WPA2 Enterprise

Inhoudsopgave

    Content

    Status

    Lijst status
    • ‘Verplicht (pas toe of leg uit’) betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
    • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
    • ‘In behandeling’ wil zeggen dat de standaard wordt getoetst voor opname op de lijst.
    • ‘Archief’ betekent in het verleden op de lijst gestaan heeft of in behandeling geweest is en nu niet (meer) verplicht of aanbevolen is.
    Verplicht (pas toe leg uit)
    Functioneel toepassingsgebied

    Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).

    WPA2 Enterprise moet worden toegepast op het tot stand brengen van toegang tot WiFi-netwerken, met uitzondering van openbare netwerken voor gastgebruik.
    Organisatorisch werkingsgebied

    Benoemt de organisaties waarvoor de verplichting geldt.

    Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    Europese status

    ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.
    Nee

    Nut en werking

    Typering
    Beveiligde WiFi-netwerken
    Nut

    WPA2 Enterprise maakt het mogelijk dat gebruikers automatisch en veilig toegang krijgen tot aangesloten WiFi-netwerken. Ook als deze WiFi-netwerken zich buiten de eigen organisatie bevinden. De authenticatie vindt plaats op basis van bestaande identiteitsgegevens van de gebruiker, hierdoor hoeven gebruikers niet opnieuw in te loggen. Met het gebruik van WPA2 Enterprise is ook de integriteit van de netwerkverbinding geborgd.

    Dienstverleners zoals Rijk2Air, Govroam en Eduroam maken gebruik van WPA2 Enterprise.
    Werking

    Bij WPA2 Enterprise spelen drie partijen een rol: de ‘gebruiker’, de ‘Identity Provider (IdP)’ en de ‘Service Provider (SP)’. Zodra een gebruiker contact maakt met het betreffende WiFi-punt toetst de SP (beheerder van het WiFi-punt) op basis van de inloggegevens bij de IdP (de thuisorganisatie van de gebruiker) de identiteit van de gebruiker. Na positieve verificatie van de identiteit van de gebruiker, wordt toegang verleend tot het WiFi-netwerk zonder dat aanvullende inlog noodzakelijk is.

    De WPA2 Enterprise standaard refereert naar een aantal andere standaarden:

    • EAP: standaard voor authenticatie over een point-to-point-verbinding, bijvoorbeeld tussen een WiFi-gebruiker en een accesspoint.
    • IEEE 802.1X: standaard om EAP te gebruiken op een WiFi-netwerk.
    • RADIUS: maakt het mogelijk om toegang te verlenen op basis van de identiteit van de gebruiker.
    Domein
    Relatie met andere standaarden
    TLS
    Relatie met andere standaarden
    UDP
    Trefwoorden

    Detailinformatie

    Volledige naam

    Wi-Fi Protected Access II Enterprise
    Versie
    Versie 2 (802.11)
    Specificatiedocument

    IEEE 802.11i-2004 - IEEE Standard for information technology-Telecommunications and information exchange
    Beheerorganisatie
    IEEE-ISTO

    Toepassing

    Community

    Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.
    Hulpmiddelen

    Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.
    • Het valideren van servercertificaten in combinatie met WPA2 Enterprise is wenselijk op het moment dat er gebruik wordt gemaakt van een EAP-TLS methode om een verbinding op te zetten.
    • Verbindingen via de RADIUS server zijn kwetsbaar voor Man-in-the-Middle aanvallen op het moment dat de identiteit van de server niet goed is geverifieerd en gevalideerd. Voor meer informatie ga naar de blog. Hiervoor zijn ook verschillende configuratie tools en instructies. Een voorbeeld hiervan is: https://cat.eduroam.org.

    Toetsingsinformatie

    Toelichting bij opname

    Forum Standaardisatie adviseert de overheid om ook openbare WiFi netwerken voor gastgebruik altijd op een veilige manier aan te bieden. Denk bijvoorbeeld aan de openbare gastnetwerken bij de balie van rijksdiensten en gemeenten. Hoewel WPA2 Enterprise niet verplicht is voor openbare WiFi gastnetwerken, raadt Forum Standaardisatie wel aan om  WPA2 Enterprise of alternatieve oplossingen met een vergelijkbaar beveiligingsniveau in deze netwerken toe te passen.

    Forum Standaardisatie doet hierbij een oproep aan koepelorganisaties VNG (Realisatie), UvW, IPO en CIO Rijk om gezamenlijk duidelijke voorwaarden te formuleren waaraan leveranciers van authenticatiediensten voor openbare WiFi gastnetwerken met WPA2 Enterprise moeten voldoen. Het gaat met name om afspraken over privacy, leveranciersonafhankelijkheid en interoperabiliteit.

    Lees ook het nieuwsbericht WPA2 Enterprise niet verplicht in openbare WiFi netwerken voor gastgebruik
    Adoptieadviezen

    De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing op de lijst open standaarden.

    Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:

    1. De beheerders van de sectorale baselines informatiebeveiliging (zoals de BIR, BIG, IBI en BIWA) en de daarbij behorende handreikingen, te laten overwegen WPA2-Enterprise als te nemen maatregel op te nemen.
    2. Gebruikers (en met name de organisaties die Rijk2Air, Govroam en Eduroam beheren) op te roepen om best practices op te stellen met betrekking tot de installatie en configuratie bij gebruikmaking van WPA2-Enterprise.
    3. Via bestaande monitoringinstrumenten in kaart te brengen wat de concrete stand van adoptie is en de adoptiegraad in de tijd te volgen. Dit kan bijvoorbeeld via de Monitor open standaarden van het Forum Standaardisatie en monitoring vanuit centrale overheid en koepels van decentrale overheden zoals VNG.
    4. Gebruikers (en met name de organisaties die Rijk2Air, Govroam en eduroam beheren) op te roepen IEEE aan te moedigen om de standaard permanent royalty-free beschikbaar te stellen.
    Uitstekend beheer
    • ‘Ja’ betekent dat nieuwe versies van de standaard op de lijst worden overgenomen zonder aanvullende toetsing door het Forum Standaardisatie.
    • ‘Nee’ betekent dat nieuwe versies van de standaard door het Forum Standaardisatie eerst worden getoetst voordat ze de huidige versie op de lijst kunnen vervangen.
    Nee
    Toelichting

    20160202.06.01-Bijlage-D-Nieuwe-standaarden-op-de-‘pas-toe-of-leg-uit-lijst’.pdf

    PDF Document | 43.77 KB
    Definitief

    Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei 2018_16.pdf

    PDF Document | 158.03 KB
    Expertadvies

    Expertadvies-WPA2-Enterprise.pdf

    PDF Document | 687.09 KB
    Intakeadvies

    FS_150610.2A_Intakeadvies_WPA2_Enterprise.pdf

    PDF Document | 256.24 KB
    Forumadvies

    FS_151028.2B_Forumadvies_WPA_2_Enterprise.pdf

    PDF Document | 382.49 KB
    Consultatie

    WPA2-Enterprise_-_Reacties_uit_openbare_consultatie.pdf

    PDF Document | 85.65 KB
    Intakeadvies

    Intakeadvies-aanpassing-toepassingsgebied-WPA2-Enterprise.pdf

    PDF Document | 268.22 KB
    Expertadvies

    Expertadvies-WPA2-Enterprise-Wijzigingen-Toepassingsgebied.pdf

    PDF Document | 494.38 KB
    Consultatie functioneel toepassingsgebied

    Consultatie-Reacties-WPA2-Enterprise.pdf

    PDF Document | 104.85 KB
    Aanvullend onderzoek

    Aanvulend-Onderzoek-WPA2-Enterprise.pdf

    PDF Document | 367.99 KB
    Forumadvies 2021

    FS-20210609.3A-Forumadvies-functioneel-toepassingsgebied-WPA2-Enterprise.pdf

    PDF Document | 335.13 KB
    Datum van aanmelding

    Datum waarop een organisatie de standaard heeft aangemeld voor opname op de lijst van aanbevolen of verplichte open standaarden. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer een 6 maanden.

    24-04-2015
    Datum van besluit

    Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft besloten de standaard op de lijst te plaatsen.

    02-02-2016