De realiteit van WiFi beveiliging in veel organisaties
Beantwoord eens eerlijk de volgende vragen:
- Wanneer is het WiFi wachtwoord voor het laatst gewijzigd?
- Hebben persoonlijke telefoons van medewerkers toegang tot hetzelfde netwerk als de laptops met klantdata?
- Staat het WiFi wachtwoord ergens op een whiteboard of post it?
- Hebben oud medewerkers nog steeds het wachtwoord?
Bij veel organisaties is het antwoord verontrustend. Het WiFi wachtwoord is al jaren hetzelfde, iedereen zit op hetzelfde netwerk, en het wachtwoord is bij tientallen mensen bekend.
Waarom is dit een probleem?
Wanneer een onbevoegd apparaat toegang heeft tot je productienetwerk, kan dat apparaat:
- Netwerkverkeer onderscheppen (ook wel “sniffing” genoemd)
- Proberen in te loggen op servers en werkplekken
- Gevoelige data onderscheppen die onversleuteld over het netwerk gaat
- Als springplank dienen voor verdere aanvallen
De oplossing: netwerksegmentatie met Intune
De beste aanpak is het creëren van twee gescheiden WiFi netwerken:
Netwerk 1: Productie (alleen beheerde apparaten)
Dit netwerk is alleen toegankelijk voor apparaten die door de organisatie worden beheerd via Microsoft Intune. Kenmerken:
- Onzichtbare netwerknaam (SSID): Het netwerk zendt zijn naam niet uit
- Complex, willekeurig wachtwoord: Wordt nooit gedeeld met mensen
- Automatische configuratie: Intune rolt de inloggegevens uit naar beheerde laptops
- Toegang tot bedrijfsresources: Servers, printers, gedeelde mappen
Netwerk 2: Gasten en persoonlijke apparaten
Dit netwerk is bedoeld voor alles wat niet beheerd wordt:
- Zichtbare netwerknaam: Bijvoorbeeld “Bedrijfsnaam Gast”
- Eenvoudig te delen wachtwoord: Mag bekend zijn bij medewerkers en bezoekers
- Alleen internettoegang: Geen toegang tot interne systemen
- Geïsoleerd: Apparaten op dit netwerk kunnen elkaar niet “zien”
Hoe werkt de Intune configuratie?
Microsoft Intune maakt het mogelijk om WiFi profielen automatisch uit te rollen naar beheerde apparaten. Dit werkt als volgt:
- Je maakt een WiFi profiel aan in het Intune beheerportaal
- Je voegt de netwerknaam en het wachtwoord toe (versleuteld)
- Je wijst het profiel toe aan de gewenste apparaatgroepen
- Beheerde apparaten ontvangen automatisch de configuratie
Het resultaat? Laptops verbinden automatisch met het beveiligde netwerk zodra ze in bereik zijn. Niemand hoeft het wachtwoord te weten, en het kan regelmatig worden gewijzigd zonder dat gebruikers daar iets van merken.
Netwerksegmentatie: een apart netwerk voor beheerde apparaten en een apart netwerk voor gasten.
Via Microsoft Intune rol je WiFi instellingen automatisch uit naar je beheerde apparaten.
Extra beveiligingstips voor je WiFi
Schakel WPA3 in: De nieuwste WiFi beveiligingsstandaard biedt betere bescherming dan WPA2.
Gebruik 802.1X authenticatie: Voor nog betere beveiliging kun je certificaatgebaseerde authenticatie overwegen.
Monitor onbekende apparaten: Moderne access points kunnen waarschuwen wanneer onbekende apparaten proberen te verbinden.
Implementatie bij jouw organisatie
Wil je je WiFi beveiliging naar een hoger niveau tillen? Clear ICT helpt je met het ontwerpen en implementeren van een veilige netwerkarchitectuur die past bij jouw situatie.
Geschreven door
Rick van den Bovenkamp
IT-professional bij Clear ICT. Schrijft over cybersecurity, Microsoft 365 en moderne IT-oplossingen.
Volg op LinkedIn
