Forum Standaardisatie adviseert overheden om openbare wifi te beveiligen

Het Forum Standaardisatie adviseert Nederlandse overheden en publieke instellingen om openbare gastnetwerken te beveiligen met WPA2 Enterprise. Dat advies sluit aan bij aan de al bestaande verplichting voor de standaard bij andere wifinetwerken van Nederlandse overheden.

In die verplichting wordt WPA2 Enterprise omschreven als de officiële standaard voor beveiligde wifinetwerken voor overheden zoals het Rijk, provincies, gemeenten en publieke en semipublieke instellingen. Het adviesorgaan voor de publieke sector zegt nu ook dat openbare gastnetwerken beveiligd zouden moeten worden met WPA2 Enterprise, iets wat nog niet overal gebeurt.

Het Forum Standaardisatie probeert al ongeveer een jaar WPA2 Enterprise er doorheen te krijgen bij publieke overheidsnetwerken. Het ministerie van Binnenlandse Zaken begon vorig jaar een internetconsultatie waarin het input vroeg over het verplicht stellen van WPA2 Enterprise als standaardbeveiliging voor dergelijke netwerken en afgelopen zomer nam Forum Standaardisatie daarover een besluit na meerdere expertrondes. Het advies werd in september toegevoegd aan de bestaande verplichting rond WPA2 Enterprise, schrijft privacycollectief Privacy First, dat vorig jaar de aanleiding gaf voor het verplichten van WPA2 Enterprise in de publieke sector.

Het is nadrukkelijk omschreven als een advies om de openbare wifinetwerken voor gastgebruik te beveiligen met WPA2 Enterprise en niet als een verplichting. Het advies is gericht aan bijvoorbeeld gemeenten die publieke wifi aanbieden aan de balie in het gemeentehuis of aan instellingen zoals bibliotheken. WPA2 Enterprise is al de standaardbeveiliging toegepast bij de overheid, maar er geldt een uitzonderingspositie voor gastnetwerken. In sommige gevallen werken deze met onbeveiligde verbindingen, wat in potentie gevaarlijk is voor gebruikers.

Door Stephan Vegelien

Redacteur

05-10-2021 • 15:35

72

Reacties (72)

Sorteer op:

Weergave:

Kan iemand uitleggen hoe WPA2 Enterprise dan zou moeten werken voor gasten? Moeten ze dan een username/password oid invullen om verbinding te maken?

Ik dacht altijd dat het of via een certificaat of u/p zou werken. Maar dat is natuurlijk wel wat administratie om een gast toegang te geven.
D.m.v. bijvoorbeeld RADIUS kan je zowat tegen alles gaan authenticeren. Als je een afspraak hebt bij een overheidsdienst, dan dien je je vaak eerst aan te melden of een nummertje te trekken digitaal, het systeem weet dat jij het bent en kan dan gewoon voor je een gast user aanmaken in het systeem en de gegevens mee laten uitprinten op je bonnetje. En daarbuiten natuurlijk de bestaande diensten zoals govroam etc. die ze precies willen promoten heb ik de indruk..
Dus extra kosten, meer complexiteit, minder toegankelijk en minder privacy... waar zit exact het voordeel? Dit klinkt als een heel slecht plan. Zover ik begrijp is dan WPA2 Personal een stuk beter en nog steeds veilig.
WPA personal met een wachtwoord dat voor iedereen hetzelfde is kun je gewoon scannen en decrypten als je het wachtwoord weet toch?
Neen, elke connectie heeft een unieke encryptie bij het gebruik van WPA2-personal, dus ook al heb je de preshared key, dan nog kan je niet (gemakkelijk) een andere connectie decrypteren, daarvoor heb je nog meer nodig dan enkel de preshared key.

PSK (Pre-Shared Key) is used to generate PMK (Pairwise Master Key), which is used together with ANonce (AP Nonce) to create PTK (Pairwise Transient Key). PTK is devided into KCK (Key Confirmation Key, 128 bit), KEK (Key Encryption Key, 128 bit) and TEK (Temporal Encryption Key, 128 bit).

Vanaf PTK zit je uniek per client.

[Reactie gewijzigd door Tha Render_2 op 25 juli 2024 00:12]

Wat je nodig hebt is de handshake. Als je die captured (en dat is makkelijk met een deauth) kun je de boel decrypten als je de PSK hebt. Zelfs als je de PSK achteraf verkrijgt! WPA2 kent immers geen PFS.
Is geen oplossing. U bent er van op de hoogte dat het gratis WiFi dat bijvoorbeeld de gemeenten aanbieden, ook een maatschappelijke functie heeft. Niet alleen maar als je daar toch bent. Het WiFi netwerk van een gemeentehuis bv wil je ook actief hebben buiten de openingstijden. Want het is ook een fallback, kun je nergens het internet op, is er altijd nog het gemeentehuis, een bibliotheek oid.

Govroam is _niet_ bedoelt voor random burgers. Maar kan wel voor jouw voorbeeld ingezet worden, al zal dit best kostbaar zijn. Je kan bij sommige overheidsinstanties een govroam gast account krijgen. Maar dit is (zviw) niet bedoelt voor burgers. Maar voor externen bv die tijdelijk op een overheidslocatie komen werken.
Heel simpel. Public/private keypair op basis van je ID kaart (de pubkey krijg je er bij) en een password dat je genereerd via DigID. Vervolgens zou je dan bij elke gemeente in kunnen loggen. Loop je vervolgens te kutten via die login? Dan ben jij natuurlijk de eerste verdachte.
Dit is een commerciële dienstverlener, Publicroam BV. Moeten alle overheden zaken met hun gaan doen? Iets met monopolie.
Ik heb hier thuis WPA enterprise met een apart username en wachtwoord voor gasten, die komen dan op een ander VLAN dan de normale gebruikers en kunnen dus niet bij mijn lokale netwerk. Een beetje vergelijkbaar met hoe losse gastnetwerken meestal werken.

Lijkt me prima te doen om een gebruikersnaam / wachtwoord combinatie te communiceren ipv alleen een wachtwoord.
Dat had ik ook, totdat ik op de ps4 playlink wilde doen met vrienden. Dan moet helaas de smartphones in dezelfde scope/ipreeks zitten.

Hierdoor het gasten-ssid maar weggedaan. Vrienden die ik over de vloer krijg vertrouw ik wel :)
Yeah same, totdat je devices in meerdere VLANs kunt dumpen is het alleen maar moeilijkheid om niks. In een apart VLAN kunnen mensen geen muziek streamen of aan de TV/Chromecast verbinden om even iets te delen. Daarnaast vertrouw ik er wel op dat niemand mijn laptop of NAS gaat hacken in de vriendenkring.
Tenzij je tussen je VLAN's gaat routeren en de gasten toegang geeft tot specifieke diensten/protocollen/poorten in het andere VLAN uiteraard.

Een device hoeft dus niet in meerdere VLAN's te zitten ;).

Bovenstaand even los van het praktisch nut. Ik ga er ook niet aan beginnen thuis.

[Reactie gewijzigd door RobTweaks op 25 juli 2024 00:12]

Daar heb ik het apparatuur ook helemaal niet voor :P ben je waarschijnlijk honderden euro's en dagen verder voordat je zoiets werkend hebt voor 0 ROI. Niemand gaat mijn wifi proberen aan te vallen, 30 meter boven straatniveau en zelfs al zouden ze hier voor de deur gaan zitten met een laptop en een device erin krijgen, alles wat relevant is heeft authenticatie of communiceert over HTTPS.
Kun je voor die keer toch zelf connecten met het gastnetwerk? Lijkt me verstandiger.

@Verwijderd is het niet verstandiger om die zaken dan op een gastnetwerk te zetten? Of zijn die bekabeld?

