Bijna iedereen heeft tegenwoordig een draadloos netwerk en een WiFi modem, bij voorkeur beveiligd met versleuteling en een specifiek wachtwoord. Zo voorkom je dat anderen gebruik kunnen maken van het netwerk en er op kunnen rondneuzen. Steeds meer WiFi modems bieden echter de mogelijkheid tot een tweede, open netwerkomgeving, bedoeld om gasten toe te laten. Is zo’n open WiFi een goed idee of niet?

Hoe werkt open WiFi?
Een draadloos netwerk heeft een unieke naam zodat je je draadloze modem kunt onderscheiden van de modems van je buren. Dit heet de Service Set Identifier (SSID). Met het juiste wachtwoord maak je verbinding met het netwerk en kun je via deze (vaste) verbinding het internet op. Tegenwoordig zijn steeds meer WiFi modems in staat om naast een eerste (min of meer private) SSID nog een tweede actief te hebben. Zo’n tweede SSID, open en zonder wachtwoord, is dan bedoeld om gasten wel toe te laten tot het internet, maar niet tot de overige voorzieningen op het lokale netwerk. Ideaal voor gastgebruik. Sommige modems kun je nog verder instellen, zoals het filteren van bepaalde poorten en/of het reguleren van de netwerkcapaciteit die de gast gebruikt.

Voordelen gastgebruik
Via een tweede, open WiFi kun je dus met een vaste aansluiting je internetverbinding delen met anderen, die je niet hoeft te kennen of een wachtwoord hoeft te geven. Makkelijk, bijvoorbeeld voor kleine zelfstandige ondernemingen, praktijkruimtes en vergelijkbare situaties. Maar het kan nog grootser. Waarom zou je niet bijvoorbeeld in een hele straat, wijk of zelfs gemeente iedereen kunnen bewegen zo’n gastnetwerk te activeren, en als er dan overeenstemming is over één uniforme SSID, kan een gastgebruiker “roamen” langs alle particuliere WiFi-netwerken die meedoen. Een mooi gebaar en een invulling van het ‘community’-denken.

Consumenten worden provider
Aan deze benadering kleven wat haken en ogen. Ten eerste is er de wet- en regelgeving. Als particulieren in een bepaald gebied massaal vrije toegang verlenen tot het internet, gaan zij in feite (collectief) als provider opereren. Volgens de wet zijn zij dan aan te merken als een “aanbieder van openbare telecomdiensten”. Dit brengt de nodige rechten en plichten met zich mee. De huidige wet voorziet hier slecht in, en beschouwt consumenten als “eindpunt” van het internet, niet als “tussenstation” – en dat is het geval zodra zij toegang verlenen aan (onbekende) derden.

Risico’s
Laat je gasten toe op je internetverbinding, dan is er technisch gezien geen onderscheid tussen jouw verkeer en dat van een onbekende en tijdelijke gast. Beide verkeersstromen zijn afkomstig van hetzelfde aansluitpunt (de DSL-, kabel-, of glasaansluiting op jouw naam). Levert dat internetverkeer problemen op, dan kan er dus geen onderscheid worden gemaakt tussen jouw aandeel en dat van de tijdelijke passant. De hoofdeigenaar wiens naam en adres bekend zijn, zal dus aangesproken worden op eventuele problemen. Dit kan in extreme gevallen gaan om vermeende strafrechtelijke gedragingen. Je moet dus aannemelijk maken dat een ander het betreffende verkeer gegenereerd heeft (en liefst ook diens personalia kennen), anders kun je zelf in het gedrang komen vanwege (strafrechtelijk) onderzoek en/of de blokkade van internetverkeer op grond van het beleid van de provider.

Voorwaarden van providers
Een ander risico is dat (bijvoorbeeld) buren permanent gratis meeliften met de internetverbinding van een betalende gebruiker. Marktoverwegingen, gevoegd bij het eerder beschreven risico van (on)bedoeld misbruik, hebben de meeste providers ertoe bewogen in hun algemene voorwaarden op te nemen dat het gebruik van de internetverbinding door derden niet is toegestaan. Formeel gesproken handelt iemand die zijn internetverbinding via een open WiFi-verbinding deelt met onbekende derden, in strijd met zulke algemene voorwaarden.

Overigens zijn er providers, waaronder Ziggo, die hun klanten stimuleren om het modem juist open te zetten voor onbekenden, maar dan via een controlelaag die de provider zelf beheert, zodat alleen andere klanten van diezelfde provider kunnen profiteren van gastgebruik. Deze initiatieven zijn in feite door de provider in kwestie zelf geïnitieerd, en staan los van de overwegingen die hier zijn beschreven.

De conclusie
Is het dan een totaal onzinnig idee? Helemaal niet. Regelgeving in het algemeen weerspiegelt vaak hoe “men” er nu over denkt – voortschrijdende technologie of gebruik daarvan zal vroeg of laat zijn weerslag hebben in de geldende wet- en regelgeving. Ook zullen er steeds meer technische oplossingen voorhanden komen die het voor een “eenvoudige” gebruiker makkelijker maken de eigen internetverbinding via een open WiFi op een veilige en verantwoorde wijze te delen met onbekenden. Vooralsnog echter luidt het advies om de eigen WiFi niet open te stellen via een gast-SSID aan toevallige passanten.

Jacques Schuurman
Security Officer bij XS4ALL

Deel dit:

Reacties

  1. K Kroon says:

    Persoonlijk zou ik zeggen verbeter de snelheid voor het basis abonnement i.p.v. open WIFI.Waarom moeten anderen gratis profiteren van mijn betaalde aansluiting?

  2. MvdK says:

    Op 6 december heb ik hier gezegd dat het hele verhaal hier boven bangmakerij is. Bangmakerij door internetproviders. Zij hebben er belang bij dat er niet te veel traffic over verbindingen gaat. Stel je voor dat de bewoners van een flatblokje van 8 woningen slechts 1 aansluiting hebben, wel een duurder abonnement, want meer traffic. Providers zullen daardoor inkomsten mislopen. Het misbruikverhaal, dat er mensen zijn die op internet illegale dingen doen: je kan in nederland, maar ook andere landen, nog steeds anoniem SIM kaartjes aanschaffen. Je koopt airtime, daarvan koop je een databundel, stopt het kaartje in een mobile device, en klaar is kees. Daarna kan je anoniem internetten. Ik vind het jammer dat ik dat hier moet uitleggen.

  3. miw says:

    Wat een eenzijdig verhaal! Natuurlijk wordt het veiliger als alle netwerk verkeer versleuteld is. Door het open netwerk iets te beperken (bijvoorbeeld met minder bandbreedte en voor specifiek toegestane protocol parameters) is het nog steeds mogelijk om derden internet toegang te geven. Dit beperkt veel misbruik. Vaak is zo’n tweede wifi netwerk ook nog gescheiden van het lokale netwerk, zodat niet iedere bezoeker van dat netwerk gebruik moet maken.
    Ook de juridische argumenten zijn iets genuanceerder dan in deze blog worden weergegeven.

  4. Anonymous says:

    Hoe wilde je aantonen dat het een ander was?

  5. Dennis says:

    Het is toegestaan anoniem internettoegang aan te bieden. En nee ook dat maakt je niet aansprakelijk; wel komt Justitie natuurlijk bij jou uit als er problemen zijn maar als jij kunt bewijzen dat het een anonieme bezoeker was
    dan word jij verder niet vervolgd (art. 54a Sr en 6:196c BW).

    Volgens mij kun je dus beter je Guest Wifi volkomen openlaten. Als je er geen toegangsbeheer opvoert dan ben je er ook niet voor aansprakelijk.

  6. MvdK says:

    Wat een bangmakerij. Als je illegale aktiviteiten wilt uithalen op internet, kan je dat nog op een heleboel andere manieren doen. Dan is ergens bij iemand voor de deur gaan staan, en met je laptop op schoot in de auto een vreselijk onhandige manier, die ook veels te veel opvalt.
    Ik begrijp best dat providers ervan balen dat zij voor meer gegenereerde traffic moeten betalen. Met contracten zonder datalimiet kan dat een dure grap worden.

    • D0T says:

      Welke andere manieren dan?

      Een open wifi netwerk is erg eenvoudig en je kunt rustig anoniem je gang gaan.

      Iemand met een IPad of laptop in een auto is niet echt iets wat opvalt. Denk persoonlijk dat je iets te naïef bent.

  7. Gerard says:

    Het meest veilige is nog steeds om je WiFi-verbinding niet te delen. Dat geeft mij het meeste rust.

    • Roland says:

      Inderdaad, hoewel, nog veiliger is een “air gap”, dus je pc van internet afhalen :-)

      Waar men ook niet aan denkt is dat je internet router je thuis netwerk tamelijk effectief afschermt van de boze buitenwereld, maar dat dit teniet wordt gedaan als je pc’s van kennissen op je netwerk toelaat, waarvan je niet zeker weet of ze geen malware bevatten. In concreto, windows pc’s van gasten op jouw netwerk met alleen linux machines. Zonder gasten kan je toe met makkelijke wachtwoorden, met vreemde pc’s kan je maar beter al je wachtwoorden upgraden to sterke wachtwoorden.

  8. GM says:

    Dit kan in extreme gevallen gaan om vermeende strafrechtelijke gedragingen. Je moet dus aannemelijk maken dat een ander het betreffende verkeer gegenereerd heeft (en liefst ook diens personalia kennen), anders kun je zelf in het gedrang komen vanwege (strafrechtelijk) onderzoek en/of de blokkade van internetverkeer op grond van het beleid van de provider.
    Dit is onnodige bangmakerij. De provider mag verkeer niet zomaar blokkeren (netneutraliteit) en mag je ook niet zomaar afsluiten (art. 7.6a Telecommunicatiewet). Zie bijvoorbeeld http://blog.iusmentis.com/2011/07/05/wat-mag-een-provider-nog-als-netneutraliteit-wet-wordt/

    Ook strafrechtelijk zit het net andersom: de Officier van Justitie moet boven elke twijfel aannemelijk maken dat jíj het was.

    • Roland says:

      Onnodige bangmakerij? Stel de gast pc heeft malware, dat komt vaak voor, dat grootschalig spam email verstuurt via jouw aansluiting. Xs4all zal dat detecteren en je dan afsluiten, totdat je aantoont dat die malware weg is, wat je zomaar drie dagen kan kosten. Zelf dit meegemaakt vanwege een pc van een kennis die traag was, of ik er even naar wilde kijken, nooit zomaar even op je netwerk inpluggen dus! Geldt dus ook voor die lieve vriendjes van je kinderen met hun smartphones en tablets vol vage spelletjes apps, als je zomaar ieder van hun je wifi wachtwoord geeft.

  9. CJW says:

    Belangrijk artikel! Evenals sommige voorgaande het bewaren waard. Het zou aanbeveling verdienen om artikelen in deze reeks ‘printbaar’ of als .pdf downloadbaar te maken.

  10. Erik-Jan says:

    Veiligheid is iets maar je zeker op moet letten. Ik heb zelf een FON (fon.com) router staan. Hiermee geeft ik toegang tot andere FON gebruikers. Centraal wordt bijgehouden Wie Wat heeft gedaan. Ik kan op de webinterface ook zie wie er allemaal gebruik van mijn punt hebben gemaakt. Overigens is dit gemiddeld 1 gebruiker per jaar oid.
    Zelf kan ik nu waar ik ook ben gebruik maken van andere FON spots. Zo kan ik vaak op vakantie toch even internetten als ik dat wil en dan wel zonder extra kosten.
    In België en Frankrijk hebben providers afspraken gemaakt met FON. xs4all zou zo iets ook kunnen doen.

    • Geert says:

      Ik heb ook een Fonrouter. In mijn camper heb ik een externe wifi antenne om het signaal beter op te kunnen pakken. Het gebruik van het Fon-netwerk valt overigens tegen. Meestal is er gewoon niet een in de buurt.

      Aangezien we meestal op campings staan wordt het dan toch het wifi-netwerk van de camping.

      Overigens maken we nu steeds meer gebruik van de gratis mifi van Xs4all.

      Vraag: Overtreed ik de reels van Xs4aal bij het gebruik van Fon?

  11. Ide says:

    Hier ook een 2e gastennetwerk, echter wel beveiligd.

    Voor degene die wifi wil (meestal op de smartphone), die kan aan de binnenkant van de meterkast een QR code scannen die de wifi verbinding instelt. De QR code heb ik laten genereren via http://blog.qr4.nl/QR-Code-WiFi.aspx
    Lekker makkelijk want geen gehannes met wachtwoorden intikken en toch een vorm van beveiliging erop.

    • Armand says:

      Achter die QR code zit gewoon de toegangs-key. Als ik die QR code van je in scan op mijn mobiel kan ik met een app opvragen welke key dit vertegenwoordigt …..

      • ReemZ says:

        Klopt, maar die QR-code zit in de meterkast en is dus niet voor iedereen toegankelijk. Ik gok dat Ide het ook niet gebruikt voor extra veiligheid maar om zelf dat wachtwoord niet te hoeven onthouden en om anderen wat typwerk te besparen. En omdat het kan.

  12. Jaap says:

    Waar komt toch die onverzadigbare drang naar internet vandaan? Waarom moet dat nou zo nodig altijd en overal? Is er dan echt geen ander leven dan facebook meer?

    • Jeroen says:

      Waarom niet? Ik zie het probleem niet helemaal eigenlijk. Misschien is die “zo nodig” ook wel een beetje overdreven. Ik denk niet dat mensen het “zo nodig” moeten hebben. Het is alleen wel handig als je snel dingen moet opzoeken (telefoonnummers, routebeschrijving, nieuws lezen, etc). Of besteed jij je online tijd alleen maar op facebook dat je geen andere opties ziet waarom iemand internet zou gebruiken?

      • Jaap says:

        Ik ken de weg in Nederland, voor details heb ik af en toe een stratenboek nodig. Op deze manier onthoud je ook waar je langs komt en waar je heen gaat. Niet zomaar klakeloos een stem volgen en ondertussen verder faceboeken.

        Telefoonnummers staan in mijn telefoon. Nummers die ik niet heb kan ik thuis opzoeken. De wereld vergaat niet als je niet binnen 10 minuten reageerd.

        Faceboeken doe ik al helemaal niet. Dat is nou juist de as van het wifi-kwaad.

        @Jan: Mensen worden met veel hersencapaciteit geboren maar dingen zoals de huidige TV en facebook en youtube beschadigen meer hersencellen dan alle drank en drugs die er te krijgen zijn. (<< @Jeroen: dat is pas overdreven)

      • Jan says:

        De “hele dag” telefoonnummers opzoeken en routebeschrijvingen opzetten, afgewisseld met wat nieuws, neemt misschien 20-30 minuten in. Maar waarom lopen, fietsen en brommen dan bijna alle jongeren continue met hun ogen op dat schermpje gericht? Van deur tot deur en van tafel tot bureau. De hele dag door. Als je zóveel facebook-(e.d.)”vrienden” in de gaten “moet” houden, wil je wel echt overal verbinding hebben. Bij de volgende mutatie wordt de mens met een smartphone aan de linkerarm geboren en met verminderde hersencapaciteit…

    • Jan Vos says:

      Heerlijk zo’n reactie. Dank Jaap! Ik stel voor: lees eens een krant of boek in bijvoorbeeld het OV.

  13. toin pijnenburg says:

    Mooi artikel!
    In Oude IJsselstreek hebben we een serieuze poging gedaan. Wie weet waar het nog op uit komt. Ondertussen zie ik op mijn router dat er af en toe SMTP-verkeer overheen gaat en soms wat onduidelijke HTML. Waarschijnlijk een mobieltje die op internet iets opvraagt.

    Nog geen rare dingen. Maar ik ben wel na gaan denken over zomaar onbewaakt anderen toegang geven. Ik heb toch maar een “bewakertje” ingezet die meekijkt of er geen rare dingen gebeuren.
    Thx voor de info

  14. Erwin says:

    Haha, dat trekt mijn internetverbinding niet eens. Met dat koperkabeltje dat van de kast aan de andere kant van de wijk moet komen weet KPN / xs4all amper een 20e eeuwse snelheid van 16 Mbps download te persen. Interactieve TV slaat al om de haverklap vast, laat staan dat ik dat zou moeten delen met anderen …

    • J. Versluis says:

      Ruilen?schommelt hier tussen de 9 en de 11. Als je klaagt bij de helpdesk van xs4all krijg je nooi antwoord.

    • Tom says:

      Exact zo denk ik er ook over: met een verbinding zoals ik die nu heb kan ik op mijn smart TV niet eens HD streamen, ídem bij ontvangst van Netflix, etc. Dus leuk hoor hoor die futuristische bespiegelingen maar een verbetering van de infrastructuur is op dit moment prioriteit nummer 1.

  15. Angela Scholder says:

    Voor wat betreft een gasten toegang. Well, bij ons is dat het geval voor onze gasten die bij ons bekend zijn. Daarvoor heb ik inderdaad in de Fritz!Box de aparte gastentoegang in gebruik, maar dus wel met een WPA key die ingegeven moet worden; een die ook vele malen beter is dan de standaard key van de Fritz.

    Gezien de juridische implicaties ben ik uiteraard niet van plan om zo maar lekker internet toegang te bieden aan elke onbekende jodocus die vervolgens dan onze ADSL kan gebruiken voor het plukken van kinderporno of andere illegale zaken.
    Ik zou het best vinden als XS4ALL een stuk bandbreedte zou maken buiten het abonnement dat wij hebben om daarmee andere XS4ALL klanten hotspots te bieden, maar dat moet dan dus inderdaad niet ten kosten gaan van onze eigen uplink en downlink bandbreedte.
    Ik zie dat echter niet gebeuren hier in een situatie waarin ik zelf de volledige controle over het door ons gebruikte modem houd.

  16. Angela Scholder says:

    Jacques,
    Er is denk ik geen enkele wireless router/modem die standaard een unieke SSID heeft. Bij de door XS4ALL gebruikte modems is het dan ook iets met Fritz en 7340/7360 er in.
    Door de mensen van Guidion worden er ook echt totaal geen persoonlijke instellingen gedaan die uniek zijn voor elke gebruiker. Iets wat ik eigenlijk volkomen onacceptabel vind.

    De WPA key is bij deze modems een 20 cijferige code, dus slechts een 20^10 verschillende mogelijkheden. Stel cijders en letters dan zou het 20^36 verschillende mogelijkheden worden of zelfs 20^62 als er ook hoofdletters gebruikt worden. kortom, die standaard key van de Fritz!Box is eigenlijk een bedroevend slechte key…….
    Kortom, heel erg makkelijk om hier een rainbowtable voor te maken.
    Een 8-character complexe key geeft een vele malen betere beveiliging!

    • Chris Jacobs says:

      20 cijfers bieden 10^20 verschillende mogelijkheden. Dat is veel meer dan 20^10

  17. Renz says:

    Interessant artikel! Ik was mij nooit bewust van wat de wet zegt over het aanbieden van een open WIFI.