De slechte naam van draadloze netwerken op het gebied van beveiliging is door vernieuwingen in de protocollen en apparatuur niet langer terecht. Dat blijkt uit de vergaande invoering van wifi-netwerken in de onderwijswereld.
|
Klaas Wierenga, manager middleware bij Surfnet, een aanbieder van de internetinfrastructuur voor Nederlandse universiteiten en hogescholen, vindt deze kritiek inmiddels achterhaald. “In de eerste plaats is op het overgrote deel van deze slecht beveiligde netwerken weinig interessante informatie te halen, omdat deze in gebruik zijn bij consumenten. Daarnaast gaat over zo’n draadloos netwerk relatief weinig netwerkverkeer. Het risico op het kraken van de sleutel is hierdoor niet zo groot, zeker niet als deze regelmatig veranderd wordt.” Grote bedrijven en instellingen zijn al afgestapt van dit mechanisme. Het zijn vooral kleine bedrijven die nog achterlopen en te weinig doordrongen zijn van de beperkingen van wep.
Nieuwe mogelijkheden
In een jaar tijd is er heel veel verbeterd aan de beveiligingsmogelijkheden van wifi-netwerken, waardoor er inmiddels voldoende alternatieven voorhanden zijn. Het vorig jaar door de industriegroep van wifi-producenten Wi-fi Alliance ingevoerde nieuwe beveiligingsprotocol wpa (wifi protected access) wordt nu in de meeste producten ondersteund. “Dit protocol lost beide problemen van wep op. De sleutel is per netwerksessie, per gebruiker en zelfs per netwerkpakket anders. Daardoor kan niet genoeg met dezelfde sleutel gecodeerde netwerkverkeer verzameld worden om die te breken”, aldus Wierenga.
Deze zomer heeft de Amerikaanse standaardisatiecommissie Ieee de 802.11i-standaard geratificeerd, die wpa combineert met het veel krachtigere aes-algoritme dat niet vatbaar is voor statistische analyse en grotere sleutellengtes ondersteunt. Deze standaard, die de Wi-fi Alliance wpa2 heeft gedoopt, heeft een officieel beveiligingsstempel in meerdere landen. De draadloze netwerken zijn volgens Wierenga door deze verbeteringen in de encryptie praktisch niet te kraken. Wel wijst hij erop dat AES meer rekenkracht vraagt dan veel bestaande netwerkkaarten en toegangsapparatuur aan kunnen. Een grootschalige acceptatie van 802.11i laat dan ook nog wel een paar jaar op zich wachten, verwacht hij.
Radius
Surfnet, dat enkele jaren terug al betrokken was bij grote implementaties van wifi-netwerken, heeft niet op deze ontwikkelingen gewacht. Het heeft de encryptiemogelijkheden van WPA gecombineerd met de authenticatievoorzieningen van een radius-server. Dit authenticatiemechanisme werd al veel gebruikt in vaste netwerken voor inbelvoorzieningen en voor authenticatie in gsm-netwerken. “Het lag een paar jaar terug voor de hand om voor een goede afscherming van draadloze netwerken ook terug te vallen op dit systeem. Het had zich in de praktijk uitgebreid bewezen”, aldus Wierenga.
Centraal bij het toegang geven van draadloze apparatuur op het netwerk staat de 802.11x-standaard, die beschrijft hoe een verzoek voor toegang doorgesluisd moet worden naar de centrale radius-server. Als de authenticatiegegevens kloppen geeft deze server vervolgens het apparaat toegang tot het netwerk. Welk controlemechanisme voor deze check gebruikt wordt is variabel. Het eap-mechanisme (extensible authentication protocol) kan namelijk meerdere vormen van authenticatie aan. “Dit staat het toe om met naam-wachtwoord combinaties te werken, maar ook andere vormen van authenticatie zoals smartcards zijn te gebruiken”, vervolgt Wierenga. Surfnet heeft naast gebruikerscode-wachtwoord een variant van eap uitgewerkt, die de sim-kaart van een mobiele telefoon gebruikt om te checken of een student op het netwerk mag.
Het gebruik van radius bleek ook een goede basis om het gastgebruik van campusnetwerken mogelijk te maken. Een radius-server kan namelijk een verzoek tot toegang doorsturen naar een database op de thuisbasis mits deze via het netwerk ontsloten is. Vervolgens wordt op deze plek gekeken of inwilliging van het verzoek tot toegang mogelijk is. Deze database op afstand geeft vervolgens de doorslag of de student of medewerker toegang krijgt tot het vreemde netwerk. “Op deze manier staan nu al ongeveer twintig onderwijsinstellingen in Nederland in het project Eduroam gastgebruik van hun draadloze netwerkvoorzieningen toe voor studenten en medewerkers van andere onderwijsinstellingen”, zegt Wierenga.
Strikte scheiding
Cruciaal in de acceptatie van deze mogelijkheid is een strikte scheiding tussen het gastgebruik en het reguliere netwerk. Voor deze segmentering van het netwerk is Surfnet teruggevallen op een andere standaard van de Ieee, het 802.1q- protocol. “Niet alle universiteiten en hogescholen gaan even ver in het uitdelen van privileges aan bezoekers”, vertelt Wierenga. “Daarom is het gebruik van gescheiden netwerksegmenten door middel van virtual-lan-netwerken een uitkomst. Gastgebruikers worden met dit mechanisme in een apart netwerksegment geparkeerd.” Sommige deelnemers aan Eduroam geven bezoekers toegang tot internet. Bij andere deelnemers zijn de gebruiksmogelijkheden voor bezoekers uitgebreider.
Inmiddels heeft Surfnet met deze werkwijze ook internationale erkenning gekregen. De organisatie zorgde ervoor dat op de jaarlijkse conferentie van Europese universiteitsnetwerken Terena bezoekers op het evenement met authenticatiegegevens van hun eigen netwerk toegang kregen tot het conferentienetwerk. Inmiddels zijn er dertien Terena-leden met in totaal rond de 350 aangesloten onderwijsinstellingen, die Eduroam ondersteunen. Dit is de universiteitswereld in de VS ook niet ontgaan. “Wifi-roaming is in de VS in de universiteitswereld een onbekend fenomeen. Wetenschappers die voor grote projecten van het Internet2-netwerk veel op reis zijn, is dat een doorn in het oog. De roaming-mogelijkheden zoals in Eduroam is daar inmiddels hoog op de agenda komen te staan”, besluit Wierenga.< BR>