Ik zelf heb al die IOT liever niet verbonden aan hetzelfde netwerk als mijn (werk)pc en NAS

[Reactie gewijzigd door NoobishPro op 25 juli 2024 00:12]

Ik heb niks aan mijn NAS als mijn TV, telefoon en Chromecast die content niet kunnen aanspreken, dus daar ga je dan al. Wat moet ik immers met video en foto als ik er niet naar kan kijken? Sowieso heb ik alles bekabeld behalve telefoon en iPad. Af en toe de laptop als deze niet docked staat.

VLAN scheiding heeft eigenlijk in een thuisnetwerk weinig plaats. Het klinkt leuk, die scheiding van apparaten, maar praktisch is het niet.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 00:12]

Om heel eerlijk te zijn zou ik daar dan ook twee verschillende netwerken voor neer zetten. Eentje die alleen readonly heeft (met de smart apparaten er in) en een waar je ook mee kunt schrijven (waar computer ed in zitten).

Dingen als een smart Tv wil ik persoonlijk liever geen schrijf rechten geven. En ja dat betekent dubbel werk.
Ik vat eigenlijk niet helemaal wat je hiermee bedoelt. Schrijfrechten op netwerkniveau...? Dat is niet hoe netwerken werken. Dan heb je het over RBAC/authenticatie en dat heeft niets met een VLAN te maken. Dat is ook nog eens afhankelijk van de applicatie.
Ja mijn vorige post was wat kort door de bocht misschien.

Het heeft wel degelijk met elkaar te maken. Het probleem met bepaalde software is dat er exploits voor zijn om onder water om die RBAC heen te kunnen. Kijk naar het hele smb gebeuren met wannacry. Netwerk segmentatie is daar dan ook een extra laag die wel degelijk kan zorgen dat bepaalde exploits niet mogelijk zijn. Zo kun je een readonly NFS share ontsluiten binnen je readonly VLAN en een SMB write share (met authenticatie uiteraard) binnen het andere VLAN. Zodoende heb je een extra laag waardoor gekraakte apparatuur niet zomaar aan de gang kan gaan.
Je kan bij WPA2 enterprise willekeurige gebruiekrsnamen en wachtwoorden toestaan. Het voordeel is dan dat het verkeer van Cliënt (zeg: telefoon) naar Access Point versleutelde is :).

Als je een echt domein gebruikt voor de username wordt zelfs een mitm aanval lastig omdat clients vaak (neem bv windows) dat certificaat controleren.
Het kan door eerst op een open SSID te connecteren en dan een onboard proces te doorlopen.
Verrevan ideaal.

Weet ook dat de nieuwe WP3 enhance open standaard ook zorgt voor encrypted open netwerken, Enige dat WPA3 enterprise dus levert is authenticatie.. en die zou ik liever NIET hebben op open SSID's.
Ik kan alleen maar akkoord gaan met het advies, men denkt te vaak alleen aan het eigen belang, de veiligheid van de organisatie en hun data, maar langs de andere kant heb je ook nog de beveiliging van je bezoekers, en daar gaat dit om. Je kan een guest wifi zonder wachtwoord opzetten en die volledig separaat houden van je eigen omgeving waardoor je ingedekt bent, maar de veiligheid van de gebruiker van dat gastennetwerk komt zo wel in het gedrang. Open wifi netwerken gebruiken geen encryptie waardoor het verkeer eenvoudig kan gesniffed worden door iemand met slechte bedoelingen, met alle gevolgen vandien. Bescherm niet alleen je organisatie, maar de gehele samenleving, zeker als het met een eenvoudige ingreep kan.

Voor alle duidelijkheid, als een aanvaller het WPA2 wachtwoord kent, dan nog kan die het netwerkverkeer van de andere verbonden toestellen niet sniffen gezien deze allen een unieke encryptie hebben. Dat is het grote verschil met een open netwerk, waar er helemaal geen encryptie is en alle pakketten kunnen gesniffed worden.

[Reactie gewijzigd door Tha Render_2 op 25 juli 2024 00:12]

In tegenstelling tot klassieke open netwerken hebben open netwerken die gebruik maken van de WPA3 standaard hebben wel de voordelen zoals encrypted verkeer (individualised data protection), vreemd dat dit niet meegenomen is in de overwegingen. Dit zou daar juist een goede usecase voor zijn.

