Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Experts willen WPA2 Enterprise verplichten voor gast-wifi overheid

woensdag 7 oktober 2020, 14:22 door Redactie, 25 reacties

Overheidsinstanties die een wifi-netwerk aanbieden zijn verplicht om dit met WPA2 Enterprise te beveiligen. Openbare wifi-netwerken voor gasten en burgers zijn echter van de verplichting uitgesloten. Iets wat volgens experts en het Forum Standaardisatie moet veranderen.

Het Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. Het stimuleert het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Het Forum onderhoudt ook de lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaardenbeleid.

Op deze lijst is WPA2 Enterprise als verplicht onderdeel van wifi-netwerken van Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector opgenomen. "Met uitzondering van openbare netwerken voor gastgebruik", zo laat de uitleg weten.

Deze zomer vroeg het Forum experts om tijdens een bijeenkomst hun mening over WPA2 Enterprise te geven en het plan om de beveiliging ook voor gast-wifi te laten gelden. Dit heeft mogelijk impact voor gebruikers, aanbieders en andere betrokkenen. De bijeenkomst vond vorige maand plaats en heeft ertoe geleid dat er nu een voorstel ligt om de standaard voor alle wifi-netwerken van overheidsinstanties te laten gelden, ook wanneer er sprake is van gast-wifi. Volgens de experts wordt hierdoor de digitale dienstverlening van overheidsorganisaties veiliger.

Bij WPA2 Enterprise zijn drie partijen betrokken: de gebruiker, de identiteitsprovider en de serviceprovider. Wanneer een gebruiker verbinding maakt met het wifi-netwerk toetst de serviceprovider op basis van de inloggegevens bij de identiteitsprovider de identiteit van de gebruiker. De identiteitsprovider kan bijvoorbeeld de organisatie van de gebruiker zijn of een externe partij.

Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.

Via Internetconsultatie.nl is het mogelijk om tot 4 november van dit jaar op het voorstel te reageren. Het Forum Standaardisatie zal de ontvangen reacties in beschouwing nemen.

Google-zoekopdracht leidde politie VS naar verdachte van autobrand
Google verhelpt ernstige bluetooth-kwetsbaarheden in Android
Reacties (25)
Reageer met quote
07-10-2020, 14:43 door Anoniem
Waarmee het idee van een "gastennetwerk" volledig wordt losgelaten. Je hebt het hier over een netwerk met een gedelegeerde (externe) identity provider, geen guest netwerk. Hoe had deze club het uitrollen van certificaten naar alle burgers toe voor zich gezien? Zet dan gewoon die guest netwerken uit, dat heeft netto nagenoeg hetzelfde effect.
Reageer met quote
07-10-2020, 14:46 door Anoniem
Hallo, WPA-3 is er al. Zet daar nou als Nederlandse overheid in.
Al die achterhaalde manoeuvres win je onvoldoende mee.
Staat weer wel fraai als je je digi-droom eindelijk dacht te kunnen invoeren omdat je een slag qua beveiliging van WiFi netwerken hebt gemaakt, maar je zou als kabinet moeten weten dat WPA2 qua nut al de beste tijd achter zich heeft liggen.
Je bereikt als kabinet hier effectief per saldo dus hoogstens marginaal iets mee.

Als je er al denkt iets mee te winnen door in te zetten op technieken die binnen 15 minuten alsnog te hacken zijn, doe dat dan meteen op iets waar je qua beveiliging wel echt sprongen omhoog maakt.
Reageer met quote
07-10-2020, 15:08 door Anoniem
Goed, het doel is dus uitsluitend om achteraf terug te kunnen vinden wie wat gedaan heeft.
Kortom: voornamelijk BigBrother. Tsja...
Reageer met quote
07-10-2020, 15:20 door Briolet
Er is geen gedeeld wifi-wachtwoord.

Als iedereen zijn eigen inlogcode krijgt, is het dan nog wel een gastnetwerk? Er zal toch ergens een account aangemaakt moeten worden.
Reageer met quote
07-10-2020, 15:41 door Anoniem
Total control is the buzz word.
Reageer met quote
07-10-2020, 15:42 door Anoniem
Door Anoniem: Waarmee het idee van een "gastennetwerk" volledig wordt losgelaten. Je hebt het hier over een netwerk met een gedelegeerde (externe) identity provider, geen guest netwerk. Hoe had deze club het uitrollen van certificaten naar alle burgers toe voor zich gezien? Zet dan gewoon die guest netwerken uit, dat heeft netto nagenoeg hetzelfde effect.

Goede reacties! Hebben jullie die ook via internetconsultatie.nl gedeeld?
Reageer met quote
07-10-2020, 15:46 door Anoniem
Door Briolet:
Er is geen gedeeld wifi-wachtwoord.

Als iedereen zijn eigen inlogcode krijgt, is het dan nog wel een gastnetwerk? Er zal toch ergens een account aangemaakt moeten worden.

Gast bij de instelling die het netwerk runt waar je binnen loopt , maar gebruiker bij je thuis-honk.
Je kunt denk ik 'Eduroam' als voorbeeld zien : https://www.eduroam.nl/
Dat is binnen die context natuurlijk prima.

In de context van overheidsinstellingen die ambtenaren van een ander departement/afdeling/stad over de vloer hebben is het ook logisch.

Maar in de context van 'echte' gasten - binnenlopend bezoek/burgers die voor de een of andere aanvraag bij de overheid moeten zijn : dan is wel het erg prettig als er een 'normaal' gast netwerk is.
Reageer met quote
07-10-2020, 15:52 door Anoniem
Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.
Het is niet zo dat je daarvoor altijd een certificaat nodig hebt, het kan ook met een usernaam+wachtwoord. Het verschil met WPA2 Personal is dan dat je zowel een usernaam als wachtwoord veld moet invullen dan dat bij iedere usernaam een ander wachtwoord hoort.
Met "iedere gebruiker krijgt zo een eigen versleutelde verbinding" heeft dat overigens niks te maken want dat is bij WPA2 Personal ook gewoon zo. Hooguit heb je dan meer kans om de sessiesleutel eventueel te achterhalen door het protocol te hacken.
Reageer met quote
07-10-2020, 16:02 door Tintin and Milou
Door Anoniem: Hallo, WPA-3 is er al. Zet daar nou als Nederlandse overheid in.
Al die achterhaalde manoeuvres win je onvoldoende mee.
En hoeveel hardware ondersteund dit nu precies?
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.

Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.

Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Reageer met quote
07-10-2020, 16:38 door Anoniem
Ja inderdaad wpa-3 gebruikt niemand of kan nog niemand gebruiken,nu zijn er zelfs nog mensen zie amper wifi-6 kunnen gebruiken,het staat nog in de kinderschoenen,misschien vanaf nu gemaakte apparaten kunnen dat wel ondersteunen,maar ja het meeste is nog met de oude wifi standaard en wpa2 beveiliging met een hoge codering.
Reageer met quote
07-10-2020, 16:40 door Anoniem
Door Anoniem:
Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.
Het is niet zo dat je daarvoor altijd een certificaat nodig hebt, het kan ook met een usernaam+wachtwoord. Het verschil met WPA2 Personal is dan dat je zowel een usernaam als wachtwoord veld moet invullen dan dat bij iedere usernaam een ander wachtwoord hoort.
Met "iedere gebruiker krijgt zo een eigen versleutelde verbinding" heeft dat overigens niks te maken want dat is bij WPA2 Personal ook gewoon zo. Hooguit heb je dan meer kans om de sessiesleutel eventueel te achterhalen door het protocol te hacken.
Incorrect. Je kunt bij WPA2 Personal het verkeer van de andere deelnemers inzien, bij WPA enterprise is dat per gebruiker anders versleuteld. Probeer het maar eens.
Reageer met quote
07-10-2020, 16:44 door Anoniem
Door Tintin and Milou:
Door Anoniem: Hallo, WPA-3 is er al. Zet daar nou als Nederlandse overheid in.
Al die achterhaalde manoeuvres win je onvoldoende mee.
En hoeveel hardware ondersteund dit nu precies?
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.

Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.

Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.

Maar ze zouden wel WPA-3 capable hardware kunnen inzetten en daarvoor configureren, zodat WPA-3 gebruikt kan worden wanneer wederzijds beschikbaar.
Reageer met quote
07-10-2020, 17:44 door Tintin and Milou
Door Anoniem:
Maar ze zouden wel WPA-3 capable hardware kunnen inzetten en daarvoor configureren, zodat WPA-3 gebruikt kan worden wanneer wederzijds beschikbaar.
Dat zou kunnen. Kan nog jaren duren voordat dit echt gebruikt gaat worden.

Je huidige hardware is dan misschien al verouderd en nu veel duurder en complexer om meer te zetten.

Als je dus dit voor 5 jaar gaat aanschaffen, is je hardware al afgeschreven voordat je dit echt kan of gaat gebruiken.
Momenteel is er gewoon nog heel weinig hardware beschikbaar, dat dit ondersteund. Zowel als accesspoints of als endpoint
Reageer met quote
07-10-2020, 19:34 door Password1234
Weet u nog? Bij de go-live van NLAlert werkte het eindelijk op alle netwerken. Behalve op 4G/LTE.

Ga gelijk voor moderne gast toegang:
https://en.wikipedia.org/wiki/Opportunistic_Wireless_Encryption
Ondoenlijk om iets met certificaten te gaan regelen.
Reageer met quote
07-10-2020, 21:55 door Anoniem
Door Tintin and Milou:
Door Anoniem: Hallo, WPA-3 is er al. Zet daar nou als Nederlandse overheid in.
Al die achterhaalde manoeuvres win je onvoldoende mee.
En hoeveel hardware ondersteund dit nu precies?
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.

Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.

Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Nou, daar merk ik dus niets van. Er is bij mij geen oude hardware die niet met WPA3 kan omgaan.
Alles werkt naar behoren.
Reageer met quote
08-10-2020, 08:07 door Anoniem
Door Tintin and Milou:
Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Er zijn bij de overheid wel mensen die het snappen. Zolang er maar geen politiek sausje overheen gaat of allerlei (project)belangen spelen gaat het behoorlijk goed.
Reageer met quote
08-10-2020, 08:11 door Anoniem
Door Anoniem:
Nou, daar merk ik dus niets van. Er is bij mij geen oude hardware die niet met WPA3 kan omgaan.
Alles werkt naar behoren.
'Bij mij.....' zegt al genoeg. Het maakt nogal een verschil of je met een thuis of MKB netwerkje bezig bent, of een - vaak landelijk uitgerold - enterprise netwerk. Geloof me, de netwerkspecialisten bij de overheid weten echt wel waar ze mee bezig zijn.
Reageer met quote
08-10-2020, 09:45 door Anoniem
Ach, ik maak er nu al geen gebruik van.

Door de complexiteit bij het gebruik van die netwerken te verhogen, zal het animo wel snel afnemen.
De gemiddelde gebruiker kan geen certificaten installeren.
En degenen die het wel kunnen, zullen vooral andere (snellere) netwerken gebruiken.
Reageer met quote
08-10-2020, 10:40 door Anoniem
Volgens mij moet je eerst uitleggen wat je onder gast inlog verstaat.

Een dienstverlener die op je gasten WiFi inlogt, dat lijkt me niet handig.
Maar een burger die een paspoort komt ophalen en even in de wachtruimte wil internetten, daar is een "open"gasten WiFi wel erg handig.

Ik denk dat zo het resultaat is dat overheidsinstanties het niet meer gaan aanbieden en denken gebruik je databundel maar.
Want een gasten WiFi met wisselende codes is een onuitvoerbaar lees kostbaar verhaal.

De bovenstaande opmerkingen over WPA3/WiFi6....kom op heel veel devices ondersteunen het niet, je drijft de overheid op kosten.
Bij vervanging dat je het dan eist, tuurlijk vooral doen!
Reageer met quote
08-10-2020, 17:29 door Tintin and Milou
Door Anoniem:
Nou, daar merk ik dus niets van. Er is bij mij geen oude hardware die niet met WPA3 kan omgaan.
Alles werkt naar behoren.
Das leuk, maar 99,9% van de andere gebruikers hebben dit niet. Ik zou niet eens weten of ik een device heb, wat dit zou ondersteunen. Heel misschien mijn werk laptop. Maar al mijn andere wifi devices ondersteunen dit echt niet.
Reageer met quote
11-10-2020, 23:19 door Anoniem
Door Anoniem:
Incorrect. Je kunt bij WPA2 Personal het verkeer van de andere deelnemers inzien, bij WPA enterprise is dat per gebruiker anders versleuteld. Probeer het maar eens.
Bij mijn weten heeft elke WPA2 gebruiker eigen encryption key. Alleen broadcast/multicast verkeer wordt begrijpelijk wel met generieke sleutel verstuurd,
Reageer met quote
13-10-2020, 18:21 door Briolet
Door Anoniem: Volgens mij moet je eerst uitleggen wat je onder gast inlog verstaat.

Volgens mij staat dat hierboven in de eerste alinea:

Openbare wifi-netwerken voor gasten en burgers

Dat zijn dus mensen die tijdens het wachten gebruik van het internet willen maken via de Wifi van de overheid. Vergelijkbaar met de WifiSpots van Ziggo, die ook WPA2-enterprise gebruiken.
Reageer met quote
14-10-2020, 09:55 door Anoniem
Uhmm.... hoezo zulke strenge veiligheidseisen aan een wi-fi netwerk dat Internet faciliteerd ?

Dat je niet met een WPA sleutel moet werken snap ik. Maar er zijn toch al diverse zeer goede oplossingen ?

- Scheidt het gastennetwerk totaal van je andere netwerken zodat het alleen internet toegang bied.
- Gebruik een captive portal zodat je in ieder geval een authenticatie mechanisme hebt
- Zorg dat accounts die je uitgeeft via de captive portal maar een x tijd geldig zijn

.... of wees eerlijk over het doel : dat je beter weet wie op je "gasten" wifi connect en die gebruiker kan volgen tussen de diverse overheids "gasten" netwerken en je lekker kan profilen en zo.
Reageer met quote
14-10-2020, 10:02 door Anoniem
Je gaat zo'n complexe en beheersintensieve zaak toch niet optuigen voor een beetje (gasten)Internet ? Met 4G (en 5G) zijn gastennetwerken trouwens redelijk overbodig....

Als ik in het gemeentehuis even moet wachten dan hoef ik niet op hun Wi-Fi om een beetje te facebooken, whatsappen en/of te mailen.... daar hebben ze cellular voor uitgevonden.
Reageer met quote
15-10-2020, 12:53 door Anoniem
Door Anoniem: Je gaat zo'n complexe en beheersintensieve zaak toch niet optuigen voor een beetje (gasten)Internet ? Met 4G (en 5G) zijn gastennetwerken trouwens redelijk overbodig....

Als ik in het gemeentehuis even moet wachten dan hoef ik niet op hun Wi-Fi om een beetje te facebooken, whatsappen en/of te mailen.... daar hebben ze cellular voor uitgevonden.

3G, 4G en 5G bieden elk een ander bereik en ontvangst dan WiFi. Zeker in gebouwen, met dikke muren en/of veel etages.
Al dan niet voor bezoekers of flex-werkers biedt WiFi natuurlijk een andere toegevoegde waarde dan voor degenen met toegang tot het vaste netwerk.

Ik kan me overigens zeker voorstellen dat je om verschillende reden zonder WiFi kan en/of zou willen.
In geen enkel geval van normaal gebruik doeleinde is een lage beveiliginggraad handig.
Mogelijk is WiFi in nogal wat gevallen geen wezenlijke meerwaarde, maar laat WiFi voor die gevallen dan in ieder geval wel goed beveiligd zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

5 reacties
Aantal stemmen: 349
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter