Forrester-analisten waarschuwen tegen het vervagen van de netwerkgrenzen tengevolge het openstellen van netwerken voor gastgebruik via wireless access points (wap). Volgens Wim Coenen, director Business Development bij Vosko Networks, wordt de grens inderdaad vager, omdat bedrijven aan klanten en andere bezoekers toegang verlenen tot bijvoorbeeld het internet via een wap.
Volgens Coenen is er duidelijk steeds meer interesse in het toevoegen van wireless netwerkdelen aan het bekabelde netwerk: “We zien dat het aantal wlan-projecten het afgelopen jaar aanzienlijk hoger ligt dan in de jaren ervoor.” De stijging is volgens hem het gevolg van een groter vertrouwen in de toekomst van IEEE 802.11 (Wi-Fi) en een betere kennis van draadloze technologie bij gebruikers en beheerders. Ook zijn er nu drie grote fabrikanten die een professioneel wlan-systeem ontwikkeld hebben voor grootzakelijk gebruik. Eén daarvan is inmiddels ingelijfd door Cisco (Airespace), de tweede levert onder OEM aan Nortel, 3Com en Enterasys (Trapeze Networks) en de derde heeft een overeenkomst met Alcatel (Aruba). “Verder zijn er in Nederland en wereldwijd vorig jaar een aantal grote projecten met succes opgeleverd. Ook die referenties geven vertrouwen”, aldus Coenen. Tenslotte zijn de punten van aandacht voordat men zo’n systeem uitrolt inmiddels goed bekend. Dit voorkomt installaties die niet voldoen aan de verwachtingen.
Isolatie
In tegenstelling tot Shinder en Forresters Whiteley vindt Coenen de vervaging van de perimeter niet echt een probleem. Standaarden zoals IEEE 802.11i en IEEE 802.1x bieden inmiddels sterke en afdoende beveiligingsmogelijkheden. “De beveiliging van wlans is inmiddels vaak beter dan die van het bekabelde netwerk. In professionele systemen kun je draadloze toegang volledig afdichten of juist gecontroleerd toestaan. In veel draadloze netwerken bouwen wij een voorziening voor gastgebruik in die volledig geïsoleerd blijft van de rest van het netwerk. Zelfs de internetkoppeling kan daarbij volledig gescheiden van de bedrijfsnetwerkkoppeling gerealiseerd worden. Gastgebruik kan beperkt worden tot personen die hiervoor geregistreerd worden (bijvoorbeeld alleen tijdens kantoortijden).”
Coenen wijst er wel op dat veel huis-tuin-en-keuken waps standaard volledig ‘open’ staan, waardoor iedereen hierop kan meeliften richting het internet. Professionele apparatuur daarentegen staat standaard volledig ‘dicht’ en is alleen ‘zichtbaar’ voor geautoriseerde gebruikers (mits juist geïnstalleerd). Hij heeft dan ook de indruk dat het probleem zich alleen voordoet in het midden- en kleinbedrijf (mkb): “Ook binnen het mkb dient men Wi-Fi-apparatuur te gebruiken die voldoende beveiligingsmogelijkheden biedt en die op professionele wijze is aangelegd. Uiteraard hangt hier een prijskaartje aan.”
Specialistenwerk
Overigens ziet Wim Coenen niet alleen een probleem met pda’s en mobiele telefoons. Ook het gebruik van notebooks moet in de gaten worden gehouden: “Professionele draadloze netwerken kun je dusdanig instellen dat alleen randapparatuur die voldoet aan bepaalde beveiligingseisen wordt toegelaten tot het netwerk. Voldoet een notebook of pda daar niet aan, dan wordt eenvoudigweg geen verbinding met het draadloze netwerk gerealiseerd. We kunnen hierbij nog onderscheid maken tussen ‘zware beveiliging’ voor bijvoorbeeld kantoorautomatisering en ‘lichtere beveiliging’ voor uitsluitend internettoegang, zoals bij gastgebruik.”
Een optimale beveiliging is volgens hem echter specialistenwerk, omdat er veel factoren bij komen kijken. “Je moet weten welke besturingssystemen de sterkste beveiligingsfuncties ondersteunen, welke 802.1x supplicants een reductie van beheerinspanningen bieden, op welke wijze met minimale beheerinspanningen gebruikers kunnen worden toegevoegd of weggehaald, op welke manier redundantie in het systeem kan worden ingebouwd en hoe je rekening houdt met mogelijke verstoring van de radiosignalen door externe stoorbronnen of door verplaatsing van meubilair”.
Shinders oplossing wordt meteen op de proef gesteld door Robert Whiteley van Forrester Research. Die beweert namelijk dat de netwerkgrens steeds ondoorzichtiger wordt, omdat steeds meer draadloze apparatuur van binnen het bedrijf binnen die grens wordt gebruikt. Whiteley wijdt een heel rapport aan het probleem en komt tot de conclusie dat netwerkquarantaine de enige oplossing is. In een nog uitgebreider rapport stelt Whiteley dat bedrijven af moeten van het idee dat er een ‘binnen’ en een ‘buiten’ de firewall bestaat, omdat een veiligheidsgrens steeds minder belangrijk wordt.