Nieuws

WPA2 Enterprise niet verplicht voor wifi-gastnetwerk overheden

dinsdag 5 oktober 2021, 14:53 door Redactie, 7 reacties

Laatst bijgewerkt: 05-10-2021, 15:30

Overheidsinstanties die een wifi-gastnetwerk aanbieden zijn niet verplicht om van WPA2 Enterprise gebruik te maken. Dat is de uitkomst van expertonderzoek, een publieke internetconsultatie en aanvullend onderzoek. Wanneer overheidsinstanties een wifi-netwerk aanbieden zijn ze verplicht om dit met WPA2 Enterprise te beveiligen. Deze standaard specificeert de beveiligingsmechanismen voor het tot stand brengen van toegang tot een wifi-netwerk.

Bij WPA2 Enterprise zijn drie partijen betrokken: de gebruiker, de identiteitsprovider en de serviceprovider. Wanneer een gebruiker verbinding maakt met het wifi-netwerk toetst de serviceprovider op basis van de inloggegevens bij de identiteitsprovider de identiteit van de gebruiker. De identiteitsprovider kan bijvoorbeeld de organisatie van de gebruiker zijn of een externe partij.

Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.

WPA2 Enterprise staat sinds 2016 op de 'pas toe of leg uit'-lijst van het Forum Standaardisatie. Deze lijst bevat de verplichte open standaarden voor de publieke sector. Op de lijst is WPA2 Enterprise als verplicht onderdeel van wifi-netwerken van Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector opgenomen. "Met uitzondering van openbare netwerken voor gastgebruik", zo laat de uitleg weten.

In mei 2020 dienden de Stichting Privacy First en Publicroam een verzoek in om de uitzondering voor gastnetwerken uit het functioneel toepassingsgebied te laten vallen. Daarop volgden een expertonderzoek, een publieke internetconsultatie en een vervolgonderzoek. Hieruit kwam naar voren dat er onvoldoende draagvlak bij de overheid is voor het verplichten van WPA2 Enterprise voor openbare gastnetwerken.

Bezwaar

Stichting Privacy First en Publicroam tekenden bezwaar aan tegen het uitgevoerde vervolgonderzoek en het negatieve conceptadvies van het Forum Standaardisatie. Ze vonden dat er een betere afweging moest worden gemaakt tussen de technische uitdagingen en het maatschappelijke belang van veilig wifi in openbare ruimten op basis van een open standaard. "Hierbij moet worden aangetekend dat Publicroam als aanbieder van Identity Provider diensten commercieel belang kan hebben bij het verplichten van WPA2 Enterprise voor gastnetwerken", aldus het Forum Standaardisatie in een notitie (pdf).

Dat adviseert inmiddels op de eigen website om ook openbare wifi-netwerken voor gastgebruik altijd op een veilige manier aan te bieden. "Denk bijvoorbeeld aan de openbare gastnetwerken bij de balie van rijksdiensten en gemeenten. Hoewel WPA2 Enterprise niet verplicht hoeft worden toegepast op openbare WiFi gastnetwerken, beveelt Forum Standaardisatie WPA2 Enterprise standaard ook voor deze toepassing aan."

Wel worden koepelorganisaties opgeroepen om duidelijke voorwaarden op te stellen waaraan leveranciers van authenticatiemechanismen voor wifi-netwerken met WPA2 Enterprise moeten voldoen. Het gaat met name om afspraken over privacy, leveranciersonafhankelijkheid en interoperabiliteit.

Datalek Hogeschool van Arnhem en Nijmegen mogelijk groter dan gedacht

Kabinet verplicht telecomproviders beveiliging netwerken aan te scherpen

Reacties (7)

05-10-2021, 15:02 door Anoniem

Het aanbieden van WPA2 Enterprise is het probleem niet. Wat het zo lastig maakt is de procedure om een WPA2 EAP
verbinding te installeren op een device. CA certificaat op de een of andere manier downloaden en installeren, Client
certificaat idem als je dat gebruikt (ipv usernaam/password), WiFi verbinding maken met veel meer parameters, geen
standaard voor QR code om deze in een keer te installeren dus allemaal typewerk om het in orde te krijgen.

De acceptatie zal ongetwijfeld veel beter worden als dit proces gestroomlijnd wordt door de device operating systems,
zodat je bijvoorbeeld alle benodigde onderdelen in 1 bestand kunt downloaden en met 1 actie installeren.

Dan nog zal het wellicht voor het echte gastgebruik nooit een handige optie worden.

05-10-2021, 16:15 door Anoniem

Beste redactie, wat is nu precies het nieuws? Er bestaat al sinds 2015 een verplichting om WPA2-Enterprise aan te bieden aan overheidsmedewerkers en gastwifi was daar altijd al van uitgesloten. Daarin is geen komma gewijzigd. Dus dat WPA2-Enteprise niet verplicht is voor gastwifi bij de overheid is geen nieuws. Dat was zo en dat is nog steeds zo. Het nieuws is dat Forum, na consultatie, een advies heeft uitgebracht in AANVULLING op de verplichting, namelijk (tekst overgenomen van de website van Forum): "Forum Standaardisatie adviseert om ook openbare WiFi netwerken voor gastgebruik altijd op een veilige manier aan te bieden. Denk bijvoorbeeld aan de openbare gastnetwerken bij de balie van rijksdiensten en gemeenten. Hoewel WPA2 Enterprise niet verplicht hoeft worden toegepast op openbare WiFi gastnetwerken, beveelt Forum Standaardisatie WPA2 Enterprise standaard ook voor deze toepassing aan."

05-10-2021, 17:13 door Anoniem

Door Anoniem: Beste redactie, wat is nu precies het nieuws? Er bestaat al sinds 2015 een verplichting om WPA2-Enterprise aan te bieden aan overheidsmedewerkers en gastwifi was daar altijd al van uitgesloten. Daarin is geen komma gewijzigd. Dus dat WPA2-Enteprise niet verplicht is voor gastwifi bij de overheid is geen nieuws.

Het nieuws is een verzoek om dat te veranderen niet is gehonoreerd en waarom dat niet is gehonoreerd. Ook dat is nieuws, weet je?

05-10-2021, 17:24 door Anoniem

Door Anoniem: Het aanbieden van WPA2 Enterprise is het probleem niet. Wat het zo lastig maakt is de procedure om een WPA2 EAP
verbinding te installeren op een device. CA certificaat op de een of andere manier downloaden en installeren, Client
certificaat idem als je dat gebruikt (ipv usernaam/password), WiFi verbinding maken met veel meer parameters, geen
standaard voor QR code om deze in een keer te installeren dus allemaal typewerk om het in orde te krijgen.

De acceptatie zal ongetwijfeld veel beter worden als dit proces gestroomlijnd wordt door de device operating systems,
zodat je bijvoorbeeld alle benodigde onderdelen in 1 bestand kunt downloaden en met 1 actie installeren.

Dan nog zal het wellicht voor het echte gastgebruik nooit een handige optie worden.

Een van de verschillen tussen WPA Personal en WPA Enterprise is dat bij WPA personal de gebruikers toegang krijgen door het correcte "WIFI" password in te geven dat voor iedereen hetzelfde is. Bij WPA Enterprise krijgen gebruikers toegang door een eigen unieke "USER" password in te geven.
Al naar gelang de situatie kan WPA Enterprise dus een privacy/profilerings risico inhouden.
Uiteraard is er een verschil tussen netwerken waar gekende "gasten" op worden toegelaten, of een netwerk dat wordt aangeboden als een publiek netwerk.

05-10-2021, 18:41 door Anoniem

Door Anoniem:
Een van de verschillen tussen WPA Personal en WPA Enterprise is dat bij WPA personal de gebruikers toegang krijgen door het correcte "WIFI" password in te geven dat voor iedereen hetzelfde is. Bij WPA Enterprise krijgen gebruikers toegang door een eigen unieke "USER" password in te geven.
Al naar gelang de situatie kan WPA Enterprise dus een privacy/profilerings risico inhouden.
Uiteraard is er een verschil tussen netwerken waar gekende "gasten" op worden toegelaten, of een netwerk dat wordt aangeboden als een publiek netwerk.

Als mensen niet geprofileerd willen worden dan gebruiken ze maar lekker hun eigen mobiele internet!
Profilering is er op ons netwerk in ieder geval alleen "passief", dwz er wordt pas naar gekeken als er een exces heeft
plaatsgevonden, niet routinematig ofzo. En ik denk dat dat op de meeste bedrijfs gasten WiFi's net zo is.

05-10-2021, 19:09 door Anoniem

WPA2 Enterprise vereist identificatie en authenticatie van, in dit geval, iedere willekeurige burger/bezoeker. Dat brengt veel administratieve lasten voor overheden met zich mee. Laat Publicroam nou net een identificatie en authenticatieoplossing bieden met hun diensten... En hun roamingdienst kent een netwerkeffect, hoe meer overheden het gebruiken hoe aantrekkelijker het wordt voor andere overheden om dat ook maar aan te bieden. Als ik de passage over "afspraken over privacy, leveranciersonafhankelijkheid en interoperabiliteit" uit het advies lees, dan is het commercieel belang van Publicroam doorzien. Wel bijzonder dat een stichting als Privacy First samen optrekt met Publicroam BV en niet Govroam.

06-10-2021, 10:11 door Anoniem

Door Anoniem: WPA2 Enterprise vereist identificatie en authenticatie van, in dit geval, iedere willekeurige burger/bezoeker. Dat brengt veel administratieve lasten voor overheden met zich mee.

Nou ik denk dat dit meer een misverstand is en dat het niet zo ver zal gaan.
Als ik kijk naar onze eigen WiFi dan zie ik verschillende groepen gebruikers:
- de bedrijfsspullen van de medewerkers
- de eigen telefoons van de medewerkers
- gastgebruikers die min of meer vast hier zitten, zoals externen, accountants, e.d.
- mensen van bedrijvendie op bezoek zijn bijvoorbeeld leveranciers of klanten die bij een vergadering zitten
- echte gasten bijvoorbeeld particuliere klanten van onszelf

Die laatste groep zou dan overeen komen met "een willekeurige burger/bezoeker". Maar dat is maar een kleine minderheid, de meesten hebben toch wel een meer vaste relatie.
Wij gebruiken WPA2-EAP wel voor bedrijfsspullen van medewerkers, maar niet voor al die andere categorieen.
En eigenlijk niet zozeer omdat we dat niet zouden willen, maar omdat het gewoon niet werkbaar is. Een QR code
met een WPA2-PSK op een kaartje wat op de tafels ligt of aan de muur hangt is zo ontzetten veel praktischer dan
de 3-5 hoepels waar je door heen moet springen voor het maken van een WPA2-EAP verbinding.

Een verbinding met gebruik van Publicroam op je telefoon toevoegen dat is zwarte magie, gaat de gemiddeld persoon ver de pet te boven. Dat zou veel soepeler moeten gaan. Wel is het zo dat als je dat een keer gedaan hebt, het in principe op vele plekken zou kunnen werken. Alleen wordt dat in de praktijk weer tegengehouden door het probleem "er zijn zoveel standaards dat de kans dat je de jouwe tegenkomt heel klein is".

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer