Het is dé trend: Internet of Things. Of Internet of Terror. Of Internet of Troubles. En zeker dat laatste, troubles, slaat met name op de wildgroei van ‘dingen’ die gebruik willen maken van een Wi-Fi netwerk. Meer apparaten is op zich niet erg, maar security wordt wel steeds belangrijker. En met een keur aan apparaten waar de beveiliging over het algemeen niet bepaald bovenaan staat, moet er iets bedacht worden.
Open deur
Het gaat niet alleen om sensoren of andere kleine apparaatjes die deel uit maken van het IoT bolwerk. Beveiliging in het algemeen wordt daardoor lastig als de grip op de apparatuur kleiner wordt. Het is meer dan de laptop en smartphone. Het kan net zo goed een bloeddrukmeter zijn, of een handscanner, een doorligmatras, een deurbel, een mobiel Röntgenapparaat.
Maar ook een externe groep mensen die slechts tijdelijk netwerkconnectie nodig hebben. Elk van deze voorbeelden hebben het gemeenschappelijke probleem dat er niet altijd een domein-login beschikbaar is of gebruikt kan worden. Een groep tijdelijke medewerkers die geen domein-rechten krijgen valt daar dus ook onder. Dit geldt ook voor apparaten zonder ondersteuning van een gedegen beveiliging zoals 802.1x. Net als het deurcontact of welk IoT apparaat op Wi-Fi dan ook. Het is zaak dit goed te beveiligen. Laat ik duidelijk zijn: Als er een vorm van 802.1x ondersteund wordt, gebruik dit dan zeker! Maar wat als deze apparaten niet meer dan een standaard sleutel, of preshared key (PSK), ondersteunen, wat moet je dan? Iedereen dezelfde sleutel geven? Zet de deur dan gelijk maar open.
Radio-oorlog
Tot nu toe was het opzetten van eigen netwerkjes voor al die verschillende groepen gebruikers en apparaatjes de enige oplossing. Elke toepassing kreeg zo zijn eigen SSID met een eigen PSK. Prima toch? Nou, nee. Het grote probleem daarvan is de wildgroei aan SSIDs. Simpel gezegd: Elk SSID wat er in de lucht bij komt zorgt voor extra radioverkeer. Zelfs als er geen gebruik van wordt gemaakt.
Het eenvoudigweg aanwezig zijn van een SSID levert al radioverkeer op en als er meer en meer netwerkjes aangemaakt worden zorgt dit voor een gevecht om zendtijd. Het gevolg is een steeds slechter presterend draadloos netwerk. Ook het netwerk wat je gebruikt voor je echt belangrijke verkeer. De vuistregel stelt daarom dat er niet meer dan 4 tot 5 SSIDs actief zouden moeten zijn, liefst minder (oké, per radioband dan weliswaar). Ga je hoger, dan is het netwerk vooral druk bezig met zichzelf en niet met de apparaten die er gebruik van willen maken.
De oplossing
Cisco heeft het concept van identity PSK op de markt gebracht. Ook wel iPSK. Het idee is niet nieuw, maar wel simpel: Maak één gemeenschappelijk SSID aan en geef iedere groep gebruikers een unieke PSK. Prima toch? Nou, inderdaad! Als het daarbij zou blijven zou het al heel bruikbaar zijn. Maar liever gaan we nog een stap verder. Zo kan per groep gebruikers een uniek VLAN worden toegewezen. Daarmee worden de verschillende groepen niet alleen qua PSK uniek van elkaar, maar ook op netwerkniveau van elkaar gescheiden. En in het geval van een volledig Cisco netwerk kan ook een zogenaamde security-tag (SGT) worden toegekend aan die groep. Zelfs zaken als Quality of Service niveaus vallen op deze manier toe te kennen. Kortom: Eén SSID, geen wildgroei en dus geen radio-oorlog. Bovendien is het simpel op te zetten.
Niets dan goeds
Het plaatje laat het al zien. Er is hier wel wat meer voor nodig dan alleen het ouderwetse SSID met een ingestelde sleutel. De oplossing maakt gebruik van een Radiusserver die voorzien moet worden van de MAC-adressen van de apparatuur die met dit netwerk wil verbinden. Dit kan in principe elke Radiusserver zijn die de Cisco Vendor Specific Attributes ondersteunt. Natuurlijk staat hier ISE bovenaan. Niet alleen beschikt Cisco ISE over een heldere manier van groeperen, ook de mogelijkheid simpel ‘dingen’ toe te voegen kan via een eenvoudige webportal.
Nog steeds vereist dit enige mate van toegang tot ISE, maar het wordt steeds eenvoudiger. Houd er wel rekening mee dat ieder MAC-adres een End-Point is en dus een base-licentie gebruikt. Ook zal er voor elke groep een policy aangemaakt moeten worden maar goed, dat is voor elke security-oplossing nodig en zeker niet uniek voor ISE. Het kan maar even gezegd zijn. Optioneel kan een externe database gebruikt worden. Of lijsten met adressen worden geïmporteerd. Kortom het ISE platform is hier klaar voor en het meest geschikt om in te groeien.
Maar ook Microsoft NPS of Freeradius zal gaan werken. Er zitten wel wat addertjes onder het gras, die vaak gemakshalve maar niet genoemd worden. Voor Microsoft geldt dat ieder MAC-adres een user-account in Active Directory is. En een gebruikersgroep met minimale toegang nodig heeft. De gebruikersnaam én het wachtwoord zijn hierbij het MAC-adres en ja, dat voldoet meestal niet aan de password-policy. Daar komt bij dat het beheer op Microsoft voor dit soort toepassingen wel wat te wensen overlaat. Maar het kan. En het werkt. Als het niet te groot wordt en je niets met logging doet.
Hoe nu verder
De eerste gedachte is natuurlijk de beheerlast op ISE. Moet een beheerder nu iedere keer een MAC-adresje gaan zitten inkloppen? Ja en nee. Op de achtergrond word gewerkt aan het eenvoudiger opzetten van groepen en policies in ISE. Het uiteindelijke doel is via een simpele webpagina een medewerker, dus niet de beheerder, de mogelijkheid te geven hier een rol in te laten spelen voor ‘zijn’ groep. Dat kan nu al via de ingebouwde sponsor-portal. Cisco werkt ondertussen ook aan nieuwe features voor iPSK.
Zo is het in nieuwere versies van de controller software mogelijk binnen elke groep onderlinge communicatie te blokkeren. Net zoals bij gastennetwerken waar gebruikers onderling niet met elkaar kunnen communiceren. Dus binnen een eigen groep en niet alleen tussen verschillende groepen. De ontwikkeling van iPSK is daarmee niet zomaar een leuke feature. Het wordt een wezenlijk onderdeel van de nieuwe generatie draadloze netwerken en zal de groei op gebied van IoT op Wi-Fi ten goede komen.