1 Leidraad voor beveiliging en goed gastheerschap



Vergelijkbare documenten
1 Aansprakelijk voor je gasten(- netwerk)

Aansluiten op govroam

eduroam Visitor Access

Testplan upgrade Qmanage

Handleiding: Telewerken op MacOS

Wi-Fi instellingen voor Android

Testplan Netwerktoegangscontrole Qmanage

+32 (491)

Black Hat Sessions X Past Present Future. Inhoud BHS III Live Hacking - Looking at both sides of the fence

Deze handleiding is voor alle gebruikers die een token willen registreren voor SURFsecureID.

Handleiding voor gebruik van de Huize Rosa Tag als betaalmiddel

Testplan upgrade Qmanage Netwerktoegangscontrole, Detectie & Isolatie

Instructies Windows Live Mail Pagina 1

EnGenius EMR3000 Gebruikershandleiding

Opmerkingen voor gebruikers van wireless LAN

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Instructies Microsoft Outlook 2007 Pagina 1

Installatierichtlijn routers, alarmering i.v.m. Pin verkeer

WiFi-instellingen voor Windows 8

ios Eduroam WPA2-Enterprise setup

Instructies Microsoft Outlook Express Pagina 1

Wi-Fi instellingen voor Windows XP

Wireless Utility. Complete handleiding

WiFi2Connect. Ontzorgt de horeca

Ontsluiten iprova via Internet Voorbeeld methoden

Captive Portal Ready PurpleWiFi

Handleiding: Telewerken op Windows

Handleiding Groenhuysenpas

Handleiding voor het gebruik van MargaPas als betaalmiddel

Testplan upgrade Qmanage Netwerktoegangscontrole Detectie & Isolatie

Captive Portal Ready Hotspotsystem

Nederlandse versie. Inleiding. Installatie Windows 2000, XP en Vista. LW303 Sweex Wireless LAN USB 2.0 adapter 300 Mbps

Privacybeleid HelpHamster (versie 1.0)

Privacyverklaring msx-shop.nl

Instructies Microsoft Outlook 2013 Pagina 1

Wi-Fi installatie. Inleiding

Ervaringen met draadloos

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Installatiedocument EduRoam Draadloos MAC Versie 10.5 (Leopard)

Gasten Wi-Fi netwerk

Peridos. Registreren voor Zorgportaal. Datum: Landelijk beheer Peridos. Versie: 1.3

Webmail met Outlook Web Access

Gebruiksaanwijzing applicatie smartphone Haier smart air

Handleiding voor het gebruik van de Crabbehoff-pas als betaalmiddel via i-deal

Handleiding UvAdraadloos. (zonder securew2) Windows

Dienstbeschrijving. Juli KPN WiFi

Installed base Netwerk ROC Midden Nederland (April 2016)

Tevens hebben wij onderzocht of het automatiseren van een dergelijk afluisterproces eenvoudig te produceren is en wat er vervolgens mogelijk is.

Handleiding voor het gebruik van de Elde-Pas als betaalmiddel

gedeeld om dit zoveel wordt mogelijk door alle te aangesloten beperken. computers, noemt men dit wel een shared WEP-key.

Firewall Traffic Control

Aanvullende Voorwaarden

Instructies Microsoft Entourage Pagina 1

Handleiding. Mei KPN WiFi

Privacy verklaring. 3. Bijzondere en/of gevoelige persoonsgegevens die wij verwerken

WDS WDS Bridge mode Repeater mode

uw inloggegevens de procedure bij het inloggen in Teleboekhouden 7.2 het beheer van het gebruikersaccount

Nederlandse versie. Installatie Windows XP en Vista. LW311 Sweex Wireless LAN Cardbus Adapter 300 Mbps

Persoonsgegevens rechtstreeks door ons verzameld of rechtstreeks door u aan ons aangeleverd

Instructies Microsoft Outlook 2003 Pagina 1

ENMESH EMR3000 GEBRUIKERSHANDLEIDING

Beveiligingsbeleid Stichting Kennisnet

Handleiding installatie VPN Nieuw authenticatiesysteem Remote Access Microdata (Versie voor de Mac)

Bijlage 2 - Acceptatiecriteria Wi-Fi

Instructies Apple Mail Pagina 1

Inhoud Handleiding Steam Steam installeren Steam Key Activeren... 6

Cash Software B.V AD Den Haag (T) (E) 1

Gebruikershandleiding. Gebruikerspagina en mobiele app

Remote Toegang Policy VICnet/SPITS

Hoe moet ik mijn Telenet Wireless Modem instellen?