Dit houd trouwens gewoon in dat het een WPA3 netwerk is met een blank password.
Voor alle duidelijkheid, als een aanvaller het WPA2 wachtwoord kent, dan nog kan die het netwerkverkeer van de andere verbonden toestellen niet sniffen gezien deze allen een unieke encryptie hebben. Dat is het grote verschil met een open netwerk, waar er helemaal geen encryptie is en alle pakketten kunnen gesniffed worden.
Het wachtwoord alleen is idd niet genoeg. Je hebt ook de handshake nodig, maar dat is vrij eenvoudig te verkrijgen met een de-auth. Praktisch gezien is een WPA2 verbinding waarvan het wachtwoord bekend is net zo onveilig als een open wifi netwerk.

Kan je vrij eenvoudig testen met een Linux laptop + wireshark en wat google werk hoe je een de-auth forceert. (op je eigen apparatuur uiteraard).
Het voelt een beetje als mosterd na de maaltijd. Wie probeert er tegenwoordig nu nog z'n netwerk aan de edges te beschermen? En waarom zou iemand daar nog op vertrouwen nu end-to-end-encryptie normaal is? Als ik met m'n bank wil communiceren dan wil ik dat alleen via HTTPS doen en dan maakt het me weinig uit of het onderliggende netwerk veilig is of niet.
Conceptueel vind ik het eigenlijk de verkeerde aanpak.

Pragmatisch gezien heeft het nog steeds nut want er is nog steeds onversleuteld netwerkverkeer, maar volgens mij wordt er vaak veel te veel verwacht van WIFI-beveiliging.
En zelfs in het allerbeste geval beveiligen we alleen het stukje naar het accesspoint. Daarna gaat het verkeer weer verder via een ouderwetse kabel die vrijwel nergens is beveiligd.

Misschien moet ik er ook niet te veel achter zoeken. Mensen gebruiken wifi en beveiligen dat met een wachtwoord. Als je dat toch al doet dan kun je het maar beter goed doen ook. Dus op zich vind ik het prima dat het forum hierover adviseert.
Maar ik hoop wel dat mensen de juiste prioriteiten stellen.

Overigens zag ik een paar dagen geleden een rapport langs komen over hoe mensen hun telefoon configureren voor WIFI en daaruit bleek dat men vaak niet weet dat je ook het certificaat en het domein moet controleren. Nogal vaak wordt er alleen maar naar het SSID gekeken en als dat match wordt gewoon het wachtwoord opgestuurt zonder dat je hebt gecontroleerd of dat accespoint wel legitiem is of fake.
Precies dit.
Anno 2021 is meer dan 90% van al het internet verkeer HTTPS (in tegenstelling tot ca. 50% in 2017), dus als er al op je open wifi data wordt opgevangen hebben de “hackers” een hoopje versleutelde jibberish.
Dit advies komt jaren te laat. Tegenwoordig is vrijwel al het verkeer end-to-end encrypted, en met spotgoedkope gigantische mobiele data bundels wordt de behoefte aan gratis wifi steeds kleiner.

Daar moet wel bij gezegd worden dat ALS je dan toch een WPA2-enterprise gasten wifi wil aanbieden je goed af bent bij Publicroam. Ze bieden hun diensten aan op meer dan 370 lokaties en hebben meerdere mogelijkheden voor de eindgebruiker om een username / password te verkrijgen. Zelf hoef je geen database of administratie bij te houden, alleen een RADIUS koppeling met de servers van Publicroam.

Fun fact: Een van de oprichters van Publicroam heeft mee geschreven aan deze adviesnota. Het is een prima advies, maar tegelijk ook een gevalletje “Wij van WC-Eend adviseren WC-Eend”. :)

[Reactie gewijzigd door CyberTijn op 25 juli 2024 00:12]

Een deel van de websites heeft https redirecting nog steeds niet op orde. Op een open netwerk zonder isolatie van gebruikers kun je alsnog de https requests injecten naar http en zo proberen data mee te lezen. Er zullen vast meer manieren zijn, maar ook https is niet heilig.
WPA2-personal is geen goed alternatief. Zo'n wachtwoord wordt geprint en op de muur/ramen gehangen en daardoor zichtbaar voor kwaadwillende. Nadeel van WPA2-enterprise dat je van de gebruikers vraagt dat hij/zij die instellingen in zijn device kan toevoegen. Voor eenmalig (24 uur account) is dat soort van omslachtig.

