'Driekwart Nederlandse gemeenten biedt onveilige wifi-gastnetwerken aan'

Ten minste 78 procent van de Nederlandse gemeenten biedt volgens Publicroam gastgebruik bij wifinetwerken aan met een gedeeld wachtwoord of zonder wachtwoordeisen. Forum Standaardisatie wil onderzoeken of verplichte beveiliging mogelijk is.

Publicroam claimt op basis van een eigen inventarisatie dat in ieder geval 78 procent van de gemeenten geen wachtwoord vereist voor zijn publieke gast-wifinetwerken of daarvoor een gedeeld wachtwoord gebruikt. Daarbij schreef het bedrijf 355 Nederlandse gemeenten aan, waarvan er 281 reageerden.

De vragen waren of bezoekers gebruik kunnen maken van gastwifi bij de gemeente en of ze hiervoor een account moesten aanmaken of direct met een gedeeld wifiwachtwoord of via een toegangspagina konden inloggen. Uit de antwoorden bleek dat 43 procent geen wachtwoordbeveiliging had en vier gemeenten hadden hun wifinetwerk geheel opengesteld.

Verder had 27 procent een gedeeld wachtwoord, dat aan meerdere personen werd verstrekt via e-mail of de balie. Nog eens 8 procent gaf aan open wifi te bieden, zonder te verduidelijken op welke wijze de toegang was geregeld.

Slechts vijftien gemeenten, oftewel 5 procent, gaven aan een persoonlijke gebruikersnaam en wachtwoord te verstrekken voor toegang tot publieke netwerken. Van 17 procent was onduidelijk hoe de toegang verliep. Publicroam beschouwt toegang zonder wachtwoord, via een portal, of met een gedeeld wachtwoord als onveilig en benadrukt dat inloggen met een persoonlijke gebruikersnaam en wachtwoord veiliger is vanwege de wpa2-enterprise-beveiliging.

Pubicroam wifinetwerken — Toegang tot publieke wifi-netwerken door gemeenten, bron: Publicroam

Publicroam is een bedrijf dat een dienst voor publiek toegankelijke wifi verkoopt door de authenticatie voor wifi-netwerken te delen. Gebruikers kunnen zo op meerdere wifi-netwerken die publicroam ondersteunen inloggen, vergelijkbaar met eduroam voor studenten maar dan commercieel. Het bedrijf heeft dus een belang bij de uitkomst van het onderzoek.

De aanleiding voor de inventarisatie was de intentie die Forum Standaardisatie, een adviescommissie voor open standaarden benoemd door het ministerie van Binnenlandse Zaken, om te onderzoeken of wpa2-enterprise voor openbaar wifi bij de overheid verplicht gesteld moeten worden. Daarvoor heeft Forum Standaardisatie een gesprek gehad met Stichting Privacy First en Publicroam. Wpa2-enterprise is al verplicht voor overheden, maar niet voor gastgebruik. "De huidige situatie bij veel gemeenten dwingt gebruikers van gastwifi om zélf veiligheidsmaatregelen te treffen. Dit is niet in lijn met het overheidsbeleid", aldus Publicroam.

Reacties (143)

CARLiCiOUS 26 juni 2020 16:52

Mooi om te zien hoe bedrijfsbelangen en onwetendheid elkaar versterken in dezelfde richting. Als je kijkt naar wat WPA-Enterprise eigenlijk is, zul je zien dat het absoluut geen heilige graal is.

Het werkt met een Public-Key Infrastructure (PKI), vergelijkbaar met hoe een browser een domeincertificaat checkt. Nu is PKI in de context van domeincertificaten al, laten we zeggen, suboptimaal, met 6000+ certificate authorities (non-root inbegrepen), waaronder behoorlijk dubieuze partijen, die allemaal moeten worden vertrouwd.

Het leaf-certificaat in WPA-Enterprise authenticeert de hostname van de RADIUS server. Ergo, we nemen de dubieuze situatie van domeincertificaten, en voegen daar aan toe dat je de domeinnaam niet kan valideren. Een voorbeeld: Jij verbindt met je student-account met eduroam. Je maakt een connectie met een RADIUS server waarvan je niet weet of die de juiste is (en meestal niet eens te zien krijgt). Er is niets dat mij tegenhoudt om een draadloos netwerk op te zetten, het eduroam te noemen, een RADIUS server op te zetten, en daarvoor een simpel domeincertificaat van mijn website te gebruiken. Certificaat-chain klopt, hostname van de RADIUS zal wel goed zijn, hoppa, verbinden maar!

Dit is een bekend probleem. Het enige middel met een serieus effect is het pinnen van het certificaat. Het pinnen van het root-certificaat is niet goed genoeg: als aanvaller hoef je dan alleen maar een domeincertificaat aan te vragen bij een CA onder hetzelfde root-certificaat.

Laten we dus het leaf-certificaat pinnen. Even los van het feit dat dit voor een enorme hoofdpijn zorgt bij vervangen van het certificaat, is het bij veel (mobiele) OS'en niet eens een optie. Als het wel kan, dan is het instellen ervan vaak een gedrocht. Ziggo wifispots bijvoorbeeld, heeft een 29-stappenplan (ik heb de eerste 6 van de 35 geskipt, die hebben geen betrekking op certificate pinning).

29 Stappen. Als het uberhaupt al kan. Hou er rekening mee dat WPA-Enterprise zo goed als nul meerwaarde heeft als je dit niet doet. Willen we dit werkelijk verplicht stellen in elk gemeentehuis, en bijbehorende budgetten vrijmaken voor apparatuur, training van persooneel en voorlichting van bezoekers, voor een toevoeging van een extra laag encryptie in een wereld waar 84% van alle websites HTTPS gebruikt? Of zullen we het anders houden bij het aanbieden van een toegankelijke gratis wifi dienst waarbij je even geen gevoelige gegevens in plain-text moet versturen?

GeoBeo @CARLiCiOUS • 27 juni 2020 10:07

Super hulde voor deze post die even wat context biedt. Wow.

En ik dacht dat het aan mij lag dat dat wifispots zo ongelofelijk lastig in te stellen was. Kleine sidenote: dat stappenplan werkt niet eens goed voor Android afhankelijk van welk Android smaakje je smartphone fabrikant je gegeven heeft. Dat heeft meer te maken met het gedrocht dat Android is dan met wifi, maar toch...

Of zullen we het anders houden bij het aanbieden van een toegankelijke gratis wifi dienst waarbij je even geen gevoelige gegevens in plain-text moet versturen?

Precies mijn gedachte. Hoe vaak komt het versturen van plain-text nog voor in een wereld vol HTTPS, VPN en end-to-end encrypted chat apps?

Doe dan gewoon helemaal geen wachtwoord idd...

Of. Als je dan de "ziggo wifi spots" (of eduroam) route wilt gaan: biedt dan gewoon helemaal geen wifi aan. Er zijn letterlijk 0 bezoekers in heel Nederland die in hun 5 minuten bij de gemeente de moeite zullen nemen het 35-stappen-plan te doorlopen om wifi te kunnen gebruiken.

PS: over Eduroam. Daar bestaat wel een handige (Android) app voor die het 35 stappen plan van Ziggo een stuk korter maakt. Maar dan nog...

[Reactie gewijzigd door GeoBeo op 22 juli 2024 18:15]

Arjan P @CARLiCiOUS • 27 juni 2020 15:31

Of zullen we het anders houden bij het aanbieden van een toegankelijke gratis wifi dienst waarbij je even geen gevoelige gegevens in plain-text moet versturen?

Inderdaad, waarbij het ook goed is op te merken dat dit hele 'nieuwsfeit' komt van een bedrijf dat juist een 'oplossing' zegt te bieden voor al die onveilige gemeente WiFi-netwerken...

Charlie_Root @CARLiCiOUS • 27 juni 2020 21:05

Super uitleg/onderbouwing. Helemaal mee eens

paulfrancissen @CARLiCiOUS • 29 juni 2020 12:29

Beste CARLiCiOUS, WPA2-Enterprise is idd geen heilige graal. Zie mijn reactie bij @Marcelkoedijk • 29 juni 2020 12:21

dezejongeman 26 juni 2020 13:43

nu heb ik de publicatie groot en deels doorgenomen. wat duidelijk is dat ze niet hebben getoetst wat er gebruikt is. het rapport is geschreven obv een vragen lijst waarop geantwoord kon worden. Hiervoor hadden de gemeentes 3 dagen. Hoe de opzet daarvan was is buiten beschouwing gelaten. Daarnaast gaat dit niet individuele gemeentes en hebben ze een groot eigen belang, namelijk hun eigen draadloze oplossing aanbieden zoals de laatste pagina vermeld.

Als ik heel eerlijk ben ziet het er uit als een leuke MBO afstudeeropdracht.

Inhoudelijk over wat goede oplossingen zijn, wordt niet ingegaan en wordt geen advies gegeven over hoe de gemeentes dit kunnen verbeteren. Op de laatste wordt alleen even een slide gepubliceerd van hun award winning eigen veilige oplossing.

Powermage @dezejongeman • 26 juni 2020 16:51

De vraagsteller heeft een groot belang bij de uitkomst, heeft daar een afstudeerverhaal opgezet en presenteert nu met veel bombarie hun resultaat waarbij ze ook nog vinden dat alle partijen niet voldoen aan bepaalde wetgeving en ze daarom maar beter hun dienst kunnen afnemen....

dezejongeman @Powermage • 26 juni 2020 17:26

Ik weet niet of het zo is, maar zo oogt het wel.

Marcelkoedijk 26 juni 2020 22:11

Ik heb een presentatie gehad van de publicroam cto voor een groep zeer gespecialiseerde wifi engineers van meer dan 100 man (ik praat dan over CWNE experts waar er een paar van zijn in NL/BE, de creme-de-la-creme op gebiedt van WiFi), na de presentatie gingen 100 vingers omhoog met vragen over de achterliggende veiligheid. Schijn veiligheid wordt hier geboden.

WPA2-Enterprise is veilig wanneer dit gebruikt wordt met EAP-TLS op basis van computer of gebruikers certificaten, dit is niet eenvoudig uit te rollen op onbeheerde devices. De oplossing van public roam is gebasseerd op basis van EAP-PEAP (gebruikersnaam wachtwoord) met validatie van het radius certificaat dat verstrekt wordt door de Radius server aan de client, dit is onveilig zolang de er niet op de onbeheerde devices afgedwongen kan worden dat het geen vreemde radius certificaten mag accepteren.

https://publicroam.nl/support/publicroam-op-iphone-ipad/ vertrouwd u alsutblieft het onvertrouwde certificaat is een dooddoener in deze... Het wachtwoord kan achterhaald worden middels een de-authenticatie frames, een vals (rogue) accesspoint en een valse radius server die de MSCHAPv2 challenge opvangt. MSCHAPv2 is al jaren lang niet veilig!!! https://www.youtube.com/watch?v=50fO3j4NgyQ

Publicroam is een spin-off van eduroam en govroam. Helaas wordt govroam ook regelmatig verkeerd geimplementeerd op basis van EAP-PEAP MSCHAPv2 met gebruikt van een active directory account!!, zodoende liggen AD inloggevens op straat en kan bijvoorbeeld mail worden overgenomen of inglogd worden op VPN van het bedrijfsnetwerk wanneer er geen OTP token wordt gebruikt. Een groot gevaar dus! Goed nieuws is dat met govroam kun je ook EAP-TLS gebruiken zolang als clients maar beheerd worden door de active directory of een MDM oplossing zoals intune.

EAP-PEAP-MSCHAPv2 kan overigens wel veilig gebruikt worden wanneer op de client kan worden afgedwonen dat er geen onvertrouwd certificaat kan worden vertrouwd. Maar dan moet er weer beheer kunnen worden uitgevoerd op de clients, en dat kan niet voor gasten.

Feitelijk is elke gast per definitie onveilig! Wanneer men spreekt over laag2 encryptie, oftewel het 802.11 wifiverkeer in de lucht!. Meeste applicaties zoals whatsapp, httpS websites, citrix, mail applicaties, rabobank app, etc. gebruiken end-to-end encryptie op laag 7 van het osi model. Laag 2 doet er dan niet meer toe. Gelukkig zijn bijna alle applicaties tegenwoordig encrypted. DNS requesten meestal niet

.

- Open is onveilig omdat er geen encryptie op laag 2 wordt gebruikt. Zolang de applicatie encrypte gebruikt is dat geen probleem maar je weet nooit zeker welke applicaties iemand gebruikt.

- Captive portal is onveilig omdat het gewoon hetzelfde is als "Open" maar een DNS re-directie wordt gebruikt totdat de portaal is beantwoord met een vinkje of inloggevens. De portaal is HTTPS versleuteld dus je wachtwoord wordt veilig verstuurd. Maar na authenticaties is de data gewoon onversteuteld (op laag 2).

- WPA2-Personal is onveilig omdat een gedeelde code in combinatie met de 4-way handshake (EAPOL frame) het verkeer kan ontsleutelen,

-WPA2-Enterprise is veilig wanneer je het op de juiste manier inricht. Met certifcaten op de clients dus. Niet alleen een Radius server certificaat. EAP-TLS is veilig, de holy grale, maar je moet het eind device in beheer hebben. EAP-PEAP is niet veilig zonder expliciet alleen het radius server certificaat te vertrouwen en geen vreemde certificaten te vertrouwen.

Moraal.... GASTEN WIFI = ONVEILIG

Er zijn een paar goede alternatieven. Zoals bijvoorbeel Aruba ClearPass in compinatie met Onboarding licentie. Hierdoor kunnen gasten zichzelf registeren via een captive portaal via een HTTPS encrypted verbinding. Ze krijgen een applicatie en certificaat gepushed en mogen daarna verbinding maken met een tweede WiFi netwerk dat op en top beveiligd is met EAP-TLS. Eén klein nadeel is dat sommige gasten behoren tot een ander bedrijf met hun eigen regels en soms geen nieuw certificaat mogen accepteren, dan werkt dit niet voor zogenaamde contractors in sommige gevallen.

Alles bij elkaar genomen is dit exact de reden waarom WPA3 en Enchanced Open nu ontwikkeld worden door de WiFi alliance. Beide gebruiken een diffihelman zodat zelfs op open netwerken end-to-end encryptie wordt afgedwongen op de 802.11 wifi laag, laag2. Nadeel nog niet alle clients ondersteunen dit en WPA3 is backward compatible. Of WPA3 gebruikt kan worden ligt dus aan de client.

Initiatieven als Publicroam zijn mijn inziens slecht onderbouwd en ze vertellen weinig over hun zwaktes, puur een marketing ding! Govroam en Eduroam daarin tegen biedt meer mogelijkheden omdat er beheer kan worden uitgevoerd op de bedrijfs gebonden devices.

Voor elke gemeente die EAP-PEAP MSCHAPv2 gebruikt op basis van AD credentials, PAS OP! En laat je goed informeren.

[Reactie gewijzigd door Marcelkoedijk op 22 juli 2024 18:15]

paulfrancissen @Marcelkoedijk • 29 juni 2020 12:21

Beste Marcel, Ik was degene die de presentatie gaf. Ik ben niet de CTO, maar wel een van de initiatiefnemers/oprichters.

