Status

Lijst status
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

WPA2 Enterprise moet worden toegepast op het tot stand brengen van toegang tot WiFi-netwerken, met uitzondering van openbare netwerken voor gastgebruik.

Organisatorisch werkingsgebied

Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Europese status
Nee

Nut en werking

Typering

Beveiligde WiFi-netwerken

Nut

WPA2 Enterprise maakt het mogelijk dat gebruikers automatisch en veilig toegang krijgen tot aangesloten WiFi-netwerken. Ook als deze WiFi-netwerken zich buiten de eigen organisatie bevinden. De authenticatie vindt plaats op basis van bestaande identiteitsgegevens van de gebruiker, hierdoor hoeven gebruikers niet opnieuw in te loggen. Met het gebruik van WPA2 Enterprise is ook de integriteit van de netwerkverbinding geborgd.

Diensten zoals Govroam, Rijk2Air en Eduroam maken gebruik van WPA2 Enterprise.

Werking

Bij WPA2 Enterprise spelen drie partijen een rol: de ‘gebruiker’, de ‘Identity Provider (IdP)’ en de ‘Service Provider (SP)’. Zodra een gebruiker contact maakt met het betreffende WiFi-punt toetst de SP (beheerder van het WiFi-punt) op basis van de inloggegevens bij de IdP (de thuisorganisatie van de gebruiker) de identiteit van de gebruiker. Na positieve verificatie van de identiteit van de gebruiker, wordt toegang verleend tot het WiFi-netwerk zonder dat aanvullende inlog noodzakelijk is.

De WPA2 Enterprise standaard refereert naar een aantal andere standaarden:

  • EAP: standaard voor authenticatie over een point-to-point-verbinding, bijvoorbeeld tussen een WiFi-gebruiker en een accesspoint.
  • IEEE 802.1X: standaard om EAP te gebruiken op een WiFi-netwerk.
  • RADIUS: maakt het mogelijk om toegang te verlenen op basis van de identiteit van de gebruiker.

Detailinformatie

Volledige naam
Wi-Fi Protected Access II Enterprise
Versie
Versie 2 (802.11)
Beheerorganisatie
IEEE-ISTO

Toepassing

Community
Hulpmiddelen
  • Het valideren van servercertificaten in combinatie met WPA2 Enterprise is wenselijk op het moment dat er gebruik wordt gemaakt van een EAP-TLS methode om een verbinding op te zetten.
  • Verbindingen via de RADIUS server zijn kwetsbaar voor Man-in-the-Middle aanvallen op het moment dat de identiteit van de server niet goed is geverifieerd en gevalideerd. Voor meer informatie ga naar de blog. Hiervoor zijn ook verschillende configuratie tools en instructies. Een voorbeeld hiervan is: https://cat.eduroam.org.

Toetsingsinformatie

Toelichting bij opname

Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis

Adoptieadviezen

Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:

  1. De beheerders van de sectorale baselines informatiebeveiliging (zoals de BIR, BIG, IBI en BIWA) en de daarbij behorende handreikingen, te laten overwegen WPA2-Enterprise als te nemen maatregel op te nemen.
  2. Gebruikers (en met name de organisaties die Rijk2Air, Govroam en Eduroam beheren) op te roepen om best practices op te stellen met betrekking tot de installatie en configuratie bij gebruikmaking van WPA2-Enterprise.
  3. Via bestaande monitoringinstrumenten in kaart te brengen wat de concrete stand van adoptie is en de adoptiegraad in de tijd te volgen. Dit kan bijvoorbeeld via de Monitor open standaarden van het Forum Standaardisatie en monitoring vanuit centrale overheid en koepels van decentrale overheden zoals VNG.
  4. Gebruikers (en met name de organisaties die Rijk2Air, govroam en eduroam beheren) op te roepen IEEE aan te moedigen om de standaard permanent royalty-free beschikbaar te stellen.
Uitstekend beheer
Nee
Datum van aanmelding
2015-04-24
Datum van besluit
2016-02-02