image

Landelijke wifi voor ambtenaren govroam krijgt gastentoegang

woensdag 31 maart 2021, 11:55 door Redactie, 22 reacties
Laatst bijgewerkt: 31-03-2021, 14:21

Govroam, het landelijke wifi-netwerk voor ambtenaren, is vanaf morgen ook toegankelijk voor gasten van overheidsorganisaties. Stichting govroam lanceert dan namelijk een nieuwe dienst genaamd govguest. Govroam staat voor 'government roaming' en wordt beheerd door de gelijknamige stichting.

Het initiatief startte eind 2014 in navolging van Eduroam in het onderwijs dat werd ontwikkeld door SURFnet. Met govroam kunnen overheidsorganisaties zoals gemeenten, ministeries en waterschappen hun wifi-netwerken op confederatieve basis met elkaar te delen. Hierbij wordt de eigen netwerkinfrastructuur gekoppeld aan de govroam-nfrastructuur. Voor authenticatie en encryptie maakt govroam gebruik van een combinatie van technieken en protocollen, waaronder WPA3 Enterprise en decentrale authenticatie. Voor medewerkers van aangesloten organisaties betekent dit dat zij, ook wanneer zij buiten hun eigen organisatie werken, beveiligd toegang krijgen tot het netwerk.

Met govguest wordt govroam ook toegankelijk voor gasten van overheidsorganisaties. Eindgebruikers van govroam kunnen op een webportal van govroam inloggen en daar een wifi-account voor hun gast aanmaken. De govguest-software genereert een tijdelijk wifi-account en wachtwoord, dat in de zogenaamde gastendatabase wordt gezet. De govguest RADIUS-server zal deze database opvragen wanneer de gast op het govroam wifi-netwerk van de betreffende overheidsorganisatie wil inloggen.

De inloggegevens ontvangt de gast via e-mail of sms. Zodra het account verloopt, meestal na één dag, wordt het uit de gastendatabase verwijderd en kan het betreffende gastaccount niet meer worden gebruikt. Alle onderdelen van de dienst draaien bij een Nederlandse hostingprovider en in een Nederlands datacenter.

Reacties (22)
31-03-2021, 12:09 door Anoniem
What could possibly go wrong? Toen ik nog netwerkbeheerder was bij een semi-overheids toko hadden we om elk risico uit te sluiten een aparte internetverbinding + wifi voor gasten. Daarmee was het uitgesloten dat er per ongeluk een gast op het interne netwerk kon komen.

Hoe kritiek is deze wifi mogelijkheid? Als handige Harry de Radius server om zeep helpt kan de ambtenaar dan nog werken?
31-03-2021, 12:14 door Anoniem
En dan GovQuest op de landingspagina?
31-03-2021, 12:39 door Anoniem
SMS ja? Anno 2021? Kom op jongens...
31-03-2021, 12:53 door Anoniem
Slim systeem, vraag me af hoe goed dit werkt in de praktijk (ben oprecht benieuwd).
31-03-2021, 12:59 door Anoniem
1 april :)
31-03-2021, 13:04 door Anoniem
Door Anoniem: What could possibly go wrong? Toen ik nog netwerkbeheerder was bij een semi-overheids toko hadden we om elk risico uit te sluiten een aparte internetverbinding + wifi voor gasten. Daarmee was het uitgesloten dat er per ongeluk een gast op het interne netwerk kon komen.
Interessant, maar niet erg relevant voor dit onderwerp lijkt me. Dit gaat over de authenticatie van je gasten, niet over de internet verbinding!

Hoe kritiek is deze wifi mogelijkheid? Als handige Harry de Radius server om zeep helpt kan de ambtenaar dan nog werken?
De ambtenaar werkt er al mee en kennelijk functioneert dat. Dit gaat over gasten.
31-03-2021, 13:59 door Anoniem
Govroam werkt met een centrale authenticatieserver waarop de wifi-netwerken van deelnemende organisaties zijn aangesloten
Onjuist. Govroam werkt met decentrale authenticatieservers. Je identificatie/authenticatie wordt via een centraal govroam component naar de juiste authenticatieserver gerouteerd, waar je je account van hebt gekregen.
31-03-2021, 14:27 door Anoniem
Door Anoniem: SMS ja? Anno 2021? Kom op jongens...

e-mail of SMS .

Wat stel je voor dat NOG universeler is ?
31-03-2021, 14:31 door Anoniem
Door Anoniem: Slim systeem, vraag me af hoe goed dit werkt in de praktijk (ben oprecht benieuwd).

Als het een kopie is van eduroam - waarschijnlijk wel goed.

De (enkele) keren dat ik gast was in een eduroam omgeving werkte dat model prima.

De kwaliteit van het wifi/radio netwerk is gewoon afhankelijk van hoe goed een lokatie-organisatie dat heeft ingericht.
Het verhaal slaat puur op het roamen (authenticatie ) van 'eigen' gebruikers en het mogelijk maken van generiek gastgebruik.
31-03-2021, 14:38 door Anoniem
Door Anoniem:
Door Anoniem: What could possibly go wrong? Toen ik nog netwerkbeheerder was bij een semi-overheids toko hadden we om elk risico uit te sluiten een aparte internetverbinding + wifi voor gasten. Daarmee was het uitgesloten dat er per ongeluk een gast op het interne netwerk kon komen.
Interessant, maar niet erg relevant voor dit onderwerp lijkt me. Dit gaat over de authenticatie van je gasten, niet over de internet verbinding!

Hoe kritiek is deze wifi mogelijkheid? Als handige Harry de Radius server om zeep helpt kan de ambtenaar dan nog werken?
De ambtenaar werkt er al mee en kennelijk functioneert dat. Dit gaat over gasten.

Mijn post is in zo ver relevant dat het wellicht slimmer is om gasten niet te mengen met de ambtenaren op hetzelfde fysieke netwerk, dus een duurdere fysieke scheiding om meer veiligheid te houden.

Zie de volgende regel uit het artikel: "Met govguest wordt govroam ook toegankelijk voor gasten van overheidsorganisaties."
Natuurlijk zal een gast afgeschermd/gelimiteerd zijn en niet alles zien en kunnen als ambtenaren maar het netwerk is hetzelfde. Een configuratie fout, vulnerability of zelfs een simple DoS vector kan daarmee potentieel ook de ambtenaren raken.
31-03-2021, 15:36 door Anoniem
Door Anoniem:
Mijn post is in zo ver relevant dat het wellicht slimmer is om gasten niet te mengen met de ambtenaren op hetzelfde fysieke netwerk, dus een duurdere fysieke scheiding om meer veiligheid te houden.

Zie de volgende regel uit het artikel: "Met govguest wordt govroam ook toegankelijk voor gasten van overheidsorganisaties."
Natuurlijk zal een gast afgeschermd/gelimiteerd zijn en niet alles zien en kunnen als ambtenaren maar het netwerk is hetzelfde. Een configuratie fout, vulnerability of zelfs een simple DoS vector kan daarmee potentieel ook de ambtenaren raken.

Ok maar dat is dan dus meer een generiek "ik denk niet dat de overheid netwerken kan beheren, zeker niet zo goed als
dat ik dat zelf kan, dus is er een flinke kans dat dit mis gaat" comment.

Met het govroam mechanisme heeft dat niks te maken, sterker nog, het feit dat het zo werkt als beschreven geeft aan dat
men hier wel over heeft nagedacht, want in een dergelijke setup kun je de RADIUS server laten aangeven op welk netwerk
de gebruiker terecht moet komen en een scheiding aanbrengen tussen diverse soorten gebruik, zelfs nog in de toekomst
die scheiding aanpassen als dat nodig of nuttig blijkt te zijn.
Als je gewoon een WPA2-PSK WiFi netwerk hebt met een SSID en wachtwoord wat iedereen gebruikt is dat allemaal
veel moeilijker of onmogelijk. Dus wat dat betreft is het beter geregeld dan je misschien denkt.
31-03-2021, 15:48 door Anoniem
Let op: alleen voor zakelijke bezoekers. Dus niet voor Henk en Ingrid die een paspoort komen ophalen of gesprek hebben met de trouwambtenaar.
31-03-2021, 16:05 door Anoniem
Lekker bezig. Doen ze dit om de aanvals factoren te verminderen?


Ach zolang de wachtwoorden aan de beeldschermen hangen bij de overheid maak ik mij geen illusies.

En heb ik geen gastaccount nodig.
31-03-2021, 16:17 door Anoniem
Door Anoniem: Let op: alleen voor zakelijke bezoekers. Dus niet voor Henk en Ingrid die een paspoort komen ophalen of gesprek hebben met de trouwambtenaar.

Daarvoor gebruiken diverse gemeenten publicroam, zoals Amsterdam, Alkmaar, Rotterdam, Den Haag, etc.
31-03-2021, 21:29 door Anoniem
Door Anoniem: Let op: alleen voor zakelijke bezoekers. Dus niet voor Henk en Ingrid die een paspoort komen ophalen of gesprek hebben met de trouwambtenaar.
Lmao, ach ja je moet wat pesten als overheid.
31-03-2021, 21:35 door Anoniem
Door Anoniem:
Door Anoniem: Slim systeem, vraag me af hoe goed dit werkt in de praktijk (ben oprecht benieuwd).

Als het een kopie is van eduroam - waarschijnlijk wel goed.

De (enkele) keren dat ik gast was in een eduroam omgeving werkte dat model prima.

De kwaliteit van het wifi/radio netwerk is gewoon afhankelijk van hoe goed een lokatie-organisatie dat heeft ingericht.
Het verhaal slaat puur op het roamen (authenticatie ) van 'eigen' gebruikers en het mogelijk maken van generiek gastgebruik.
Mja daar kan ik me iets bij voorstellen. Als iemand een cheapskate wps capable wifi access-point heeft hangen met een niet vervangbare 8 cijferige backdoor pin (zoals 90% van de nederlandse serviceprovider huis tuin en keuken routers, retards dat het zijn, lekker "veilig" thuiswerken.), dan houd het gouw op. Athans, ik heb nog nooit een cert/radius based wifi netwerk mogen pentesten!

- RAMLETHAL
01-04-2021, 11:12 door Anoniem
Door Anoniem: What could possibly go wrong? Toen ik nog netwerkbeheerder was bij een semi-overheids toko hadden we om elk risico uit te sluiten een aparte internetverbinding + wifi voor gasten. Daarmee was het uitgesloten dat er per ongeluk een gast op het interne netwerk kon komen.

Hoe kritiek is deze wifi mogelijkheid? Als handige Harry de Radius server om zeep helpt kan de ambtenaar dan nog werken?

Govroam is NIET het interne netwerk. Bij ons (een grote overheidsorganisatie) zijn die netwerken strikt gescheiden.
01-04-2021, 12:21 door Anoniem
Door Anoniem:
Door Anoniem: What could possibly go wrong? Toen ik nog netwerkbeheerder was bij een semi-overheids toko hadden we om elk risico uit te sluiten een aparte internetverbinding + wifi voor gasten. Daarmee was het uitgesloten dat er per ongeluk een gast op het interne netwerk kon komen.

Hoe kritiek is deze wifi mogelijkheid? Als handige Harry de Radius server om zeep helpt kan de ambtenaar dan nog werken?

Govroam is NIET het interne netwerk. Bij ons (een grote overheidsorganisatie) zijn die netwerken strikt gescheiden.

Dat is wel logisch - dat iemand een aangemelde bezoeker van *elders* is, betekent nog lang niet dat die dus toegang tot het _interne_ netwerk moet hebben van de organisatie waar hij/zij op bezoek is.
Zelfs niet als het ook een ambtenaar van buiten de eigen organisatie is.

Wat krijg je eigenlijk wel als govroam gast , extern dan wel 'niet-lokale govroam' ?
Is het gewoon een gasten-internet (met nette aanvraag/expiry etc) voor externe (niet-govroam) bezoekers
, en automatisch bruikbaar voor bezoekers die van een andere govroam-gebruikende organisatie zijn ?
01-04-2021, 12:21 door Anoniem
Door Anoniem:
Door Anoniem: Let op: alleen voor zakelijke bezoekers. Dus niet voor Henk en Ingrid die een paspoort komen ophalen of gesprek hebben met de trouwambtenaar.

Daarvoor gebruiken diverse gemeenten publicroam, zoals Amsterdam, Alkmaar, Rotterdam, Den Haag, etc.
De naam doet suggereren dat dit een publieke voorziening is, maar dit is gewoon een commerciële aanbieder. Die verdient hier grof geld aan met een jaarlijks abonnementsmodel. Het enige wat ze hiervoor doen is het aanbieden van een RADIUS-server en wat implementatiehulp. De publieke instantie moet zelf hardware aanschaffen en beheren.
02-04-2021, 22:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Let op: alleen voor zakelijke bezoekers. Dus niet voor Henk en Ingrid die een paspoort komen ophalen of gesprek hebben met de trouwambtenaar.

Daarvoor gebruiken diverse gemeenten publicroam, zoals Amsterdam, Alkmaar, Rotterdam, Den Haag, etc.
De naam doet suggereren dat dit een publieke voorziening is, maar dit is gewoon een commerciële aanbieder. Die verdient hier grof geld aan met een jaarlijks abonnementsmodel. Het enige wat ze hiervoor doen is het aanbieden van een RADIUS-server en wat implementatiehulp. De publieke instantie moet zelf hardware aanschaffen en beheren.
Ja en?
05-04-2021, 23:41 door Anoniem
Kan onze Nederlandse overheid eens stoppen met het gebruik van onnodig Engelse terminologie? Dit rijst de pan uit.
21-04-2021, 14:08 door Anoniem
Door Anoniem: Kan onze Nederlandse overheid eens stoppen met het gebruik van onnodig Engelse terminologie? Dit rijst de pan uit.

Het is een overheidssmaak van EduRoam.

EduRoam is een internationaal netwerk.
Op luchthaven Arlande in Stockholm begon ooit mijn tablet plotseling mail binnen te halen, doordat deze zich kon aanmelden op de daar aanwezige EduRoam omgeving... niet gek dat er geen Nederlandstalige naam voor is toch, in Zweden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.