In de eduroam community was recent opnieuw aandacht voor een potentieel risico bij het aanmelden op wifi-netwerken die beveiligd zijn op basis van WPA2-Enterprise. govroam is gebaseerd op eduroam; we hebben dan ook de technische contactpersonen van de bij govroam aangesloten organisaties over dit onderwerp geïnformeerd. In dit artikel een uitleg over deze kwestie maar ook maatregelen om het risico te mitigeren.
De risico’s op een rijtje
Onlangs verscheen een publicatie dat eduroam ‘onveilig’ zou zijn. Deze claim is niet nieuw en geldt voor alle wifi-implementaties op basis van WPA2-Enterprise. Deze standaard is breed ingevoerd en door Forum Standaardisatie gekenmerkt als de enige en juiste manier om wifi-beveiliging goed te regelen. Dus ook als uw organisatie naast govroam andere wifi-netwerken aanbiedt op basis van deze standaard verdient dit onderwerp aandacht.
Man in the Middle-attack
Wat is er nu aan de hand? De essentie van het risico is dat een wifi-gebruiker om de tuin wordt geleid bij het verbinden met wifi. Daarbij wordt mogelijk de wifi-login bemachtigd. Een dergelijke aanval heet een ‘Man in the Middle-attack’. De kwaadwillende moet daarvoor een nep-wifinetwerk aanbieden (een zogenaamd ‘rogue accesspoint’) dat wifi met de naam (SSID) ‘govroam’ uitzendt. De hacker moet dus zorgen dat hij een fysiek en vindbaar apparaat op een plek neerzet waar mogelijk nietsvermoedende eindgebruikers aan het werk zijn.
Bij het verbinden met dit nep-wifinetwerk krijgt de eindgebruiker de waarschuwing dat hij verbindt met een netwerk dat onbekend of gewijzigd is. Als de organisatie govroam op de juiste manier heeft geïmplementeerd zal de verbinding niet slagen. Steeds meer devices staan verbinding met een plotseling gewijzigd netwerk niet toe; oudere Android-versies helaas nog wel.
Als govroam niet op de juiste manier is geïmplementeerd of wanneer de eindgebruiker de waarschuwing in de wind slaat, kan de hacker toegang krijgen tot de wifi-inloggegevens van deze gebruiker. De hacker kan daarmee zelf inloggen op het govroam-wifinetwerk en vervolgens de internettoegang misbruiken op naam van de eindgebruiker.
In bepaalde gevallen kan het lekken van de inloggegevens ernstigere gevolgen hebben. Sommige organisaties laten hun medewerkers dezelfde gebruikersnaam en wachtwoord gebruiken voor toegang tot kritieke systemen zoals Citrix, e-mail en dergelijke. Wanneer de organisatie geen verplichte aanvullende maatregelen heeft genomen, zoals Two Factor Authenticatie door middel van een SMS-code of een tijdelijke extra code, dan kan de hacker zich met de inloggegevens toegang verschaffen tot deze kritieke systemen.
Maatregelen om te mitigeren
Om in de praktijk deze eigenschap van de WPA2-Enterprise standaard daadwerkelijk te misbruiken moet er dus aan een hele reeks voorwaarden zijn voldaan. Daarmee is de kans op misbruik bijzonder klein. Desondanks blijft het noodzakelijk om de standaard op de juiste manier te implementeren. Het technisch team van govroam heeft de te nemen maatregelen waarmee u het risico kunt mitigeren op een rijtje gezet in een handige pdf. Een aanrader om te lezen, ook voor niet-technische lezers.
Nog makkelijker: getgovroam
Sinds kort is er een eenvoudige manier om eindgebruikers te helpen hun apparaat goed in te stellen. Stichting govroam biedt de extra dienst getgovroam; deze oplossing kent vele voordelen:
- Eenvoudig instellen van het device van de eindgebruiker voor govroam
- Gebruik van certificaten en dus geen risico op Man in the Middle-attacks
- Loskoppelen van de wifi-login van de kritieke login op bijvoorbeeld Citrix en e-mail
- Eenvoudig verstrekken certificaten na (eenmalige) authenticatie via Single Sign On
- Instellen van het device kan overal, ook buiten het bereik van govroam-wifi
Belangrijk: de keuze voor de WPA2-Enterprise standaard blijft de meest veilige, gezien de huidige stand van de techniek. Zowel voor uw eigen wifi-netwerken als voor govroam.
Meer informatie over getgovroam vindt u op onze website of check de eduroam Technical Advisories. Voor vragen en opmerkingen kunt u terecht op ons klantportaal of info@govroam.nl.