LOGO Instelling
WLAN In Progress 1.0
24/06/2009
ISMS (Information Security Management System)
WLAN (Beperkt tot Wi-Fi)
2009 Version control – please always check if you’re using the latest version Doc. Ref. : isms.038.wlan Release
Status
Date
Written by
Approved by
NL_1.0
Voorstel voor de instellingen van sociale zekerheid
24/06/2009
Pol Petit
Werkgroep Informatieveiligheid op 24/06/2009
Opmerking: In dit document zijn de opmerkingen verwerkt van een werkgroep waaraan de volgende personen hebben deelgenomen: de heren Bochart (KSZ), Costrop (Smals), De Vuyst (KSZ), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Vandergoten (RIZIV) en Vertongen (RSZ).
Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, http://www.ksz.fgov.be). Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid.
P1
LOGO Instelling
WLAN In Progress 1.0
24/06/2009
Inhoudsopgave ISMS.............................................................................................................................................................. 1 (INFORMATION SECURITY MANAGEMENT SYSTEM)...................................................................... 1 1
INLEIDING........................................................................................................................................... 3 1.1 1.2 1.3
2
DEFINITIES ....................................................................................................................................... 3 SCOPE .............................................................................................................................................. 4 DE BASISMAATREGELEN ................................................................................................................... 5
ARCHITECTUUR EN INSTALLATIE. .............................................................................................. 5 2.1 2.2 2.3 2.4 2.5
DE ARCHITECTUUR VAN DE INTERNE DRAADLOZE NETWERKEN .......................................................... 5 DE INSTALLATIE VAN INTERNE DRAADLOZE NETWERKEN GEKOPPELD AAN DE INTERNE NETWERKEN ... 6 DE INSTALLATIE VAN NIET-GEKOPPELDE INTERNE DRAADLOZE NETWERKEN....................................... 6 DE INSTALLATIE VAN HOTSPOTNETWERKEN ...................................................................................... 7 DE FYSIEKE VEILIGHEID .................................................................................................................... 7
3
DE CONTINUÏTEIT............................................................................................................................. 7
4
ORGANISATIE, ROLLEN EN VERANTWOORDELIJKHEDEN ................................................... 8 4.1 4.2
GEBRUIK VAN DRAADLOZE NETWERKEN VANAF EEN WERKSTATION VAN DE INSTELLING .................... 8 GEBRUIK VAN DRAADLOZE WI-FI-NETWERKEN VANAF EEN WERKSTATION DAT GEEN EIGENDOM IS VAN DE INSTELLING ............................................................................................................................................. 9 5
HET BEHEER VAN DRAADLOZE NETWERKEN. ......................................................................... 9
6
AUDIT VAN DE DRAADLOZE NETWERKEN............................................................................... 10
7
WETTELIJKHEID EN CONFORMITEIT ....................................................................................... 10
P2
LOGO Instelling
WLAN In Progress 1.0
24/06/2009
1 Inleiding1 De draadloze netwerken zijn uiteraard niet beperkt tot Wi-Fi; er zijn nog andere technologieën die de draadloze toegang tot het informatiesysteem mogelijk maken. Deze oplossingen komen tegemoet aan een reële behoefte en zullen in de komende jaren en zelfs maanden een belangrijke evolutie kennen. De meeste nieuwe draagbare devices (telefoon, PDA, laptop, enz.) beschikken van nature over minstens één technologie om toegang te verlenen tot één of meerdere draadloze netwerken. Alvorens hier verder op in te gaan, willen we eerst een aantal begrippen uit deze policy uitleggen, om iedere verwarring of verkeerde toepassing te vermijden gelet op het complexe karakter ervan. Het veiligheidsniveau in deze veiligheidspolicy over draadloze netwerken moet minstens gelijk zijn aan het veiligheidsniveau dat bereikt wordt door de veiligheidsmaatregelen voor bekabelde netwerken en werkstations.
1.1 Definities De term “draadloos” omvat een groot aantal technologieën en oplossingen. Het gaat om alle technologieën die de gebruiker van het informatiesysteem toelaten mobiel te zijn. De meest gebruikte indeling van technologieën is gebaseerd op het maximale zendbereik van de oplossing. Men kan aldus de volgende begrippen onderscheiden: •
WLAN (Wireless Local Area Network), dat technologieën hergroepeert waarvan het bereik een honderdtal meter tot een kilometer bedraagt. De meest gekende technologie is Wi-Fi, gebaseerd op de norm IEEE 802.11b;
•
WWAN (Wireless Wide Area Network), dat technologieën hergroepeert die een draadloze toegang op het volledige grondgebied van een land of zelfs van meerdere landen toelaat. De meest gekende technologie is GPRS, die op termijn vervangen zal worden door UMTS;
•
WPAN (Wireless Personal Area Network), dat technologieën hergroepeert met een beperkt bereik (een tiental meter). De meest gekende technologie in dit domein is de Bluetooth-technologie, gebaseerd op de norm IEEE 802.15.1. Heel wat draadloze randapparatuur maakt hier gebruik van (muis, toetsenbord, oortje, …);
•
WMAN (Wireless Metropolitan Area Network), ook “vaste lokale radioverbinding” genoemd, dat technologieën hergroepeert met een bereik van enkele kilometers. De meest gebruikte technologie beantwoordt aan de norm IEEE 802.16.
In dit document worden evenwel nog andere termen gebruikt waarvoor een duidelijke definitie vereist is. Zo zullen de volgende begrippen worden aangekaart:
1
Bron : DUNOD « Référentiel Protection des systèmes d’information », 10 pagina’s uit de rubriek 12.6.4.1.37 (voorbeeld van WiFi-veiligheidspolicy). Met de toestemming van de auteur. De oorspronkelijke tekst werd aangepast om beter te beantwoorden aan de noden van de Belgische sociale zekerheid.
P3
Formatted: Dutch (Belgium)
LOGO Instelling
WLAN In Progress 1.0
24/06/2009
•
“Draadloos” netwerk. Deze term verwijst naar informatica-apparatuur die met elkaar verbonden is via radiogolven.
•
Wi-Fi. Het gedeponeerde merk Wi-Fi is oorspronkelijk de naam die gegeven werd aan de certificering door WECA (“Wireless Ethernet Compatibility Alliance), een instantie die als doel heeft de interoperabiliteit tussen hardware die aan de norm 802.11 voldoet te specificeren en die het label “Wi-Fi” toekent aan hardware die aan hun specificaties voldoet. Na verloop van tijd (en om marketingredenen) is het onderscheid tussen beide termen vervaagd.
•
Hotspot. Het gaat om een afgebakende en druk bezochte openbare plaats (café, hotel, station, enz.) waar toegang verleend wordt tot een draadloos netwerk zodat de gebruikers van draagbare terminals gemakkelijk toegang krijgen tot het internet.
•
Peer-to-peer-netwerk. Een peer-to-peer-netwerk heeft een dynamische structuur waarvoor geen voorafgaande infrastructuur nodig is. Er moet worden samengewerkt tussen alle leden van het netwerk zodat elkeen de functie van toegangspunt kan verzekeren. Dit type netwerk beantwoordt meestal aan een lokale, tijdelijke behoefte.
•
Interne draadloze netwerken. Dit begrip verwijst naar de implementatie van een draadloos netwerk. Dit is ofwel verbonden met het interne netwerk van de instelling waarvan de modaliteiten beschreven zijn in hoofdstuk 2; er is dan sprake van een draadloos gekoppeld intern netwerk. Ofwel gaat het om een draadloos nietgekoppeld intern netwerk, dat een draadloos netwerk is waarmee gemakkelijk toegang kan worden verkregen tot het internet zonder verbinding met het interne netwerk van de instelling.
1.2 Scope Deze policy beperkt zich tot de aspecten van WLAN en dus tot de norm IEEE 802.11 De implementatie op grote schaal van draadloze technologieën brengt nieuwe bedreigingen mee, die afhankelijk zijn van het gebruik dat van deze technologieën wordt gemaakt. Het kan gaan om: •
de uitbreiding van een netwerk van een instelling,
•
de installatie van een draadloze “bridge” tussen sites,
•
de toegang tot het netwerk van de instelling via een hotspot of Wi-Fi in de woonplaats van de gebruiker.
Een van de belangrijkste risico’s is de overname van de controle van het systeem en van de gegevens ervan. In sommige gevallen is een doorkoppeling naar het interne netwerk van de instelling mogelijk. De draadloze netwerken zijn ook erg onderhevig aan “denial of service”-aanvallen. De mogelijke gevolgen kunnen veelvuldig zijn. Het kan gaan om: •
het informatiesysteem zelf. De werking van het informatiesysteem kan worden aangetast bij de aanval. De aanval kan de stopzetting of slechte werking van de toepassingen en de infrastructuur tot gevolg hebben. De impact kan aanzienlijk zijn, in het bijzonder om het informatiesysteem terug in orde te brengen.
•
de geraadpleegde of gewijzigde gegevens. De aanvallen laten toe om toegang te verkrijgen tot de gegevens die opgeslagen zijn op het werkstation, maar ook andere hiermee verbonden systemen. Deze gegevens kunnen dan worden geraadpleegd en zelfs gewijzigd. De impact hangt af van het belang van de gegevens en van de mogelijkheid om ze te herstellen als ze gewijzigd werden.
P4
LOGO Instelling
WLAN In Progress 1.0
•
24/06/2009
andere acties van een aanvaller. De netwerkinfrastructuur waartoe toegang verkregen werd via het draadloos netwerk kan worden gebruikt om derden aan te vallen, hetzij via een uitgaande toegang tot internet, hetzij via verbindingen met partners. Ze kan ook worden gebruikt voor de toegang tot en verspreiding van ongeoorloofde inhoud (pornografische sites, pedofiele sites, ...). Er kunnen juridische gevolgen zijn wanneer het slachtoffer van de aanval klacht indient of als de toegang tot onwettige sites getraceerd werd. Dit kan ook schade berokkenen aan het imago van de instelling.
Deze veiligheidspolicy stelt de regels vast die door iedereen moeten worden nageleefd om dergelijke problemen te vermijden binnen het informatiesysteem van de instelling.
1.3 De basismaatregelen De installatie van een draadloos netwerk is enkel toegestaan na het indienen van een volledige en gerechtvaardige aanvraag en na een voorafgaand schriftelijk positief advies van de veiligheidsconsulent. Bij ontstentenis is de implementatie en het gebruik van een draadloos netwerk niet toegelaten. De naleving van deze policy is verplicht en wordt regelmatig gecontroleerd. Er kan geen draadloos netwerk worden geïmplementeerd zonder te voorzien in een adequaat veiligheidsniveau voor het gebruik ervan.
2 Architectuur en installatie. 2.1 De architectuur van de interne draadloze netwerken De configuratie van het draadloos netwerk moet worden gedocumenteerd en bewaard in een beveiligd document. Indien het draadloos netwerk wordt gekoppeld aan een bekabeld netwerk moeten adequate maatregelen getroffen worden die de veiligheid van de uitwisselingen tussen het draadloze netwerk en het bekabelde netwerk waarborgen. De toegang tot de draadloze netwerken wordt slechts toegestaan na identificatie van de client in functie van de hierna vermelde categorieën.
Er moet voorzien worden dat er via een workstation geen “bridge” kan gecreëerd worden tussen het draadloos netwerk en het bekabelde interne netwerk.
Er dienen maatregelen genomen te worden om de risico’s te limiteren. Deze risico’s zijn bijvoorbeeld: •
de aanwezigheid van niet-voorziene toegangspunten,
•
de aanwezigheid van peer-tot-peer-netwerken,
•
de aanwezigheid van clients die toegangspunten zoeken,
•
de aanwezigheid van software die draadloze netwerken aanvalt.
P5
LOGO Instelling
WLAN In Progress 1.0
24/06/2009
2.2 De installatie van interne draadloze netwerken gekoppeld aan de interne netwerken Een risico- en impactanalyse, waarvan het resultaat meegedeeld wordt aan de veiligheidsconsulent, wordt uitgevoerd vóór elke implementatie van een netwerk dat gekoppeld is met de interne lokale netwerken. De implementatie van een netwerk dat gekoppeld is met de interne lokale netwerken geeft aanleiding tot een bereikanalyse teneinde het bereik van het netwerk maximaal te beperken. Het zendvermogen van de toegangspunten en de Wi-Fi-kaarten wordt beperkt tot het strikte minimum. Het veiligheidsniveau van dit “draadloze” netwerk moet minstens gelijk zijn aan het veiligheidsniveau van de bekabelde netwerken waaraan dit draadloze netwerk is gekoppeld. De gebruikers van de gekoppelde draadloze netwerken worden gesensibiliseerd voor het gebruik van deze netwerken en de regels die ze dienen na te leven. De identifier van het netwerk (SSID) van de gekoppelde draadloze netwerken laat niet toe om de eigenaar van het netwerk te identificeren. Het privé-karakter van het netwerk wordt vermeld in de SSID. De toegangspunten van een gekoppeld draadloos netwerk verspreiden hun SSID niet. De toegangspunten van een gekoppeld draadloos netwerk worden zo geconfigureerd dat ze enkel de posten met de juiste identifier van het netwerk toelaten. De toegang tot het gekoppelde draadloze netwerk is onderworpen aan een identificatie / authentificatie van de machines en een “one time” identificatie / authentificatie van de gebruikers (bv. via server “Radius”) die zich erop connecteren. Deze authenticatie is beveiligd tijdens hun transfer over het draadloze netwerk. Vóór iedere andere interactie, vergewist de client zich van de identiteit van het draadloze netwerk. Alle uitwisselingen via een gekoppeld draadloos netwerk worden vercijferd volgens een veilig encryptie-algoritme. Het gekoppelde draadloze netwerk is verbonden met het interne netwerk via een beveiligde verbinding. Alle uitwisselingen via een gekoppeld draadloos netwerk moeten op verzoek kunnen worden getraceerd met inachtneming van de geldende wetgeving en reglementering. Elke poging om toegang te krijgen tot het draadloze netwerk leidt tot een veiligheidslogging. Deze loggings worden ter beschikking gehouden van de veiligheidsconsulent.
2.3 De installatie van niet-gekoppelde interne draadloze netwerken De installatie van een specifiek niet-gekoppeld intern draadloos netwerk zonder authentificatie is toegelaten om externe dienstverleners toegang te verlenen tot internet. De installatie van dit netwerk wordt voorafgegaan door een bereikanalyse om het bereik van het netwerk zoveel mogelijk te beperken. Dit niet-gekoppelde interne draadloze netwerk dient volledig gescheiden te zijn van de interne bekabelde netwerken. De gegevens die erover circuleren mogen enkel verband houden met de professionele activiteiten/doeleinden van de dienstverleners die dit netwerk gebruiken. Het niet-gekoppelde interne draadloze netwerk mag niet gebruikt worden vanaf posten die ook een bekabelde toegang hebben naar het interne netwerk.
P6
LOGO Instelling
WLAN In Progress 1.0
24/06/2009
Indien nodig, moet dit netwerk toelaten om de gegevensstromen te isoleren van de machines die zich erop connecteren. De gebruikers van niet-gekoppelde interne draadloze netwerken werden gesensibiliseerd inzake het gebruik van deze netwerken en de regels die zij dienen na te leven. Het SSID van het niet-gekoppelde interne draadloze netwerk laat niet toe om de eigenaar van het netwerk te identificeren. De toegangspunten zijn zo geconfigureerd dat ze enkel de posten met de juiste SSID toelaten. De toegangspunten verspreiden hun SSID niet. Alle uitwisselingen via dit netwerk moeten op verzoek kunnen worden getraceerd met inachtneming van de geldende wetgeving en reglementering. Aanbevolen wordt dat het toegangspunt van het niet-gekoppelde interne draadloze netwerk naar het internet een inhoudelijke controle omvat en enkel het gegevensverkeer met inachtneming van de geldende wetgeving en reglementering toelaat.
2.4 De installatie van hotspotnetwerken De installatie van een specifiek niet-beveiligd hotspotnetwerk is toegelaten om het publiek van de instelling toegang te geven tot internet. De installatie van een dergelijk hotspotnetwerk wordt voorafgegaan door een bereikanalyse om duidelijk het bereik van dit hotspotnetwerk af te bakenen. Het hotspotnetwerk moet volledig gescheiden zijn van de interne bekabelde netwerken. Het hotspotnetwerk mag niet gebruikt worden vanaf posten die tegelijkertijd een kabeltoegang naar het interne netwerk hebben. De SSID van het hotspotnetwerk laat niet toe om de herkomst van het netwerk te identificeren. De toegangspunten zijn zo geconfigureerd dat ze enkel de posten met de juiste SSID toelaten. Alle uitwisselingen via de hotspot moeten op verzoek kunnen worden getraceerd met inachtneming van de geldende wetgeving en reglementering. Aanbevolen wordt dat het toegangspunt van het hotspotnetwerk naar het internet een inhoudelijke controle omvat en enkel gegevensverkeer met inachtneming van de geldende wetgeving en reglementering toelaat.
2.5 De fysieke veiligheid De toegangspunten worden buiten het bereik van het publiek opgesteld. Indien nodig worden ze in een afgesloten ruimte opgesteld en is enkel de antenne zichtbaar. De toegangspunten zijn zo weinig mogelijk zichtbaar.
3 De continuïteit Het continuïteitsplan en het DRP-plan van de instelling integreren de draadloze netwerken.
P7
LOGO Instelling
WLAN In Progress 1.0
24/06/2009
4 Organisatie, rollen en verantwoordelijkheden De installatie van draadloze netwerken valt onder de bevoegdheid van de verantwoordelijken voor de netwerk- en telecommunicatiemiddelen. De exploitatie en administratie van deze netwerken worden ook toevertrouwd aan deze verantwoordelijken. Bij alle ondernomen acties dienen de regels van deze policy te worden nageleefd. Voor de installatie van draadloze netwerken is het schriftelijk positief advies van de veiligheidsconsulent vereist zoals reeds beschreven in sectie 1.3. Alle draadloze netwerken dienen te worden aangegeven; de verantwoordelijken van de netwerk- en telecommunicatiemiddelen dienen een exhaustieve lijst van deze netwerken bij te houden en die ter beschikking te stellen van de veiligheidsconsulent. Deze lijst moet de volgende elementen bevatten: de beschrijving van het netwerk, het gebruik ervan en de ermee verbonden risico’s, de geïmplementeerde veiligheidsmechanismen, de architectuurschema’s, de geografische inplanting van de toegangspunten, … Het staat de veiligheidsconsulent vrij om controles uit te voeren met betrekking tot de naleving van de regels vervat in deze veiligheidspolicy. Er dient een systeem van controle op de naleving van de regels te worden ingevoerd onder de verantwoordelijkheid van de veiligheidsconsulent. In geval van onderaanneming van een deel of van het volledige draadloze netwerk dient de operator van dit netwerk te beschikken over onderhavige regels en dient hij er zich contractueel toe te verbinden om deze regels na te leven. Deze delegering dient goedgekeurd te worden door de veiligheidsconsulent. Elke wijziging van onderhavige regels vereist de goedkeuring van de veiligheidsconsulent.
4.1 Gebruik van draadloze netwerken vanaf een werkstation van de instelling Het gebruik van een draadloos netwerk vanaf een werkstation van de instelling vereist een toestemming. Het gebruik van een draadloos netwerk door een machine van de instelling is slechts toegelaten voor zover deze machine daartoe geconfigureerd werd door de bevoegde diensten. De draadloze netwerken die ter beschikking gesteld worden van het personeel dienen te worden gebruikt overeenkomstig het geldende gebruikscharter van de informaticamiddelen. De installatie van draadloze peer-to-peer-netwerken is verboden binnen de muren van de instelling. Er mag geen enkel draadloos netwerk geactiveerd worden indien het werkstation aangesloten is op het klassieke lokale bekabelde netwerk van de instelling. Elke draadloze toegang die gebruikt wordt in een niet-professionele context en/of buiten de instelling dient te worden gedeactiveerd bij het binnenkomen op de site van de instelling. Het gebruik van een hotspot of een draadloos netwerk thuis is slechts toegelaten vanaf de machines van de instelling die daartoe geconfigureerd werden. De veiligheidsmaatregelen die met betrekking tot de werkstations getroffen werden om ze te beveiligen in geval van gebruik van een draadloos netwerk mogen niet gedeactiveerd worden (personal firewall, anti-virus, automatische installatie van patches, ...)
P8
LOGO Instelling
WLAN In Progress 1.0
24/06/2009
4.2 Gebruik van draadloze Wi-Fi-netwerken vanaf een werkstation dat geen eigendom is van de instelling Elke draadloze WiFi-toegang die gebruikt wordt in een niet-professionele context en/of buiten de instelling dient te worden gedeactiveerd bij het binnenkomen op de site van de instelling. De externe pc mag niet aangesloten zijn op het draadloze netwerk dat gekoppeld is aan het netwerk van de instelling, tenzij hiervoor een specifieke afwijking werd toegestaan die gevalideerd werd door de veiligheidsconsulent. Een specifiek niet-gekoppeld intern draadloos netwerk wordt eventueel ter beschikking gesteld van de externe dienstverleners, zodat zij toegang kunnen hebben tot internet. De veiligheidsmaatregelen ter beveiliging van de pc en de uitwisselingen die verricht worden door de externe dienstverlener vallen onder de verantwoordelijkheid van de dienstverlener. Het gebruik van het niet-gekoppelde interne draadloze netwerk gebeurt op risico van de dienstverlener. De draadloze netwerken die ter beschikking gesteld worden van de externe dienstverleners mogen enkel gebruikt worden voor professionele doeleinden. Alle uitwisselingen via draadloze netwerken die ter beschikking gesteld worden van de dienstverleners worden getraceerd en de instelling behoudt zich het recht voor deze loggings te gebruiken in geval van een geschil over het gebruik van draadloze netwerken overeenkomstig de wetgeving. De instelling behoudt zich het recht voor om alle veiligheidsmaatregelen te treffen die haar nodig lijken ten aanzien van de draadloze netwerken die ter beschikking gesteld worden van de externe dienstverleners.
5 Het beheer van draadloze netwerken. Alle draadloze netwerken worden beheerd door minstens twee beheerders die daartoe benoemd worden. De beheerder en zijn plaatsvervanger staan garant voor de naleving van de regels van onderhavige policy met betrekking tot het draadloze netwerk waarvoor zij verantwoordelijk zijn. De beheerfuncties vereisen een identificatie / authentificatie. De authentifier is in de mate van het mogelijke een sterke authentifier. Als dit niet mogelijk is, wordt die uitsluitend gedeeld door de beheerders van het draadloze netwerk en door niemand anders. De identifiers / authentifiers die gebruikt worden voor het beheer van de machines en de componenten van de draadloze netwerken zijn niet dezelfde als deze die gebruikt worden in het kader van de interne bekabelde netwerken. Geen enkele beheerfunctie wordt gerealiseerd via het draadloze netwerk. Deze functies worden gerealiseerd via het bekabelde netwerk waarmee de toegangspunten verbonden zijn. Dit beheer is specifiek voor het niet-gekoppelde interne draadloze netwerk en het hotspotnetwerk en heeft geen interface met het beheer van het interne bekabelde netwerk of beveiligde draadloze netwerken. Enkel de beheerstations toegewezen aan deze netwerkbeheerders hebben een toegang voor het beheer van het draadloze netwerk. De toegang tot een beheerfunctie van de toegangspunten moet worden gelogd. De logging van deze gebeurtenissen staat ter beschikking van de veiligheidsconsulent. In het kader van het beheer op afstand, zijn enkel beveiligde protocols toegestaan voor het beheer van de toegangspunten. Deze protocols dienen ter beveiliging van de identificatie / authentificatie en de vertrouwelijkheid van de uitwisselingen. Protocols als SSH of HTTPS beantwoorden aan deze regel. De niet-beveiligde protocols (SNMP, Telnet, http, TFTP, FTP, …) zijn geïnactiveerd en het gebruik ervan is verboden (tenzij voor de port “console” indien nodig). Regelmatig wordt er een back-up genomen van de gegevens i.v.m. de configuratie van de hardware van de draadloze netwerken. P9
LOGO Instelling
WLAN In Progress 1.0
24/06/2009
De identificatie-/authentificatiecontroles van de gebruikers en de machines die zich connecteren dienen bijgesteld te worden in functie van de vastgestelde zwakke plekken in de veiligheid. Ofwel worden de default accounts en paswoorden van de hardware geïnactiveerd, ofwel worden de paswoorden gewijzigd. Als er geen sterke authentificatie geïmplementeerd werd, worden de paswoorden voor toegang tot de WiFi-apparatuur regelmatig veranderd. De gebruikte, niet-triviale paswoorden worden enkel meegedeeld aan de beheerders van het draadloos netwerk. De periodieke wijziging ervan is opgenomen in de procedures i.v.m. de exploitatie van het draadloos netwerk. De authentifiers moeten worden gewijzigd telkens ze meegedeeld werden aan anderen dan de beheerders (verandering van onderaannemers, onderhoudsinterventie, ...). De loggings afkomstig van de tools en apparaten dienen te worden bijgehouden. De componenten van het draadloze netwerk worden onderworpen aan een onderhoud. De betrokken technologie wordt van nabij opgevolgd. De veiligheidsupdates worden regelmatig geïnstalleerd op alle machines die gebruikt worden voor het draadloze netwerk, met inbegrip van de toegangspunten.
6 Audit van de draadloze netwerken Er wordt regelmatig een veiligheidsaudit van de draadloze netwerken gerealiseerd. Bovendien wordt een regelmatige controle voor de opsporing van niet-conforme draadloze netwerken geïmplementeerd. Deze controle laat toe zich te vergewissen van: •
de afwezigheid van niet-voorziene toegangspunten,
•
de afwezigheid van peer-tot-peer-netwerken,
•
de afwezigheid van clients die toegangspunten zoeken,
•
de afwezigheid van software die draadloze netwerken aanvalt.
7 Wettelijkheid en conformiteit De kaarten en toegangspunten die gebruikt worden in het kader van de draadloze netwerken zijn conform aan de geldende wettelijke en reglementaire bepalingen. De audit van het netwerk, de inzameling en exploitatie van loggings houdt rekening met de geldende wetgeving en reglementering (onder meer opgelegd door de CBPL).
P 10