Experts willen WPA2 Enterprise verplichten voor gast-wifi overheid
Overheidsinstanties die een wifi-netwerk aanbieden zijn verplicht om dit met WPA2 Enterprise te beveiligen. Openbare wifi-netwerken voor gasten en burgers zijn echter van de verplichting uitgesloten. Iets wat volgens experts en het Forum Standaardisatie moet veranderen.
Het Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. Het stimuleert het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Het Forum onderhoudt ook de lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaardenbeleid.
Op deze lijst is WPA2 Enterprise als verplicht onderdeel van wifi-netwerken van Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector opgenomen. "Met uitzondering van openbare netwerken voor gastgebruik", zo laat de uitleg weten.
Deze zomer vroeg het Forum experts om tijdens een bijeenkomst hun mening over WPA2 Enterprise te geven en het plan om de beveiliging ook voor gast-wifi te laten gelden. Dit heeft mogelijk impact voor gebruikers, aanbieders en andere betrokkenen. De bijeenkomst vond vorige maand plaats en heeft ertoe geleid dat er nu een voorstel ligt om de standaard voor alle wifi-netwerken van overheidsinstanties te laten gelden, ook wanneer er sprake is van gast-wifi. Volgens de experts wordt hierdoor de digitale dienstverlening van overheidsorganisaties veiliger.
Bij WPA2 Enterprise zijn drie partijen betrokken: de gebruiker, de identiteitsprovider en de serviceprovider. Wanneer een gebruiker verbinding maakt met het wifi-netwerk toetst de serviceprovider op basis van de inloggegevens bij de identiteitsprovider de identiteit van de gebruiker. De identiteitsprovider kan bijvoorbeeld de organisatie van de gebruiker zijn of een externe partij.
Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.
Via Internetconsultatie.nl is het mogelijk om tot 4 november van dit jaar op het voorstel te reageren. Het Forum Standaardisatie zal de ontvangen reacties in beschouwing nemen.
Al die achterhaalde manoeuvres win je onvoldoende mee.
Staat weer wel fraai als je je digi-droom eindelijk dacht te kunnen invoeren omdat je een slag qua beveiliging van WiFi netwerken hebt gemaakt, maar je zou als kabinet moeten weten dat WPA2 qua nut al de beste tijd achter zich heeft liggen.
Je bereikt als kabinet hier effectief per saldo dus hoogstens marginaal iets mee.
Als je er al denkt iets mee te winnen door in te zetten op technieken die binnen 15 minuten alsnog te hacken zijn, doe dat dan meteen op iets waar je qua beveiliging wel echt sprongen omhoog maakt.
Kortom: voornamelijk BigBrother. Tsja...
Als iedereen zijn eigen inlogcode krijgt, is het dan nog wel een gastnetwerk? Er zal toch ergens een account aangemaakt moeten worden.
Goede reacties! Hebben jullie die ook via internetconsultatie.nl gedeeld?
Als iedereen zijn eigen inlogcode krijgt, is het dan nog wel een gastnetwerk? Er zal toch ergens een account aangemaakt moeten worden.
Gast bij de instelling die het netwerk runt waar je binnen loopt , maar gebruiker bij je thuis-honk.
Je kunt denk ik 'Eduroam' als voorbeeld zien : https://www.eduroam.nl/
Dat is binnen die context natuurlijk prima.
In de context van overheidsinstellingen die ambtenaren van een ander departement/afdeling/stad over de vloer hebben is het ook logisch.
Maar in de context van 'echte' gasten - binnenlopend bezoek/burgers die voor de een of andere aanvraag bij de overheid moeten zijn : dan is wel het erg prettig als er een 'normaal' gast netwerk is.
Met "iedere gebruiker krijgt zo een eigen versleutelde verbinding" heeft dat overigens niks te maken want dat is bij WPA2 Personal ook gewoon zo. Hooguit heb je dan meer kans om de sessiesleutel eventueel te achterhalen door het protocol te hacken.
Al die achterhaalde manoeuvres win je onvoldoende mee.
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.
Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.
Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Met "iedere gebruiker krijgt zo een eigen versleutelde verbinding" heeft dat overigens niks te maken want dat is bij WPA2 Personal ook gewoon zo. Hooguit heb je dan meer kans om de sessiesleutel eventueel te achterhalen door het protocol te hacken.
Al die achterhaalde manoeuvres win je onvoldoende mee.
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.
Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.
Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Maar ze zouden wel WPA-3 capable hardware kunnen inzetten en daarvoor configureren, zodat WPA-3 gebruikt kan worden wanneer wederzijds beschikbaar.
Maar ze zouden wel WPA-3 capable hardware kunnen inzetten en daarvoor configureren, zodat WPA-3 gebruikt kan worden wanneer wederzijds beschikbaar.
Je huidige hardware is dan misschien al verouderd en nu veel duurder en complexer om meer te zetten.
Als je dus dit voor 5 jaar gaat aanschaffen, is je hardware al afgeschreven voordat je dit echt kan of gaat gebruiken.
Momenteel is er gewoon nog heel weinig hardware beschikbaar, dat dit ondersteund. Zowel als accesspoints of als endpoint
Ga gelijk voor moderne gast toegang:
https://en.wikipedia.org/wiki/Opportunistic_Wireless_Encryption
Ondoenlijk om iets met certificaten te gaan regelen.
Al die achterhaalde manoeuvres win je onvoldoende mee.
Er is nog maar heel weinig hardware dat dit echt ondersteund, zowel op de accesspoints als de wifi devices.
Leuk als men wpa-3 zou gebruiken, maar bijna niemand kan dit gebruiken.
Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Alles werkt naar behoren.
Je zou bijna denken, dat ze daar beter over nagedacht hebben, dan deze anoniem. Je moet wel iets bouwen, wat de burgers kunnen gebruiken.
Nou, daar merk ik dus niets van. Er is bij mij geen oude hardware die niet met WPA3 kan omgaan.
Alles werkt naar behoren.
Door de complexiteit bij het gebruik van die netwerken te verhogen, zal het animo wel snel afnemen.
De gemiddelde gebruiker kan geen certificaten installeren.
En degenen die het wel kunnen, zullen vooral andere (snellere) netwerken gebruiken.
Een dienstverlener die op je gasten WiFi inlogt, dat lijkt me niet handig.
Maar een burger die een paspoort komt ophalen en even in de wachtruimte wil internetten, daar is een "open"gasten WiFi wel erg handig.
Ik denk dat zo het resultaat is dat overheidsinstanties het niet meer gaan aanbieden en denken gebruik je databundel maar.
Want een gasten WiFi met wisselende codes is een onuitvoerbaar lees kostbaar verhaal.
De bovenstaande opmerkingen over WPA3/WiFi6....kom op heel veel devices ondersteunen het niet, je drijft de overheid op kosten.
Bij vervanging dat je het dan eist, tuurlijk vooral doen!
Nou, daar merk ik dus niets van. Er is bij mij geen oude hardware die niet met WPA3 kan omgaan.
Alles werkt naar behoren.
Incorrect. Je kunt bij WPA2 Personal het verkeer van de andere deelnemers inzien, bij WPA enterprise is dat per gebruiker anders versleuteld. Probeer het maar eens.
Volgens mij staat dat hierboven in de eerste alinea:
Dat zijn dus mensen die tijdens het wachten gebruik van het internet willen maken via de Wifi van de overheid. Vergelijkbaar met de WifiSpots van Ziggo, die ook WPA2-enterprise gebruiken.
Dat je niet met een WPA sleutel moet werken snap ik. Maar er zijn toch al diverse zeer goede oplossingen ?
- Scheidt het gastennetwerk totaal van je andere netwerken zodat het alleen internet toegang bied.
- Gebruik een captive portal zodat je in ieder geval een authenticatie mechanisme hebt
- Zorg dat accounts die je uitgeeft via de captive portal maar een x tijd geldig zijn
.... of wees eerlijk over het doel : dat je beter weet wie op je "gasten" wifi connect en die gebruiker kan volgen tussen de diverse overheids "gasten" netwerken en je lekker kan profilen en zo.
Als ik in het gemeentehuis even moet wachten dan hoef ik niet op hun Wi-Fi om een beetje te facebooken, whatsappen en/of te mailen.... daar hebben ze cellular voor uitgevonden.
Als ik in het gemeentehuis even moet wachten dan hoef ik niet op hun Wi-Fi om een beetje te facebooken, whatsappen en/of te mailen.... daar hebben ze cellular voor uitgevonden.
3G, 4G en 5G bieden elk een ander bereik en ontvangst dan WiFi. Zeker in gebouwen, met dikke muren en/of veel etages.
Al dan niet voor bezoekers of flex-werkers biedt WiFi natuurlijk een andere toegevoegde waarde dan voor degenen met toegang tot het vaste netwerk.
Ik kan me overigens zeker voorstellen dat je om verschillende reden zonder WiFi kan en/of zou willen.
In geen enkel geval van normaal gebruik doeleinde is een lage beveiliginggraad handig.
Mogelijk is WiFi in nogal wat gevallen geen wezenlijke meerwaarde, maar laat WiFi voor die gevallen dan in ieder geval wel goed beveiligd zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.