken inzichtelijk kunt maken, waaronder NetSpot. Voor het meer gesloten iOS is dat helaas niet het geval. Apple biedt gelukkig wel het AirPort-configuratieprogramma (AirPort Utility) dat je in de appstore vindt. Je zult als je de app start nog geen wifi-netwerken zien. Hiervoor open je de instellingen van iOS en klik je op Apps. Klik vervolgens op AirPort en activeer de optie WiFi-scanner. Schakel deze optie uit als je het niet nodig hebt, want de ingeschakelde wifi-scanner zorgt voor een hoger energieverbruik. Sluit eventueel eerst de AirPort-app en open hem waarna je het onderdeel WiFi-scan ziet. Klik op Scan en je krijgt een overzicht van alle netwerken in de buurt voorzien van een RSSI-waarde. Tik in het zoekveld eventueel je eigen SSID om alleen je eigen accesspoint(s) te zien.

Met een omweg kun je ook in iOS draadloze netwerken inzichtelijk maken.

Snelheid meten

De dekking van het netwerk is belangrijk, maar waarschijnlijk ben je vooral geïnteresseerd in de daadwerkelijke prestaties. Een interessante tool om de snelheid binnen je netwerk te meten is OpenSpeedTest. Deze snelheidstest kun je zelf hosten op een server of NAS, maar is ook beschikbaar als een programma voor Windows, macOS of Linux. Je voert dit programma uit op je pc, waarna je via ieder apparaat in je netwerk naar deze persoonlijke speedtestserver kunt browsen. Omdat deze server lokaal op je netwerk draait, ben je niet afhankelijk van de snelheid van je internetverbinding. Uiteraard wordt de snelheid wel beperkt door de snelheid van de netwerkaansluiting van het systeem waarop je de OpenSpeedTest-Server draait.

Ga naar de website www.openspeedtest.com en klik op Downloads. Klik vervolgens op OpenSpeedTest-Server for Desktop & Mobile (Apps) en download de Windows-versie, doorgaans heb je de X86-64-variant nodig. Je hoeft het programma niet te installeren. Mogelijk krijg je wel een pop-up van Microsoft Defender SmartScreen omdat Windows de ontwikkelaar niet herkent. Voor zover wij kunnen achterhalen, is OpenSpeedTest-server veilig om te gebruiken. Klik in de pop-up op Meer informatie en vervolgens op Toch uitvoeren om het programma te starten. Geef ook toestemming om binnenkomende verbindingen te openen voor deze applicatie.

OpenSpeedTest Server werkt heel eenvoudig. In het venster zie op welk ip-adres de server bereikbaar is. Verder zie je ook op welke poort de server wordt aangeboden. Je opent OpenSpeedTest door op het apparaat waarmee je de snelheid wilt meten, in de browser de getoonde combinatie van ip-adres en poort in te tikken: bijvoorbeeld http://192.168.1.213:3000. Klik op Start om zowel de download- als uploadsnelheid te testen. Om de test nogmaals uit te voeren, kun je de pagina verversen.

OpenSpeedTest Server draai je lokaal op een computer in je netwerk.

Op je laptop of smartphone open je het vermelde adres om de snelheidstest te starten.

Routeruitbreidingen

Waarschijnlijk ontdek je tijdens het meten plekken in huis waar de signaalsterkte en snelheid tegenvallen. Je kunt proberen om je draadloze router zo centraal mogelijk in huis te positioneren, maar vaak ontkom je niet aan extra accesspoints. Het is niet voor niets dat steeds meer internetproviders zelf ook extra wifi-apparatuur leveren. Zo biedt Ziggo SmartWifi pods die samenwerken met Ziggo's SmartWifi-modems, terwijl KPN SuperWifi-punten levert die werken met de KPN modem/routers. Odido biedt Wifi Plus, een mesh-set die samenwerkt met zijn routers.

Soms krijg je wifi-uitbreidingen gratis bij je abonnement, maar meestal betaal je extra door de apparatuur bij je provider te huren of kopen. Handig, maar er zitten natuurlijk ook nadelen aan apparatuur die je via je provider krijgt. Zo zul je doorgaans niet de nieuwste of beste technologie krijgen. Ook zijn vaak niet alle mogelijke instellingen beschikbaar, bijvoorbeeld op het gebied van kanaalkeuze. Een ander nadeel kan zijn dat je de apparatuur weer moet terugsturen als je overstapt naar een andere provider. Ook zijn er providers die geen extra wifi-apparatuur leveren.

Behalve providers bieden ook sommige routerfabrikanten draadloze uitbreidingen voor hun router. Zo kunnen gebruikers van een FRITZ!Box het draadloze netwerk uitbreiden met FRITZ!Repeaters, terwijl ook ASUS-routers dankzij AiMesh te koppelen zijn met extra accesspoints. Het geheel gedraagt zich vervolgens als één systeem en laat zich bijvoorbeeld vanuit één webinterface configureren.

©AVM GmbH

Sommige routerfabrikanten waaronder AVM FRITZ!Box leveren wifi-uitbreidingen voor hun routers.

Wifi-mesh-systeem

Een simpele oplossing om in één keer meerdere accesspoints in huis te halen, is een wifi-mesh-systeem. De accesspoints, vaak onderverdeeld in een router plus satelliet(ten), vormen samen één dekkend netwerk. In tegenstelling tot traditionele repeaters, die het signaal simpelweg doorgeven, communiceren mesh-nodes actief met elkaar en beheren ze samen de clientverbindingen.

Mesh-systemen gebruiken meestal band steering en client steering om apparaten automatisch te verbinden met het optimale accesspoint en de juiste frequentieband. Bij dualband-systemen delen de backhaul-verbindingen (tussen de nodes onderling) dezelfde radio’s als de clientverbindingen, wat de prestaties kan beperken. Triband- of zelfs quadband-systemen lossen dit op met een extra 5GHz-radio voor de backhaul, waardoor de clientbandbreedte volledig beschikbaar blijft. Veel mesh-systemen ondersteunen ook een bekabelde backhaul, wat de stabiliteit en snelheid flink verhoogt.

©TP-Link

Een wifi-mesh-systeem is een eenvoudige manier om extra accesspoints toe te voegen.

Mesh-systeem optimaliseren

Bij bedraad aangesloten accesspoints zal er een sterke relatie zijn tussen de sterkte van het aangeboden wifi-signaal en de snelheid die je kunt behalen. Bij wifi-mesh-systemen of repeaters kun je ondanks een uitstekend wifi-signaal toch last hebben van een lage doorvoersnelheid. Dat komt doordat ook de draadloze verbinding van de wifi-mesh-node of repeater met de rest van het systeem van invloed is. Wellicht dat wanneer je de satelliet op een andere plek neerzet het aangeboden wifi-signaal minder sterk is, maar dat er door een betere verbinding met de rest van het systeem toch een hogere snelheid gehaald wordt. Veel mesh-systemen en repeaters helpen je hierbij met een lampje of aanwijzingen in de app.

Let bij het verplaatsen niet alleen op de link tussen de wifi-apparatuur, maar ook op de signaalsterkte naar je laptop of smartphone. Een perfecte verbinding tussen je mesh-punten heeft weinig zin als je laptops of smartphones nauwelijks bereik hebben. Het draait dus om de balans. Gebruik je een wifi-mesh-systeem in een huis met meerdere verdiepingen? Een handige praktijktip: zet je wifi-mesh-punten zoveel mogelijk bij trapgaten. Zo profiteren ze van het open verloop tussen verdiepingen, terwijl je apparaten optimaal verbinding maken met het dichtstbijzijnde accesspoint.

Veel wifi-mesh-systemen waaronder Netgear laten je in de webinterface of app zien wat de status van de verbinding tussen de nodes is.

Roamingproblemen

In een netwerk met meerdere accesspoints zoals een wifi-mesh-systeem verwacht je dat je apparaat automatisch overschakelt naar het sterkste signaal. In de praktijk gebeurt dat niet altijd. Apparaten bepalen namelijk zélf wanneer ze overschakelen en soms gebeurt dat pas als de verbinding al te slecht is. Dit kan ervoor zorgen dat je smartphone verbonden blijft met een accesspoint op een andere verdieping, ondanks een beter signaal dichterbij. Sommige wifi-systemen ondersteunen fast roaming via technieken als 802.11k, -v en -r. Daarmee geven accesspoints extra informatie aan je apparaat over de opbouw van je netwerk, zodat er soepeler wordt geschakeld naar een ander accesspoint. Dit werkt echter alleen als je apparaat dit ook ondersteunt en dat is bij oudere apparaten lang niet altijd zo. Merk je dat apparaten verbinding verliezen of slecht presteren, probeer dan fast roaming uit te schakelen in de instellingen van je wifi-systeem en kijk of je ervaring beter wordt. Een dergelijke instelling is niet op alle systemen beschikbaar.

Hier is 802.11r (fast roaming) uitgeschakeld op een Omada-systeem.

Bedrade accesspoints

Een wifi-mesh-systeem kan een prima oplossing zijn om heel je huis van een dekkend netwerk te voorzien, maar omdat er gebruik wordt gemaakt van een draadloze verbinding tussen de nodes kunnen de prestaties tegenvallen of onvoorspelbaar zijn.

Heb je de mogelijkheid om netwerkkabels aan te leggen, dan is dat altijd aan te raden. Zo heb je een betrouwbare backbone voor je netwerk die je kunt gebruiken om je met behulp van accesspoints je huis op de juiste plek van wifi te voorzien. Veel wifi-mesh-systemen kun je trouwens ook bedraad gebruiken, dus je hebt ook wat aan netwerkkabels als je al zo’n systeem gebruikt.

Je kunt losstaande accesspoints kopen die je individueel moet configureren, maar als je toch kabels naar een centraal punt gaat trekken, is investeren in een geïntegreerd systeem al snel handiger. Populair voor systemen voor thuis zijn TP-Link Omada en Ubiquiti UniFi waarbij je in beide gevallen de keuze hebt uit een groot aantal verschillende accesspoints, switches en zelfs routers. Een router die onderdeel is van het systeem is niet noodzakelijk, maar kan handig zijn als je wilt werken met VLAN's. Als je een router van een andere fabrikant gebruikt, zul je de VLAN's ook op die router moeten configureren.

Controller

Omada en UniFi werken het best als je een controller gebruikt die constant actief is, beide fabrikanten bieden diverse mogelijkheden voor zo’n controller. Zo biedt Ubiquiti routers met ingebouwde controller of de losse Cloud Key Gen2 en TP-Link verkoopt controllers zoals de OC200.

De controllersoftware kun je met wat moeite ook op een server of NAS installeren in een Docker-omgeving, waarmee je dezelfde mogelijkheden krijgt. Als alternatief kun je ook een softwarematige controller op je pc installeren die je gebruikt voor de configuratie. Omdat de controller dan niet constant draait, mis je wel geavanceerdere mogelijkheden zoals fast roaming. TP-Link biedt daarnaast sinds enige tijd met Omada Cloud Essentials een gratis cloudgebaseerde controller.

Zowel Ubiquiti als TP-Link bieden een losse controller in de vorm van bijvoorbeeld de Cloud Key Gen2 of OC200.

Accesspoints

Netwerkfabrikanten waaronder TP-Link en Ubiquiti bieden een hele reeks aan accesspoints met verschillende mogelijkheden en vooral prijzen. Omdat je thuis in vergelijking met een bedrijf waarschijnlijk een beperkt aantal apparaten hebt, zijn in de praktijk de goedkoopste wifi6-accesspoints met dualband en een 2x2-radio al erg interessant. De kracht van een goed thuisnetwerk zit hem immers meer in de aanwezigheid van meerdere accesspoints, bovendien zijn de wifi-chips in veel laptops of smartphones ook een beperkende factor.

Wil je toch meer kracht, dan vind je in het assortiment van beide fabrikanten ook snellere en vooral duurdere accesspoints. Houd er rekening mee dat de snelste accesspoints meer energie verbruiken en gebruikmaken van een multi-gigabit-aansluiting, waardoor er een duurdere switch noodzakelijk is om zo’n accesspoint te gebruiken.

Voor thuisgebruik zijn accesspoints voor in wandcontactdozen erg interessant, zoals de TP-Link EAP-615-Wall of Ubiquiti U6 In-Wall. Dergelijke accesspoints zijn ontworpen om relatief laag in de kamer aan een muur te hangen en daardoor uitermate geschikt om op de locatie van een oude telefoon- of televisieaansluiting te monteren. De meeste varianten hebben ook nog eens een ingebouwde switch met drie poorten zodat je op die plek ook direct wandaansluitingen hebt. Daarvoor moet je de aanwezige telefoon- of coaxkabel vervangen door een netwerkkabel. In de volgende paragrafen gaan we in op wat je op het gebied van kabels nodig hebt.

©Jeroen Boer | ID.nl

Een TP-Link Omada EAP615-Wall op de plek van waar ooit een telefoonaansluiting zat.

De juiste kabel

Om een bedraad accesspoint te kunnen gebruiken, heb je netwerkkabels nodig. Die zijn er in twee soorten: met soepele (stranded) of vaste (solid) aders. Voor netwerkkabels die je in leidingen of op een andere manier permanent in je huis verwerkt, gebruik je kabels met een vaste kern. Let er daarbij op dat je kabels koopt met aders die van koper gemaakt zijn, soms wordt dat aangeduid als CU.

Verder moet je nog een keuze maken voor de snelheidscategorie. Daar kunnen we kort over zijn: kies voor een Cat6-kabel. Deze kabel werkt tot een lengte van 55 meter prima met een netwerksnelheid van 10 Gbit/s. In een doorsnee huis zul je een dergelijke lengte waarschijnlijk niet halen.

Kabels uit hogere categorieën als Cat 6a bieden voor thuis daarom geen praktische voordelen, terwijl ze door het gebruik van extra afscherming veel stugger en dikker zijn. Het gaat je bijvoorbeeld nooit lukken om twee Cat6a-kabels door een 16mm-leiding te krijgen, terwijl dat bij het gebruik van Cat5e- of Cat6-kabels vaak wel mogelijk is. Voor een dubbele wandaansluiting heb je immers ook twee kabels nodig. Ben je van plan om een wanddoos af te werken met een accesspoint, dan heb je slechts één kabel nodig.

©Jeroen Boer | ID.nl

Als je Cat6-kabels gebruikt, is het mogelijk om twee kabels door één leiding te trekken.

Kabels trekken en afwerken

Het trekken van netwerkkabels door leidingen vraagt een zorgvuldige aanpak. Je gebruikt hiervoor een trekveer: een stevige metalen of kunststof veer waarmee je kabels door buizen en loze leidingen kunt voeren. Je steekt eerst de trekveer volledig door de leiding. Aan het uiteinde maak je de netwerkkabel stevig vast, bijvoorbeeld door enkele aders om het oogje van de trekveer te draaien en het geheel glad af te tapen om haken te voorkomen.

Bij het trekken is het belangrijk om met twee personen te werken: één iemand die de kabel invoert en een ander die rustig trekt. Als het trekken moeizaam gaat, kan wat talkpoeder of speciaal kabelglijmiddel helpen. Gebruik geen zeep, want dat gaat plakken, waardoor je zo’n kabel er nooit meer uitkrijgt. Werk de kabels in je meterkast netjes af met een opbouw-wandcontactdoosje of een patchpanel, afhankelijk van hoeveel kabels je hebt. Voor veel huizen is een desktop-patchpanel met acht of tien aansluitingen een handig product.

Accesspoint aansluiten

Hoewel we je normaal gesproken afraden om een stekker op een stugge kabel te knijpen, maken we voor een accesspoint een uitzondering. Een kabel die op een accesspoint is aangesloten zul je immers waarschijnlijk nauwelijks aanraken. Thuis is het soms zelfs je enige optie, want het is natuurlijk niet fraai als je een inbouwdoos moet gebruiken voor een netwerkaansluiting waar je een accesspoint met een kabeltje op aansluit. Zeker als je een wandcontactdoos-accesspoint op een inbouwdoos monteert heb je weinig ruimte voor een stekker. Een netwerkstekkertje dat je direct zonder knikbeschermer op de kabel krimpt, is dan de enige praktische oplossing. Zorg er wel voor dat je daadwerkelijk stekkertjes gebruikt die bedoeld zijn voor netwerkkabels met een vaste ader.

De aansluiting voor een accesspoint voor in een wandcontactdoos zit achterop en steekt vaak een beetje uit, dus er is niet veel ruimte in een inbouwdoos voor de aansluiting.

De juiste switch

Bedraad aangesloten accesspoints krijgen meestal ook hun voeding via de netwerkkabel, Power over Ethernet genoemd (of PoE). Soms wordt hiervoor een PoE-injector meegeleverd, een speciale voeding die je vlak voor de netwerkkabel kunt aansluiten en dan kunt doorlussen naar een switch zonder PoE. Als je meerdere accesspoints hebt, is een switch voorzien van PoE al snel handiger.

Uiteraard zorgt de toevoeging van PoE wel voor een hogere prijs, al hangt dat ook af van het gewenste vermogen. De belangrijkste standaarden zijn PoE of 802.3af, die zo'n 15 watt per poort kan leveren, en PoE+ of 802.3at die tot 30 watt per poort kan leveren. Nog hoger kan ook, zo kan PoE++ of 802.3bt minimaal 60 watt per poort leveren. Dat laatste is voor thuis echter zelden nodig en zulke switches zijn behalve prijzig doorgaans ook actief gekoeld.

Behalve het maximale vermogen per poort hebben de meeste PoE-switches ook een totaal maximaal vermogen voor alle poorten samen en dat kan (flink) lager liggen dan bijvoorbeeld vier keer 30 watt. Dat is niet heel erg, want veel PoE gevoede apparaten vragen veel minder dan 30 watt. Let er wel goed op dat het geleverde vermogen per poort en van de switch past bij de accesspoints die je wilt gebruiken.

Maak je gebruik van een netwerksysteem zoals TP-Link Omada of Ubiquiti UniFi, dan is het handig om een switch binnen dat productportfolio aan te schaffen. Die is dan zichtbaar in de interface van het systeem.

Bedrade accesspoints kun je centraal van een netwerksignaal en voeding voorzien met een PoE-switch.

Kabelproblemen mesh-systeem

Je kunt veel wifi-mesh-systemen ook (deels) bedraad gebruiken, maar soms loop je daarbij tegen eigenaardigheden aan. Zo werkt het bedraad aansluiten van satellieten doorgaans het best als je ze aansluit achter de hoofdnode, ook als deze niet als router is geconfigureerd. Dat kan lastig zijn als je een bedraad netwerk met als middelpunt een switch in de meterkast hebt, maar alle nodes van je wifi-systeem ergens anders in huis wilt plaatsen.

Vaak moet je bedrade satellieten achter de routernode van een wifi-mesh-systeem aansluiten.

▼ Volgende artikel
Waar voor je geld: 5 luxe citruspersen voor minder dan 170 euro
© murziknata - stock.adobe.com
Huis

Waar voor je geld: 5 luxe citruspersen voor minder dan 170 euro

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Dit keer: automatische citruspersen voor een mooi prijsje.

Zin in écht lekker sap? Met een citruspers maak je dat zo zelf. Het is veel smaakvoller dan sap uit een pak en zit bomvol vitamines, zonder toegevoegde suikers of andere onzin. Met een elektrische citruspers heb je binnen een minuut een heerlijk vers sapje. Ideaal voor je sinaasappel bij het ontbijt, maar ook superhandig voor een scheutje citroen door je salade of limoen in je drankje. Makkelijk, snel, en puur natuur. Wij vinden vijf luxe automatische exemplaren voor je.

Solis Citrus Press Station 8454

De Solis Citrus Press Station is ontworpen voor het persen van diverse soorten en maten citrusvruchten. Het apparaat is uitgerust met een massief metalen persarm waarmee je met minimale inspanning druk uitoefent op de vrucht. Zodra je de hendel naar beneden drukt, start de motor van 160 Watt automatisch. De speciaal gevormde perskegel is gemaakt van zwaar gegoten aluminium. De behuizing van de citruspers is vervaardigd uit roestvrij staal. Voor het schoonmaken kunnen de onderdelen die met sap in aanraking komen, van het apparaat worden losgemaakt en in de vaatwasser worden gestopt. De sapuitloop heeft een druppelstop, die je omhoog kunt klappen om te voorkomen dat er sap op het aanrecht lekt na het persen. Het apparaat staat op antislipvoetjes voor stabiliteit tijdens het gebruik.

Princess 201853 Black Steel

Bij de Princess 201853 staat de constructie van gegoten aluminium centraal en dat maakt het apparaat robuust. De pers wordt aangedreven door een stille motor met een vermogen van 160 Watt. De perskegel is universeel ontworpen en heeft opstaande randen, waardoor deze geschikt is voor zowel kleine als grote citrusvruchten zonder dat je van opzetstuk hoeft te wisselen. Het persen activeer je door de sterke aluminium persarm naar beneden te bewegen. Het sap stroomt vervolgens door een roestvrijstalen pulpfilter direct in het glas. Dankzij dit filter worden vruchtvlees en pitten van het sap gescheiden. De uitloop is voorzien van een druppelstopsysteem. Na gebruik zijn de vaatwasserbestendige onderdelen, zoals de perskegel en het filter, eenvoudig te verwijderen en te reinigen.

CASO CP 330 Pro

Dit model, de Caso CP 330 Pro, is voorzien van een roestvrijstalen behuizing en een eveneens roestvrijstalen perskegel. Het gebruik is gericht op eenvoud: je plaatst een gehalveerde citrusvrucht op de kegel en de motor met een vermogen van 160 Watt start vanzelf zodra je de hendel naar beneden beweegt. Het sap vloeit door een roestvrijstalen zeef direct in een glas dat je onder de tuit plaatst. Om nadruppelen op het werkblad te voorkomen, kan deze saptuit omhoog worden geklapt. De stabiliteit van de machine wordt verzekerd door de zuignappen aan de onderzijde, die ervoor zorgen dat het apparaat stevig op zijn plek blijft staan tijdens het persen. De losse onderdelen zijn afneembaar en kunnen in de vaatwasser worden gereinigd. De motor van het apparaat is extra stil in gebruik.

Hendi Citruspers

De Hendi Citruspers heeft een behuizing van roestwerend materiaal. De perskom, zeef en de drie meegeleverde perskegels zijn gemaakt van roestvrij staal en ABS-kunststof. Die onderdelen zijn afneembaar en kunnen in de vaatwasser. De motor, met een vermogen van 180 Watt, zorgt voor een rotatiesnelheid van 1500 toeren per minuut en wordt bediend met een aan-/uitschakelaar. Voor de veiligheid is er een polycarbonaat anti-spatkap aanwezig die het sap opvangt. Je perst de vruchten door middel van de hefboomarm. Dit model wordt geleverd met drie verschillende, verwisselbare perskegels die zijn ontworpen voor kleine en grote citrusvruchten.

Gastroback Advanced Pro S

Een specifiek kenmerk van de Gastroback 41150 Design Juicer Advanced Pro S is de aanwezigheid van twee verschillende roestvrijstalen zeven. Hiermee heb je de mogelijkheid om zelf de hoeveelheid vruchtvlees in je sap te bepalen, afhankelijk van welke zeef je gebruikt. De behuizing van het apparaat is volledig vervaardigd uit geborsteld roestvrij staal. Het persen gebeurt door middel van een massieve aluminium pershendel, die je met lichte druk naar beneden beweegt om de motor te activeren. Deze motor heeft een vermogen van 100 Watt en is ontworpen om stil te functioneren. De perskegel is universeel, wat betekent dat je er diverse formaten citrusvruchten op kunt gebruiken, van limoenen tot grapefruits. De sapuitloop is voorzien van een druppelstop. Voor de reiniging kun je alle afneembare onderdelen loskoppelen en in de vaatwasser plaatsen.