Je komt zowat geen wifi netwerk meer tegen dat niet beveiligd is met encryptie zoals WPA2, WPA3 of 802.1X EAP. Prima natuurlijk! Maar wat soms opvalt is hoe organisaties met hun draadloze netwerk omgaan. Het komt bijvoorbeeld regelmatig voor dat wanneer mensen een organisatie hebben verlaten, het wachtwoord voor de wifi niet wordt gewijzigd. Daar zijn vaak heel praktische redenen voor, maar dit past natuurlijk niet in een goed beveiligingsbeleid. Wat kun je wel doen?

De praktijk

Veel mkb organisaties hebben ooit wifi aan laten leggen. Dat netwerk bestaat meestal uit twee delen. Één voor de medewerkers en één voor eventuele gasten. Op beide wifi netwerken is een wachtwoord gezet om toegang te kunnen krijgen.

Het grootste verschil tussen beide netwerken is dat het medewerkersnetwerk, in tegenstelling tot het gasten-netwerk, toegang verschaft tot het LAN. Populair gezegd: je kunt daarmee op servers en printers in het netwerk komen. Het gasten-netwerk geeft doorgaans alleen toegang tot het internet. Het wachtwoord voor de gasten wordt dan ook vrijelijk aan iedereen gegeven, het wachtwoord voor medewerkers angstvallig geheim gehouden.

Maar de praktijk laat ook zien dat medewerkers het wachtwoord voor het medewerkers netwerk toch aan gasten geven. Daar zit geen kwade bedoeling achter. Dit is gewoon het wachtwoord dat ze kennen en het is zo’n “gedoe” om het gastennetwerk wachtwoord te achterhalen als je net in de vergaderzaal zit.

Omdat alle gebruikers ditzelfde wachtwoord moeten opgeven voor toegang tot het wifi netwerk, is een wijziging van dit wachtwoord nogal vervelend voor de medewerkers. Iedereen moet het dan immers aanpassen. Zelfs als een medewerker de organisatie verlaat kan dit de reden zijn om het maar zo te laten. Ook hier is de term “teveel gedoe” dus van toepassing.

Wat mooi zou zijn

Als iedere gebruiker eigen inlogcodes zou hebben voor het wifi netwerk, dan zou dat dus mooi zijn. En een aantal wifi systemen bieden ook die mogelijkheid. Voor systeembeheerders is dit echter niet altijd even wenselijk. Ze moeten dan alle gebruikers ook binnen het wifi systeem aanmaken en beheren en zij hebben vast al werk genoeg.

Om die reden kennen een aantal systemen de mogelijkheid om te koppelen aan bijvoorbeeld Microsoft Active Directory. In Active Directory (AD) worden alle inlognamen en wachtwoorden voor het Windows netwerk bewaard. Door die te gebruiken kunnen gebruikers inloggen met dezelfde gegevens die zij ook gebruiken om in te loggen op het netwerk.

Dit klinkt misschien ideaal, maar de oplossingen die daarvoor geboden worden werken niet altijd even optimaal. Ruckus Networks, dat professionele wifi oplossingen levert, kent bijvoorbeeld een dergelijke mogelijkheid maar het wifi netwerk wat dit oplevert is dan niet meer versleuteld. Zelfs voor een wifi netwerk dat alleen ‘binnenshuis’ werkt, is dit verre van ideaal omdat gebruikers regelmatig zullen aankloppen bij hun systeembeheerders om aan te geven dat het netwerk niet veilig zou zijn. We hebben dus een andere oplossing nodig wanneer dit niet is ingebouwd.

RADIUS

Professionele wifi apparatuur kent de mogelijkheid om inloggegevens op een beveiligde manier te verifiëren via een zogenaamde RADIUS server. RADIUS staat voor remote authentication dial-in user service. Dit RADIUS systeem vraagt aan een onderliggende systeem, bijvoorbeeld aan een Active Directory domain controller, of de gegevens die door de gebruiker zijn opgegeven, kloppen. De RADIUS server geeft als antwoord in principe slechts “Ja” of “Nee” terug en bevindt zich dus als het ware tussen de draadloze omgeving en de domain controller in en spreekt met beide via een beveiligd kanaal.

Voor een producten als die van Ruckus is het zinvol om tegen een RADIUS server aan te kunnen praten omdat dit een heel veel gebruikte methode is om inloggegevens te verifiëren. RADIUS is een open standaard die al decennia gebruikt wordt en een van de meest gebruikte manieren is om het inloggen tussen systemen te koppelen. Hierdoor is het niet meer nodig om voor alle verschillende leveranciers eigen connecties te ontwikkelen.

Network Policy Server

Nu kan men voor een RADIUS server een aparte machine te installeren, maar dit is niet nodig. Het is software dat standaard met Windows Server wordt meegeleverd en slechts geactiveerd en geconfigureerd hoeft te worden. Het kost daarom niets extra’s om dit in gebruik te nemen.

Binnen Windows Server wordt RADIUS door de zogenaamde Network Policy Server (NPS) geleverd. Wanneer NPS is geïnstalleerd wordt daarin opgegeven waar hij de gegevens moet verifiëren (vaak is dat natuurlijk de domain controller binnen het netwerk) en aan welke voorwaarden het verzoek tot verificatie moet voldoen.

In NPS kan bijvoorbeeld opgegeven worden dat alleen gebruikers die tot een bepaalde beveiligingsgroep in Active Directory behoren een verzoek tot verificatie mogen indienen. Ook kunnen er eisen worden gesteld aan het apparaat waarmee het verzoek wordt gedaan of op welk moment van de dag dit gedaan mag worden. Hierdoor is het bijvoorbeeld mogelijk dat iemand die wel de juiste gebruikersnaam en wachtwoord opgeeft, maar toch niet gevalideerd wordt omdat diegene dat na 20:00 uur probeert te doen of doet vanaf een privé laptop.

RADIUS in Azure

Hoewel niet standaard, kan ook in Azure een NPS worden geactiveerd zodat de validatie kan worden uitgevoerd met behulp van Azure AD. Op deze manier kan bijvoorbeeld pas gebruik worden gemaakt van het draadloze netwerk van een bedrijf wanneer de gebruiker die dit doet bekend is binnen Azure AD omdat die daar een Microsoft 365 abonnement heeft lopen van de zaak.

Als binnen Azure AD dubbele authenticatie wordt vereist, dan zal dit ook gegeven moeten worden wanneer een dergelijk verzoek wordt ingediend. Je kunt dan als gebruiker pas van het wifi netwerk gebruikmaken wanneer je door Microsoft bent goedgekeurd via hun dubbele authenticatie.

Niet alles

Let wel, wanneer het wachtwoord van de gebruiker verandert, dan zal diegene ook dat nieuwe wachtwoord voor wifi moeten gebruiken. Maar wie dit systeem met bijvoorbeeld een Windows laptop gebruikt, hoeft hier geen last van te hebben. Je kunt dan namelijk kiezen voor het automatisch laten inloggen met de gegevens die gebruikt zijn om in te loggen op de laptop zelf, mits deze hetzelfde zijn natuurlijk.

Voor apparaten zoals mobiele telefoons kan het wat omslachtiger zijn om het wachtwoord te moeten veranderen. Bedenk echter wel dat deze apparaten vaak niet rechtstreeks op servers hoeven te komen, dus waarom deze niet gewoon via het gasten-netwerk laten inloggen waar wel gewerkt wordt met een algemeen wachtwoord?

Dit laatste levert ook een ander belangrijk voordeel op. Hoewel laptops doorgaans beheerd worden door de organisatie, worden mobiele telefoons dat vaak niet. Je weet dus als systeembeheerder niet goed wat je toelaat op het netwerk wanneer je telefoons en tablets op het interne netwerk laat inloggen (een duidelijk voorbeeld van schaduw IT). Bevinden dit soort apparaten zich in het gasten-netwerk, dan is dat probleem ook meteen opgelost!

Wat logisch is

Wanneer gekozen wordt voor een RADIUS (of soortgelijke) oplossing, dan loggen medewerkers alleen nog in op het medewerkersnetwerk met hun persoonlijke inloggegevens. Het is logisch dat ze deze niet snel zullen verstrekken aan derden om hen “even” op internet te laten komen. En mocht de medewerker de organisatie verlaten, dan is het afsluiten van diens account voldoende. Hij of zij kan meteen geen gebruik meer maken van het medewerkers wifi netwerk. Daarnaast weten we precies wie gebruik van het wifi netwerk kan maken (geen zwevende wachtwoorden meer), kunnen we bijhouden wie wanneer gebruik heeft gemaakt van het netwerk en kunnen we allerlei extra voorwaarden stellen aan het gebruik van deze omgeving.

Juist omdat deze software al aanwezig is en het slechts geactiveerd en geconfigureerd hoeft te worden, is het zowat een no-brainer geworden om dit te doen. We hebben het immers over een betere en veiligere omgeving die niets extra’s kost. Dus wat let u?