Vandaar toch vaak die open hotspots waarover dan gelijk een (always-on) VPN wordt opgezet naar de bedrijfsomgeving(en).

[Reactie gewijzigd door digibaro op 25 juli 2024 00:12]

WPA2-personal is wel een goed alternatief voor een open netwerk gezien het er voor zorgt dat alle connecties een unieke encryptie krijgen, wat bij een open netwerk niet het geval is. Voordeel is dat een aanvaller dus niet meer het verkeer van de andere apparaten kan sniffen, ookal heeft hij het WPA2-personal wachtwoord. WPA2-enterprise (als het veilig & gebruikersvriendelijk geïmplementeerd wordt) is uiteraard beter, maar WPA2-personal zou al een goede verbetering zijn tegenover een open netwerk. Uiteraard samen met client isolation en segmentatie van de andere netwerken.
Als je naast de PSK (het gedeelde wachtwoord) ook de handshake van een andere client kan afluisteren, kan je dit verkeer gewoon ontsleutelen. Dus ja, de clients hebben allemaal een eigen sleutel. Maar als je het wachtwoord weet en de handshake kan afluisteren, dan kan ieder ander die sleutel ook berekenen. Met WPA2-Enterprise is dit niet mogelijk.

WPA2-PSK is dus geen alternatief voor WPA2-Enterprise als je wilt voorkomen dat eindgebruikers elkaars verkeer kunnen afluisteren.
Klopt, maar het maakt de aanval wel moeilijker dan bij een open netwerk, daar wou ik op doelen, het WPA2-personal protected wifi netwerk is veiliger dan een open netwerk, ookal is de preshared key publiek, de aanvaller moet zoals je zegt ook nog de 4-way handshake kunnen bemachtigen om het verkeer te sniffen bij een WPA2-personal protected wifi netwerk.
Niet veel. De aanvaller moet gewoon een de-auth sturen. Als iemand al uitgezocht krijgt hoe hij wifi moet sniffen krijgt hij ook wel uitgezocht hoe hij een de-auth moet sturen. Dit schept een vals gevoel van veiligheid.
En als je het gaat vergelijken met Hotspot 2.0 ?
Slimme overheden passen natuurlijk Govroam toe, waardoor gasten van andere overheden eenvoudig kunnen verbinden met een beveiligde verbinding. Dit werkt hetzelfde als Eduroam. Beide zijn een Nederlandse uitvinding. Eduroam wordt wereldwijd op universiteiten gebruikt.

Bedrijven en overheden kunnen Publicroam gebruiken voor gastgebruikers. Dit is een commerciële aanbieder in Nederland. Maar simpel WPA2 is ook een goede optie en er lijkt geen reden te zijn om het niet aan te zetten. .
Ik was idd stomverbaasd toen ik in New York liep (langs de Univeristy) en ineens WiFi had van de Hogeschool Leiden ;). Werkt prima
Ik heb nog een mooiere: mijn telefoon begon opeens midden op de Akropolis in Athene allerlei dingen binnen te halen. "Hoe bedoel je ik heb hier wifi?" Ik dacht al aan een directe straalverbinding met de Olympus, maar nee, ook Eduroam.

Bleek dat er zo'n keet stond van groepje archeologen die daar onderzoek deden, met een eigen wifi-installatie, keurig met Eduroam ingesteld.
Slimme overheden passen natuurlijk Govroam toe, waardoor gasten van andere overheden eenvoudig kunnen verbinden met een beveiligde verbinding. Dit werkt hetzelfde als Eduroam. Beide zijn een Nederlandse uitvinding. Eduroam wordt wereldwijd op universiteiten gebruikt.