Peridos. Registreren voor Zorgportaal. Datum: Landelijk beheer Peridos. Versie: 1.0

Softphone Installatie Handleiding

Technische handreiking govroam

Pheenet WAS-105r standaard configuratie met VLAN s. Technote

Gebruikershandleiding Nieuw Authenticatiesysteem Remote Access (Mac-versie)

SURFcontact HD videoconferencing dienst voor de zorg, hoger onderwijs en onderzoek

HANDLEIDING EXTERNE TOEGANG CURAMARE

Werken zonder zorgen met uw ICT bij u op locatie

September 2018 Versie 2.0

Handleiding installatie VPN Authenticatiesysteem Remote Access Microdata (Versie voor de Mac)

Managed Gasten Internet

Nederlands Normalisatie Instituut

Mobile Device Manager Handleiding voor Android

Access Point Management. DrayTek Vigor 2860 & 2925 Serie

EM8036 Powerline Adapter 500Mbps met 300Mbps WiFi

Externe Toegang installeren en gebruiken onder Mac OS X

Algemene voorwaarden voor gebruikers van publicroam. 13 maart 2018

Installatiehandleiding CORFU. Cak Online Registratie FUnctionaliteit

Stap 1 Open een browser (bij voorkeur Google Chrome) en ga naar:

Technote Point-to-Point configuratie EnGenius

Extra wifi punt. Handleiding FRITZ!WLAN 1750E. wifi repeater / access point. solcon.nl

Protocol: Bij het tabblad Protocol kunt u bepaalde protocollen blokkeren.

Clientportaal handleiding Voor portaalgebruikers

3. Geef hier uw gebruikersnaam en wachtwoord in

Revisie geschiedenis. [XXTER & KNX via IP]

Transcriptie:

1 Leidraad voor beveiliging en goed gastheerschap Enkele Nederlandse instellingen voor hoger onderwijs overwegen draadloos internet (wifi) aan te bieden aan bezoekers. Dit moet een aanvulling worden op het reeds bestaande wifi- netwerk dat zij hebben voor studenten en medewerkers. Dit betreft echter specifieke groepen, terwijl een bezoeker lastiger grijpbaar is. De vraag is welke maatregelen de instelling kan of moet nemen om de beveiliging adequaat te regelen en om zich een goed gastheer te tonen voor de gebruikers van het open wifi- netwerk. 1.1 Uitgangspunt In deel 1 van dit drieluik (Hoe openbaar is een gastennetwerk?) wordt ingegaan op de vraag of een open wifi- netwerk van een instelling een openbaar elektronisch communicatienetwerk is in de zin van de Telecommunicatiewet. In dit deel over beveiliging en gastheerschap is als uitgangspunt genomen dat het open wifi- netwerk géén openbaar elektronisch communicatienetwerk is met bijbehorende wettelijke verplichtingen (zie deel 1). 1.2 Positionering De instelling, die een open wifi- netwerk voor gasten wil aanbieden, zal al een bestaand wifi- netwerk hebben. Daarop wordt de eigen netwerknaam (SSID) uitgezonden en meestal ook het SSID eduroam ten behoeve van de eigen gebruikers en bezoekers van andere instellingen 1. Dit zijn beveiligde netwerken, waarop in de regel allerhande monitoring- en eventueel filteringactiviteiten plaatsvinden en firewalling wordt toegepast. Daarnaast hebben sommige instellingen een voorziening om gasten toe te laten op hun beveiligde wifi- netwerk. Via een registratieproces krijgen deze gasten inloggegevens voor het beveiligde instellingsnetwerk. Deze gasten zijn bekend bij de instelling en kunnen daarom geregistreerd worden. SURFnet lanceert op 1 januari 2015 een vergelijkbare dienst, eduroam Visitor Access 2. Hiermee krijgt een bezoeker een tijdelijk account voor de toegang tot eduroam, aangemaakt door een gastheer of vrouw van de instelling of na het sturen van een sms naar een specifiek nummer. De doelgroep voor het open wifi- netwerk is de bezoeker, die zich niet kan of wil registreren of aanmelden bij een balie of medewerker vanwege het karakter van het bezoek. Een registratieproces, zoals bij eduroam Visitor Access, levert dan al snel een te grote administratieve belasting voor de instelling en ongemak voor de gast op. Typische voorbeelden van dit type gasten zijn de bezoekers van open dagen, van de bibliotheek, sportfaciliteiten of zwembad, of van cafés en restaurants e.d. binnen de instelling. Nog een reden om als instelling zelf het open wifi- netwerk te faciliteren is om te voorkomen dat er aparte wifi access points worden geïnstalleerd (door de cateraar bijvoorbeeld), die het bestaande 1 Deze bezoekers loggen met hun eigen instellingsgegevens in op het eduroam netwerk. 2 Zie www.evapilot.nl. 1

wifi- netwerk verstoren. En om te voorkomen dat gebruikers zelf ad- hoc access points aanbieden (via hun telefoon bijvoorbeeld). 1.3 Beveiliging, risico s en incidentafhandeling Een open wifi- netwerk is minder veilig dan een gesloten netwerk: iedereen kan erop, al het verkeer is onversleuteld (tenzij de gebruiker zelf maatregelen neemt) en een man- in- the- middle aanval is eenvoudig op te zetten door een nep (rogue) access point 3 te installeren. En ook al neemt de gebruiker zelf maatregelen door zijn applicaties over een beveiligde verbinding (SSL/TLS) te laten lopen, door allerlei kwetsbaarheden in de meeste SSL- implementaties is ook dan de veiligheid niet gegarandeerd. Daarom verdient het de aanbeveling om het gasten wifi- netwerk met een wachtwoord te beveiligen. Dit wachtwoord kan in de gebouwen op bordjes of via de receptie bekend gemaakt worden. Of worden gepubliceerd in de congresagenda of bij de informatie voor de open dagen. Dit maakt het openbare karakter van het gastennetwerk ook minder, zie ook deel 1 van dit drieluik. Bovendien kunnen gebruikers van het gastennetwerk veel minder gemakkelijk elkaars verkeer afluisteren, waarmee een deel van de zorgplicht voor een goed gastheerschap wordt ingevuld. Het is niet nodig om het wachtwoord periodiek te wijzigen, omdat dit dient om het netwerk te kunnen beveiligen en niet zozeer om de toegang tot het netwerk te beperken. Mocht de gebruikte wifi- apparatuur de mogelijkheid bieden om WPS 4 te doen, dan dient dit uitgezet te worden. In aanvulling op het wachtwoord voor de toegang tot het wifi- netwerk is het verstandig om ook een speciale webpagina (zogenaamd captive portal) in te richten. Dit biedt de mogelijkheid om de gebruiker akkoord te laten gaan met de gebruiksvoorwaarden en de gebruiker op de risico s van het open netwerk te wijzen. Omdat met name bij open dagen slecht te voorspellen is welke applicaties gebruikt worden denk aan streaming video, games en apps wordt aanbevolen om zo min mogelijk beperkingen op het verkeer over het gastennetwerk op te leggen. Dat vermindert bovendien de aansprakelijkheid van de instelling, zie deel 2 van dit drieluik (Aansprakelijk voor je gasten?). Het blokkeren van algemeen aanvaarde poorten (bijvoorbeeld poort 25 tegen spam) is geen bezwaar. En voor het overige geldt bij beperkingen de richtlijn gelijk verkeer gelijk behandelen om inmenging en daarmee aansprakelijkheid te beperken. Ook de logging op het gastennetwerk kan het beste zo minimaal mogelijk gebeuren. Alleen het loggen van IP- en MAC- adressen met een beperkte bewaartermijn verdient de voorkeur. Dat biedt de mogelijkheid om problemen op te sporen en op te lossen en in het geval van misbruik kan het MAC- adres van de betreffende gebruiker geblokkeerd worden. 3 Veel wifi- apparatuur, die door de instellingen wordt gebruikt, biedt overigens de mogelijkheid om rogue access points te detecteren. 4 Wifi Protected Setup, waarbij geen wachtwoord, maar een kortere PIN- code wordt ingevoerd. Deze PIN- code is veel eenvoudiger te kraken dan het wachtwoord. WPS is een eis voor de certificering van wifi- apparatuur. 2

