Schakel WPAD uit in Windows om veilig te blijven op openbare Wi-Fi-netwerken
Web Proxy Auto-Discovery (WPAD) biedt organisaties een manier om automatisch een proxyserver op uw systeem te configureren. Windows schakelt deze instelling standaard in. Dit is waarom dat een probleem is.
WPAD is echt handig wanneer een organisatie zoals uw bedrijf of school een proxyserver moet configureren voor uw verbinding met hun netwerk. Het bespaart u dat u zelf dingen hoeft te regelen. WPAD kan echter problemen veroorzaken als u verbinding maakt met een kwaadaardig openbaar Wi-Fi-netwerk. Met WPAD ingeschakeld, kan dat Wi-Fi-netwerk automatisch een proxyserver in Windows configureren. Al uw verkeer op het web wordt doorgestuurd via de proxyserver terwijl u bent verbonden met het Wi-Fi-netwerk, waardoor mogelijk gevoelige gegevens worden blootgesteld. De meeste besturingssystemen ondersteunen WPAD. Het probleem is dat in Windows WPAD standaard is ingeschakeld. Het is een potentieel gevaarlijke instelling en deze moet niet worden ingeschakeld tenzij je het echt nodig hebt.
WPAD, Explained
Proxyservers - niet te verwarren met virtuele privénetwerken (VPN's) - worden soms vereist om op internet te surfen op sommige bedrijfs- of schoolnetwerken. Wanneer u een proxyserver op uw systeem configureert, verzendt uw systeem uw browseverkeer via de proxyserver in plaats van rechtstreeks naar de websites die u bezoekt. Hierdoor kunnen organisaties webfiltering en caching uitvoeren en zijn ze mogelijk nodig om de firewalls in sommige netwerken te omzeilen.
Het WPAD-protocol is ontworpen om organisaties in staat te stellen gemakkelijk proxy-instellingen aan te bieden aan alle apparaten die verbinding maken met het netwerk. De organisatie kan een WPAD-configuratiebestand op een standaardlocatie plaatsen en wanneer WPAD is ingeschakeld, controleert uw computer of ander apparaat of er WPAD-proxy-informatie wordt geboden door het netwerk. Uw apparaat gebruikt dan automatisch de instellingen die het proxy-autoconfiguratiebestand (PAC) biedt, en verzendt al het verkeer op het huidige netwerk via de proxyserver.
Windows versus andere besturingssystemen
Hoewel WPAD een handige functie kan zijn op sommige bedrijfs- en schoolnetwerken, kan dit grote problemen veroorzaken op openbare Wi-Fi-netwerken. U wilt niet dat uw computer automatisch een proxyserver configureert wanneer u verbinding maakt met een openbaar Wi-Fi-netwerk in een coffeeshop, luchthaven of hotel.
Dat is de reden waarom de meeste besturingssystemen WPAD standaard uitschakelen. iOS, macOS, Linux en Chrome OS ondersteunen allemaal WPAD, maar het is standaard uitgeschakeld. U moet WPAD inschakelen als u wilt dat uw apparaat automatisch proxy-instellingen ontdekt.
Dit is niet waar in Windows. Windows schakelt WPAD standaard in, dus het zal automatisch de proxyserverinstellingen configureren die door elk netwerk je maakt verbinding met.
Wat is het risico?
Als je systeem is geconfigureerd om een gevaarlijke proxy te gebruiken door een kwaadaardig wifi-netwerk, kan je browsen kwetsbaar zijn voor snooping en andere aanvallen.
HTTPS-codering helpt normaal gesproken de inhoud van uw browsen op gevoelige websites te beschermen. Dus wanneer u verbinding maakt met de website van uw bank, wordt u mogelijk doorgestuurd naar een adres zoals https://your_bank.com/account?token=secret_authentication_token
. Normaal gezien ziet iedereen die op het netwerk rondsnuffelt, gewoon dat je bent verbonden https://your_bank.com
en zou niet het volledige adres weten. Maar als uw pc door een proxyserver bladert, vertelt uw computer uw proxyserver het volledige adres, dat mogelijk gevoelige informatie kan bevatten.
De proxyserver kan ook webpagina's wijzigen die u opent. Zelfs als u beveiligde HTTPS-pagina's gebruikt waarvan de proxy niet kan knoeien, kan de proxyserver u omleiden naar valse aanmeldingspagina's in een poging uw wachtwoorden en andere gevoelige details vast te leggen. De aanvallers kunnen ook OAUTH-authenticatietokens stelen, die worden gebruikt om in te loggen bij andere websites door uw Google-, Facebook- of Twitter-gebruikersgegevens te gebruiken.
Dit is niet alleen een theoretisch risico. Beveiligingsonderzoekers demonstreerden WPAD-aanvallen bij DEF CON 24 in de zomer van 2016. We hebben geen meldingen gezien dat deze aanval in het wild wordt gebruikt, maar het is nog steeds een risico.
Hoe WPAD op Windows 8 en 10 uit te schakelen
Op Windows 10 vindt u deze optie onder Instellingen> Netwerk en internet> Proxy. In Windows 8 is hetzelfde scherm beschikbaar via PC Settings> Network Proxy. Schakel de optie 'Instellingen automatisch detecteren' uit om WPAD uit te schakelen.
Hoe WPAD op Windows 7 uit te schakelen
In Windows 7 kunt u WPAD uitschakelen via het venster Internetopties. Ga naar Configuratiescherm> Netwerk en internet> Internetopties. Merk op dat je deze methode ook op Windows 8 of 10 kunt gebruiken, als je wilt.
Ga in het venster "Interneteigenschappen" naar het tabblad "Verbindingen" en klik op de knop "LAN-instellingen".
Schakel in het venster "LAN-instellingen (Local Area Network)" het selectievakje "Instellingen automatisch detecteren" uit en klik tweemaal op "OK" om uw instellingen op te slaan.
Zelfs als u een proxy moet gebruiken, bent u veiliger als u het precieze adres opgeeft voor een automatisch proxyconfiguratiescript (ook wel een .PAC-bestand genoemd) of als u uw proxyservergegevens handmatig invoert. U vertrouwt niet op WPAD, waardoor uw proxy-instellingen kunnen worden gekaapt op openbare Wi-Fi-netwerken.