WPA2 Enterprise niet verplicht voor wifi-gastnetwerk overheden
Overheidsinstanties die een wifi-gastnetwerk aanbieden zijn niet verplicht om van WPA2 Enterprise gebruik te maken. Dat is de uitkomst van expertonderzoek, een publieke internetconsultatie en aanvullend onderzoek. Wanneer overheidsinstanties een wifi-netwerk aanbieden zijn ze verplicht om dit met WPA2 Enterprise te beveiligen. Deze standaard specificeert de beveiligingsmechanismen voor het tot stand brengen van toegang tot een wifi-netwerk.
Bij WPA2 Enterprise zijn drie partijen betrokken: de gebruiker, de identiteitsprovider en de serviceprovider. Wanneer een gebruiker verbinding maakt met het wifi-netwerk toetst de serviceprovider op basis van de inloggegevens bij de identiteitsprovider de identiteit van de gebruiker. De identiteitsprovider kan bijvoorbeeld de organisatie van de gebruiker zijn of een externe partij.
Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.
WPA2 Enterprise staat sinds 2016 op de 'pas toe of leg uit'-lijst van het Forum Standaardisatie. Deze lijst bevat de verplichte open standaarden voor de publieke sector. Op de lijst is WPA2 Enterprise als verplicht onderdeel van wifi-netwerken van Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector opgenomen. "Met uitzondering van openbare netwerken voor gastgebruik", zo laat de uitleg weten.
In mei 2020 dienden de Stichting Privacy First en Publicroam een verzoek in om de uitzondering voor gastnetwerken uit het functioneel toepassingsgebied te laten vallen. Daarop volgden een expertonderzoek, een publieke internetconsultatie en een vervolgonderzoek. Hieruit kwam naar voren dat er onvoldoende draagvlak bij de overheid is voor het verplichten van WPA2 Enterprise voor openbare gastnetwerken.
Bezwaar
Stichting Privacy First en Publicroam tekenden bezwaar aan tegen het uitgevoerde vervolgonderzoek en het negatieve conceptadvies van het Forum Standaardisatie. Ze vonden dat er een betere afweging moest worden gemaakt tussen de technische uitdagingen en het maatschappelijke belang van veilig wifi in openbare ruimten op basis van een open standaard. "Hierbij moet worden aangetekend dat Publicroam als aanbieder van Identity Provider diensten commercieel belang kan hebben bij het verplichten van WPA2 Enterprise voor gastnetwerken", aldus het Forum Standaardisatie in een notitie (pdf).
Dat adviseert inmiddels op de eigen website om ook openbare wifi-netwerken voor gastgebruik altijd op een veilige manier aan te bieden. "Denk bijvoorbeeld aan de openbare gastnetwerken bij de balie van rijksdiensten en gemeenten. Hoewel WPA2 Enterprise niet verplicht hoeft worden toegepast op openbare WiFi gastnetwerken, beveelt Forum Standaardisatie WPA2 Enterprise standaard ook voor deze toepassing aan."
Wel worden koepelorganisaties opgeroepen om duidelijke voorwaarden op te stellen waaraan leveranciers van authenticatiemechanismen voor wifi-netwerken met WPA2 Enterprise moeten voldoen. Het gaat met name om afspraken over privacy, leveranciersonafhankelijkheid en interoperabiliteit.
verbinding te installeren op een device. CA certificaat op de een of andere manier downloaden en installeren, Client
certificaat idem als je dat gebruikt (ipv usernaam/password), WiFi verbinding maken met veel meer parameters, geen
standaard voor QR code om deze in een keer te installeren dus allemaal typewerk om het in orde te krijgen.
De acceptatie zal ongetwijfeld veel beter worden als dit proces gestroomlijnd wordt door de device operating systems,
zodat je bijvoorbeeld alle benodigde onderdelen in 1 bestand kunt downloaden en met 1 actie installeren.
Dan nog zal het wellicht voor het echte gastgebruik nooit een handige optie worden.
verbinding te installeren op een device. CA certificaat op de een of andere manier downloaden en installeren, Client
certificaat idem als je dat gebruikt (ipv usernaam/password), WiFi verbinding maken met veel meer parameters, geen
standaard voor QR code om deze in een keer te installeren dus allemaal typewerk om het in orde te krijgen.
De acceptatie zal ongetwijfeld veel beter worden als dit proces gestroomlijnd wordt door de device operating systems,
zodat je bijvoorbeeld alle benodigde onderdelen in 1 bestand kunt downloaden en met 1 actie installeren.
Dan nog zal het wellicht voor het echte gastgebruik nooit een handige optie worden.
Een van de verschillen tussen WPA Personal en WPA Enterprise is dat bij WPA personal de gebruikers toegang krijgen door het correcte "WIFI" password in te geven dat voor iedereen hetzelfde is. Bij WPA Enterprise krijgen gebruikers toegang door een eigen unieke "USER" password in te geven.
Al naar gelang de situatie kan WPA Enterprise dus een privacy/profilerings risico inhouden.
Uiteraard is er een verschil tussen netwerken waar gekende "gasten" op worden toegelaten, of een netwerk dat wordt aangeboden als een publiek netwerk.
Een van de verschillen tussen WPA Personal en WPA Enterprise is dat bij WPA personal de gebruikers toegang krijgen door het correcte "WIFI" password in te geven dat voor iedereen hetzelfde is. Bij WPA Enterprise krijgen gebruikers toegang door een eigen unieke "USER" password in te geven.
Al naar gelang de situatie kan WPA Enterprise dus een privacy/profilerings risico inhouden.
Uiteraard is er een verschil tussen netwerken waar gekende "gasten" op worden toegelaten, of een netwerk dat wordt aangeboden als een publiek netwerk.
Profilering is er op ons netwerk in ieder geval alleen "passief", dwz er wordt pas naar gekeken als er een exces heeft
plaatsgevonden, niet routinematig ofzo. En ik denk dat dat op de meeste bedrijfs gasten WiFi's net zo is.
Als ik kijk naar onze eigen WiFi dan zie ik verschillende groepen gebruikers:
- de bedrijfsspullen van de medewerkers
- de eigen telefoons van de medewerkers
- gastgebruikers die min of meer vast hier zitten, zoals externen, accountants, e.d.
- mensen van bedrijvendie op bezoek zijn bijvoorbeeld leveranciers of klanten die bij een vergadering zitten
- echte gasten bijvoorbeeld particuliere klanten van onszelf
Die laatste groep zou dan overeen komen met "een willekeurige burger/bezoeker". Maar dat is maar een kleine minderheid, de meesten hebben toch wel een meer vaste relatie.
Wij gebruiken WPA2-EAP wel voor bedrijfsspullen van medewerkers, maar niet voor al die andere categorieen.
En eigenlijk niet zozeer omdat we dat niet zouden willen, maar omdat het gewoon niet werkbaar is. Een QR code
met een WPA2-PSK op een kaartje wat op de tafels ligt of aan de muur hangt is zo ontzetten veel praktischer dan
de 3-5 hoepels waar je door heen moet springen voor het maken van een WPA2-EAP verbinding.
Een verbinding met gebruik van Publicroam op je telefoon toevoegen dat is zwarte magie, gaat de gemiddeld persoon ver de pet te boven. Dat zou veel soepeler moeten gaan. Wel is het zo dat als je dat een keer gedaan hebt, het in principe op vele plekken zou kunnen werken. Alleen wordt dat in de praktijk weer tegengehouden door het probleem "er zijn zoveel standaards dat de kans dat je de jouwe tegenkomt heel klein is".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.