Omdat het verkeer over het gastennetwerk wordt afgeleverd bij een commerciële provider het mag immers niet over het SURFnet netwerk zullen meldingen over misbruik gewoonlijk ook bij die provider terecht komen. De instelling hoeft voor het gastennetwerk dan ook alleen reactief te handelen bij incidenten. Het is verstandig om het eigen beveiligde netwerk en het open wifi- netwerk zoveel mogelijk van elkaar te scheiden op laag 3 (internet protocol). De verbinding tussen de twee verloopt dan ook in ieder geval logisch, maar bij voorkeur ook fysiek via het publieke internet ( buitenom ). 1.4 Gasten- versus beveiligd netwerk Een belangrijk aandachtspunt bij het open wifi- netwerk is het risico dat de eigen gebruikers, dus niet de gasten, ook van het gastennetwerk gebruik gaan maken. Dit risico wordt weliswaar beperkt door het invoeren van een captive portal voor het gastennetwerk maar is zeker nog aanwezig. De toegang tot het gastennetwerk is immers vaak laagdrempeliger. Het verdient dan ook de aanbeveling om maatregelen te nemen om dit te voorkomen. Te denken valt aan de volgende maatregelen: Beperk de verbindingstijd op het gastennetwerk door de gebruiker te dwingen periodiek (elk (half) uur?) de gebruiksvoorwaarden te accepteren op de captive portal. Zorg ervoor dat het intranet (documentopslag e.d.) van de instelling niet direct vanaf het gastennetwerk bereikbaar is. Zorg voor een goede voorlichting aan de eigen gebruikers. Wijs hen erop dat het instellingsnetwerk veiliger is, een betere functionaliteit biedt (bijvoorbeeld toegang tot bibliotheek bronnen) en een grotere bandbreedte biedt. Ook kan in de gebruiksvoorwaarden op het captive portal gewezen worden op het beveiligde netwerk voor studenten en medewerkers. 1.5 Conclusie In deze leidraad is een aantal aspecten benoemd, waarmee een instelling rekening moet houden als deze een open wifi- netwerk voor gasten wil aanbieden. Ook zijn er aanbevelingen gedaan om de belangrijkste risico s te beperken. In onderstaande afbeelding is de administratieve en beheersmatige last van een instelling afgezet tegen de veiligheid van de drie verschillende mogelijkheden om wifi- toegang aan te bieden (zie ook het hoofdstuk Positionering): 1. eduroam 2. eduroam Visitor Access 3. open wifi 3

eduroam gemak instelling Open wifi eduroam Visitor Access veiligheid En in onderstaande afbeelding is het gemak voor de gebruiker afgezet tegen de veiligheid van de geboden oplossing. gemak gebruiker eduroam Open wifi eduroam Visitor Access veiligheid 4

Hiermee en met de informatie uit de andere twee delen van dit drieluik kan de instelling een weloverwogen keuze maken om wel of geen open wifi- netwerk aan te bieden. 1.6 Verantwoording De tekst van dit document is tot stand gekomen op basis van een sessie met beveiligings- en netwerkexperts van een aantal instellingen en SURFnet: Ewald Beekman, Bart van den Heuvel, JP Velders, Raoul Vernède, Bart Visser; Maurice van den Akker, Paul Dekkers, Alf Moens en Rogier Spoor. 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback