Draadloos, hoe veilig ben ik nu?

- WPA2+AES is vooralsnog niet gekraakt. Dat is veilig te noemen, iig veilig tegenover iemand met significant minder resources dan de NSA.
- MAC filtering is volstrekt nutteloos. MAC-adressen worden unencrypted in de headers van WiFi-pakketten meegestuurd. Een attacker hoeft maar even te sniffen en hij weet welke MACs toegelaten worden. Kun je beter achterwege laten, het is een irritatie voor bona fide gebruikers maar geen enkele belemmering zelfs voor scriptkiddies.
- PSK van 30 tekens... dat is best lang. Alles van meer dan 8 is zo goed als niet te brute forcen. Klinkt ook hier als overkill dat leidt tot key op post-it aan de keukentafel, wat dan gelijk alle veiligheid onderuit haalt. Beter neem je iets wat je kunt onthouden maar ook een significante lengte heeft.

dion_b schreef op zaterdag 04 januari 2014 @ 19:03:
- WPA2+AES is vooralsnog niet gekraakt. Dat is veilig te noemen, iig veilig tegenover iemand met significant minder resources dan de NSA.
- MAC filtering is volstrekt nutteloos. MAC-adressen worden unencrypted in de headers van WiFi-pakketten meegestuurd. Een attacker hoeft maar even te sniffen en hij weet welke MACs toegelaten worden. Kun je beter achterwege laten, het is een irritatie voor bona fide gebruikers maar geen enkele belemmering zelfs voor scriptkiddies.
- PSK van 30 tekens... dat is best lang. Alles van meer dan 8 is zo goed als niet te brute forcen. Klinkt ook hier als overkill dat leidt tot key op post-it aan de keukentafel, wat dan gelijk alle veiligheid onderuit haalt. Beter neem je iets wat je kunt onthouden maar ook een significante lengte heeft.

Mac filtering is iets wat je niet moet verwarren met het verbergen van het SSID (waar TS volgens mij op doelt).

Het niet mee zenden van een SSID als zichtbaar item is inderdaad zinloos (kost je kort door de bocht alleen maar bandbreedte), het filteren op MAC adressen op een router kan hele andere redenen hebben.

Over password lengte en "moeilijke" tekens heb ik ooit het advies gekregen om naar onderstaand plaatje te kijken. Is ook wat makkelijker te onthouden en te bewaren.
O, en WDS uitschakelen. Scheelt een hoop in de beveiliging naar verluid.

[ Voor 13% gewijzigd door TNijpjes op 04-01-2014 19:27 ]

ik heb ook een mac filter en wpa2 password..

Ik moet dus eerst een mac adres invullen via een Lan aangesloten pc (niet draadloos, maar een vaste pc) voordat het wpa2 password ingegeven kan worden..

lijkt mij voldoende veilig binnen consumenten omgevingen

shure-fan schreef op zaterdag 04 januari 2014 @ 19:26:
ik heb ook een mac filter en wpa2 password..

Ik moet dus eerst een mac adres invullen via een Lan aangesloten pc (niet draadloos, maar een vaste pc) voordat het wpa2 password ingegeven kan worden..

lijkt mij voldoende veilig binnen consumenten omgevingen

Zelfs in "niet consumenten" organisaties word er op basis van MAC adressen gefilterd (Dammn.... een Radius server doet feitelijk niks anders).

shure-fan schreef op zaterdag 04 januari 2014 @ 19:26:
ik heb ook een mac filter en wpa2 password..

Ik moet dus eerst een mac adres invullen via een Lan aangesloten pc (niet draadloos, maar een vaste pc) voordat het wpa2 password ingegeven kan worden..

lijkt mij voldoende veilig binnen consumenten omgevingen

Zoals hierboven al wordt gezegd, een mac adres filter voegt weinig tot helemaal niets toe... dat je hem alleen kan invullen met een vaste pc zegt ook niets.

WPA2+AES is hedendaags nog prima .

KennieNL schreef op zaterdag 04 januari 2014 @ 19:34:
[...]


Zoals hierboven al wordt gezegd, een mac adres filter voegt weinig tot helemaal niets toe... dat je hem alleen kan invullen met een vaste pc zegt ook niets.

WPA2+AES is hedendaags nog prima .

Op welk niveau begin je te filteren met een radius server?

Dat ligt maar helemaal aan die radius server. Radius op zichzelf zegt niet zoveel, de vraag is welk authenticatieprotocol je gebruikt. Radius kan ook zijn opgesteld met wederzijdse certificaten of user/pass combi etc. Heeft imho weinig te maken met MAC filtering.

MAC filtering is nutteloos om precies de reden die dion_b noemt: MAC adressen worden niet afgeschermd voor iemand die afluistert. Daarna is het een fluitje van een cent om het bruikbare MAC adres te spoofen en zodoende het filter te omzeilen.

Daarmee maak je Mac filters niet (meteen) nutteloos. Met een draak van een implementatie (Cisco IOS) kun je met MAC filters je gehele netwerk zo goed als dicht zetten voor alles en iedereen (en als je niet uitkijkt ook voor jezelf zodat je weer met consolekabels aan de slag kunt).

Leg dan eens uit hoe een MAC filter nut heeft als elke enigszins handige aanvaller zonder enige moeite het filter kan omzeilen?

wps ook even uitzetten als die aanstaat

Port Security op een simpele L2 switch houd jou (volgens mij) ook wel buiten als de poort op "shut" valt na een foutieve poging en die poort niet meer automagisch open gaat na "x" tijd.

wimmel_1 schreef op zaterdag 04 januari 2014 @ 19:57:
Port Security op een simpele L2 switch houd jou (volgens mij) ook wel buiten als de poort op "shut" valt na een foutieve poging en die poort niet meer automagisch open gaat na "x" tijd.

Lekker relevant. We hebben het hier over MAC filtering op WLAN, niet over MAC filtering op een ethernet switch. Van dat laatste heeft niemand gezegd dat het nutteloos is.

Orion84 schreef op zaterdag 04 januari 2014 @ 20:00:
[...]

Lekker relevant. We hebben het hier over MAC filtering op WLAN, niet over MAC filtering op een ethernet switch. Van dat laatste heeft niemand gezegd dat het nutteloos is.

Een radius server doet in eerste instantie niet veel anders bij een WLAN oplossing dan dat 'ie doet bij een LAN (Ethernet) oplossing. Welke MAC adressen wil je allemaal gaan proberen voordat je door de Radius Server toegelaten wordt op 't (W)LAN én dus L3 toegang krijgt?

Je vergeet 1 ding: je hebt helemaal geen toegang nodig om WLAN pakketjes te onderscheppen en daar de MAC adressen die wel toegang hebben uit te vissen. Zodra je een geldig MAC adres te pakken hebt spoof je dat en dan pas probeer je verbinding te maken.

Dat is het grote verschil tussen MAC filtering op LAN en op WLAN: op LAN kan je geen adressen sniffen zonder zelf verbinding te maken, bij WLAN wel.

Orion84 schreef op zaterdag 04 januari 2014 @ 20:13:
Je vergeet 1 ding: je hebt helemaal geen toegang nodig om WLAN pakketjes te onderscheppen en daar de MAC adressen die wel toegang hebben uit te vissen. Zodra je een geldig MAC adres te pakken hebt spoof je dat en dan pas probeer je verbinding te maken.

Dat is het grote verschil tussen MAC filtering op LAN en op WLAN: op LAN kan je geen adressen sniffen zonder zelf verbinding te maken, bij WLAN wel.

En dus: WPA2 (met AES/AEP als encryptie) als extra laag er bovenop. Het is en blijft mijn inziens nog steeds "handig" om toch gewoon op MAC te blijven filteren

wimmel_1 schreef op zaterdag 04 januari 2014 @ 20:19:
[...]
Het is en blijft mijn inziens nog steeds "handig" om toch gewoon op MAC te blijven filteren

Waarom? Het voegt nul extra beveiliging toe (want triviaal te omzeilen), maar wel ongemak. Hoe kan je dat dan "handig" noemen?

WPA2+AES met een fatsoenlijke passphrase is gewoon prima afdoende voor een thuisnetwerk.

[ Voor 16% gewijzigd door Orion84 op 04-01-2014 20:22 ]

wimmel_1 schreef op zaterdag 04 januari 2014 @ 20:19:
[...]


En dus: WPA2 (met AES/AEP als encryptie) als extra laag er bovenop. Het is en blijft mijn inziens nog steeds "handig" om toch gewoon op MAC te blijven filteren

Het is mijn inziens "onhandig" om toch op mac te blijven filteren, dus doe maar gewoon niet, en zorg dat punten die hierboven genoemd worden, en wél belangrijk zijn, in orde zijn.

Ik ga hier maar eens uitzoeken hoe ik m'n "hotspot" kan reguleren zonder MAC filters en toch alles netjes middels DHCP kan laten lopen.

Heel erg veilig.

Zolang je wachtwoord random is zit je veilig.
MAC filter maakt niet veel uit want valt zo te spoofen.
WPA2 met EAS is nog niet gekraakt.

Je kunt ook je SSID niet broadcasten. Ben je ook net wat veiliger.

Verder zorg dat je WPS uit hebt staan. Meeste routers worden hierdoor gekraakt binnen 2-4 uur.

Je SSID niet broadcasten maakt je in mijn ogen (een stuk) minder veilig. Dit betekent namelijk dat het apparaat actief op zoek gaat naar het SSID, in plaats van dat het passief zoekt. Normaal gesproken word er gekeken welke draadloze netwerken er in de buurt zijn zonder zelf informatie te zenden. Als je apparaat echter actief moet gaan zoeken dan zal deze gewoonweg gaan proberen te verbinden met een bepaald SSID.

Lekker boeiend denk je misschien, dat SSID bestaat niet dus er zal niets zijn wat daarop reageerd. En dat klopt ook. Maar... Het is wel mogelijk om dat SSID op te vangen met sniffers, en vervolgens een accesspoint op te zetten met een PC/laptop welke naar dat SSID luistert en iedere sleutel accepteerd. Wat dus betekent dat je PSK "bekend" is, welliswaar in beveiligde vorm.

Volgens mij is het dan mogelijk om, wederom met aangepaste software, de manier van aanmelden "terug te spoelen en opnieuw af te spelen" bij jouw AP. En voila, je bent binnen. Ik weet niet 100% zeker of het zo relatief eenvoudig is, maar ik meen dat een dergelijke truc mogelijk is. Natuurlijk zal dit ook niet gebeuren zolang je geen groot bedrijf bent, maar het is in mijn ogen een reden om SSID broadcasten mooi altijd aan te laten. Geeft je net even dat extra stukje veiligheid

wimmel_1 schreef op zaterdag 04 januari 2014 @ 20:19:
[...]


En dus: WPA2 (met AES/AEP als encryptie) als extra laag er bovenop. Het is en blijft mijn inziens nog steeds "handig" om toch gewoon op MAC te blijven filteren

WPA2 gebruikt CCMP oftewel AES encryption plus wat handshakes voor de payload. Maar de headers zijn gewoon plaintext (vrij logisch, anders kun je niet zien of een pakketje voor jou is), dus kun je gewoon een MAC-adres uitlezen, ook al gebruik je WPA2:



Zie hoe alleen payload en MIC encrypted zijn. MAC-header staat daar netjes vooran in plaintext.


Howto 'hacken' (voorzover iets zo simpels hacken genoemd mag worden) MAC filter:

1) Wireshark of andere packet inspection tool installeren en opstarten.
2) Packets capturen op wireless netwerk waar je in wilt breken.
3) Zodra je iets tegenkomt wat van andere MAC afkomstig is dan AP heb je wat je nodig hebt: dat MAC-adres.
4) MAC in kwestie instellen op je eigen WiFi NIC (1 regel in *nix, device properties -> configure bij Windows)
5) Voila, je mag praten met AP.

Dit helpt je niet met kraken PSK, maar het omzeilt volledig het de MAC-filtering. Enige wat MAC-filtering doet is het irritant maken voor apparaten die wel toegang zouden moeten hebben.

dion_b schreef op zaterdag 04 januari 2014 @ 21:55:
[...]

WPA2 gebruikt CCMP oftewel AES encryption plus wat handshakes voor de payload. Maar de headers zijn gewoon plaintext (vrij logisch, anders kun je niet zien of een pakketje voor jou is), dus kun je gewoon een MAC-adres uitlezen, ook al gebruik je WPA2:

[afbeelding]

Zie hoe alleen payload en MIC encrypted zijn. MAC-header staat daar netjes vooran in plaintext.


Howto 'hacken' (voorzover iets zo simpels hacken genoemd mag worden) MAC filter:

1) Wireshark of andere packet inspection tool installeren en opstarten.
2) Packets capturen op wireless netwerk waar je in wilt breken.
3) Zodra je iets tegenkomt wat van andere MAC afkomstig is dan AP heb je wat je nodig hebt: dat MAC-adres.
4) MAC in kwestie instellen op je eigen WiFi NIC (1 regel in *nix, device properties -> configure bij Windows)
5) Voila, je mag praten met AP.

Dit helpt je niet met kraken PSK, maar het omzeilt volledig het de MAC-filtering. Enige wat MAC-filtering doet is het irritant maken voor apparaten die wel toegang zouden moeten hebben.

Voordat ik of iemand anders met zoiets aan de gang zou gaan: Denk je niet dat een beetje Social Engineering simpeler is én dat je met wat "ouwehoeren" al lang voorbij een receptioniste bent én daarmee een wall-outlet te pakken hebt welke al eerder met je netwerk babbelt (tenzij: MAC filter).

wimmel_1 schreef op zaterdag 04 januari 2014 @ 22:04:
[...]


Voordat ik of iemand anders met zoiets aan de gang zou gaan: Denk je niet dat een beetje Social Engineering simpeler is en dat je met wat "ouwehoeren" al lang voorbij een receptioniste bent én daarmee een wall-outlet te pakken hebt welke al eerder met je netwerk babbelt (tenzij: MAC filter).

Nou nee, MAC-filter omzeil je in minder dan een minuut vanuit je luie stoel.

Social engineering is inderdaad de manier om de PSK te ontrafelen, des te meer reden om geen idioot lange random reeks te kiezen waarvan je weet dat het overal op kantoor/in huis op post-its zit.

@dion_b
@Orion84
Ik vind dat jullie mac filtering wel heel fanatiek afbranden.

Uiteraard is enkel en alleen een mac filter uit den boze. Beveiliging staat of valt met goede encryptie en een goed wachtwoord. Want inderdaad, het capturen en spoofen van een mac adres is technisch eenvoudig.

Zou het daarom nooit iets kunnen toevoegen? Tuurlijk wel.

Het kan net genoeg zijn om een niet-tech-savvy-persoon (die overigens niet per se kwaadwillend hoeft te zijn) te weren van het netwerk die door social skills het wachtwoord heeft opgevangen.

Verder zijn er genoeg draadloze omgevingen waar het overgrote deel van de tijd geen clients actief zijn. Dan vallen er ook geen mac adressen te capturen door een gelegenheids-spoofer.

Het is nogal ongenuanceerd om te stellen dat het per definitie waardeloos is.

De dagen dat je grootste probleem een gelegenheidsmeelifter is zijn voorbij. Zowat iedereen heeft 3G access tegenwoordig, overal hangen gratis open WiFI netwerken. Iemand die wil inbreken wil bij jou inbreken en neemt daar desnoods de tijd voor.

Maar goed, zo ongenuanceerd zijn wij niet, lees dit artikel van 6 (!) jaar terug:
http://www.zdnet.com/blog...-secure-a-wireless-lan/43

Number 1 dumb way to secure wireless LAN

wimmel_1 schreef op zaterdag 04 januari 2014 @ 22:04:
[...]


Voordat ik of iemand anders met zoiets aan de gang zou gaan: Denk je niet dat een beetje Social Engineering simpeler is én dat je met wat "ouwehoeren" al lang voorbij een receptioniste bent én daarmee een wall-outlet te pakken hebt welke al eerder met je netwerk babbelt (tenzij: MAC filter).

'k Weenie hoor, maar ik heb hier in mijn studentenhuis geen receptioniste…



Blijf toch asjeblieft even binnen de scope van dit topic. Dit is een offtopic discussie die totaal niet thuispast in dit topic en wederom ga je sowieso over op MAC-adres-filtering op een wall-outlet, waarvan allang gezegd is dat het niet aan de orde is hier...

dion_b schreef op zondag 05 januari 2014 @ 00:01:
De dagen dat je grootste probleem een gelegenheidsmeelifter is zijn voorbij. Zowat iedereen heeft 3G access tegenwoordig, overal hangen gratis open WiFI netwerken. Iemand die wil inbreken wil bij jou inbreken en neemt daar desnoods de tijd voor.

Maar goed, zo ongenuanceerd zijn wij niet, lees dit artikel van 6 (!) jaar terug:
http://www.zdnet.com/blog...-secure-a-wireless-lan/43

Number 1 dumb way to secure wireless LAN

Jouw reactie en dat artikel doen niets af aan de inhoud van mijn post.

[ Voor 0% gewijzigd door Dav1d op 05-01-2014 00:51 . Reden: typo ]

Osiris schreef op zondag 05 januari 2014 @ 00:02:
[...]

'k Weenie hoor, maar ik heb hier in mijn studentenhuis geen receptioniste…



Blijf toch asjeblieft even binnen de scope van dit topic. Dit is een offtopic discussie die totaal niet thuispast in dit topic en wederom ga je sowieso over op MAC-adres-filtering op een wall-outlet, waarvan allang gezegd is dat het niet aan de orde is hier...

Dus omdat het draadloos zinloos is volgens meerdere hier is het per definitie waardeloos? Ik had eerder gehoopt dat er eens beter gekeken werd naar de verschillende lagen van beveiliging.

Dav1d schreef op zondag 05 januari 2014 @ 00:09:
[...]

Jouw reactie en dat artikel doen niets af aan de inhoud van mijn post.

Ik vind dat je wel een onderbouwd punt hebt. zelf zou ik het niet doen omdat ik het een beetje ver gezocht vind.

Dav1d schreef op zondag 05 januari 2014 @ 00:09:
[...]

Jouw reactie en dat artikel doen niets af aan de inhoud van mijn post.

Je hebt ook gewoon gelijk. In dat specifieke geval voegt MAC filtering inderdaad iets toe.

Het is maar net waar je prioriteiten liggen. Ik zou het persoonlijk mega irritant vinden als ik elke keer als ik bezoek over de vloer heb dat ik vervolgens mac addressen aan de white list toe mag gaan zitten voegen.. Je zit jezelf waarschijnlijk veel vaker dwars dan dat je iemand daadwerkelijk van je netwerk weert.

Overigens denk ik wel dat het aantal netwerken waar niet constant wel een cliënt actief is aan het afnemen is. Er zijn tegenwoordig zoveel draadloze apparaten en een groot deel daarvan blijft gewoon thuis |(en actief!). Denk daarbij aan printers, tablets, smart TV's, media spelers etc etc..

Dav1d schreef op zaterdag 04 januari 2014 @ 23:54:
Het kan net genoeg zijn om een niet-tech-savvy-persoon (die overigens niet per se kwaadwillend hoeft te zijn) te weren van het netwerk die door social skills het wachtwoord heeft opgevangen.

Ik denk dat je na moet denken of je dergelijke mensen per see van je netwerk wilt weren, terwijl je het jezelf en je legitieme gebruikers alleen maar moeilijk maakt.

hij heeft een bewuste keus gemaakt. het is een valide punt en het is aan de ts om er wat mee te doen, of niet lijkt me.

Ik zeg dit omdat het wel erg opgedrongen wordt om het niet te doen.

fish schreef op zondag 05 januari 2014 @ 01:37:
hij heeft een bewuste keus gemaakt. het is een valide punt en het is aan de ts om er wat mee te doen, of niet lijkt me.

Ik zeg dit omdat het wel erg opgedrongen wordt om het niet te doen.

Het punt is dat slechte veiligheidsmaatregelen implementeren het geheel juist vaak minder veilig maakt.

Ok, waardoor wordt het minder veilig dan ?

Het is geen slechte regel imho. wel vet onhandig vanuit beheer gezien

[ Voor 48% gewijzigd door Fish op 05-01-2014 01:45 ]

wimmel_1 schreef op zondag 05 januari 2014 @ 00:31:
[...]

Dus omdat het draadloos zinloos is volgens meerdere hier is het per definitie waardeloos?

Dat verzin je nu helemaal zelf en hoor je mij en volgens mij niemand zeggen. En ook die discussie is buiten de scope van dit topic.

[ Voor 8% gewijzigd door Osiris op 05-01-2014 08:40 ]

Toch grappig dat elke router Wifi MAC filtering heeft (ook nieuwe routers), willen de fabrikanten de mensen dan een vals gevoel van veilighied aan praten of zo of durven ze gewoon niet toe te geven dat het geen zin heeft?

Verwijderd schreef op zondag 05 januari 2014 @ 11:55:
Toch grappig dat elke router Wifi MAC filtering heeft (ook nieuwe routers), willen de fabrikanten de mensen dan een vals gevoel van veilighied aan praten of zo of durven ze gewoon niet toe te geven dat het geen zin heeft?

Je kunt het altijd gebruiken als een soort parental control.

Verwijderd schreef op zondag 05 januari 2014 @ 11:55:
Toch grappig dat elke router Wifi MAC filtering heeft (ook nieuwe routers), willen de fabrikanten de mensen dan een vals gevoel van veilighied aan praten of zo of durven ze gewoon niet toe te geven dat het geen zin heeft?

De markt is een hoer.

Klanten vragen om een feature, dus fabrikanten leveren het. Je kunt nog steds 802.11b met WEP-security instellen op een moderne router/AP. Is ook in het geheel niet zinnig, maar het *kan* wel

Daanieyel schreef op zondag 05 januari 2014 @ 12:01:
[...]


Je kunt het altijd gebruiken als een soort parental control.

Uhuh, als je tot de 5% van ouders behoort die networking beter snapt dan hun kinderen. De overige 95% zal bovenal zichzelf uitsluiten, of uitgesloten worden door zoon/dochterlief

Opvallend is daarbij dat die 5% die het beter snapt meestal niet grijpt naar dergelijke technische lapmiddelen. Opvoeden doe je niet met een optie in je router

En dan nog hoe zou je dat MAC filter parental control willen inzetten?
Dat zoon lief helemaal niet meer op internet kan dan?
Dan gaat ie wel op het onbeveilige AP van de buren...

dion_b schreef op zaterdag 04 januari 2014 @ 19:03:
- PSK van 30 tekens... dat is best lang. Alles van meer dan 8 is zo goed als niet te brute forcen. Klinkt ook hier als overkill dat leidt tot key op post-it aan de keukentafel, wat dan gelijk alle veiligheid onderuit haalt. Beter neem je iets wat je kunt onthouden maar ook een significante lengte heeft.

Wat ik hiervoor doe is iets nemen wat ik kan onthouden, vertaal het naar hex en tadaa een willekeurig ogend en relatief lang wachtwoord wat je makkelijk kan reproduceren.

SECURITEH schreef op zondag 05 januari 2014 @ 15:10:
[...]

Wat ik hiervoor doe is iets nemen wat ik kan onthouden, vertaal het naar hex en tadaa een willekeurig ogend en relatief lang wachtwoord wat je makkelijk kan reproduceren.

Je begrijpt hopelijk dat dat niets uithaalt? De entropie daarvan is exact even hoog (of laag) als het originele woord.

Verwijderd schreef op zondag 05 januari 2014 @ 11:55:
Toch grappig dat elke router Wifi MAC filtering heeft (ook nieuwe routers), willen de fabrikanten de mensen dan een vals gevoel van veilighied aan praten of zo of durven ze gewoon niet toe te geven dat het geen zin heeft?

Als je nog een BIOS systeem hebt (ook de laatste systemen toen UEFI firmware werd uitgerold) dan staat er soms nog de melding "No ROM Basic" in je BIOS. Die melding wordt helemaal niet meer gebruikt, maar hij staat er wel in. Ook als je opstart zonder je "ROM Basic", waarvan geen enkel moederbord nog een socket heeft, krijg je die melding niet. Maar de code staat er nog wel in.

Het is heel simpel: Het kost meer geld en tijd om de firmwares van die AP's aan te passen zodat WEP er niet meer in staat. Je kunt je beter gewoon aan de standaarden houden. Dat houdt de support van de fabrikant ook intact en dat scheelt weer tijd en geld bij firmware updates.

Ik denk dat MAC filtering wel degelijk een beperkt nut kan hebben, maar niet tegen kwaadwillenden. Stel dat een gebruiker het wifi wachtwoord doorgeeft aan iemand anders, dan kan deze zich zonder problemen aanmelden op het netwerk. Het toepassen van MAC filtering is dan een extra drempel(tje) die je moet nemen. Twee gelijke MAC adressen gaat op het netwerk ook geheid problemen opleveren. Desalniettemin is het verschrikkelijk bewerkelijk en achterhaalde techniek.