Bedrijven en overheden kunnen Publicroam gebruiken voor gastgebruikers. Dit is een commerciële aanbieder in Nederland. Maar simpel WPA2 is ook een goede optie en er lijkt geen reden te zijn om het niet aan te zetten. .
Ja goed idee, laten we meer bedrijven de 'macht' geven.
Dat werkt ook zo goed in de zorgverzekeringen, verplicht een zorgverzekering moeten hebben, maar wel bij een commerciële partij
En dan gek vinden dat het alleen maar duurder wordt elke keer.
Zorgverzekeraars zijn stichtingen zonder winst oogmerk dus snap je vergelijking niet. Wat is daar anders aan dan dat de overheid het zelf doet?

[Reactie gewijzigd door jongetje op 25 juli 2024 00:12]

Zorgverzekeraars zijn stichtingen zonder winst oogmerk dus snap je vergelijking niet. Wat is daar anders aan dan dat de overheid het zelf doet?
Uh-huh .. ja ....
En sinterklaas bestaat, en vacinaties verbeteren je 5G ontvangsten ...

https://www.achmea.nl/over-ons/organisatie

Als die 'stichtingen' vallen onder een moederbedrijf, wat ook echt met hart voor de samenleving er instaat.
Dan ga je naar DSW, ONVZ of een andere onafhankelijke zorgverzekeraar die niet onder een groot concern hangen.
ONVZ zit samen met Unive en VGZ bij Uvit en valt dus ook onder een groot bedrijf
DSW gaat binnenkort samen met een andere toko een groot bedrijf vormen.
Wat stelt u voor, overheid meer macht geven?
Zoals iedereen hier wel weet blinkt overheid echt uit in IT projecten. :+
Hoe kunnen we de overheid nu nog meer macht geven? Dat kan niet, ze staan al boven en buiten de wet.
Dat kan wel en dat doen ze ook continu.
Meer en meer regulaties, meer belastingen en meer geld printen.
Elke overheid blijft groeien tot de onderliggende munteenheid in elkaar stort.
Er waren nog remmen beschikbaar toen we op de goudstandaard zaten. Die remmen zijn al even weg.

https://wtfhappenedin1971.com/
Eén keer aanmelden en voortaan altijd veilig en vertrouwd draadloos online op alle govroam locaties.
Jup, zit ik op te wachten, weer een organisatie die bij kan houden waar ik me bevind.
Dé manier om dit te voorkomen is je niet aan te melden voor dit netwerk. Dus ik ga er voor de grap van uit dat je dit ook niet doet (of zou doen). Dit artikel gaat over netwerken waar je wél mee verbindt. Dus dit onderwerp is helemaal niet relevant voor jou. Waarom reageer je precies...? ;)
Klopt, dat doe ik inderdaad niet. Ik log alleen in op echt openbare netwerken, zonder centrale authenticatie dus, VPN doet de rest.
Je MAC adres is nog steeds zichtbaar. Wel of niet verbinden met een gecentraliseerde wifi-oplossing helpt niet tegen tracken.. helaas!
Een macadres is makkelijk te veranderen, veel devices hebben dat al ingebouwd, of eenvoudig te vinden.

En daarmee, het gaat niet om volledig onzichtbaar te zijn, het gaat erom wat je met de verbinding doet.
Als ik bij mijn werkgever inlog, is de laptop 'gewoon' online, maar mijn telefoon gaat toch echt naar mijn vps over wireguard.
Mijn WG heeft niets te maken met welke apps er een verbinding opbouwen, en waar naartoe verder.

Ook in de boze buitenwereld, gaat alles eerst naar mijn eigen vps, en dan pas richting het datanetwerk
Je MAC adres is nog steeds zichtbaar.
Op mijn telefoon verandert het mac automagisch..
U kent Govroam niet.

Ook uw overheidsorganisatie veilig en gastvrij online?
govroam stelt overheidsorganisaties in staat hun netwerken met elkaar te delen. Hierdoor hebben medewerkers op iedere deelnemende locatie draadloos toegang tot services, e-mail en eigen data. Zo kunnen zij eenvoudig, vertrouwd én veilig werken op afstand. Digitaliseren en innoveren? govroam ontzorgt!

govroam biedt medewerkers veilig en eenvoudig online toegang in de eigen organisatie én bij alle andere deelnemende overheidsorganisaties. Na één keer aanmelden kan een gebruiker altijd snel draadloos online.

govroam maakt gebruik van de nieuwste beveiligings-standaarden en toegangsprotocollen. Het biedt één omgeving voor toegangsbeheer. Deze is veilig en laagdrempelig, en maakt samenwerken en werken op afstand heel eenvoudig. https://govroam.nl/
Ah, het is dus helemaal niet relevant, want het artikel gaat over openbare netwerken...
Eduroam en govroam zijn de wifi netwerken voor de studenten en medewerkers van de onderwijsinstellingen en de overheid. Daarmee kunnen zij op alle verbonden instellingen een veilig wifi krijgen. Voor zover ik weet zit daar een 'eigen' organisatie achter.

En uit betrouwbare bron kan ik vertellen dat dit werkt: Een club Nederlandse studenten die in Florance (Italië) in de buurt van de universiteit lopen. En dan opeens alle mobieltjes beginnen te piepen omdat ze wifi hebben (en er berichten binnen komen) :) :)

Voor publicroam is er wel een centrale organisatie. Zie https://publicroam.nl/over-publicroam/ voor details. Zelf kan ik mij voorstellen dat publicroam geen filantropische instelling is. Het zou mooi zijn als ze internationaal gaan. Dan kan er misschien een betaalde dienst bij komen dat je automatisch een vpn naar Nederland krijg. Of andersom, in Nederland een vpn naar een ander land van keuze/abonnement.

Daarmee krijg je dan een door jou gekende organisatie die bij houdt waar je zit, zodat de rest niet ziet waar je bent. Als jij je best doet kan je dan zelfs de roaming-telefoon-provider in het buitenland omzeilen.
"Maar simpel WPA2 is ook een goede optie en er lijkt geen reden te zijn om het niet aan te zetten."
Bedoel je hiermee WPA2 Personal? Want dan vraag ik me af waarom je dit als een goede optie ziet. Het gebruik van pre-shared keys is juist wat je niet wil, aangezien je die dan waarschijnlijk in je koffietentje moet gaan ophangen aan de muur of op de menukaart moet zetten. En dan heeft een mogelijk aanvaller het wachtwoord natuurlijk ook zo, waardoor het voordeel wel weer een beetje wegvalt.
En dan heeft een mogelijk aanvaller het wachtwoord natuurlijk ook zo, waardoor het voordeel wel weer een beetje wegvalt.
Het gaat over openbare netwerken, dus de "aanvaller" zal sowieso toegang hebben...
Dat is zeker waar, echter is het bij Enterprise een stuk moeilijker (zo niet onmogelijk) om anderen af te luisteren, omdat de sleutel op iets gebaseerd is dat niet iedereen heeft. Bij Personal is de sleutel gebaseerd op de PSK, wat er voor zorgt dat iedereen er wat makkelijker bij kan.
Klopt, daarom altijd een VPN gebruiken als je op een niet-eigen WiFi netwerk zit, zelfs als het een WPA2/3-Enterprise netwerk is... om de beheerders daarvan buiten de deur te houden.
WPA2-personal is een beter alternatief voor een open netwerk gezien het er voor zorgt dat alle connecties een unieke encryptie krijgen, wat bij een open netwerk niet het geval is. Voordeel is dat een aanvaller dus niet meer het verkeer van de andere apparaten kan sniffen, ookal heeft hij het WPA2-personal wachtwoord. Dus liever het wachtwoord ergens omhoog hangen dan een open netwerk aanbieden, zo hebben alle apparaten een unieke encryptie op hun connectie.
Waarom bestaat er niet gewoon een wpa variant zonder wachtwoord of authenticatie?
Die bestaat in WPA3, Opportunistic Wireless Encryption OWE.
Vroeg ik me ook al af. Verbinding is wat anders dan toegang. Even een voorbeeld: je verbinding naar tweakers kan gewoon als bezoeker maar hij is wel https
Of betere oplossing: Niet zulke vage veilingsconstructies maken voor mobiel internet zodat het voor iedereen betaalbaar is. Open wifi blijft gewoon een vervelend product. :P
De wereld ontvangt graag uw voorstel voor hoe u dit zou willen doen. Er wordt nog maar 30 jaar onderzoek gedaan naar mechanismen voor de verdeling van spectrum. U zult dus vast een optimale oplossing kunnen presenteren waar nog niemand aan gedacht heeft.
Ik denk dat PrismSub7 bedoeld dat ze niet voor miljarden geveild worden om de staatskas te spekken.

