Routers vormen de toegangspoort tot alle apparaten in huis, van computers tot slimme thermostaten. Toch besteden veel Nederlanders nauwelijks aandacht aan de beveiliging ervan. Standaardinstellingen van providers bieden vaak onvoldoende bescherming tegen buren die willen meeliften of criminelen die data willen stelen.

Met enkele eenvoudige aanpassingen verkleint het risico op ongewenste toegang aanzienlijk.

1. Waarom een router beveiligen belangrijk is

Een router beveiligen tegen indringers staat bij veel Nederlanders niet hoog op de prioriteitenlijst. Toch vormt een onbeveiligde router een directe bedreiging voor de privacy en veiligheid van iedereen die thuis of op kantoor gebruikmaakt van internet. De router fungeert als toegangspoort tot het hele netwerk, inclusief alle aangesloten apparaten zoals computers, smartphones, slimme thermostaten en beveiligingscamera’s.

Wanneer criminelen of ongewenste personen toegang krijgen tot een onbeveiligde router, ontstaan er verschillende risico’s. Hacking van routers gebeurt vaker dan veel mensen denken, vaak zonder dat de eigenaar dit doorheeft. Aanvallers kunnen internetverkeer afluisteren, wachtwoorden onderscheppen en persoonlijke gegevens stelen. Daarnaast kunnen ze het netwerk gebruiken voor illegale activiteiten, waarbij de internetaansluiting van het slachtoffer wordt misbruikt.

Wie probeert toegang te krijgen

Verschillende types indringers richten zich op kwetsbare routers. Buren die gratis willen meeliften op een internetverbinding vormen de meest voorkomende categorie. Hoewel dit relatief onschuldig lijkt, kan het leiden tot tragere internetsnelheden en onverwachte kosten bij providers met databeperkingen.

Criminelen vormen een ernstiger bedreiging. Zij scannen wijken systematisch op onbeveiligde netwerken om:

• Bankgegevens en inlogcodes te onderscheppen
• Ransomware te verspreiden naar aangesloten apparaten
• Het netwerk te gebruiken voor cybercriminele activiteiten
• Toegang te krijgen tot slimme apparaten zoals camera’s

Geautomatiseerde aanvallen door botnetwerken scannen permanent op routers met zwakke beveiliging. Deze bots proberen standaardwachtwoorden uit en zoeken naar bekende kwetsbaarheden in verouderde firmware.

Snelle veiligheidscheck

De meeste routers worden geleverd met standaardinstellingen die onveilig zijn. Providers zoals KPN, Ziggo en Odido leveren apparatuur die vaak niet optimaal is geconfigureerd voor maximale beveiliging.

Een paar simpele vragen geven inzicht in de huidige situatie:

• Is het wifi-wachtwoord ooit aangepast na installatie door de monteur?
• Staat er een update-notificatie op de router die al maanden wordt genegeerd?
• Kunnen gasten verbinding maken zonder apart gastnetwerk?

Een ‘nee’ op de eerste vraag of een ‘ja’ op de andere twee duidt op verhoogd risico. Standaardwachtwoorden staan online in databases die aanvallers gebruiken. Verouderde firmware bevat beveiligingslekken die al lang bekend zijn bij criminelen. Het ontbreken van een gastnetwerk betekent dat bezoekers toegang hebben tot alle apparaten op het hoofdnetwerk.

De gevolgen van een gecompromitteerde router blijven vaak lang onopgemerkt. Terwijl slachtoffers gewoon doorwerken of series kijken, verzamelen aanvallers stilletjes gegevens of gebruiken de verbinding voor botnet-activiteiten. Regelmatige controle en basale beveiligingsmaatregelen verkleinen dit risico aanzienlijk.

2. Gebruik sterke encryptie (WPA2 of WPA3)

Encryptie van draadloze netwerken bepaalt in grote mate hoe goed gegevens beschermd zijn tegen onderschepping. Zonder encryptie of met verouderde standaarden kunnen aanvallers eenvoudig meekijken met alle informatie die heen en weer gaat tussen apparaten en de router. WPA2 en WPA3 zijn encryptiestandaarden die draadloze communicatie versleutelen, waardoor buitenstaanders geen toegang krijgen tot het dataverkeer.

WPA staat voor Wi-Fi Protected Access en vertegenwoordigt de beveiligingslaag die bepaalt wie wel en niet op het netwerk mag komen. Oudere standaarden zoals WEP en WPA zijn al jaren gekraakt en bieden geen enkele bescherming meer. Toch draaien sommige routers nog steeds op deze achterhaalde protocollen, vooral wanneer ze jarenlang niet opnieuw zijn geconfigureerd.

Verschil tussen WPA2 en WPA3

WPA2 bestaat sinds 2004 en vormde lange tijd de standaard voor wifi-beveiliging. Deze technologie biedt solide bescherming, mits gecombineerd met een sterk wachtwoord van minimaal 12 tekens. Sinds 2017 zijn er echter kwetsbaarheden ontdekt, waaronder de KRACK-aanval waarmee aanvallers encryptie kunnen omzeilen onder specifieke omstandigheden.

WPA3 kwam in 2018 beschikbaar en lost deze zwakheden op. De nieuwste standaard maakt het vrijwel onmogelijk om wachtwoorden te raden via brute-force aanvallen, zelfs als iemand zwakke combinaties gebruikt. Bovendien krijgt elk apparaat een individuele encryptiesleutel, waardoor onderschepte data onbruikbaar blijft.

Belangrijkste verbeteringen van WPA3:

• Bescherming tegen offline wachtwoordaanvallen
• Verbeterde encryptie voor openbare netwerken
• Eenvoudigere configuratie van IoT-apparaten zonder scherm
• Forward secrecy, waardoor oude data niet te ontcijferen valt

Niet alle routers ondersteunen WPA3. Apparaten van vóór 2019 beschikken vaak niet over deze functionaliteit. In dat geval blijft WPA2 met een sterk wachtwoord de beste optie.

Controleren welke encryptie actief is

De meeste mensen weten niet welke beveiligingsstandaard hun router gebruikt. Deze informatie staat in de beheeromgeving van de router, toegankelijk via een webbrowser. Het IP-adres van de router, meestal 192.168.1.1 of 192.168.2.1, geeft toegang tot deze instellingen.

Na inloggen met de beheerdersgegevens verschijnt ergens een sectie ‘Draadloze instellingen’, ‘WiFi-beveiliging’ of een vergelijkbare benaming. Hier staat vermeld welk beveiligingstype actief is. Staat er WEP, WPA of helemaal geen beveiliging, dan is directe actie noodzakelijk.

Activeren van WPA2 of WPA3

Binnen diezelfde beheeromgeving kan de encryptiestandaard worden aangepast. De optie verschijnt vaak in een dropdown-menu waar verschillende beveiligingstypes staan vermeld. Bij nieuwere routers staat WPA3 mogelijk als optie, anders is WPA2-Personal (ook wel WPA2-PSK genoemd) de veiligste keuze.

Na het selecteren van het gewenste protocol vraagt het systeem om een nieuw wachtwoord. Een combinatie van minimaal vier willekeurige woorden of een mix van letters, cijfers en symbolen over minimaal 16 posities biedt goede bescherming. Voorbeelden zoals ‘Paraplu7Koffie!Fiets2Boek’ zijn eenvoudig te onthouden maar moeilijk te kraken.

Sommige routers bieden ‘WPA2/WPA3 Mixed Mode’ aan. Deze instelling werkt goed wanneer oudere apparaten nog geen WPA3 ondersteunen maar wel compatibiliteit met nieuwere apparaten gewenst is. Let op: alle verbonden apparaten moeten opnieuw verbinding maken na het wijzigen van beveiligingsinstellingen.

3. Houd de router up-to-date met firmware updates

Firmware vormt de software die de router laat functioneren. Dit besturingssysteem draait permanent op het apparaat en regelt alle communicatie tussen internet en aangesloten apparaten. Net zoals computers en smartphones regelmatig updates ontvangen, geldt dit ook voor routers. Toch vergeten veel gebruikers deze updates te installeren, waardoor bekende beveiligingslekken open blijven staan.

Fabrikanten ontdekken voortdurend zwakke plekken in hun producten. Zodra een kwetsbaarheid openbaar wordt, publiceren criminelen vaak binnen dagen aanvalsmethoden om deze te misbruiken. Firmware updates dichten deze gaten, maar alleen als ze daadwerkelijk geïnstalleerd worden. Een router die maanden of jaren niet is geüpdatet, bevat vrijwel zeker meerdere bekende lekken.

Waarom verouderde firmware gevaarlijk is

Hackers richten zich specifiek op routers met oude firmware omdat de aanvalsmethoden al breed beschikbaar zijn. Geautomatiseerde tools scannen complete woonwijken op kwetsbare apparaten. Zodra zo’n systeem een router vindt met een bekende zwakheid, probeert het binnen te dringen zonder menselijke tussenkomst.

Beveiligingslekken in firmware maken verschillende aanvallen mogelijk:

• Overnemen van volledige controle over de router
• Wijzigen van DNS-instellingen om gebruikers naar nepwebsites te leiden
• Installeren van malware die alle netwerkverkeer onderschept
• Uitschakelen van beveiligingsfuncties zonder dat dit opvalt

In 2023 werden meerdere grote kwetsbaarheden ontdekt in populaire routermerken. Miljoenen apparaten bleken vatbaar voor aanvallen waarbij aanvallers volledige toegang kregen. De fabrikanten brachten patches uit, maar apparaten zonder updates bleven kwetsbaar.

Updates vinden per provider

Nederlandse internetproviders leveren vaak routers met automatische update-functionaliteit, maar deze staat niet altijd standaard ingeschakeld. De locatie van update-opties verschilt per merk en model.

KPN-routers controleren meestal automatisch op updates via het menu ‘Systeem’ of ‘Beheer’. Hier staat ook de huidige firmwareversie vermeld. Ziggo gebruikt Connectboxen waarbij updates te vinden zijn onder ‘Geavanceerd’ en vervolgens ‘Software-update’. Odido (voorheen T-Mobile) plaatst deze functie vaak bij ‘Systeeminstellingen’.

Voor routers die niet via een provider zijn verkregen, geldt een andere werkwijze. Merken zoals ASUS, Netgear, TP-Link en Fritz!Box bieden updates aan via hun website. Gebruikers moeten het exacte modelnummer opzoeken, de nieuwste firmware downloaden en handmatig uploaden via de beheerinterface.

Automatische updates inschakelen

De meest effectieve manier om beschermd te blijven is het activeren van automatische updates. Moderne routers beschikken vaak over een optie ‘Automatisch updaten’ of ‘Auto-update firmware’. Deze instelling zorgt ervoor dat het apparaat zelf controleert op nieuwe versies en deze installeert, meestal ’s nachts wanneer het netwerk minder intensief wordt gebruikt.

Sommige routers sturen een melding voordat ze updaten, andere doen dit volledig automatisch. Tijdens een update kan de internetverbinding korte tijd wegvallen. Dit proces duurt meestal tussen de vijf en tien minuten. Apparaten moeten tijdens deze periode niet handmatig worden uitgeschakeld, omdat dit de router kan beschadigen.

Bij routers zonder automatische update-optie helpt het instellen van een maandelijkse herinnering. Eenmaal per maand handmatig controleren op beschikbare updates voorkomt dat kritieke patches te lang uitblijven. Het kost slechts enkele minuten maar verkleint het risico op succesvolle aanvallen aanzienlijk.

4. Schakel gevaarlijke functies uit (WPS)

WPS staat voor Wi-Fi Protected Setup en werd ontworpen om het verbinden van apparaten met een draadloos netwerk te vereenvoudigen. In plaats van een lang wachtwoord in te typen, kunnen gebruikers op een knop drukken of een korte pincode invoeren. Deze functie klinkt handig, maar creëert een ernstig beveiligingsrisico dat aanvallers actief uitbuiten.

De meeste routers hebben een fysieke WPS-knop aan de buitenkant of een softwarematige optie in de instellingen. Wanneer iemand op deze knop drukt, staat de router gedurende enkele minuten open verbindingen toe zonder het normale wachtwoord te controleren. Dit betekent dat iedereen binnen bereik in die periode toegang kan krijgen.

Hoe aanvallers WPS misbruiken

De pincode-variant van WPS gebruikt een achtcijferige code, maar door een ontwerpfout hoeven aanvallers slechts een fractie van alle mogelijke combinaties te proberen. Gespecialiseerde tools zoals Reaver automatiseren dit proces volledig. Een gemiddelde aanval duurt tussen de vier en elf uur, afhankelijk van het routermodel.

Tijdens zo’n aanval blijft de router gewoon functioneren. Gebruikers merken niets van de pogingen om binnen te dringen. De aanvaller hoeft alleen binnen wifi-bereik te zijn, wat bij veel woningen betekent dat iemand vanaf straat of een aangrenzende woning kan opereren.

Belangrijke kwetsbaarheden van WPS:

• Beperkt aantal te proberen pincodes maakt brute-force haalbaar
• Geen melding naar gebruiker bij mislukte inlogpogingen
• Uitschakelen in software werkt niet altijd, fysieke knop blijft actief
• Sommige routers resetten WPS naar ‘aan’ na firmware updates

Zelfs wanneer niemand van plan is om WPS te gebruiken, blijft de functie op veel routers standaard geactiveerd. Fabrikanten zetten dit aan om klantenservice-oproepen te verminderen, maar vergeten daarbij de beveiligingsrisico’s.

WPS uitschakelen in drie stappen

Het deactiveren van WPS gebeurt via dezelfde beheeromgeving waar ook encryptie-instellingen te vinden zijn. De exacte locatie verschilt per merk, maar volgt meestal een vergelijkbaar patroon.

Stap één: log in op de router via het IP-adres in een webbrowser. Dit is meestal 192.168.1.1, 192.168.2.1 of een adres dat op de onderkant van de router staat vermeld.

Stap twee: zoek naar ‘WPS’, ‘Wi-Fi Protected Setup’ of ‘Beveiligde configuratie’ in het menu. Deze optie staat vaak onder ‘Draadloos’, ‘WiFi-instellingen’ of ‘Beveiliging’. Bij sommige merken heet het ‘QSS’ (Quick Security Setup), wat dezelfde technologie betreft.

Stap derde: zet de schakelaar of checkbox op ‘Uit’, ‘Uitgeschakeld’ of ‘Disabled’. Sla de wijziging op en controleer of er geen fysieke knop op de router zit die WPS alsnog kan activeren. Sommige modellen vereisen dat de fysieke knop wordt afgeplakt of dat een geavanceerde instelling wordt aangepast om hardware-WPS permanent te blokkeren.

Na het uitschakelen moeten apparaten op de traditionele manier verbinding maken door het volledige wifi-wachtwoord in te voeren. Dit kost enkele seconden extra tijd bij het configureren van nieuwe apparaten, maar elimineert een significante kwetsbaarheid. Apparaten die al verbonden waren, ondervinden geen hinder van deze wijziging.

Sommige providers leveren routers waarbij WPS niet uit te schakelen valt via de standaard interface. In zulke gevallen helpt contact opnemen met de klantenservice, die vaak toegang heeft tot geavanceerde instellingen. Alternatief kan een eigen router die wel volledige controle biedt, aangesloten worden achter de provider-router in bridge-modus.

5. Controleer regelmatig wie er verbonden is

Netwerken tellen vaak meer aangesloten apparaten dan gebruikers zich realiseren. Naast computers en smartphones verbinden slimme thermostaten, televisies, spelcomputers, printers en beveiligingscamera’s met de router. Dit grote aantal maakt het lastig om ongeautoriseerde apparaten op te merken. Regelmatige controle van verbonden apparaten helpt bij het beschermen van gevoelige informatie en voorkomt dat indringers onopgemerkt blijven.

Wanneer een onbekend apparaat toegang heeft tot het netwerk, kan dit verschillende oorzaken hebben. Soms gaat het om een vergeten smartphone van een voormalig huisgenoot of een smart-apparaat dat niet direct herkenbaar is. In andere gevallen wijst het op ongewenste toegang door buren of criminelen die het netwerk misbruiken.

Tools om verbonden apparaten te zien

De meeste routers tonen een overzicht van actieve verbindingen in de beheeromgeving. Deze lijst staat vaak onder ‘Aangesloten apparaten’, ‘Clientlijst’, ‘Netwerkkaart’ of een vergelijkbare benaming. Elk apparaat verschijnt met een naam en een MAC-adres, een unieke identificatiecode die aan de netwerkhardware is gekoppeld.

De apparaatnamen zijn niet altijd duidelijk. Een iPhone toont mogelijk ‘iPhone van Jan’, maar een slimme lamp verschijnt wellicht als ‘ESP-4A2B9C’ of een andere cryptische code. Het MAC-adres helpt bij het identificeren van het merk, omdat de eerste zes cijfers verwijzen naar de fabrikant.

Gratis apps zoals Fing bieden een gebruiksvriendelijker alternatief. Deze applicaties scannen het netwerk en presenteren alle apparaten met herkenbare iconen en merknamen. Fing draait op smartphones en tablets, waardoor geen computer nodig is voor een snelle check. De app toont ook historische data, zodat tijdelijk verbonden apparaten niet onopgemerkt blijven.

Andere handige opties zijn:

• Advanced IP Scanner voor Windows-computers
• Angry IP Scanner voor meerdere besturingssystemen
• De ingebouwde netwerkscanner in sommige antiviruspakketten
• Commando’s zoals ‘arp -a’ in de terminal voor technisch onderlegde gebruikers

Onbekende apparaten herkennen

Een onbekend apparaat in de lijst vereist onderzoek. Begin met het tellen van alle eigen apparaten, inclusief gastverblijven van bezoekers uit het verleden. Slimme apparaten zoals speakers, stofzuigers, deurbellen en rookmelders verbinden vaak automatisch zonder dat gebruikers dit doorhebben.

Het MAC-adres geeft aanwijzingen over het type apparaat. Online databases laten zien welk merk bij de eerste zes tekens hoort. Een adres dat begint met ’00:1A:2B’ kan bijvoorbeeld wijzen naar een Samsung-product, terwijl ‘B8:27:EB’ typisch een Raspberry Pi aanduidt.

Verdachte signalen zijn:

• Apparaten die ’s nachts verbinden wanneer niemand thuis is
• Meerdere onbekende apparaten met opeenvolgende MAC-adressen
• Apparaten met generieke namen zoals ‘Android-phone’ of ‘Unknown-device’
• Verbindingen die verdwijnen zodra alle eigen apparaten uit staan

Bij twijfel helpt het tijdelijk alle eigen apparaten uit te schakelen. Blijft er dan nog een actieve verbinding over, dan is waarschijnlijk sprake van ongewenste toegang.

Ongewenst apparaat blokkeren

De meeste routers bieden een blokkeerfunctie op basis van MAC-adressen. Deze optie staat vaak bij ‘Toegangsbeheer’, ‘MAC-filtering’ of ‘Apparaatblokkering’. Door het MAC-adres van een verdacht apparaat toe te voegen aan de blokkeerlijst, krijgt dit geen toegang meer tot het netwerk.

Een radicaler alternatief is het wijzigen van het wifi-wachtwoord. Dit verbreekt alle verbindingen, waarna alleen apparaten die het nieuwe wachtwoord kennen opnieuw kunnen verbinden. Deze methode kost meer tijd omdat alle eigen apparaten opnieuw geconfigureerd moeten worden, maar garandeert dat ongewenste toegang stopt.

Frequentie van controle

Eenmaal per maand de apparatenlijst doornemen biedt een goede balans tussen beveiliging en tijdsinvestering. Bij vermoeden van problemen, zoals onverwacht trage internetsnelheden of vreemde netwerkactiviteit, is onmiddellijke controle verstandig.

Het instellen van een terugkerende herinnering in de agenda voorkomt dat deze check wordt vergeten. Sommige routers en apps sturen meldingen wanneer nieuwe apparaten verbinden, wat real-time bewustzijn creëert zonder handmatige controles.

De 10 belangrijkste takeaways

Routerbeveiliging vormt de basis van digitale veiligheid thuis, maar wordt structureel onderschat. De meeste inbraken op netwerken beginnen bij zwakke plekken die met minimale inspanning te dichten zijn. Deze takeaways geven richting aan een effectieve beveiligingsstrategie.

1. Standaardinstellingen zijn ontworpen voor gemak, niet voor veiligheid
Providers leveren routers met configuraties die installatie vergemakkelijken, maar bekend zijn bij aanvallers. Het aanpassen van deze instellingen moet de eerste actie zijn na ontvangst van een nieuwe router.

2. Hacking van routers gebeurt geautomatiseerd en op grote schaal
Criminelen scannen complete wijken met geautomatiseerde tools die bekende kwetsbaarheden uitbuiten. Een onbeveiligde router wordt niet per ongeluk gevonden, maar systematisch opgezocht door botnetwerken.

3. WPS is een legacy-functie
De ontwerpfouten in Wi-Fi Protected Setup maken brute-force aanvallen praktisch haalbaar binnen enkele uren. Geen enkele gemaksfunctie rechtvaardigt dit risico.

4. Firmware updates zijn patches voor gevechten die al gaande zijn
Fabrikanten publiceren updates als reactie op ontdekte exploits die criminelen al actief gebruiken. Elke dag vertraging betekent extra kwetsbaarheid voor bekende aanvalsmethoden.

5. WPA3 lost fundamentele zwakheden op
De KRACK-aanval toonde aan dat WPA2 onder specifieke omstandigheden te compromitteren valt. WPA3 introduceert forward secrecy en individuele encryptie per sessie, waardoor deze aanvallen niet meer werken.

6. Netwerksegmentatie begint bij het scheiden van gasten van kritieke systemen
Bezoekers die tijdelijk wifi nodig hebben, horen niet op hetzelfde netwerk als NAS-systemen, camera’s of werkcomputers. Een gastnetwerk voorkomt laterale beweging bij een gecompromitteerd apparaat.

7. MAC-adressen zijn identificators, geen authenticatiemethoden
Hoewel MAC-filtering een extra barrière lijkt, kunnen aanvallers deze adressen eenvoudig spoofen. Zie het als slot op de achterdeur terwijl de voordeur al meerdere sloten heeft.

8. Onbekende apparaten in de lijst zijn niet altijd indringers
IoT-apparaten identificeren zichzelf vaak met cryptische namen die gebruikers niet herkennen. Paniek is onnodig, maar verificatie via het MAC-adres en fabrikant blijft noodzakelijk.

9. Encryptie beschermt alleen data in transit, niet op eindpunten
Een sterke WPA3-verbinding voorkomt afluisteren tussen router en apparaat, maar zodra data het apparaat bereikt, hangt beveiliging af van andere lagen. Routerbeveiliging is één schakel in de keten.

10. Maandelijkse controle creëert bewustzijn
Aanvallers zoeken makkelijke doelen met verwaarloosde netwerken. Regelmatige audits signaleren dat een netwerk actief beheerd wordt, wat opportunistische aanvallers naar zwakkere targets stuurt.