In je laatste zin waarschuw je geheel terecht tegen gebruik van AD credentials icm MSCHAPv2. Je verwijst naar youtube; het is een bekend issue. Je benoemt ook de risico’s van open wifi/captive en gedeeld wachtwoord. Je bent het vast met me eens als we daar dezelfde waarschuwing bij plaatsen: ‘PAS OP! En laat je goed informeren’.

In 2016 heeft Forum Standaardisatie geconstateerd dat de veelgebruikte standaarden voor gastwifi niet afdoende zijn om veilig wifi aan te bieden aan medewerkers van de overheid. Daarom is WPA2-Enterprise verplicht gesteld voor overheden, voor het aanbieden van wifi-toegang aan eigen medewerkers en aan bezoekers van andere overheden. Daarbij zijn de zwakheden die jij en anderen benoemen in overweging genomen (het Forum Standaardisatie wijst hier ook op).

Met publicroam bieden we organisaties een alternatief voor open wifi of een gedeeld wachtwoord. De dienst is gebaseerd op WPA2-Enterpise. Daarbij hebben we zeker een aantal uitdagingen. Voorop staat dat het moet werken met bestaande wifi-oplossingen/infra, want de meeste organisaties willen of kunnen niet fors investeren in vernieuwing van hun gastwifi. Ze kunnen natuurlijk ook stoppen met gastwifi, maar de praktijk is dat organisaties vrijwel allemaal wifi-toegang bieden aan bezoekers omdat het voorziet in een behoefte (ook, of juist, in tijden van 4/5g).

Om breed ingezet te kunnen worden moet een roamingdienst voor publiekswifi volgens ons voldoen aan een aantal eisen: (1) Maximaal gebruiksgemak, eenvoudige onboarding en 1x inloggen overal online (2) Vendor-onafhankelijk, dus geen proprietary hard- of software, (3) Beschikbaar voor elke organisatie, met alle gangbare apparatuur (4) Privacy proof (geen data delen met derden, geen reclame), (5) Niet duur en niet complex.

Eduroam en govroam laten zien dat dit mogelijk is. Dat heeft ons geïnspireerd om publicroam op te zetten, geheel op basis van open standaarden. We hebben een aantal maatregelen getroffen m.b.t. het issue rond MSCHAPv2. Eén daarvan is dat we unieke gebruikersnamen verstrekken die niet herleidbaar zijn naar personen of organisaties. Er is dus geen risico dat ze gebruikt worden om toegang te krijgen tot mail of een bedrijfsVPN zonder token, zoals je beschrijft. Een andere maatregel is dat gebruikersnamen verlopen als niet wordt ingelogd en dat we een onboardingproces inrichten met een feedbackloop naar de eindgebruiker; hij/zij krijgt bericht als de eerste inlog wel/niet succesvol is. Hij weet dan dus of de onbaording wel of niet goed is verlopen.

We blijven op zoek naar manieren om het nog beter te doen. Industriebreed wordt gekeken hoe roaming op basis WPA2-Enterprise/WPA3-Enterprise en Hotspot2.0/Passpoint veiliger en makkelijker gemaakt kan worden (OpenRoaming vanuit WBA). Daar doen we aan mee. Maar dat ligt nog wel een stukje verder in de toekomst omdat nog niet alle apparatuur hiervoor geschikt is.

Tenslotte nog een opmerking over maatregelen die mensen zelf kunt treffen tegen risico’s van openbare hotspots (zoals VPN en het gebruik van HTTPS). Zolang iemand weet dat hij/zij op een open hotspot zit, kun je dat soort maatregelen treffen. Dus in het gemeentehuis of in een zorginstelling. Maar niet als je op een terrasje of thuis zit en ongemerkt verbindt met een nagebootst SSID (waarmee je eerder verbonden bent geweest). Dat 84% van de websites HTTPS gebruikt, verkleint het risico van afluisteren, maar voorkomt niet dat je verbindt met een hacker. Overigens blijkt uit onderzoek dat een grote groep mensen helemaal geen maatregelen treft tegen onveilige hotspots. Ze gaan er gewoon op, alle campagnes ten spijt. Als een organisatie met weinig kosten/inspanning een veiligere oplossing kan bieden, waarom zou ze dat dan niet doen? Het is niet voor niks dat de hele wifi-industrie al jaren op zoek is naar een oplossing voor dit probleem.

Tot slot, er gingen géén 100 vingers in de lucht in die zaal, en ook geen 20. Maar dat had van mij best gemogen ;-)

Trommelrem @Marcelkoedijk • 29 juni 2020 14:17

Helaas wordt govroam ook regelmatig verkeerd geimplementeerd op basis van EAP-PEAP MSCHAPv2 met gebruikt van een active directory account!!, zodoende liggen AD inloggevens op straat en kan bijvoorbeeld mail worden overgenomen of inglogd worden op VPN van het bedrijfsnetwerk wanneer er geen OTP token wordt gebruikt

Dat ADDS object is toch altijd een computerobject? Met een computerpassword krijg je echt geen toegang tot userresources. Wel is het mogelijk om een computerobject te hijakkeren, maar daarmee heb je bij een goede inrichting nog steeds geen toegang tot userresources. Maar dit geeft inderdaad wel aan dat een RDG met als beveiliging een computer object niet voldoende veilig is. Gelukkig is RDG ook bijna deprecated en is WVD met conditional access policies in AzureAD te beveiligen.

Inloggen op een Wireless Fidelity netwerk op basis van een useraccount was al in 2001 not-done.

[Reactie gewijzigd door Trommelrem op 22 juli 2024 18:15]

WeirCo 26 juni 2020 18:57

Wij van WC-eend....

Hebben allang SPAM mail gekregen van deze publicroam verkooppartij. Proberen met schijnveiligheid je product aan de man te brengen. Ik denk dat het vooral de afweging van jezelf moet zijn of je verbinding wilt maken met een netwerk zonder authenticatie (vind ik een betere naam dan onbeveiligd).

TweakerFransie @WeirCo • 29 juni 2020 10:37

Dat WC-eend niveau deel ik. Het onderzoek meldt dat er maar 15 gemeentes zouden zijn die gebruik maken van persoonlijke inloggegevens. Hier valt govroam ook onder. In 2017 meldde de stichting govroam al dat er 50 gemeentes zijn aangesloten en dat aantal is de afgelopen 3 jaar flink gestegen: https://govroam.nl/

paulfrancissen @TweakerFransie • 29 juni 2020 12:50

govroam is alleen beschikbaar voor overheidsmedewerkers, niet voor externe gasten

TweakerFransie @paulfrancissen • 1 juli 2020 09:36

Dus als overheidsmedewerkers elders te gast zijn, hebben ze dus een veilig wifi netwerk. WBA is best ver met Openroaming: https://www.rcrwireless.c...m=email&utm_source=Eloqua

Daar zijn (in 2018) ook in NL tests mee gedaan. Die kan dan gemakkelijk worden omarmd door govroam.

paulfrancissen @TweakerFransie • 1 juli 2020 10:47

Dus als overheidsmedewerkers elders te gast zijn, hebben ze dus een veilig wifi netwerk.

Precies.

WBA is best ver met Openroaming: https://www.rcrwireless.c...m=email&utm_source=Eloqua
Daar zijn (in 2018) ook in NL tests mee gedaan. Die kan dan gemakkelijk worden omarmd door govroam.

Ja dat denk ik wel. Het idee van OpenRoaming is dat het (in de toekomst) makkelijker wordt voor roamingdiensten zoals govroam, eduroam, publicroam, maar ook telcomaanbieders en anderen, om toegang tot wifi-netwerken veiliger en makkelijker te maken, doordat (1) eigenaren van wifi-netwerken kunnen roamingdiensten eenvoudiger toevoegen aan hun netwerk, (2) aanbieders van roamingdiensten kunnen onderling afspraken maken over toegang. Maar dit is dus nog wel toekomstmuziek. Eerst maar eens testen komende tijd ;-)

jotheman @WeirCo • 26 juni 2020 20:17

Precies dit @WeirCo inderdaad. Het verbaast me dat er navenant weinig mensen in de comments vallen over de term "onveilig", die term klopt naar mijn idee niet. Jij verbindt dus het is jouw eigen keuze. Als je veilig wilt zijn kun je VPN-en en alleen HTTPS-connecties gebruiken. Het is niet de taak van een gemeente om je verder te beveiligen, net zo min als dat de taak is van je lokale McDonalds. Jij kiest ervoor om van dat netwerk gebruik te maken, of niet. Ik vind het al heel netjes dat gemeentes dit aanbieden en vind de term "onveilig" schromelijk overdreven. Maar dat is mijn mening uiteraard

In alle eerlijkheid vind ik dat het Tweakers zou sieren als het onderwerp van dit topic aangepast werd naar iets als "Onderzoek claimt dat driekwart Nederlandse gemeentes 'onveilige' wifi-gastnetwerken aabidedt", dit onderwerp heeft een redelijk hoog "stemming-makerij"-gehalte...

[Reactie gewijzigd door jotheman op 22 juli 2024 18:15]

watercoolertje 26 juni 2020 13:23

Was leuk geweest als er wat dieper in was gegaan waarom het niet veilig is om het open te houden.

Hier staat het wel verduidelijkt waarom het gebruik van WPA2 Enterprise een veiligere keus is (hoewel lang niet alles op gaat omdat het om een publiek netwerk gaat en niet om een bedrijfsnetwerk).

https://www2.computerworl...2-enterprise-te-gebruiken

Denk dat dit de hoofdreden is:

In de Personal-versie kan iedereen elkaars netwerkverkeer in principe bekijken, waardoor iedereen met een wachtwoord allerlei belangrijke gegevens kan oppikken. De manier waarop encryptiesleutels worden toegewezen en uitgewisseld in de Enterprise-versie zorgt ervoor dat gebruikers elkaars HTTP-verkeer niet kunnen zien.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 18:15]

Bazvv @watercoolertje • 26 juni 2020 13:37

Er zijn genoeg wifi oplossingen die cliënt isolation ondersteunen ook met WPA2-PSK.

RobertMe @Bazvv • 26 juni 2020 14:04

Client isolation lees ik als dat apparaten niet onderling met elkaar kunnen communiceren. Maar dat zegt niks over het uit de lucht plukken van wifi verkeer, en daarbij is WPA-PSK net zo onveilig als geen wachtwoord. Immers kan iedereen de wifi signalen uit de lucht plukken. In het geval van geen wachtwoord heb je dan meteen de data, dus "onveilig". In het geval van WPA-PSK is de verbinding wel versleuteld, maar is de verbinding initieel versleuteld op basis van "het wifi wachtwoord", en daarna wordt pas een unieke sleutel gebruikt. Oftewel, bij WPA-PSK kun je niet midden in de communicatie het verkeer ontsleutelen (want er wordt dan een willekeurige sleutel gebruikt, die ook nog eens regelmatig veranderd). Maar als je ook het opzetten van de WPA-PSK verbinding uit de lucht plukt, en het gedeelde wachtwoord weet (wat in dit geval dus zo is) kun je alsnog alle verkeer ontsleutelen. Combineer dat met dat iedereen een pakketje de lucht in kan sturen waarna alle clients hun verbinding verbreken (en opnieuw opzetten) en het is net zo onveilig.

Oftewel:
Geen versleuteling => onveilig
WPA-PSK => veilig zolang niemand het wachtwoord weet

En dat is dus waar het hier over gaat. Als de gemeente aan iedereen het wachtwoord verstrekt dan heeft het wachtwoord geen doel meer. Immers is dat gedeelde wachtwoord het enige qua beveiliging en als je het gedeelde wachtwoord weet kun je het verkeer van iedereen ontsleutelen (als je ook het opzetten van de verbinding hebt opgepikt, en dat kun je forceren door iedereen de verbinding te laten verbreken.

WPA Enterprise kent dit probleem niet, omdat dan iedereen met een unieke gebruikersnaam en wachtwoord inlogt.

offtopic:
Zelf beheer ik de wifi bij een horecazaak van een familielid, en heb ik juist een aantal maanden terug het wachtwoord eraf gehaald. Qua beveiliging voegt het niks toe, omdat er toch aan iedereen het wachtwoord wordt afgestaan. En het geeft wel een extra "obstakel" naar klanten toe om de wifi te gebruiken die dan weer eerst moeten vragen wat het wachtwoord is.

[Reactie gewijzigd door RobertMe op 22 juli 2024 18:15]

lenwar

@RobertMe • 26 juni 2020 14:32

Maar de volledige sleutel wordt toch niet over de lijn gestuurd? Toch alleen de publieke sleutels, waarna de client en het AP samen zelf tot een gedeelde sleutel komen?

Dus hoe de Diffie-Hellman key exchange gaat:
https://www.youtube.com/watch?v=3QnD2c4Xovk

fluffy1 @lenwar • 26 juni 2020 17:07

Het is even geleden, maar in een testomgeving heb ik ooit WPA (of WPA2, ben niet meer zeker) encrypted wifi trafiek gedecrypteerd. (Device under test had netwerkproblemen bij WPA verbindingen waarbij een packet capture wel handig was bij het troubleshooten). Vereiste was dat je het wachtwoord had en de 4-way handshake had opgevangen.

Snel even op Google gekeken. Hier wordt uitgelegd hoe dit werkt: https://mrncciew.com/2014...wpa2-psk-using-wireshark/

lenwar

@fluffy1 • 27 juni 2020 10:45

Dit vind ik wel heel erg interessant. Het document waar je naar verwijst laat echter alleen broadcast-voorbeelden zien. (zoals DHCP en SKINNY) Hiervan is het logisch dat je die kan decoderen, omdat die op een andere manier worden versleuteld. Kon jij toentertijd gewoon meekijken met unicast-verkeer? (dus een willekeurig DNS-verzoek ofzo)

fluffy1 @lenwar • 28 juni 2020 15:05

We waren toen vooral op zoek naar HTTP verkeer, dus dat lukte, ja.
In het voorbeeld wordt ook RTP aangehaald. Dat is unicast.

Darses

@RobertMe • 26 juni 2020 18:04

Wat je beschrijft is echter niet het 'probleem' waar het hen om te doen is. Immers zou dan het advies moeten zijn om gemeentes te verplichten WPA3-Enhanced Open te ondersteunen, daarbij kan het verkeer van een publieke hotspot ook versleuteld worden per gebruiker.

De motivatie van dit commerciele bedrijf is dat zij een "Evil Twin AP" attack willen voorkomen. Dat staat beter bekend als "Free Airport WIFI", maar heeft dan dezelfde naam als het netwerk van de gemeente. Wellicht een terechte zorg, maar de implicatie van dit voorstel is wel dat een gasten wifi opzetten gelijk een stuk complexer gaat worden en gemeentes dit gaan uitbesteden aan een bedrijf als Publicroam. (Die daar vervolgens een verplichte email en telefoonnummer verificatie aan koppelt en geld voor vraagt. En daar zit ik zelf dan weer wat minder op te wachten.) Overbodig ook aangezien het probleem van een dergelijke Evil Twin AP attack sterk overdreven is, als je bedenkt dat de beveliging op hogere lagen (TLS/HTTPS) voldoende is om de meeste aanvallen te weerstaan.

EDIT: Ik meen dat het met WPA2-Enterprise ook mogelijk is om een gedeelde username+password comibinatie te gebruiken is omdat alle verbindingen een eigen sleutel afspreken. Op die manier kan je toch de voordelen hebben zoals je noemt, zonder individuele accounts te hoeven aanmaken.

[Reactie gewijzigd door Darses op 22 juli 2024 18:15]

Zer0 @RobertMe • 26 juni 2020 14:12

WPA Enterprise kent dit probleem niet, omdat dan iedereen met een unieke gebruikersnaam en wachtwoord inlogt.

WPA Enterprise is in mijn ogen nog steeds onveilig als ik de beheerder niet vertrouw... en bij een publiek netwerk doe ik dat niet.
Leuk dat het verkeer door de lucht versleuteld is, maar het moet alsnog door een router heen.

RobertMe @Zer0 • 26 juni 2020 14:30

Uiteraard, maar dit artikel gaat over de beveiliging van het wifi netwerk, niet over hoe veilig de achterliggende verbinding is.

Zelfde vraag kun je dan uiteraard stellen als je thuis bent of 4G gebruikt. Hoe goed vertrouw je de ISP? En als je je verbinding buitenshuis altijd via een VPN naar thuis laat lopen blijft die vraag staan (want verkeer van endpoint VPN naar internet is dan net zo onveilig/onvertrouwd als dat je thuis bent).

En als je altijd een losse VPN gebruikt (Mullvad, AirVPN, ...) kun je je natuurlijk ook afvragen hoe veilig je die partij beschouwd, en wat bv de beheerder van het datacenter alsnog kan zien en herleiden van het verkeer.

Zer0 @RobertMe • 26 juni 2020 14:40

Hoe goed vertrouw je de ISP?

Die hoef ik niet te vertrouwen aangezien alle verkeer versleuteld de deur uit gaat of binnen komt.

Op zich heb je een punt, maar daarom moet je er altijd vanuit gaan dat je verbinding niet veilig is, en dus zaken als VPN, HTTPS en andere encrypted protocollen gebruiken. Of de WiFi veilig is is dan niet meer relevant.
Ik heb er ook geen enkele moeite mee om op een open WiFi netwerk in te loggen, ik neem echter wel maatregelen. Maar dat doe ik net zo goed op een "beveiligd" WiFi netwerk wat ik niet zelf beheer.

Tout @Zer0 • 26 juni 2020 16:44

Ook op het WiFi netwerk dat jezelf beheert, moet je er volgens mij vanuit gaan dat het niet veilig is.

Annihlator @Tout • 26 juni 2020 19:13

Ik weet niet hoe veelvoorkomend mitigaties inmiddels ertegen zijn, maar mij is wel bekend dat je (iig een jaar of 3 geleden) middels ARP poisoning via een authenticated Wi-Fi client bést interessante dingen kan doen.

Ik heb het destijds op een aantal HTTP-verbindingen vanuit een testnetwerk getest en was eigenlijk nogal verbaasd hoe makkelijk een MITM op niet-encrypted verkeer op te zetten bleek.

Simpel gezegd kan je met een succesvolle ARP-spoof andere devices op het netwerk overtuigen dat jij de router/switch/AP bent, wat je een vrij letterlijke MITM-mogelijkheid geeft.

jongetje

@Zer0 • 26 juni 2020 17:34

En wie beheerd je VPN?, uiteindelijk gaat het ergens het internet op en zul je iemand moeten vertrouwen of je moet zelf internet provider worden. Maar dan ziet de andere kant alsnog dat jij die site bezoekt.

Zer0 @jongetje • 26 juni 2020 22:35

En wie beheerd je VPN?

Ook die vertrouw ik niet, dus gebruik ik nog steeds encrypted verbinding over die VPN, en die VPN provider ergens in het buitenland weet dus alleen waar ik naar verbind.
Natuurlijk lekker er bepaalde gegevens, maar die zijn dusdanig verspreid over verschillende locaties/bedrijven dat tracking een stuk lastiger wordt.

Zer0 @watercoolertje • 26 juni 2020 13:31

De manier waarop encryptiesleutels worden toegewezen en uitgewisseld in de Enterprise-versie zorgt ervoor dat gebruikers elkaars HTTP-verkeer niet kunnen zien.

Niet echt relevant meer nu we massaal HTTPS gebruiken of adviseren...

watercoolertje @Zer0 • 26 juni 2020 13:35

Het is pas irrelevant op het moment dat het niet massaal maar enkel nog wordt gebruikt

Maar je hebt gelijk, waar het belangrijk is wordt dat als het goed is al toegepast.

Desalniettemin is dat het enige punt waarvan ik denk, op die manier zou je open of wpa inderdaad als 'onveilig' kunnen beschouwen ten opzichte van WPA2 Enterprise.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 18:15]

Olaf van der Spek @watercoolertje • 26 juni 2020 13:32

Is dat in WPA3 niet opgelost?

Groentjuh @Olaf van der Spek • 26 juni 2020 14:34

WPA-3 lost dat niet op zoals paulfrancissen al aangeeft. Je kan niet valideren dat een AP bij een netwerk hoort, dus kun je met een rogue AP nog prima verkeer onderscheppen.

Je hebt wel gelijk dat WPA3 een toevoeging heeft voor open netwerken. Door deze toevoeging wordt verkeer van open netwerken versleuteld i.p.v. dat het gewoon door de lucht wordt gestuurd. Gewoon luisteren naar langs vliegend onbeveiligd wifi-verkeer is er dan niet meer bij.

Olaf van der Spek @Groentjuh • 26 juni 2020 14:36

Ik doelde op dit deel:

De manier waarop encryptiesleutels worden toegewezen en uitgewisseld in de Enterprise-versie zorgt ervoor dat gebruikers elkaars HTTP-verkeer niet kunnen zien.

...

Je kan niet valideren dat een AP bij een netwerk hoort, dus kun je met een rogue AP nog prima verkeer onderscheppen.

Stel je kunt dat wel valideren, wat heb je daar dan aan, zeker in geval van een openbaar / publiek netwerk?

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 18:15]

RobertMe @Olaf van der Spek • 26 juni 2020 15:08

Als je ergens in de stad op een terrasje zit en je verbind daar met een publiek netwerk weet je dat de data wellicht over een niet 100% veilige verbinding gaat / is de kans kleiner dat je (privacy) gevoelige dingen doet.

Maar als je thuis zit denk je op een vertrouwde verbinding te zitten, maar als een hacker een AP heeft dat hetzelfde SSID als van dat publieke netwerk uitzend en jouw eigen wifi plat weet te leggen of te overschaduwen dan zit je potentieel dus op zijn netwerk en kan zo alle verkeer zien en als Man-in-the-Middle dus ook het verkeer afluisteren of aanpassen (als het verkeer zelf niet versteuteld is zoals bij HTTPS).

En uiteraard zijn er meer zo'n scenario's te bedenken. Dat je ooit met een netwerk verbind, in de telefoon laat staan (als bekend netwerk) en dat een hacker jouw telefoon met dat netwerk laat verbinden.

Voor bedrijven is dat dan ook een reëel risico. Medewerkers die laptop / telefoon / ... op wifi verbonden hebben op kantoor en dat bv vervolgens een kwaadwillende een busje voor de deur parkeert dat hetzelfde SSID uitzend in de hoop dat die (zakelijke) apparaten met zijn AP verbinden en die via MitM gegevens kan ontfutselen of aanpassen.
Ubiquiti UniFi heeft daarom ook een functie om rogue APs te detecteren. Als een (UniFi) AP een naburig AP ziet met eenzelfde SSID als die zelf in beheer heeft, maar de "zender" daarvan niet door hem beheert wordt dan wordt daarvoor een alert aangemaakt die bv de beheerder ook per mail kan ontvangen.

_Eend_ @RobertMe • 26 juni 2020 16:09

Cisco heeft daarvoor RLDP (Rogue Location Discovery Protocol - https://www.cisco.com/c/e...detect.html#Determination). RLDP heeft ook een actieve functie waarbij het de-auth pakketten stuurt naar clients die met het rogue AP verbonden zijn als het een open rogue netwerk is en gaat er een mail naar de netwerkbeheerders. Ook als er authenticatie op het netwerk zit gaat er

Ik ben geen netwerkbeheerder maar ik weet dat toevallig omdat bij een oude werkgever een buurman ging klagen toen we ons nieuwe, wifi netwerk hadden uitgerold over het hele terrein. De eerste vraag die de netwerkbeheerder stelde was "Hoe heet het netwerk" toen ik met het verhaal aan kwam zetten.

paulfrancissen @Olaf van der Spek • 26 juni 2020 13:45

Neen. WPA3-Personal biedt niet de mogelijkheid om automatisch de integriteit van een netwerk vast te stellen (dus of zeker is dat je verbindt met het netwerk waasrmee je denkt dat je verbindt)

Xfade @watercoolertje • 26 juni 2020 13:32

In de pdf gelinkt in het artikel wordt het wel redelijk goed uitgelegd.
edit: bijvoorbeeld dat iemand een identiek genaamd wifi netwerk opzet waar een ongewisse burger op inlogt etc.

[Reactie gewijzigd door Xfade op 22 juli 2024 18:15]

himlims_ @Xfade • 26 juni 2020 14:17

ssid hier heet 'albertheijn'

ow dat netwerk kent mijn telefoon van de winkel

lenwar

@watercoolertje • 26 juni 2020 14:19

Ik ben geen specialist, maar volgens mij klopt dat niet.
Bij WPA2 in elk geval wordt er een vierweg-authenticatie (four way handshake) gedaan. Beide apparaten generen/hebben een sleutel, sturen die over de lijn en komen zo samen uit op een gedeelde encryptiesleutel.

De rest van de verbinding is dus niet afluisterbaar voor andere apparaten die verbonden zijn. (dus ongeveer hoe een TLS-verbinding in je browser wordt beveiligd eigenlijk - Niet helemaal hetzelfde overigens)

De primaire reden om PWA2-Enterprise te gebruiken, is dat bij een 'gestoten sleutel', je niet al je apparaten hoeft om te configureren en dat je ingebouwd ook met behulp van bijvoorbeeld RADIUS een bepaald apparaat in een bepaald VLAN kan stoppen als dat nodig is. (en nog andere dingen ook, maar volgens mij zijn dit de twee belangrijkste zaken)

(dus stel dat je bedrijfsnetwerk WPA2-personal gebruikt, en iemands laptop/telefoon wordt gestolen, dan heeft de dief dus het wachtwoord van het hele netwerk in handen. Nu zal de beheerder van het bedrijfsnetwerk dus alle apparaten moeten omconfigureren (dan wel het nieuwe wachtwoord aan iedereen verstrekken). Met WPA2-Enterprise kan je simpelweg die ene gebruiker een ander wachtwoord geven en klaar.

Edit: Typo
Dit saai vertolkte filmpje dekt wat ik bedoel: https://www.youtube.com/watch?v=ntGA6V5EciE

[Reactie gewijzigd door lenwar op 22 juli 2024 18:15]

supersnathan94

@watercoolertje • 26 juni 2020 13:48

Tsja. Wat ik mis in dit onderzoek is of er client isolation wordt gebruikt. Het is namelijk volkomen veilig om geen wachtwoord te gebruiken of een gedeeld wachtwoord zoals wedat thuis ook hebben maar met client isolation. Dan kun je namelijk niet sniffen. Dan maakt het dus ineens geen donder meer uit.

Thuis heb ik voor gasten overigens een captive portal met one time use codes. Daardoor kunnen mensen dus een dag gebruik maken van beperkt internet (geknepen bandbreedte) zonder dat ik ze toegang geef tot de rest.

Als gemeentes een dergelijk systeem gebruiken maakt het geen drol uit of er wpa wep wpa2 of überhaupt geen ww wordt gebruikt.

RobertMe @supersnathan94 • 26 juni 2020 14:41

maar met client isolation. Dan kun je namelijk niet sniffen

Client isolation doet daar helemaal niks tegen. Client isolation werkt als een soort firewall op je netwerkapparatuur (APs en switches), maar het voorkomt niet dat het wifi verkeer wordt gesnifft. Immers gaat wifi via de lucht en kan iedereen die signalen gewoon uit de lucht plukken.

Zie ook mijn andere posts waarom het op wifi niveau wel onveilig is:
RobertMe in 'nieuws: 'Driekwart Nederlandse gemeenten biedt onveilige wifi-ga...
RobertMe in 'nieuws: 'Driekwart Nederlandse gemeenten biedt onveilige wifi-ga...

supersnathan94

@RobertMe • 26 juni 2020 15:01

Mwah doet het wel degelijk. Op netwerk niveau tenminste. Je zult behoorlijk wat capriolen uit moeten halen om wifi uit de lucht te trekken waar je met wireshark op een laptopje gewoon al het verkeer uit kan lezen als er geen client isolation wordt gebruikt.

Client isolation is dus wel degelijk een goede toevoeging op overige maatregelen die je treft. Zonder maak je het alleen maar makkelijker en heeft beveiligen ook geen zin aangezien het vanaf het Accespoint niet meer versleuteld is.

WPA2 enterprise heeft alleen zin tegen het stukje draadloze communicatie uit de ether trekken. Client isolation helpt tegen het stukje bedrade netwerk wat er daarna komt.

Derhalve zijn beide eigenlijk wel gewenst om het echt veilig te krijgen, maar werpt client isolation al wel een grotere drempel op dan alleen switchen naar WPA2-e.

Met alleen WPA2-enterprise kun je namelijk wel nog met wireshark de lijn in de gaten houden, maar met client isolation moet je dus direct het draadloze signaal onderscheppen wat een stuk lastiger is.

RobertMe @supersnathan94 • 26 juni 2020 15:24

Je zult behoorlijk wat capriolen uit moeten halen om wifi uit de lucht te trekken

Je moet een apparaat met wifi hebben (kan gewoon een laptop zijn), die monitor mode ondersteund (ligt een beetje aan model wifi adapter). Vervolgens monitor mode activeren, wireshark starten, en de WLAN adapter selecteren. En er zijn ook aangepaste Linux distributies die hierop zijn toegespitst en ook meteen de tools bevatten om de boel te ontsleutelen.

waar je met wireshark op een laptopje gewoon al het verkeer uit kan lezen als er geen client isolation wordt gebruikt.

Nee, ethernet is in principe "gericht" verkeer (tenzij je een netwerk hub gebruikt). Een ethernet pakketje bevat een source en destination (mac adres), en een switch zal het verkeer alleen uitsturen op de poort waarvan die weet dat de destination zich daar bevind (middels ARP). Alleen daadwerkelijk broadcast verkeer wordt over alle poorten uitgestuurd, maar de kans dat dat daadwerkelijk privacy issues oplevert is vrij klein.

Waar client isolation voornamelijk voor zorgt is dat het apparaat van Pietje niet rechtstreeks (op IP) met een apparaat van Klaasje kan verbinden.
Wat jij stelt kan zonder client isolation ook al niet (behalve dan sniffen broadcast verkeer)

supersnathan94

@RobertMe • 26 juni 2020 16:44

Je moet een apparaat met wifi hebben (kan gewoon een laptop zijn), die monitor mode ondersteund (ligt een beetje aan model wifi adapter)

correct, maar voor zover ik weet zijn er maar heel weinig die dit expliciet ondersteunen. Dat zijn meestal gespecialiseerdere dongels. Kosten overigens geen reet, maar je zult er wel meer werk voor moeten doen dan een standaard wireshark broadcast scan.

Nee, ethernet is in principe "gericht" verkeer (tenzij je een netwerk hub gebruikt). Een ethernet pakketje bevat een source en destination (mac adres), en een switch zal het verkeer alleen uitsturen op de poort waarvan die weet dat de destination zich daar bevind (middels ARP).

True, maar ook daar valt weer wat aan te doen door middel van technieken als ARP spoofing. Hier zul je dus ook mitigatie voor moeten hebben.

Wat jij stelt kan zonder client isolation ook al niet (behalve dan sniffen broadcast verkeer)

Jawel dat kan juist wel doordat je dan een simpele network scan kunt doen waardoor je devices kunt herkennen en daarna een ARP spoof kunt doen: https://www.imperva.com/l...on-security/arp-spoofing/

En het is overigens juist dat broadcast verkeer wat openstaande services op op een apparaat aankondigt binnen het netwerk. Exact de services die de afgelopen jaren misbruikt zijn voor ransomware en andere malware. Best wel gevaarlijk als je hier bijvoorbeeld je windows firewall niet goed voor hebt staan (die popup over publieke netwerken en zo).

Voor de rest is zowat alles al versleuteld over de lijn. Bijna geen enkele app die nog HTTP only heeft en browsers als chrome willen daar binnenkort überhaupt al niets meer mee doen.

Maar het is vooral het stukje en/en wat best wel belangrijk is. Voor een overheidsorgaan helemaal.

MrFax @watercoolertje • 26 juni 2020 14:00

Ik dacht dat in consumentenrouters het gastverbinding geen deel uitmaakt van de LAN/subnet en die gesioleerd wordt gehouden en alleen maar via de gateway het internet op kan. Ik vraag me dan dus ook af hoe dat niet veilig is.

[Reactie gewijzigd door MrFax op 22 juli 2024 18:15]

Wim-Bart @watercoolertje • 27 juni 2020 02:26

Grappig want wanneer ze host isolation aanzetten dan is dat niet mogelijk. En bij Enterprise kan het ook gewoon wanneer host isolation niet aan staat.

Het verhaal verteld maar een halve waarheid en ik denk dat ze gewoon willen verkopen.

Madshark

26 juni 2020 13:24

Wij van WC Eend onderzoekje dus.
Anno 2020 is het lang niet meer zo gevaarlijk/onveilig om gebruik te maken van een openbare hotspot.
Geen enkele bank-app of serieuze website is tegenwoordig non-encrypted, alleen mensen die nog een ouderwets plaintext POP3 gebruiken moeten hier niet aan beginnen.
Als de gemeentelijke instanties dan ook nog eens alle uitgaande poorten dichtzet m.u.v. 53/80/443 dan kan er al een hoop minder fout gaan.
Gaan we dan nog wel vanuit dat het gast netwerk geheel gescheiden is van het private netwerkwerk.

Orangelights23 @Madshark • 26 juni 2020 13:45

Je zult je verbazen hoeveel interne devices nog te bereiken zijn vanaf het gastennetwerk. Of dat je uiteindelijk door kunt hoppen naar het interne netwerk, puur via het gastennetwerk. Heb ik inmiddels meerdere keren gehad bij gemeentes tijdens het uitvoeren van een pentest. Het gaat er dus zeker niet om of iets wel of niet versleuteld is, het gaat om de gehele configuratie - die helaas te vaak enorm triest ingeregeld is.

robbietjuh @Madshark • 26 juni 2020 16:23

Geen enkele bank-app of serieuze website is tegenwoordig non-encrypted, alleen mensen die nog een ouderwets plaintext POP3 gebruiken moeten hier niet aan beginnen.

Ik ben van mening dat dit niet de verantwoordelijkheid van de eindgebruiker is. Als een eindgebruiker zijn gegevens invult op een niet-beveiligde webshop, zijn die gegevens kinderlijk eenvoudig te onderscheppen op onbeveiligde en WPA2-PSK-beveiligde netwerken. Je kan simpelweg niet zeggen dat het de verantwoordelijkheid van een eindgebruiker is: die heeft geen weet van de technische samenstelling van de situatie, laat staan dat z'n verbinding afgetapt wordt.

Naar mijn mening is het dus gewoon de verantwoordelijkheid van een gemeente (!) om zo veel mogelijk maatregelen te treffen om de beveiliging van hun netwerk op orde te hebben. Er zijn immers genoeg mogelijkheden (denk alleen al aan WPA Enterprise / EAP).

Als de gemeentelijke instanties dan ook nog eens alle uitgaande poorten dichtzet m.u.v. 53/80/443 dan kan er al een hoop minder fout gaan.

De grap is dat een onbeveiligd netwerk door iedereen gespoofed kan worden. Op het moment dat ik een "WiFi in de trein"-netwerk aanmaak, zal je telefoon daar gewoon netjes mee verbinden. En ik, in de rol van aanvaller, hoef helemaal geen poorten dicht te zetten. Dat de originele aanbieder dat doet, zegt niet dat een gespoofed netwerk dat ook doet. En je raad het al, je laptop of telefoon zullen in dat geval gewoon netjes die onbeveiligde verbinding opzetten.

Vergeet ook niet dat ik, in de rol van aanvaller, dan gewoon DNS of ARP spoofing kan toepassen: ook op beveiligde verbindingen.

[Reactie gewijzigd door robbietjuh op 22 juli 2024 18:15]

kodak @robbietjuh • 26 juni 2020 21:53

Je kan simpelweg niet zeggen dat het de verantwoordelijkheid van een eindgebruiker is: die heeft geen weet van de technische samenstelling van de situatie, laat staan dat z'n verbinding afgetapt wordt.

Je kan ook niet simpelweg zeggen dat mensen geen verantwoordelijkheid hebben omdat ze iets niet weten. Een huis kopen of kinderen nemen maar er nooit verantwoordelijkheid over hoeven hebben omdat je iets niet wist? Een keuze maken is ook verantwoordelijkheid nemen. Zelfs geen keuze maken wil niet zeggen dat je geen verantwoordelijkheid hebt voor de gevolgen. De meeste mensen lijken me daarbij prima in staat keuzes te maken of zich ergens in te kunnen verdiepen voordat ze een keuze maken.

Aan de andere kant lijkt het me sterk dat verantwoordelijkheid alleen bij de gebruikers ligt als iemand een netwerk voor publiek gebruik beschikbaar maakt. Net als dat waarschijnlijk ook voor de apps of de smartphone op gaat. De vraag lijkt dus eerder wat genoeg is en waaruit dat valt op te maken, waarbij voldoende kennis kunnen hebben vermoedelijk wel een rol speelt.

SunnieNL

@Madshark • 26 juni 2020 13:34

Daarnaast geldt ook nog eens: een publiek netwerk is per definitie onveilig. Of daar nou een wachtwoord op zit of niet. Iedereen kan er op.
Stel dat er een wachtwoord op het gast netwerk zit, dan kun je die waarschijnlijk zonder problemen krijgen. Er wordt niet om identificatie gevraagd om het wachtwoord te krijgen.

Dus gastennetwerk? Eerst een VPN naar kantoor of thuis aanmaken. Dan pas ben je veilig.