Maar bv gewoon verdeeld worden over de huidige providers en ze dus niet al die miljarden door hoeven te rekenen aan de klant.

Of providers hun tarieven dan ook daadwerkelijk zouden verlagen is natuurlijk een 2e.
Ja, we zullen de aandeelhouders van deze bedrijven vragen of ze de gerealiseerde besparingen integraal en geheel willen teruggeven aan hun klanten of dat ze dit uitkeren als dividend aan de aandeelhouders. Volgens economen ben ik niet goed in economie, dus misschien dat het toch niet teruggegeven wordt aan de klanten ;-)
Ik bedoelde uiteraard de ruimte op de frequenties en niet de miljarden.
Er moet ook ruimte zijn voor nieuwe providers.
Als ik de andere reacties lees, vooral die over eduroam en govroam, dan zou publiroam ook een aardige kunnen zijn/worden. Dan heb je daarmee ongeveer precies wat je nodig hebt. Helemaal geen vage veiligheidsconstructies via mobiel internet. Maar via de wifi standaard en daarmee veel voordeliger.

Als publiroam meteen een soort vpn constructie biedt zodat ik als Nederlander ook in het buitenland werk alsof ik in NL zit. En de Duitser en Fransoos op de zelfde manier 'alsof vanuit DE of FR', dan zou het helemaal mooi zijn.

Een volgende stap kan dan zijn dat de ziggo's en kpn-s van deze wereld hun roaming-wifi singaal daar ook op aansluiten.

[Reactie gewijzigd door beerse op 25 juli 2024 00:12]

Stond reactie op verkeerde persoon.

[Reactie gewijzigd door Xer0X op 25 juli 2024 00:12]

Tweakers: Forum Standaardisatie adviseert overheden om openbare wifi te beveiligen
Ja natuurlijk we gaan de regering weer vragen of zij de openbare wifi willen beveiligen, een regering die al 100x op Tweakers nieuws gekomen is, hoe slecht ze zijn in internet dingen, laten we die om hulp vragen 8)7
Waar wij met wpa2 ent tegenaan liepen is dat de radius servers intern staan.

Met een eigen PKI certificaat. En aangezien die intern is, wordt dat certificaat niet vertrouwd/ kun je niet trusten, door moderne Android versies op smartphones of Apple devices.

Nu ik dit zo schrijf vraag ik me af of een publiek certificaat had geholpen.

Hoe dan ook, voor het onboarding proces heb je of een (dure) app nodig, of veel tijd en gedegen kennis en kunde.
Mocht je het niet geloven: probeer maar eens even snel toegang te krijgen tot het ziggo ssid. (Wat een drama, temeer omdat certificaten op smartphones het nodeloos ingewikkeld maakt)

Er wordt ook gesproken over wpa3 bij open netwerken
*Helaas* zit encryptie daar standaard NIET in.
OWE is nl. -om onbegrijpelijke redenen- niet standaard. Dus het kan maar zo zijn dat jouw WLAN het niet ondersteund

Ps. Zijn hier al organisaties die WPA3 aan hebben staan?
Ps2. Weinig mobiele devices ondersteunen dit al, duurt nog wel enkele jaren...

Op dit item kan niet meer gereageerd worden.