image

Experts willen WPA2 Enterprise verplichten voor gast-wifi overheid

woensdag 7 oktober 2020, 14:22 door Redactie, 25 reacties

Overheidsinstanties die een wifi-netwerk aanbieden zijn verplicht om dit met WPA2 Enterprise te beveiligen. Openbare wifi-netwerken voor gasten en burgers zijn echter van de verplichting uitgesloten. Iets wat volgens experts en het Forum Standaardisatie moet veranderen.

Het Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. Het stimuleert het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Het Forum onderhoudt ook de lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaardenbeleid.

Op deze lijst is WPA2 Enterprise als verplicht onderdeel van wifi-netwerken van Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector opgenomen. "Met uitzondering van openbare netwerken voor gastgebruik", zo laat de uitleg weten.

Deze zomer vroeg het Forum experts om tijdens een bijeenkomst hun mening over WPA2 Enterprise te geven en het plan om de beveiliging ook voor gast-wifi te laten gelden. Dit heeft mogelijk impact voor gebruikers, aanbieders en andere betrokkenen. De bijeenkomst vond vorige maand plaats en heeft ertoe geleid dat er nu een voorstel ligt om de standaard voor alle wifi-netwerken van overheidsinstanties te laten gelden, ook wanneer er sprake is van gast-wifi. Volgens de experts wordt hierdoor de digitale dienstverlening van overheidsorganisaties veiliger.

Bij WPA2 Enterprise zijn drie partijen betrokken: de gebruiker, de identiteitsprovider en de serviceprovider. Wanneer een gebruiker verbinding maakt met het wifi-netwerk toetst de serviceprovider op basis van de inloggegevens bij de identiteitsprovider de identiteit van de gebruiker. De identiteitsprovider kan bijvoorbeeld de organisatie van de gebruiker zijn of een externe partij.

Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.

Via Internetconsultatie.nl is het mogelijk om tot 4 november van dit jaar op het voorstel te reageren. Het Forum Standaardisatie zal de ontvangen reacties in beschouwing nemen.

Reacties (25)
07-10-2020, 14:43 door Anoniem
Waarmee het idee van een "gastennetwerk" volledig wordt losgelaten. Je hebt het hier over een netwerk met een gedelegeerde (externe) identity provider, geen guest netwerk. Hoe had deze club het uitrollen van certificaten naar alle burgers toe voor zich gezien? Zet dan gewoon die guest netwerken uit, dat heeft netto nagenoeg hetzelfde effect.
07-10-2020, 14:46 door Anoniem
Hallo, WPA-3 is er al. Zet daar nou als Nederlandse overheid in.
Al die achterhaalde manoeuvres win je onvoldoende mee.
Staat weer wel fraai als je je digi-droom eindelijk dacht te kunnen invoeren omdat je een slag qua beveiliging van WiFi netwerken hebt gemaakt, maar je zou als kabinet moeten weten dat WPA2 qua nut al de beste tijd achter zich heeft liggen.
Je bereikt als kabinet hier effectief per saldo dus hoogstens marginaal iets mee.

Als je er al denkt iets mee te winnen door in te zetten op technieken die binnen 15 minuten alsnog te hacken zijn, doe dat dan meteen op iets waar je qua beveiliging wel echt sprongen omhoog maakt.
07-10-2020, 15:08 door Anoniem
Goed, het doel is dus uitsluitend om achteraf terug te kunnen vinden wie wat gedaan heeft.
Kortom: voornamelijk BigBrother. Tsja...
07-10-2020, 15:20 door Briolet
Er is geen gedeeld wifi-wachtwoord.

Als iedereen zijn eigen inlogcode krijgt, is het dan nog wel een gastnetwerk? Er zal toch ergens een account aangemaakt moeten worden.
07-10-2020, 15:41 door Anoniem
Total control is the buzz word.
07-10-2020, 15:42 door Anoniem
Door Anoniem: Waarmee het idee van een "gastennetwerk" volledig wordt losgelaten. Je hebt het hier over een netwerk met een gedelegeerde (externe) identity provider, geen guest netwerk. Hoe had deze club het uitrollen van certificaten naar alle burgers toe voor zich gezien? Zet dan gewoon die guest netwerken uit, dat heeft netto nagenoeg hetzelfde effect.

Goede reacties! Hebben jullie die ook via internetconsultatie.nl gedeeld?
07-10-2020, 15:46 door Anoniem
Door Briolet:
Er is geen gedeeld wifi-wachtwoord.

Als iedereen zijn eigen inlogcode krijgt, is het dan nog wel een gastnetwerk? Er zal toch ergens een account aangemaakt moeten worden.

Gast bij de instelling die het netwerk runt waar je binnen loopt , maar gebruiker bij je thuis-honk.
Je kunt denk ik 'Eduroam' als voorbeeld zien : https://www.eduroam.nl/
Dat is binnen die context natuurlijk prima.

In de context van overheidsinstellingen die ambtenaren van een ander departement/afdeling/stad over de vloer hebben is het ook logisch.

Maar in de context van 'echte' gasten - binnenlopend bezoek/burgers die voor de een of andere aanvraag bij de overheid moeten zijn : dan is wel het erg prettig als er een 'normaal' gast netwerk is.
07-10-2020, 15:52 door Anoniem
Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.
Het is niet zo dat je daarvoor altijd een certificaat nodig hebt, het kan ook met een usernaam+wachtwoord. Het verschil met WPA2 Personal is dan dat je zowel een usernaam als wachtwoord veld moet invullen dan dat bij iedere usernaam een ander wachtwoord hoort.
Met "iedere gebruiker krijgt zo een eigen versleutelde verbinding" heeft dat overigens niks te maken want dat is bij WPA2 Personal ook gewoon zo. Hooguit heb je dan meer kans om de sessiesleutel eventueel te achterhalen door het protocol te hacken.
07-10-2020, 16:02 door Tintin and Milou
Door Anoniem: Hallo, WPA-3 is er al. Zet daar nou als Nederlandse overheid in.
Al die achterhaalde manoeuvres win je onvoldoende mee.
En hoeveel hardware ondersteund dit nu precies?
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.

Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.

Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
07-10-2020, 16:38 door Anoniem
Ja inderdaad wpa-3 gebruikt niemand of kan nog niemand gebruiken,nu zijn er zelfs nog mensen zie amper wifi-6 kunnen gebruiken,het staat nog in de kinderschoenen,misschien vanaf nu gemaakte apparaten kunnen dat wel ondersteunen,maar ja het meeste is nog met de oude wifi standaard en wpa2 beveiliging met een hoge codering.
07-10-2020, 16:40 door Anoniem
Door Anoniem:
Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.
Het is niet zo dat je daarvoor altijd een certificaat nodig hebt, het kan ook met een usernaam+wachtwoord. Het verschil met WPA2 Personal is dan dat je zowel een usernaam als wachtwoord veld moet invullen dan dat bij iedere usernaam een ander wachtwoord hoort.
Met "iedere gebruiker krijgt zo een eigen versleutelde verbinding" heeft dat overigens niks te maken want dat is bij WPA2 Personal ook gewoon zo. Hooguit heb je dan meer kans om de sessiesleutel eventueel te achterhalen door het protocol te hacken.
Incorrect. Je kunt bij WPA2 Personal het verkeer van de andere deelnemers inzien, bij WPA enterprise is dat per gebruiker anders versleuteld. Probeer het maar eens.
07-10-2020, 16:44 door Anoniem
Door Tintin and Milou:
Door Anoniem: Hallo, WPA-3 is er al. Zet daar nou als Nederlandse overheid in.
Al die achterhaalde manoeuvres win je onvoldoende mee.
En hoeveel hardware ondersteund dit nu precies?
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.

Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.

Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.

Maar ze zouden wel WPA-3 capable hardware kunnen inzetten en daarvoor configureren, zodat WPA-3 gebruikt kan worden wanneer wederzijds beschikbaar.
07-10-2020, 17:44 door Tintin and Milou
Door Anoniem:
Maar ze zouden wel WPA-3 capable hardware kunnen inzetten en daarvoor configureren, zodat WPA-3 gebruikt kan worden wanneer wederzijds beschikbaar.
Dat zou kunnen. Kan nog jaren duren voordat dit echt gebruikt gaat worden.

Je huidige hardware is dan misschien al verouderd en nu veel duurder en complexer om meer te zetten.

Als je dus dit voor 5 jaar gaat aanschaffen, is je hardware al afgeschreven voordat je dit echt kan of gaat gebruiken.
Momenteel is er gewoon nog heel weinig hardware beschikbaar, dat dit ondersteund. Zowel als accesspoints of als endpoint
07-10-2020, 19:34 door Password1234
Weet u nog? Bij de go-live van NLAlert werkte het eindelijk op alle netwerken. Behalve op 4G/LTE.

Ga gelijk voor moderne gast toegang:
https://en.wikipedia.org/wiki/Opportunistic_Wireless_Encryption
Ondoenlijk om iets met certificaten te gaan regelen.
07-10-2020, 21:55 door Anoniem
Door Tintin and Milou:
Door Anoniem: Hallo, WPA-3 is er al. Zet daar nou als Nederlandse overheid in.
Al die achterhaalde manoeuvres win je onvoldoende mee.
En hoeveel hardware ondersteund dit nu precies?
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.

Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.

Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Nou, daar merk ik dus niets van. Er is bij mij geen oude hardware die niet met WPA3 kan omgaan.
Alles werkt naar behoren.
08-10-2020, 08:07 door Anoniem
Door Tintin and Milou:
Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Er zijn bij de overheid wel mensen die het snappen. Zolang er maar geen politiek sausje overheen gaat of allerlei (project)belangen spelen gaat het behoorlijk goed.
08-10-2020, 08:11 door Anoniem
Door Anoniem:
Nou, daar merk ik dus niets van. Er is bij mij geen oude hardware die niet met WPA3 kan omgaan.
Alles werkt naar behoren.
'Bij mij.....' zegt al genoeg. Het maakt nogal een verschil of je met een thuis of MKB netwerkje bezig bent, of een - vaak landelijk uitgerold - enterprise netwerk. Geloof me, de netwerkspecialisten bij de overheid weten echt wel waar ze mee bezig zijn.
08-10-2020, 09:45 door Anoniem
Ach, ik maak er nu al geen gebruik van.

Door de complexiteit bij het gebruik van die netwerken te verhogen, zal het animo wel snel afnemen.
De gemiddelde gebruiker kan geen certificaten installeren.
En degenen die het wel kunnen, zullen vooral andere (snellere) netwerken gebruiken.
08-10-2020, 10:40 door Anoniem
Volgens mij moet je eerst uitleggen wat je onder gast inlog verstaat.

Een dienstverlener die op je gasten WiFi inlogt, dat lijkt me niet handig.
Maar een burger die een paspoort komt ophalen en even in de wachtruimte wil internetten, daar is een "open"gasten WiFi wel erg handig.

Ik denk dat zo het resultaat is dat overheidsinstanties het niet meer gaan aanbieden en denken gebruik je databundel maar.
Want een gasten WiFi met wisselende codes is een onuitvoerbaar lees kostbaar verhaal.

De bovenstaande opmerkingen over WPA3/WiFi6....kom op heel veel devices ondersteunen het niet, je drijft de overheid op kosten.
Bij vervanging dat je het dan eist, tuurlijk vooral doen!
08-10-2020, 17:29 door Tintin and Milou
Door Anoniem:
Nou, daar merk ik dus niets van. Er is bij mij geen oude hardware die niet met WPA3 kan omgaan.
Alles werkt naar behoren.
Das leuk, maar 99,9% van de andere gebruikers hebben dit niet. Ik zou niet eens weten of ik een device heb, wat dit zou ondersteunen. Heel misschien mijn werk laptop. Maar al mijn andere wifi devices ondersteunen dit echt niet.
11-10-2020, 23:19 door Anoniem
Door Anoniem:
Incorrect. Je kunt bij WPA2 Personal het verkeer van de andere deelnemers inzien, bij WPA enterprise is dat per gebruiker anders versleuteld. Probeer het maar eens.
Bij mijn weten heeft elke WPA2 gebruiker eigen encryption key. Alleen broadcast/multicast verkeer wordt begrijpelijk wel met generieke sleutel verstuurd,
13-10-2020, 18:21 door Briolet
Door Anoniem: Volgens mij moet je eerst uitleggen wat je onder gast inlog verstaat.

Volgens mij staat dat hierboven in de eerste alinea:

Openbare wifi-netwerken voor gasten en burgers

Dat zijn dus mensen die tijdens het wachten gebruik van het internet willen maken via de Wifi van de overheid. Vergelijkbaar met de WifiSpots van Ziggo, die ook WPA2-enterprise gebruiken.
14-10-2020, 09:55 door Anoniem
Uhmm.... hoezo zulke strenge veiligheidseisen aan een wi-fi netwerk dat Internet faciliteerd ?

Dat je niet met een WPA sleutel moet werken snap ik. Maar er zijn toch al diverse zeer goede oplossingen ?

- Scheidt het gastennetwerk totaal van je andere netwerken zodat het alleen internet toegang bied.
- Gebruik een captive portal zodat je in ieder geval een authenticatie mechanisme hebt
- Zorg dat accounts die je uitgeeft via de captive portal maar een x tijd geldig zijn

.... of wees eerlijk over het doel : dat je beter weet wie op je "gasten" wifi connect en die gebruiker kan volgen tussen de diverse overheids "gasten" netwerken en je lekker kan profilen en zo.
14-10-2020, 10:02 door Anoniem
Je gaat zo'n complexe en beheersintensieve zaak toch niet optuigen voor een beetje (gasten)Internet ? Met 4G (en 5G) zijn gastennetwerken trouwens redelijk overbodig....

Als ik in het gemeentehuis even moet wachten dan hoef ik niet op hun Wi-Fi om een beetje te facebooken, whatsappen en/of te mailen.... daar hebben ze cellular voor uitgevonden.
15-10-2020, 12:53 door Anoniem
Door Anoniem: Je gaat zo'n complexe en beheersintensieve zaak toch niet optuigen voor een beetje (gasten)Internet ? Met 4G (en 5G) zijn gastennetwerken trouwens redelijk overbodig....

Als ik in het gemeentehuis even moet wachten dan hoef ik niet op hun Wi-Fi om een beetje te facebooken, whatsappen en/of te mailen.... daar hebben ze cellular voor uitgevonden.

3G, 4G en 5G bieden elk een ander bereik en ontvangst dan WiFi. Zeker in gebouwen, met dikke muren en/of veel etages.
Al dan niet voor bezoekers of flex-werkers biedt WiFi natuurlijk een andere toegevoegde waarde dan voor degenen met toegang tot het vaste netwerk.

Ik kan me overigens zeker voorstellen dat je om verschillende reden zonder WiFi kan en/of zou willen.
In geen enkel geval van normaal gebruik doeleinde is een lage beveiliginggraad handig.
Mogelijk is WiFi in nogal wat gevallen geen wezenlijke meerwaarde, maar laat WiFi voor die gevallen dan in ieder geval wel goed beveiligd zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.