Daarnaast gaat het er meer om wat voor zaken de gemeente geregeld heeft als je op het gastennetwerk zit. Welke poorten staan er open? Is het gescheiden van het gemeente netwerk? Worden devices op het gastennetwerk van elkaar gescheiden? Dat vind ik allemaal een stuk belangrijker dan: zit er een wachtwoord op het gastennetwerk.

andreetje @SunnieNL • 26 juni 2020 14:25

Is een betaalde commerciele VPN op zich niet al veilig genoeg?

DeeD2k2 @andreetje • 26 juni 2020 14:36

Definieer “veilig”.

Als het gaat om ter plekke mee kunnen kijken, dan is het veilig.

Als het gaat om meekijken van derden, dan is het afhankelijk van de commerciële partij en het land waarin servers en bedrijf gevestigd zijn.

Of het vanuit privacy oogpunt veilig is, is helemaal twijfelachtig omdat een VPN provider per definitie iets van je online gedrag mee kan krijgen...

dtsneo1 26 juni 2020 13:24

Er ligt ook een eigen verantwoordelijkheid bij de gebruiker: je moet ALTIJD nadenken over de veiligheid en betrouwbaarheid van een netwerk en/of netwerkaanbieder. Uitgangspunt bij het gebruik van publieke netwerken (waar ik het hele internet onder schaar) is dat versleuteld verkeer in verkeerde handen kan vallen.

Het gebruik van een VPN dienst kan daarbij helpen (bijvoorbeeld voor verkeer naar bedrijfsnetwerken), net als hek gebruik van versleuteling.

Frogmen

28 juni 2020 16:01

Goed verhaal en eigenlijk ook wel mooi om te lezen eigenlijk dat als je een gasten netwerk open houdt dat het misschien zelfs veiliger is want dan geen er ook geen wachtwoorden overheen (voor inloggen). Voor gebruikers is het ook duidelijk (geen wachtwoord dus niet veilig). Maakt het voor gebruikers ook duidelijk dat zij voor vertrouwelijke zaken https of een VPN moeten gebruiken.

bussie66 26 juni 2020 13:36

Gewoon VPN gebruiken. Probleem opgelost.

lenwar

@bussie66 • 26 juni 2020 13:51

Nee, dan is het probleem voor degene die weet hoe dat moet, en er op dat moment aan denkt om het te gebruiken, opgelost. Het is van de zotte dat overheden en andere publieke diensten als OV onveilige draadloze verbindingen aanbieden.

Zer0 @lenwar • 26 juni 2020 14:21

. Het is van de zotte dat overheden en andere publieke diensten als OV onveilige draadloze verbindingen aanbieden.

Kom dan eens met een oplossing?
Niet WPA-Enterprise, want het is van de zotte dat ik voor een publiek netwerk een traceerbaar persoonlijk account aan moet maken/vragen. Al helemaal als dit account door een derde partij als Publicroam beheerd gaat worden.

amigob2 @lenwar • 26 juni 2020 14:56

Altijd VPN gebruiken, en het is helemaal niet moeilijk, de grote VPN aanbieders bieden een app die er voor kan zorgen dat het altijd aan staat.

Je zult wel problemen hebben met Netflix of zo of je moet extra uitgeven en een dedicated IP nemen bij de VPN provider.

[Reactie gewijzigd door amigob2 op 22 juli 2024 18:15]

SunnieNL

@bussie66 • 26 juni 2020 14:47

Ligt eraan welk probleem je probeert op te lossen.

Wel of geen wachtwoord is hier niet het probleem (het onderzoek is dan ook waardeloos naar mijn idee).
Een wachtwoord op een gastennetwerk maakt het niet veiliger dan geen wachtwoord op een publieke wifi.

Maar stel dat het gastennetwerk geen afscherming van devices heeft en ik kan jouw laptop of telefoon benaderen. Dan kan ik ook proberen op jouw device binnen te dringen. Of je nou een VPN hebt of niet.

bytemaster460 @bussie66 • 26 juni 2020 15:04

Ja, maar leg dat eens uit aan mensen die het al lastig vinden om hun smartphone aan een wifi-netwerk te hangen. Bij een gemeente zit je niet in een tech-omgeving en moet alles laagdrempelig zijn.

SkyStreaker 26 juni 2020 13:21

Wat betekend dit precies juridisch gezien? Stel ik ga in het weekend of ergens in het holst van de nacht naast het gemeentehuis zitten op mijn kont, pak mijn laptop erbij en ga via Tor of enig ander aan mogelijkheden, lelijke dingen uithalen. Is de aanbieder van het te misbruiken netwerk deels verantwoordelijk, simpelweg door nalatigheid? Vanwege de aard van WiFi, komt het signaal ook prima buiten de muren.

(edit: paar foutjes)

[Reactie gewijzigd door SkyStreaker op 22 juli 2024 18:15]

watercoolertje @SkyStreaker • 26 juni 2020 13:28

Denk dat vooral jij verantwoordelijk bent voor wat jij doet

Hoewel ik het juridische verhaal niet weet bied het niks meer dan de mogelijkheid om te misbruiken, net als een mes te misbruiken is.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 18:15]

SkyStreaker @watercoolertje • 26 juni 2020 13:33

Een mes is een fysiek gebruiksvoorwerp en niet een (publiekelijk) toegankelijke entiteit in tegenstelling tot het wifi-signaal wat niet goed beveiligd is. Ik weet dan ook niet of je vergelijking helemaal opgaat of dat ik in deze reactie het wel helemaal bij het goede eind heb. Alhoewel ik het natuurlijk met je 1e punt absoluut eens ben, lijkt het onvolledig.

[Reactie gewijzigd door SkyStreaker op 22 juli 2024 18:15]

Horatius @SkyStreaker • 26 juni 2020 13:27

In Duitsland was er een zaak die je hiermee misschien kan vergelijken;

Frank kreeg een brief op de mat dat hij illegale content gedownload had.
Frank zei: dat was ik niet, bewijs maar dat ik het was en niet iemand anders op mijn netwerk,
Oordeel van de rechter na hoger beroep: Het is de verantwoordelijkheid van Frank om te bewijzen dat iemand anders op zijn netwerk de wet heeft overtreden.

Dus ik vermoed niet dat je kan worden aangeklaagd voor nalatigheid maar gewoon moet bewijzen dat jij het niet was, althans in Duitsland. Ook als ik een prepaid databundel koop dan zou ik het heel raar vinden als de netwerkbeheerder als verantwoordelijke wordt gezien.

FilipSP @Horatius • 26 juni 2020 13:58

Dus Frank was hier de netwerkbeheerder en dat is dan toch ook waar de schoen wringt ?

Immers het maakt dan toch in principe niet uit of Frank of het Gemeindeamt van de Kreisfreie Stadt Braunschweig de beheerder is, maar het is de taak van de beheerder om de gebruikers op een of andere manier te identificeren. Slechts een generiek of zelfs niet eens een wachtwoord lijkt mij daarin, zonder hele sterke kennis van de technische materie, een probleem.

Wim-Bart @FilipSP • 27 juni 2020 02:23

In Duitsland is de situatie anders dan in Nederland. In Duitsland is de afnemer van de Internet aansluiting verantwoordelijk voor wat er gebeurd. Deze moet bewijzen dat hij het zelf niet was maar moet daarbij ook kunnen aangeven wie het was. Daarom zijn er in Duitsland geen open netwerken of moet je een overeenkomst tekenen of inloggen met een specifiek account.

In NL gelden hele andere regels.

Op dit item kan niet meer gereageerd worden.

'Driekwart Nederlandse gemeenten biedt onveilige wifi-gastnetwerken aan'

Lees meer

Reacties (143)

Sorteer op:

Weergave: