Veilig gastgebruik op wifi-netwerken

  1. 6 mei 2014
  2. 0 reacties

Met een technologie genaamd ‘station isolation’ maakt WatchGuard het mogelijk om veilige wifi-netwerken te bouwen. Hierbij is het mogelijk om te bepalen of de ene wireless client kan communiceren met de andere. Bij gasttoegang tot de netwerken zorgt WatchGuard er voor dat de ene wireless client de andere niet kan zien of kan bereiken, ondanks het feit dat ze beide met hetzelfde netwerk (SSID) verbinden. Maar ook de gebruiker zelf kan maatregelen nemen om veilig als gast van een ‘vreemd’wifi-netwerk gebruik te maken.

De WatchGuard XTM firewall heeft standaard ‘station isolation’-functionaliteit aan boord

De ene wifi-gast wordt op deze manier dus beschermd tegen andere draadloze clients. Of beter gezegd: iedere client geïsoleerd van de andere gebruikers van het draadloze netwerk. Dit betekent dat een client die eventueel geïnfecteerd is met malware of virussen geen schade kan aanrichten. Ook eventuele onbevoegde gebruikers die in het draadloze netwerk willen rondkijken, kunnen niet bij de andere clients komen die in de netwerk zijn opgenomen.

VLANs

Deze technologie is standaard ingebouwd in de WatchGuard XTM firewall-producten. Het bedrijf maakt hierbij gebruik van VLAN’s ofwel virtuele lokale netwerken. Al het verkeer van een WatchGuard Access Point wordt gecontroleerd door de WatchGuard XTM Firewall. Daarbij kunnen policies worden toegepast die de gebruiksvoorwaarden en bijvoorbeeld security-eisen ondersteunen of handhaven. Zo kunnen er intra-VLAN policies worden gedefinieerd waardoor een wifi-gast aan de ene kant van een gebouw niet kan meelezen wat een wifi-gast doet die verbonden is aan een access point aan de andere kant van het gebouw - ook niet als beide gebruikmaken van hetzelfde gast-SSID. De ene gebruiker kan dus ook geen gegevens achterhalen op een ander device, omdat de devices elkaar niet kunnen bereiken.

Bandbreedte-management

Om de beschikbaarheid van het draadloze netwerk te kunnen garanderen, is het bovendien mogelijk om de maximale bandbreedte per gebruiker te beperken en is het mogelijk om ervoor te zorgen dat alle gebruikers samen niet meer dan bijvoorbeeld dertig procent van de beschikbare internet-capaciteit consumeren. Ook is het mogelijk dat het verkeer van ongeveer tweeduizend internet-applicaties tot een maximale bandbreedte wordt beperkt. Op die manier kan bijvoorbeeld worden ingesteld dat al het Youtube-verkeer van alle gastgebruikers in totaal niet boven een bepaalde limiet gaat.

Wat kan de gebruiker zelf doen?

Een goed startpunt is dat een gebruiker er vanuit gaat dat het wifi-netwerk waarmee hij wil werken per definitie onveilig is. Het is immers ondoenlijk om eerst te controleren of het netwerk wél veilig is. Dus moeten we het als onveilig beschouwen. Daarom is het altijd beter een Virtual Private Network (VPN) tunnel op te bouwen. Zo’n tunnel zorgt ervoor dat zijn device - mits goed geconfigureerd - niet meer rechtstreeks te benaderen is en al het web-verkeer en alle data van en naar andere applicaties eerst versleuteld wordt voordat het wordt verstuurd naar een goed beveiligd en dus vertrouwd punt.

VPN phone home

WatchGuard heeft voor deze toepassing onlangs een Firebox T10 geïntroduceerd. Dit is in feite een combinatie van een firewall en een VPN-server. Dankzij de ingebouwde VPN-mogelijkheden voor Windows, Mac OS/X, Android en iOS is het mogelijk om al het verkeer van de gebruiker te ‘tunnelen’ naar de VPN-server. Afgezien van het feit dat al het dataverkeer daarmee is versleuteld, kan de gebruiker bovendien zijn security-niveau zelf bepalen. In de praktijk betekent dit dat de gebruiker ‘virtueel’ op internet kan via een internet provider waarvan de reputatie gecontroleerd kan worden. Bovendien beschikt dit model over alle security features van haar grotere broertjes die ook door bedrijven gebruikt wordt die regelmatig bewust het doelwit zijn van professionele cybercriminelen. Bijkomend voordeel van deze ‘phone home’ voor de thuiswerker: onder normale omstandigheden kan een eventuele werkgever ook niet zien wat de gebruiker op internet doet.

VPN naar het bedrijf

Bij internet-security blijft het altijd een uitdaging om een balans te vinden tussen het risico, de vrijheid van handelen en de kosten. Als de gebruiker thuis (nog) geen VPN-server heeft, dan is in sommige gevallen een andere voor de hand liggende keuze om juist een tunnel op te bouwen naar de VPN-server van bijvoorbeeld de werkgever, als deze dat tenminste toestaat.

In de meeste gevallen mogen we er immers van uitgaan dat op security-gebied een werkgever beter te vertrouwen is dan iemand met kwade bedoelingen op hetzelfde wifi-netwerk. Daarbij moeten we er dan wel van uit kunnen gaan dat de werkgever onderwerpen als privacybescherming serieus neemt. Door op deze manier met VPN te werken, is de gebruiker er in ieder geval van verzekerd dat zijn device zelf niet rechtstreeks aangevallen kan worden, omdat hij dan beschermd wordt door de firewall van het bedrijf - zelfs als we als gebruiker onderweg zijn.

Onafhankelijkederde partij

Zijn beide opties niet beschikbaar, dan zou de gebruiker kunnen overwegen om gebruik te maken van een openbare VPN-aanbieder. Er zijn betaalde en gratis varianten genoeg, de vraag is alleen of deze hun security wel goed op orde hebben en of deze wel te vertrouwen zijn.

Als alle geboden opties geen alternatief bieden dan is het natuurlijk ook nog mogelijk om te werken met de 3/4G verbinding van de mobiele operator, voor zover het signaal dit toelaat en eventuele kosten geen bezwaar zijn.

Etiënne van der Woude is regional sales manager Benelux bij WatchGuard