1 Leidraad voor beveiliging en goed gastheerschap Enkele Nederlandse instellingen voor hoger onderwijs overwegen draadloos internet (wifi) aan te bieden aan bezoekers. Dit moet een aanvulling worden op het reeds bestaande wifi-‐netwerk dat zij hebben voor studenten en medewerkers. Dit betreft echter specifieke groepen, terwijl een ‘bezoeker’ lastiger grijpbaar is. De vraag is welke maatregelen de instelling kan of moet nemen om de beveiliging adequaat te regelen en om zich een goed gastheer te tonen voor de gebruikers van het open wifi-‐netwerk. 1.1 U i t g a n g s p u n t In deel 1 van dit drieluik (Hoe openbaar is een gastennetwerk?) wordt ingegaan op de vraag of een open wifi-‐netwerk van een instelling een openbaar elektronisch communicatienetwerk is in de zin van de Telecommunicatiewet. In dit deel over beveiliging en gastheerschap is als uitgangspunt genomen dat het open wifi-‐netwerk géén openbaar elektronisch communicatienetwerk is met bijbehorende wettelijke verplichtingen (zie deel 1). 1.2 P o s i t i o n e r i n g De instelling, die een open wifi-‐netwerk voor gasten wil aanbieden, zal al een bestaand wifi-‐netwerk hebben. Daarop wordt de eigen netwerknaam (SSID) uitgezonden en meestal ook het SSID eduroam ten behoeve van de eigen gebruikers en bezoekers van andere instellingen1. Dit zijn beveiligde netwerken, waarop in de regel allerhande monitoring-‐ en eventueel filteringactiviteiten plaatsvinden en firewalling wordt toegepast. Daarnaast hebben sommige instellingen een voorziening om gasten toe te laten op hun beveiligde wifi-‐netwerk. Via een registratieproces krijgen deze gasten inloggegevens voor het beveiligde instellingsnetwerk. Deze gasten zijn bekend bij de instelling en kunnen daarom geregistreerd worden. SURFnet lanceert op 1 januari 2015 een vergelijkbare dienst, eduroam Visitor Access2. Hiermee krijgt een bezoeker een tijdelijk account voor de toegang tot eduroam, aangemaakt door een gastheer of – vrouw van de instelling of na het sturen van een sms naar een specifiek nummer. De doelgroep voor het open wifi-‐netwerk is de bezoeker, die zich niet kan of wil registreren of aanmelden bij een balie of medewerker vanwege het karakter van het bezoek. Een registratieproces, zoals bij eduroam Visitor Access , levert dan al snel een te grote administratieve belasting voor de instelling en ongemak voor de gast op. Typische voorbeelden van dit type gasten zijn de bezoekers van open dagen, van de bibliotheek, sportfaciliteiten of zwembad, of van cafés en restaurants e.d. binnen de instelling. Nog een reden om als instelling zelf het open wifi-‐netwerk te faciliteren is om te voorkomen dat er aparte wifi access points worden geïnstalleerd (door de cateraar bijvoorbeeld), die het bestaande 1 D eze b ezoekers l oggen m et h un e igen i nstellingsgegevens i n o p h et e duroam n etwerk. 2 Z ie w ww.evapilot.nl. 1 wifi-‐netwerk verstoren. En om te voorkomen dat gebruikers zelf ad-‐hoc access points aanbieden (via hun telefoon bijvoorbeeld). 1.3 B e v e i l i g i n g , r i s i c o ’ s e n i n c i d e n t a f h a n d e l i n g Een open wifi-‐netwerk is minder veilig dan een gesloten netwerk: iedereen kan erop, al het verkeer is onversleuteld (tenzij de gebruiker zelf maatregelen neemt) en een man-‐in-‐the-‐middle aanval is eenvoudig op te zetten door een nep (rogue) access point3 te installeren. En ook al neemt de gebruiker zelf maatregelen door zijn applicaties over een beveiligde verbinding (SSL/TLS) te laten lopen, door allerlei kwetsbaarheden in de meeste SSL-‐implementaties is ook dan de veiligheid niet gegarandeerd. Daarom verdient het de aanbeveling om het gasten wifi-‐netwerk met een wachtwoord te beveiligen. Dit wachtwoord kan in de gebouwen op bordjes of via de receptie bekend gemaakt worden. Of worden gepubliceerd in de congresagenda of bij de informatie voor de open dagen. Dit maakt het openbare karakter van het gastennetwerk ook minder, zie ook deel 1 van dit drieluik. Bovendien kunnen gebruikers van het gastennetwerk veel minder gemakkelijk elkaars verkeer afluisteren, waarmee een deel van de zorgplicht voor een goed gastheerschap wordt ingevuld. Het is niet nodig om het wachtwoord periodiek te wijzigen, omdat dit dient om het netwerk te kunnen beveiligen en niet zozeer om de toegang tot het netwerk te beperken. Mocht de gebruikte wifi-‐apparatuur de mogelijkheid bieden om WPS4 te doen, dan dient dit uitgezet te worden. In aanvulling op het wachtwoord voor de toegang tot het wifi-‐netwerk is het verstandig om ook een speciale webpagina (zogenaamd captive portal) in te richten. Dit biedt de mogelijkheid om de gebruiker akkoord te laten gaan met de gebruiksvoorwaarden en de gebruiker op de risico’s van het open netwerk te wijzen. Omdat met name bij open dagen slecht te voorspellen is welke applicaties gebruikt worden—denk aan streaming video, games en apps—wordt aanbevolen om zo min mogelijk beperkingen op het verkeer over het gastennetwerk op te leggen. Dat vermindert bovendien de aansprakelijkheid van de instelling, zie deel 2 van dit drieluik (Aansprakelijk voor je gasten?). Het blokkeren van algemeen aanvaarde poorten (bijvoorbeeld poort 25 tegen spam) is geen bezwaar. En voor het overige geldt bij beperkingen de richtlijn “gelijk verkeer gelijk behandelen” om inmenging en daarmee aansprakelijkheid te beperken. Ook de logging op het gastennetwerk kan het beste zo minimaal mogelijk gebeuren. Alleen het loggen van IP-‐en MAC-‐adressen met een beperkte bewaartermijn verdient de voorkeur. Dat biedt de mogelijkheid om problemen op te sporen en op te lossen en in het geval van misbruik kan het MAC-‐ adres van de betreffende gebruiker geblokkeerd worden. 3 V eel w ifi-‐apparatuur, d ie d oor d e i nstellingen w ordt g ebruikt, b iedt o verigens d e m ogelijkheid o m r ogue a ccess p oints te d etecteren. 4 W ifi P rotected S etup, w aarbij g een w achtwoord, m aar e en k ortere P IN-‐code w ordt i ngevoerd. D eze P IN-‐code i s v eel eenvoudiger t e k raken d an h et w achtwoord. W PS i s e en e is v oor d e c ertificering v an w ifi-‐apparatuur. 2 Omdat het verkeer over het gastennetwerk wordt afgeleverd bij een commerciële provider—het mag immers niet over het SURFnet netwerk—zullen meldingen over misbruik gewoonlijk ook bij die provider terecht komen. De instelling hoeft voor het gastennetwerk dan ook alleen reactief te handelen bij incidenten. Het is verstandig om het eigen beveiligde netwerk en het open wifi-‐netwerk zoveel mogelijk van elkaar te scheiden op laag 3 (internet protocol). De verbinding tussen de twee verloopt dan ook in ieder geval logisch, maar bij voorkeur ook fysiek via het publieke internet (“buitenom”). 1.4 G a s t e n -‐ v e r s u s b e v e i l i g d n e t w e r k Een belangrijk aandachtspunt bij het open wifi-‐netwerk is het risico dat de eigen gebruikers, dus niet de gasten, ook van het gastennetwerk gebruik gaan maken. Dit risico wordt weliswaar beperkt door het invoeren van een captive portal voor het gastennetwerk maar is zeker nog aanwezig. De toegang tot het gastennetwerk is immers vaak laagdrempeliger. Het verdient dan ook de aanbeveling om maatregelen te nemen om dit te voorkomen. Te denken valt aan de volgende maatregelen: • • • 1.5 Beperk de verbindingstijd op het gastennetwerk door de gebruiker te dwingen periodiek (elk (half) uur?) de gebruiksvoorwaarden te accepteren op de captive portal. Zorg ervoor dat het intranet (documentopslag e.d.) van de instelling niet direct vanaf het gastennetwerk bereikbaar is. Zorg voor een goede voorlichting aan de eigen gebruikers. Wijs hen erop dat het instellingsnetwerk veiliger is, een betere functionaliteit biedt (bijvoorbeeld toegang tot bibliotheek bronnen) en een grotere bandbreedte biedt. Ook kan in de gebruiksvoorwaarden op het captive portal gewezen worden op het beveiligde netwerk voor studenten en medewerkers. C o n c l u s i e In deze leidraad is een aantal aspecten benoemd, waarmee een instelling rekening moet houden als deze een open wifi-‐netwerk voor gasten wil aanbieden. Ook zijn er aanbevelingen gedaan om de belangrijkste risico’s te beperken. In onderstaande afbeelding is de administratieve en beheersmatige last van een instelling afgezet tegen de veiligheid van de drie verschillende mogelijkheden om wifi-‐toegang aan te bieden (zie ook het hoofdstuk Positionering): 1. eduroam 2. eduroam Visitor Access 3. open wifi 3 eduroam gemak instelling Open wifi eduroam Visitor Access veiligheid En in onderstaande afbeelding is het gemak voor de gebruiker afgezet tegen de veiligheid van de geboden oplossing. eduroam gemak gebruiker Open wifi eduroam Visitor Access veiligheid 4 Hiermee en met de informatie uit de andere twee delen van dit drieluik kan de instelling een weloverwogen keuze maken om wel of geen open wifi-‐netwerk aan te bieden. 1.6 V e r a n t w o o r d i n g De tekst van dit document is tot stand gekomen op basis van een sessie met beveiligings-‐ en netwerkexperts van een aantal instellingen en SURFnet: Ewald Beekman, Bart van den Heuvel, JP Velders, Raoul Vernède, Bart Visser; Maurice van den Akker, Paul Dekkers, Alf Moens en Rogier Spoor. 5
© Copyright 2024 ExpyDoc