Veilig aanmelden van IoT devices op wifi-netwerken

Het gebruik van IoT devices wordt steeds gangbaarder in een bedrijfsgebouw. Voor de communicatie liften deze devices vaak mee op het reeds bestaande wifi-netwerk. Voorbeelden van IoT devices zijn camera’s, sensoren (temperatuur, verlichting), smartboards, etc. Omdat al deze devices gebruik (willen) maken van het wifi-netwerk doet zich een nieuwe uitdaging voor: hoe gaan deze devices zich veilig aanmelden en authentiseren op het netwerk? Hierover gaat mijn blog.

De eenvoudigste oplossing is niet de beste

Voor het aanmelden van een apparaat op een wifi-netwerk bestaan diverse mogelijkheden. Het gebruik van een aparte wifi Server Set Identifier (SSID) met een vaste Pre Shared Key (PSK) voor alle IoT devices is de eenvoudigste oplossing. Vanuit security oogpunt is deze oplossing echter niet wenselijk. De PSK kan bekend worden of worden meegenomen als iemand uit dienst gaat. Het vervolgens nalopen van alle IoT devices en het invoeren van een nieuwe PSK is een crime. Ook kan een IoT device gehackt worden en daarmee wordt meteen de PSK van het betreffende wifi-SSID bekend.

Authenticatie op basis van een MAC-adres is ook niet handig. Dit gezien de hoeveelheid devices en de administratie die dit vergt om de lijst met MAC-adressen op orde te houden bij toevoeging of vervanging van defecte devices.

Unieke wifi-authenticatie per IoT device

Dan blijft over het authentiseren op basis van een unieke username en wachtwoord per device, in combinatie met de WPA2 enterprise authenticatie. Dit wordt ook gebruikt voor laptops en andere user-gebonden devices. Ook dit vergt een behoorlijke handmatige inspanning en overeenkomstige administratie; welk account zit in welk device? Eigenlijk wil je iedere vorm van handmatige authenticatie vermijden. Het aantal IoT devices groeit alleen maar verder. Stel dat straks bijvoorbeeld ieder lichtarmatuur als een IoT device wordt uitgevoerd en een wifi-connectie nodig heeft, dan wil je iets anders bedenken voor authenticatie. Het liefst een volledig automatische methode, maar wel één die veilig is en niet het wifi-netwerk onbedoeld openzet.

Nieuwe standaarden voor wifi- authenticatie van IoT devices

De Wi-Fi Alliance, de instantie die zich bezighoudt met de certificering van wifi devices, heeft dit probleem al enige tijd erkend en is bezig met de ontwikkeling van nieuwe standaarden voor wifi- authenticatie van IoT devices. Eén hiervan is het Device Provisioning Protocol (DPP), waarmee een beheerder, die reeds geauthentiseerd is, met een app op zijn smartphone een nieuw device op het netwerk aanmeldt. Belangrijk hierbij is de manier van beveiliging. De unieke credentials van het nieuwe device worden onder water bepaald en blijven onzichtbaar voor de aanmelder en worden encrypted over het netwerk verzonden.

Een andere methode, waarbij geen interactie van een beheerder nodig is, is de zogenaamde Passpoint certificatie. Deze wordt momenteel door de Wi-Fi Alliance verder ontwikkeld voor IoT-toepassingen. De Passpoint standaard bestaat al sinds 2012 en is oorspronkelijk bedacht om de authenticatie op publieke hotspots van service providers te vereenvoudigen. Deze standaard komt erop neer dat het IoT device op zoek gaat naar een unieke SSID uit een lijst die fabrieksmatig is geconfigureerd. Vervolgens meldt het device zich aan met een certificaat dat ook fabrieksmatig is aangebracht. Dit certificaat wordt via een Radius proxy geverifieerd bij de fabrikant van het device, waarna de gegevens worden bevestigd en het als een betrouwbaar device wordt gezien.

De oplossing laat nog op zich wachten

De enige voorwaarde is dat het wifi-netwerk Passpoint ondersteunt en dat de Radius proxy richting de fabrikant wordt ingericht. Daarna werkt deze methode volledig zonder menselijke inmenging.

Waar staan we op dit moment? De DPP-standaard is nog verder in ontwikkeling en van de Passpoint standaard is onlangs (december 2016) versie 2.0 tot stand gekomen. Er zijn echter nog maar weinig devices die dit ondersteunen, dus voorlopig zullen de authenticatie issues van IoT devices nog wel even aanhouden.