8 voordelen van unieke WiFi sleutels

De meeste onder ons maken thuis of in hun bedrijf gebruik van één vast WiFi wachtwoord. Dit wachtwoord wordt ook wel WPA-Personal of WPA-psk (pre shared key) genoemd. Momenteel wordt meestal gebruik gemaakt van het WPA2 protocol, dit zal snel vervangen worden door het WPA3 protocol wat een stuk veiliger zal zijn. Voor thuisgebruik is de personal variant een uitstekende oplossing maar voor zakelijk gebruik zijn er echter betere oplossingen.

Radius is een alternatief maar deze is een stuk duurder en complexer om te onderhouden. Bovendien gaan niet alle devices even goed om met Radius en de bijhorende certificaten of zijn er heel wat devices die zelfs helemaal niet compatibel met Radius netwerken zoals de meeste IOT apparaten.

Zowel voor gastennetwerken en helemaal voor interne draadloze netwerken adviseren we om geen gebruik te maken van één vast wachtwoord. Gelukkig zijn er verschillende merken zoals Aerohive (ppsk), Ruckus (dpsk), Mist en Cambium (epsk) die beschikken over een feature om verschillende WiFi wachtwoorden aan te maken voor één draadloos netwerk.

Hieronder bespreken we de verschillende voordelen en afzonderlijke strategiën per vendor.

8 voordelen van WiFi sleutels

Voordeel 1: Security (sniffing)

Bij een open netwerk kan je zeer eenvoudig het webverkeer sniffen (=uitlezen). Alle data afkomstig van websites die geen gebruik maken van ssl encryptie gaan in clear tekst door de lucht. Beveiligde websites beginnen steeds met https. Log je dus in op een onveilige website (http) dan zal je login en gebruikersnaam in clear tekst door de lucht vliegen. Vele denken dat dit probleem volledig van de baan is met een vast WPA2 paswoord. Guess again :-D. Zonder er diep op in te gaan, maar een hacker die het vast WiFi wachtwoord kent kan heel eenvoudig al het WiFi verkeer capteren en decrypteren.

Hieronder ziet u een voorbeeld. Aan de rechterkant is er gebruik gemaakt van een vast WiFi paswoord. De hacker heeft het invullen van een login formulier kunnen onderscheppen en weet nu de gebruikersnaam (admin) en het paswoord (admin) waarmee hij kan inloggen op deze website.

Voordeel 2: Segmentatie

Door gebruik te maken van unieke WiFi paswoorden kan u gebruikers gaan segmenteren. Zo kan u ze gaan verdelen in verschillende vlans (aparte netwerken) en bij bepaalde merken kan u zelfs Firewall regels of schedulers gaan instellen.

Voorbeeld 1: In een school kan u ervoor zorgen dat leerkrachten, leerlingen en directie worden toegekend aan verschillende vlans (netwerken). Bovendien kan u ervoor kiezen om de leerlingen enkel tussen 12 en 13 uur op het WiFi toe te laten en toegang tot Youtube te blokkeren.

Voorbeeld 2: Zoals u op onderstaande afbeelding kan zien kan u onderscheid maken tussen de persoonlijke toestellen van uw medewerkers (BYOD), de gasten of IoT apparaten.

Voordeel 3: Eenvoudige procedure indien iemand het bedrijf verlaat.

Verlaat iemand uw bedrijf? Dan wil je hem de toegang ontzeggen tot uw intern netwerk. Indien je één vast WiFi wachtwoord hebt ingesteld wilt dit zeggen dat je deze moet wijzigen. Dit nieuwe paswoord moet dan opnieuw gecommuniceerd worden naar alle gebruikers en alle verbonden devices moeten voorzien worden van het nieuwe WiFi paswoord. Dit brengt natuurlijk heel wat extra werk met zich mee. Met een uniek WiFi paswoord moet u echter enkel het WiFi wachtwoord van de betreffende gebruiker verwijderen, alle andere gebruikers in uw bedrijf zullen hiervan geen hinder ondervinden.

Wilt u dat het WiFi paswoord automatisch wordt verwijderd? Neem dan een kijkje naar onze Wiflex BYOD oplossing. Deze koppelt met Smartschool of Office365/Azure AD/Gsuite. Indien u de medewerker verwijderd zal het WiFi wachtwoord automatisch ook worden verwijderd.

Voordeel 4: Minder snel doorgegeven

Een vast WiFi wachtwoord word heel snel doorgegeven, zelfs aan externe mensen (vb gasten, sprekers,…). Met een uniek WiFi paswoord zijn mensen veel minder geneigd om dit door te geven. En kunnen ze verantwoordelijk worden gehouden indien anderen gebruik maken van hun wachtwoord om malafide praktijken uit te voeren via het WiFi netwerk.

Voordeel 5: IoT

IoT is al lang geen hype meer en kent een enorme opmars in de bedrijfswereld. Het probleem met IoT devices die verbonden worden met het WiFi netwerk is security. Aangezien deze devices bijna nooit Radius ondersteunen val je automatisch terug op Pre Shared Keys (WPA-Personal). Natuurlijk is het belangrijk voldoende security maatregelen te voorzien zodat het verkeer niet gesnift kan worden. Hiervoor zijn unieke WiFi wachtwoorden de ideale oplossing.

Sommige vendoren van draadloze oplossingen beweren een veilige oplossing te hebben door het voorzien van Mac adres blokkeringen. Iedereen met een technische achtergrond weet natuurlijk dat deze beveiliging zeer makkelijk te omzeilen is en allesbehalve veilig is. In principe aanschouwen we dit niet alles security maatregel.

Voordeel 6: Gasten netwerk

Unieke wpa sleutels zijn ook ideaal voor gasten toegang. Je kan deze sleutels activeren voor een bepaalde tijdsperiode (enkele uren, dag,…). Zo krijgen gasten enkel toegang tot het WiFi netwerk tijdens hun verblijf. Bovendien is het onboarden veel makkelijker geworden door gebruik te maken van een QR code. Mobiele apparaten kunnen deze scannen en zijn vervolgens online.

Wilt u het WiFi paswoord automatisch activeren bij aankomst en de-activeren bij uitchecken zonder extra werk voor uw ict-afdeling of receptioniste? Bekijk dan zeker onze bezoekersregistratie oplossing van Wiflex.

Voordeel 7: Minder SSID’s

Hoe meer draadloze netwerken (SSID’s) u gebruikt hoe meer overhead u creëert op uw WiFi netwerk en hoe minder airtime er beschikbaar is voor echte data. Doordat u met unieke WiFi sleutels werkt kan u gaan segmenteren binnen 1 draadloos netwerk waardoor u veel minder SSID’s nodig heeft.

Bekijk zeker volgende link om het effect te zien van veel SSID’s: http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html

Voordeel 8: Goedkope oplossing

Unieke WiFi paswoorden zijn veel minder complex en veel goedkoper dan een NAC (network access control) oplossing voor het onboarden van uw toestellen. Natuurlijk gaat een NAC oplossing een stuk verder maar niet elke onderneming heeft het budget en/of nood aan deze toeters en bellen. Hieronder enkele voordelen van een NAC oplossing:

• Kan bijvoorbeeld checken of anti-virus up to date is voordat hij toestel tot netwerk toelaat.
• Kan op lan gedeelte eerst credentials vragen voordat toegang wordt verleend tot het interne netwerk.
• …..

Vergelijking van de verschillende merken:

Door de talloze voordelen van unieke WPA paswoorden kunnen we onderstaande merken aanraden.

Aerohive (Extreme Networks):

Aerohive was één van de eerste merken met een PPSK oplossing en is tot op heden de meest uitgebreide. Aerohive’s PPSK’s zijn steeds gelinkt aan een bepaald gebruikersprofiel waarbij ze met de ingebouwde Firewall zeer veel mogelijkheden hebben (QOS, acl’s, schedulers, verschillende vlans, blokkeren van applicaties, …). Je kan tot 64 gebruikersprofielen per draadloos netwerk koppelen. Je kan dus heel uitgebreid segmenteren. Indien je PPSK gebruikt voor uw gastennetwerk is het zelfs mogelijk om het WiFi paswoord opnieuw te activeren voor X tijd of zelf registratie in te stellen. Je hebt bovendien de mogelijkheid om het uniek WiFi wachtwoord te linken aan een Mac adres. U heeft wel de betalende versie van ExtremecloudIQ (voordien Hivemanager) nodig om gebruik te kunnen maken van deze features.

Sinds kort beschikt deze oplossing over de nieuwe feature Private client groups. Deze feature is ook gebaseerd op de PPSK en biedt de mogelijkheid om Room Area Networks aan te maken zonder gebruik te maken van VLANS. We verduidelijken dit aan de hand van een voorbeeld:

Voorbeeld 1: In Studentenkoten/-huizen heeft elke student zijn eigen kamer met zijn persoonlijke devices (Chromecast, Nas, printer, spelconsole,…). Met de private client group kan u ervoor zorgen dat enkel de student toegang heeft tot zijn eigen devices en dit vanaf elke locatie in het gebouw. Ook in zorgtehuizen is dit een groot plus punt.

Cambium Networks

Cambium Networks voorziet nog maar recent in een unieke WPA oplossing, nl ePSK. Deze is beschikbaar voor zowel de on-premise versie als de cloud versie. U kan verschillende ePSK’s aanmaken en koppelen aan een vlan. U kan deze aanmaken via het cnMaestro platform of via api’s (voorlopig enkel on premise).

Het leuke aan deze oplossing is dat deze volledig gratis is. Cambium is het enige merk dat we gevonden hebben die deze oplossing volledig gratis aanbiedt en die bovendien ook nog api’s beschikbaar stelt.

Mist Networks

Mist Networks is vooral bekend om hun unieke BLE functionaliteiten, hun machine learning en AI. Ze zijn hierdoor zeer geschikt voor projecten waar locatiebepaling belangrijk is. Mist heeft sinds zijn lancering de functie ingebouwd om unieke WiFi paswoorden aan te maken en dit te koppelen aan een vlan. Deze unieke wachtwoorden kunnen bovendien eenvoudig via api’s aangemaakt worden. Sinds kort is er de mogelijkheid clients te segmenteren per WiFi wachtwoord, zo kan je dus eenvoudig een Room Area network aanmaken. Mist heeft enkel een betalend beheerplatform.

Ruckus Networks

Ruckus Networks heeft verschillende beheer platformen die overweg kunnen met hun DPSK functie. Denk hierbij aan de Zonedirector, Smartzone, Cloud en Unleashed (gratis). Api’s zijn enkel beschikbaar voor de Smartzone oplossing.

Met de Smartzone oplossing kan u de DPSK’s linken aan een vlan, user profiles of een mac adres. Binnen een User Profile kan u volgende zaken instellen: acl’s, applicaties blokkeren, QOS, Rate Limiting en url filtering.

Cisco en Aruba

Ook Cisco en Aruba hebben een gelijkaardige oplossing maar deze is enkel beschikbaar via de NAC oplossing. Hierdoor hebben we deze niet mee opgenomen.