govroam: veilige wifi-roaming
De govroam wifi-roaming dienst maakt het voor werknemers van deelnemende overheidsinstellingen zoals gemeenten, provincies, ministeries, waterschappen mogelijk om op een eenvoudige en veilige wijze internet toegang te verkrijgen. De architectuur waardoor dit mogelijk is maakt gebruik van een aantal (bewezen) technologieën en onderlinge afspraken, met als resultaat: “open je laptop en je bent online”.
Het onderliggende basisprincipe van de veiligheid van govroam is dat de authenticatie van een gebruiker uitgevoerd wordt door zijn/haar eigen organisatie, op het domein van die eigen organisatie, en via de specifieke methode van die eigen organisatie. De benodigde autorisatie om toegang te verlenen tot lokale netwerkmiddelen wordt uitgevoerd door het netwerk waar de medewerk te gast is.
confederatief georganiseerd
De Nederlandse nationale govroam voorziening is confederatief georganiseerd. Dit houdt in dat de deelnemende organisaties een overeengekomen en samenwerkend geheel vormen. De overeenkomst omvat een set van organisatorische en technische afspraken die het eenvoudig en veilig gebruik van toegang tot internet en eventuele andere toepassingen (bijvoorbeeld printen) waarborgt. De deelnemende organisaties blijven onafhankelijk en zelfstandig verantwoordelijk voor de eigen organisatorische en technische invulling. De govroam dienst en de wijze van organiseren volgt die van govroam.
De technische invulling betreft een hiërarchisch systeem van Remote Authentication Dial-In Service (RADIUS) servers. Wanneer een gebruiker die op een gastlocatie (niet zijn eigen locatie) gebruik wil maken van internet dan zal zijn verzoek om toegang via het authentication request door de RADIUS servers doorgezet worden naar zijn thuislocatie, en het antwoord (authentication response) zal terug gestuurd worden. Iedere deelnemende organisatie zal een eigen RADIUS server inrichten en deze koppelen aan de centrale nationale RADIUS.
Het juist routeren van de authenticatie berichten is mogelijk omdat de gebruikersnamen een vast voorgeschreven format hebben op basis waarvan de RADIUS servers de berichten door de hiërarchie kunnen sturen. Het format van een gebruikersnaam is “user@realm” waarin realm een fully qualified domain name (FQDN). Voorbeelden van geldige gebruikersnamen in dit voorgeschreven format zijn: flip@utrecht.nl of j.r.flipkens@minvenj.nl .
Access points of switches gebruiken de IEEE 802.1X standaard met het Extensible Authentication Protocol (EAP). Instellingen bepalen zelf welke EAP-methode voor hun het beste gehanteerd kan worden. Zo is het mogelijk om via een beveiligde tunnel (bijvoorbeeld EAP-TTLS of PEAP) de authenticatie gegevens (gebruikersnaam/wachtwoorden etc) te versturen. Een andere mogelijkheid is om gebruik te maken van wederzijdse authenticatie via publieke X.509 certificaten. In al deze authenticatiemethoden wordt er gebruik gemaakt van een beveiligde tunnel (secure TLS session) vanaf het toestel van de gebruiker tot en met zijn thuis authenticatie server, zodat de persoonlijke gegevens van de gebruiker niet zichtbaar zijn voor de tussenliggende partijen.
De confederatieve govroam voorziening omvat alle mogelijkheden om een veilige dienstverlening te bewerkstelligen.
Meer informatie
Voor het volledige overzicht van privacy-aspecten, zie de privacyverklaring.
Klik hier voor de volledige dienstbeschrijving.
Klik hier voor de Service Level Specificatie
Of maak een afspraak om de aansluitmogelijkheden door te spreken met ons serviceteam.