WiFi (opnieuw) aanleggen

Als je van alles geprobeerd hebt, kun je het beste opnieuw beginnen. Of misschien betrek je een nieuwe ruimte en wil je de WiFi optimaal dekkend maken. Hiervoor is een dekkingsplan nodig.

 

Kies jouw WiFi merk en type

Kies een WiFi dat in reviews/recenties als beste wordt gezien. Dat is enorm in beweging, maar kijk vooral bij sites als Tweakers.net, Hardware.info. Als je er écht geen geld voor hebt, kijk dan welke compromissen je wilt maken en kies de 2e plaats als deze wel in het budget past. In een woonhuis met 3 woonlagen heb je waarschijnlijk ook minimaal 3 WiFi accesspoints nodig z(vanwege 5 GHz) van hetzelfde merk en type.Ubiquiti UAP-AC-PRO, gelijktijdig 2.4 GHz en 5 GHz

Volgens Tweakers en Ars Technica is de (hierboven) WiFi accesspoint van Ubiquity UAP-AC-PRO met gelijktijdig 2.4GHz en 5GHz een zeer goede keuze.

WiFi producten hebben labels als 802.11 met letters erachter. In dit tabel lees je wat deze inhouden.

Alternatief: internet over het stroomnet

Als een netwerkkabel aanleggen niet mogelijk is, kijk dan eens naar Devolo Power Line adapters, die een netwerk over het stroomnetwerk maakt. Voor een optimale werking zijn voorwaarden aan verbonden. Zo mag het alleen op een wandcontactdoos die rechtstreeks op de meterkast is aangesloten (dus geen lasdoos tussen meterkast en wandcontactdoos) en zal de snelheid lager uitvallen wanneer de twee powerlines op verschillende groepen zijn aangesloten. Het is niet goedkoop, maar misschien een mogelijkheid die het beste werkt. Op deze Tweakers gebruikers reviews vind je de min- als de pluspunten.
Devolo powerline opzet van meterkast naar woonkamer

De basis

Dit basispakket bestaat uit 2 powerlines.

Uitbreiding 3x UTP

Extra powerline met 3 netwerkaansluitingen.

Uitbreiding, 1x UTP

Extra powerline met 1 netwerkaansluiting.

Powerlines hebben een klein nadeel en hebben daarom net WiFi een wachtwoord / beveiligingssleutel nodig:

  • Nadeel: Op de stroomdraden wordt door de powerline apparaten een signaal uitgezonden, waar data over wordt verstuurd. Dit signaal kan tussen de 1.8 en de 86 MHz (Gigabit) liggen en dat is ook de HF korte golf band voor zendamateurs. Het stroomnet zendt altijd uit, maar door het signaal worden de stroomdraden onbedoeld antennes die op deze frequentie de zendamateurs stoort (zie ook deze faq ARRL). Het signaal draagt van enkele tientallen meters tot 2 straten.
  • Beveiliging: doordat de stroomdraden als antennes fungeren en jouw datanetwerk zonder een wachtwoord is af te luisteren (net als WiFi overigens) moet er een beveiligingssleutel worden aangebracht. Met de bovengenoemde Devolo heeft kun je lange en complexe beveiligingssleutels gebruiken.

Mocht dit en UTP trekken onoverkomelijk zijn, dan is Plastic Optical Fiber (POF) misschien haalbaar.

Dekkingsplan

Een dekkingsplan betekent concreet een plattegrond van elke verdieping maken en noteren wat de signaal sterkte (RSSI) is op diverse plekken op elke verdieping. Bekijk ook waar loze leidingen zijn om een netwerkkabel aan te leggen.

Aan de slag!

Maak een dekkingsplan

Je hebt in de vorige stap een dualband (2.4 GHz + 5 GHz) WiFi accesspoint gekozen. Vanaf hier breng je in kaart hoever het signaal van de gekozen accesspoint (AP) draagt. Houd er rekening mee dat je voor elke verdieping een AP nodig hebt, met name als je alleen de 5 GHz aan wilt.

Voor het meten starten we in dit voorbeeld vanaf een meterkast op de begane grond. Pak alvast de eerste WiFi AP uit enVloerplan op papier geschetst met RSSI waarden per kamer

  1. monteer deze WiFi AP aan de buitenkant van de meterkast
    (aan de binnenkant is er een extra wand/materiaal waar het signaal doorheen moet)
  2. schets vervolgens van elke vloer in het gebouw dat WiFi dekking nodig heeft
  3. start je WiFi meet tool applicatie
  4. loop vervolgens door het huis en noteer van elke ruimte de RSSI waarde (signaal sterkte) op de schets
  5. meet de RSSI van dit accesspoint ook op de andere verdiepingen
  6. plaats de volgende WiFi AP op een plek dat grenst aan de -65 dBm van de vorigee WiFi AP. Liefst hoger, bijvoorbeeld -60 dBm.
  7. herhaal vanaf stap 4 tot je een volledige dekking hebt

Om per verdieping een mogelijk resultaat weer te geven, hieronder een zijaanzicht voor thuis of op kantoor. Dit is geen realistische weergave, maar het geeft een idee van de verdeling naar aanleiding van het dekkingsplan.

Thuis situatie 2.4GHz

WiFi plan op verdiepingen thuis

Kantoor situatie 2.4GHz

WiFi plan op verdiepingen op kantoor

Beveiligen van Access Points

Veilig WiFi heb je zelf in de hand… maar waar begin je?

Basis stappen

Hieronder vind je basis stappen om jouw WiFi accesspoint veilig te maken.

  1. Firmware/software updates: Kijk maandelijks bij de fabrikant van de WiFi accesspoint voor de laatste versie, omdat er altijd veiligheidsgaten zijn die gedicht moeten worden. Denk aan de vrij recente KRACK die afluisteren mogelijk maakt.
  2. WiFi wachtwoord: Gebruik WPA2 (geen WPA of WEP) en kies een sterk wachtwoord van minimaal 12 karakters (voor thuisgebruik) met kleine letters, hoofdletters, cijfers en andere tekens. Voorbeeld: aRVd#1$@zG4z
  3. Admin wachtwoord: Verander het Administrator wachtwoord van je WiFi accesspoint, net als in de vorige stap, maar kies een ander wachtwoord dan het WiFi wachtwoord.
  4. SSID: Geef het netwerk een eigen naam. Gebruik niet je adres of persoonlijke namen, maar “Batman” is prima 😉
  5. Zet UPnP uit: In de handleiding of in de menu’s van het modem of router kom je het tegen. Tenzij je echt weet welk verbonden apparaat UPnP uit of aan heeft staan en wat de consequentie is zet je UPnP op de router/modem uit. Ook voor de NAS of printer geldt, zet UPnP uit tenzij je weet wat je doet en de beveiliging hoog is.
    Test je router / modem hier op UPnP >>>
  6. Krijg je vaak visite / gasten over de vloer?

 

Wat ook wordt gezegd, maar niet veiliger is

Onderstaand wordt vaker als de oplossing genoemd. Het is niet slecht, het is ook niet de oplossing. Wat levert het op?

  1. SSID broadcast uitzetten, niemand zou je kunnen zien. Helaas, het is niet onzichtbaar, dat was ook niet vanuit veiligheid bedacht. Je computer geeft het netwerk niet weer, maar de meettools zoals hierboven beschreven geven ‘onzichtbare’ netwerken wel weer. Zonder naam (alleen een MAC adres). Het maakt sommige mensen nieuwsgierig wat er achter zit.
  2. DHCP uitzetten, dus uitschakelen van automatisch uitdelen van IP nummers. Hiermee zal een hacker niet gelijk weten welk IP reeks je gebruikt. Meestal wordt toch de standaard 192.168.1.x aangehouden.
  3. MAC adres standaard blokkeren, alleen bepaalde MAC adressen toelaten. Dat is een drempel, maar die is prima te doen. Een hacker ziet jouw MAC adressen in zijn software voorbij komen, kiest er een uit die hij vervolgens op zijn computer activeert en met jouw netwerk kan verbinden. De twee MAC adressen moeten elkaar alleen niet tegelijkertijd zien.
  4. Kleiner IP subnet gebruiken. Het idee is dat als er geen apparaat meer bij kan, je veilig zit. Dat betekent dat alle apparaten aan moeten staan. Het kost in ieder geval aandacht en tijd om dit bij te houden en voor familie en vrienden die op bezoek komen is geen ruimte.
  5. Advies WiFi in de Cloud: Investeer tijd in een WPA2 sleutel dat langer is dan 15 karakters (ipv de eerder genoemde 12 karakters).