Technische handreiking govroam

Vergelijkbare documenten
Opname WPA2-Enterprise op de lijst voor pas toe of leg uit

Aansluiten op govroam

FS A. Advies. Pagina 1 van7

Privacykader govroam. Auteur: Stichting govroam Versie: 1.0 Datum: December

Meer informatie over de werking van govroam en deelnemende organisaties binnen Nederland kun je vinden via deze hyperlink:

Wifi onderweg: gebruik een VPN

Wi-Fi instellingen voor Windows XP

Wireless Leiden. Projectplan x

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Wat is govroam? Een beschrijving van de voorziening. Versie 1.0

Meer informatie over de werking van govroam en deelnemende organisaties binnen Nederland kun je vinden via deze hyperlink:

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Digitale Agenda september 2017

Het gebruik van OSB ebms contracten in complexe infrastructuren

Handleiding verbinding maken zonder SecureW2 voor Windows

Wi-Fi instellingen voor Android

Installed base Netwerk ROC Midden Nederland (April 2016)

VPN Remote Dial In User. DrayTek Smart VPN Client

Handleiding UvAdraadloos. (zonder securew2) Windows

MSSL Dienstbeschrijving

Wireless Leiden. Plan van Aanpak x

Snelle installatiegids voor Symbian

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

VPN Remote Dial In User. DrayTek Smart VPN Client

WiFi-instellingen voor Windows 8

Wireless Leiden. Faseplan Node Installatie / Onderzoek x

Handleiding toegang eduroam met Windows 7 voor eindgebruikers Universiteit Leiden

Introduktie: Wireless Knowhow (Zie voor daadwerkelijke Wireless Sophisti netwerk koppeling de laatste 2 pagina s)

HANDLEIDING HUAWEI E-5331 POCKET MIFI ROUTER

Dienstbeschrijving MSSL Licenties

JNet Cloud Connector

Mobiel werken. Mobiel zakendoen voor ondernemingen met een eigen bedrijfsnetwerk.

ios Eduroam WPA2-Enterprise setup

Gebruikershandleiding Cliëntportaal TMZ

DM WEB PORTAAL Functionele handleiding 2-factor authenticatie Gebruikers. MediSoft. Versie

Procedure activeren van de MFA applicatie op een mobiele telefoon

Incura Handleiding 2-factor authenticatie (2FA)

IAP DYNAMIC VLAN. Technote. Alcadis Vleugelboot CL Houten Versie: 1.0 Auteur: Herwin de Rijke Datum: 27 juli 2015

1. Installatie en verkenning Synology NAS... 15

Technicolor TG670: draadloze configuratie

Mobile Device Management Ger Lütter, adviseur IBD

KPN Mobiel Internet Dashboard Introductie

Handleiding installatie VPN Nieuw authenticatiesysteem Remote Access Microdata (Versie voor de Mac)

DrayTek Sm art VPN Client. PPTP / I PSec / L2TP

Gebruikershandleiding MobiDM

Forum Standaardisatie. Expertadvies WPA2-Enterprise. Ter openbare consultatie. Datum 23 juli 2015

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december admin@surfnet.nl

Single Sign On. voor. Residentie.net en Denhaag.nl

CLOUD4WI VSCG V3.0 CONFIGURATIE

Registreren Inloggen - Profiel beheren

Black Hat Sessions X Past Present Future. Inhoud BHS III Live Hacking - Looking at both sides of the fence

0.1 Opzet Marijn van Schoote 4 januari 2016

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: KB nummer:

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor medewerkers

Memo Regiegroep OSO Datum: 7 januari 2016 Marjan Frijns Onderwerp: Voorstel wijziging PKI infrastructuur OSO

VPN Remote Dial In User. DrayTek Smart VPN Client

Inrichten. Kies hoe je de verwijzingen wilt ontvangen

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.2 Datum Juli 2018 Afdeling Communicatie Inlichtingenbureau

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.1 Datum Mei 2018 Afdeling Communicatie Inlichtingenbureau

Telewerken met de BRP. Telewerken met de BRP. Zero Footprint en Jailbreak?

Factsheet. Wat doet een DVZA voor mij?

Handleiding installatie VPN Authenticatiesysteem Remote Access Microdata (Versie voor de Mac)

Technische Informatie

Registreren Inloggen - Profiel beheren

Remote Toegang Policy VICnet/SPITS

Wat betekent dit voor u? Wij verzoeken u om MFA te activeren voor uw account zodat u toegang tot onze applicatie blijft behouden.

SNELGIDS INLOGGEN XPERT SUITE DE ARBODIENST - feb 2019

Help er gaat iets mis

Remote Services over IP. Algemene uitleg over de nieuwe manier van beheer op afstand

Pheenet WAS-105r standaard configuratie met VLAN s. Technote

Handleiding Communicatie eherkenning. eherkenning. dé digitale sleutel voor ondernemers en de overheid

HANDLEIDING VOOR BEHEERDERS

Aanvragen en gebruik Overheids IdentificatieNummer (OIN)

Troubleshooting. Stap-voor-stap instructies augustus 2018

Aan de slag met het adres van uw nieuwe Website

FACTSHEET Unit4 SmartSpace 365

Saxion Research Cloud Drive (SRCD)

DigiNotar certificaten

How To Do Gebruikersbeheer remote service portaal mbconnect24

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

Om gebruik te maken van het draadloze netwerk Eduroam, zal het programma SecureW2 geïnstalleerd moeten worden.

Installatiedocument EduRoam Iphone versie 2.0

1 Leidraad voor beveiliging en goed gastheerschap

Inrichten. 1. VPN (Virtual Private Network) 2. Zorgmail 3. Online ophalen in de ZorgDomein-applicatie 4. Koppeling met je informatiesysteem

Handleiding Inloggen met SSL VPN

Ontsluiten iprova via Internet Voorbeeld methoden

BUSINESS CASE ZEEUWS MUSEUM DIGITALE BEVEILIGING OP ORDE DANKZIJ SOFTWARE, SCANS EN ADVIES VAN ESET

Webmail met Outlook Web Access

Hulp bij inloggen Zorg van de Zaak Online Juli 2019

Dienstbeschrijving MSSL Connect 1 Platform

Installatiehandleiding. Facto minifmis

Handleiding - Aanmaken van SQL server gebruiker

Transcriptie:

Technische handreiking govroam GEMAKKELIJK EN VEILIG MOBIEL WERKEN. GOVROAM MAAKT HET MOGELIJK VEILIG IN TE LOGGEN OP WIFI-NETWERKEN VAN OVERHEIDSORGANISATIES. DEZE HANDREIKING HELPT U OP WEG GOVROAM IN GEBRUIK TE NEMEN. TOEGANG TOT GEMEENTELIJKE 1 WIFINETWERKEN MET GOVROAM Vanwege het gebruiksgemak bieden gemeenten en andere overheidsorganisaties steeds vaker wifi aan als standaarddienstverlening voor medewerkers. Op deze manier kunnen medewerkers via wifi gebruik maken van e-mail en internet of bedrijfsapplicaties raadplegen. Om te kunnen inloggen op het wifinetwerk is een inlognaam en wachtwoord nodig. Voor medewerkers van een gemeente of gemeentelijke samenwerkingsverband vindt bij inloggen authenticatie plaats via het eigen (gemeentelijk) netwerk. Wanneer een medewerker van een gemeente of samenwerkingsverband op bezoek is bij een andere overheidsorganisatie dan kan toepassing van govroam uitkomst bieden. Govroam, afkorting voor government roaming, is een veilige authenticatiemethode om medewerkers van gemeenten en samenwerkingsverbanden toegang te bieden tot het gemeentelijke wifinetwerken, ook wanneer zij zich bij een andere gemeente of overheidsdienst bevinden. Voorbeelden van deelnemende overheidsorganisaties zijn gemeenten, provincies, ministeries, waterschappen. Govroam is gebaseerd op het al langer bestaande eduroam. 2 3 HOE WERKT HET? Bij de inrichting van een wifinetwerk bepaalt de gemeente of het samenwerkingsverband welke dienstverlening zij wil leveren en hoe het wifinetwerk en de achterliggende diensten worden beveiligd. De factsheet Veilige inrichting en toepassing van wifi binnen uw gemeente van de Informatiebeveiligingsdienst voor gemeenten (IBD) biedt gemeenten een aanpak en bijpassende maatregelen om tot een gedegen en veilige implementatie van wifinetwerken te komen. Het doel van deze meer algemene factsheet is om inzicht te geven in de werking van govroam en welke (beveiligings) voordelen door govroam worden geboden. Achtereenvolgens wordt aandacht besteed aan de globale werking van govroam, hoe een gemeente of samenwerkingsverband gebruik kan maken van govroam. En tenslotte wordt aangegeven welke beveiliging door govroam wordt geboden. WAT IS GOVROAM? Het onderliggende basisprincipe van de veiligheid van govroam is dat de authenticatie van een gebruiker wordt uitgevoerd door zijn/haar eigen organisatie, op het domein van die eigen organisatie, en via de specifieke methode van die eigen organisatie. In figuur 1 worden de verschillende soorten gebruikers weergegeven inclusief de gebruikers van govroam deelnemende organisaties. De benodigde autorisatie om toegang te verlenen tot lokale netwerkmiddelen wordt uitgevoerd door het netwerk waar de medewerker te gast is. De Nederlandse nationale govroam voorziening is confederatief georganiseerd. Dit houdt in dat de deelnemende organisaties één overeengekomen en samenwerkend geheel vormen. Gemeenten en samenwerkingsverbanden, die govroam gebruiken, sluiten een overeenkomst met de Stichting govroam, die govroam beheert. De overeenkomst omvat 1 Inbegrepen wifinetwerken van gemeentelijke samenwerkingsverbanden die aangesloten zijn op govroam 2 https://www.eduroam.nl/ 3 Het Gemeentelijk Portfolio Overleg (GPO) heeft het projectvoorstel voor de opschaling van Govroam goedgekeurd. 1

een set van organisatorische en technische afspraken die het eenvoudig en veilig gebruik van toegang tot internet en eventuele andere toepassingen (bijvoorbeeld printen) waarborgt. Bekend bij de gemeente Gemeentelijke medewerker met een gemeente account (bijvoorbeeld ambtenaar) Externe medewerker met een gemeente account (bijvoorbeeld adviseur of stagiair) Intern gebruikersbeheersysteem gemeente Onbekend bij de gemeente Gast (bijvoorbeeld burger, medewerker van een (keten)partner of leverancier) Extern gebruikersbeheersysteem govroam aangesloten organisatie Gast, medewerker bij een organisatie in de publieke sector die is aangesloten op govroam (bijvoorbeeld medewerker van een gemeente, Rijksoverheid of provincie) Figuur 1 Verschillende soorten gebruikers inclusief govroam 4. VERTROUWENSRELATIE Govroam is gebaseerd op twee directe vertrouwensrelaties, namelijk de relatie van de gebruiker met zijn eigen werkgever als, en de relatie van zijn werkgever als met de beheerder van het netwerk (Service Provider) waar de gebruiker te gast is (zie figuur 2). Figuur 2 govroam relaties 4 Lees voor gemeente ook gemeentelijk samenwerkingsverband. 2

Door de op deze manier ontstane indirecte relatie is het mogelijk dat de Service Provider als (netwerk)gastheer de voor hem onbekende gebruiker voldoende kan vertrouwen om toegang te verlenen. De (werkgever van de gebruiker) staat als het ware garant. De organisaties die deelnemen aan govroam zijn onafhankelijk en zelfstandig verantwoordelijk voor de eigen organisatorische en technische invulling. De technische invulling betreft een hiërarchisch systeem van Remote Authentication Dial-In Service (RADIUS) servers. Wanneer een gebruiker, die op een gastlocatie (niet zijn eigen locatie) gebruik wil maken van internet, dan wordt zijn verzoek om toegang via het authenticatieverzoek door de RADIUS servers doorgezet worden naar zijn thuislocatie. Het resultaat van het authenticatieverzoek zal vervolgens worden teruggestuurd naar de aanvrager. Om dit mogelijk te maken zal iedere deelnemende organisatie een eigen RADIUS server moeten inrichten en deze koppelen aan de centrale nationale RADIUS server. Supplicant (gemeente X) Service en (Gemeente X) (Gemeente Y) Authenticator Supplicant (gemeente Y) Gebruikers DB Thuis- Thuis-/ en Gastennetwerk Gasten- RADIUS Proxy netwerk Server (ORPS) (Gemeente Y) Gebruikers DB Thuisnetwerk RADIUS Proxy Server (ORPS) Authenticatieverzoek Authenticatieverzoek Accesspoints Router Nationale RADIUS Proxy Server (NRPS) Internet Figuur 3 Authenticatie govroam gebruiker(s) WERKWIJZE De RADIUS-servers spelen een belangrijke rol bij govroam. Wanneer het mobiele apparaat van een gebruiker verbinding legt met het wifinetwerk dan ontstaat er een verbinding met de eerste RADIUS server (die van het bezochte netwerk). Omdat de loginnaam bestaat uit gebruiker@organisatie.nl, dan weet deze RADIUS-server of de gebruiker op zijn thuisnetwerk is of niet. Als dat niet zo is dan wordt het RADIUS-verzoek om toegang doorgestuurd naar de nationale RADIUS proxy server (NRPS). De NRPS stuurt het bericht naar de RADIUS-server van de organisatie van de gebruiker welke vervolgens de autorisatie van de gebruiker controleert. Wanneer de gebruikersverificatie is afgerond krijgt de RADIUS-server van het bezochte netwerk bericht dat de gebruiker wel of niet toegelaten dient te worden. Bij govroam kan iedere aangesloten organisatie in principe zelf bepalen welke inloggegevens gebruikt worden voor authenticatie (gebruikersnaam/wachtwoord, digitaal certificaat, token et cetera). Wanneer de gebruiker op het govroam wifinetwerk inlogt, worden deze inloggegevens naar de RADIUS-server 3

van de eigen organisatie () doorgestuurd om daar voor authenticatie gebruikt te worden (zie figuur 3). In de praktijk gebruikt een organisatie dezelfde inloggegevens voor govroam als voor het inloggen binnen het eigen netwerk. Deze inloggegevens worden versleuteld, gebruikmakend van EAP-TLS, en via een centrale govroam RADIUS-proxy naar de RADIUS-server van de van de gebruiker gestuurd. SURFnet, de beheerder van de NRPS, biedt daarnaast de mogelijkheid om de verbinding tussen de centrale RADIUS-proxy van SURFnet en de RADIUS-servers/proxies van de gemeenten (Service en s) met versleuteling te beveiligen. Na autorisatie heeft de gebruiker toegang tot internet via het access point van de serviceprovider waar de gebruiker te gast is. En afhankelijk van de gebruikersrechten, krijgt de gebruiker ook toegang tot het lokale bedrijfsnetwerk of delen daarvan. IMPLEMENTEREN GOVROAM Om govroam te implementeren is een aantal acties nodig. We geven hier de belangrijkste weer. Het wifinetwerk waarop govroam wordt aangeboden dient te voldoen aan de beveiligingsstandaard WPA2-Enterprise. Er dient een (extra) SSID toegevoegd te worden. Govroam maakt gebruik van een eigen standaard SSID, namelijk govroam. De loginnaam van de gebruikers dient uitgebreid te worden met @<gemeente.nl>. Zodat op het moment dat een gebruiker zich aanmeldt op het govroam wifinetwerk, kan worden vastgesteld naar welke de inloggegevens gerouteerd dienen te worden. De gemeente dient een RADIUS-server in te richten, die een verbinding heeft met de NRPS. Deze RADIUS-server dient zo ingesteld te worden dat de inloggegevens van de gast medewerkers worden doorgestuurd naar de RADIUS-server van de organisatie waar de gebruiker werkzaam is. Tevens dienen de RADIUS-antwoorden, wel of niet geautoriseerd, opgevolgd te worden. De gemeente dient een digitaal certificaat aan te schaffen en installeren waarmee de RADIUS server zich identificeert naar de gebruiker voordat de gebruiker zijn inloggegevens naar de server stuurt. Essentieel hierbij is dat het digitale certificaat op de RADIUS server publiek verifieerbaar is. De gemeente dient vast te stellen hoe de authenticatie van de eigen medewerkers dient plaats te vinden, dit is namelijk een verplichting die govroam stelt. Op welke wijze deze authenticatie plaatsvindt laat govroam grotendeels open en is aan de organisatie om hier invulling aan te geven. De gemeente kan overwegen om client certificaten te gebruiken, in plaats van wachtwoorden, voor eigen medewerkers. Dit vergt wel een extra beheer inspanning. De gemeente dient te bepalen welke dienstverlening wordt ondersteund voor de eigen medewerkers die gebruik maken van wifi via govroam en hoe deze dan wordt beveiligd. Denk hierbij aan een koppeling van het wifinetwerk aan het bedrijfsnetwerk. LET OP! Govroam biedt vertrouwde toegang tot wifi, maar de reguliere internetrisico s (bijvoorbeeld virus- en/of malware besmetting) worden niet weggenomen. Alleen veilig inloggen is niet voldoende. Om veilig gegevens uit te wisselen via wifi dient naast govroam ook altijd een veilige verbinding te worden gebruikt (bijvoorbeeld door middel van een Virtual Private Network (VPN)). 4

INVULLING IBD ADVIEZEN OP BASIS VAN GOVROAM Wilt u meer weten over veilige inrichting en gebruik van gemeentelijke wifinetwerken gebruik dan de factsheet Veilige inrichting en toepassing van wifi binnen uw gemeente van de IBD. Daarin staan adviezen met betrekking tot wifinetwerken om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie bij het gebruik van wifinetwerken te waarborgen en de risico s te mitigeren. Govroam is een specifieke beveiligingsmaatregel met betrekking tot authenticatie van medewerkers, waardoor vertrouwde toegang tot wifi wordt geboden. Concreet betekent dit dat: Gebruik wordt gemaakt van bestaande gemeentelijke (interne) gebruikersbeheer- /authenticatiesystemen. Gebruik wordt gemaakt van WPA2-Enterprise (Wifi Protected Access). Gebruik wordt gemaakt van het 802.1X-raamwerk voor wederzijdse authenticatie. De adviezen in de IBD factsheet omhelzen meer dan authenticatie alleen en gemeenten dienen dan ook te zorgen dat invulling wordt gegeven aan de overige adviezen. MEER INFORMATIE? Bij de uitrol van govroam werkt VNG Realisatie samen met de stichting govroam. Voor vragen over het gebruik, aansluiten op en de implementatie van govroam kunt u terecht bij de serviceorganisatie van VNG Realisatie, tel 1234567890 of per email govroam@vng.nl Meer informatie of aanmelden om mee te doen? Kijk dan de website van VNG Realisatie op: https://www.vngrealisatie.nl/producten/govroam-voor-gemeenten. Of neem contact op met één van de accountmanagers. Versie 1.3 / jan 2019 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback