Waarom iotroam?

Achtergrond

Er is een enorme technology push van apparaten die netwerkconnectiviteit nodig hebben om de beloofde 'smart' toepassingen te leveren, zowel in de zakelijke markt, non-profit als in de consumentenmarkt. Denk maar eens aan slimme deurbellen, slimme verlichting, de magnetron, koffiemachine en de wasmachine die je via een app kunt bedienen of de status kunt bekijken, omvormers van zonnepanelen, etc.. In de zakelijke markt hebben we het over producten zoals koffiemachines, PIN-automaten, beveiligingscamera's, sensoren voor gebouw- of ruimtebeheer.

SURF User Knowledge Base > Functionele beschrijving iotroam > Infographics-plaatje iotroam.jpg

In onze doelgroep gaat het daarnaast over medische apparatuur, slimme sensoren, fitnessapparatuur, smart watches, VR-brillen, robots, digi- of smartboards en 3D-printers. Deze apparaten hebben allemaal (internet)connectiviteit nodig om te kunnen werken. Daarom worden ze ook wel Internet of Things (IoT)-apparaten genoemd. Deze trend past in de verwachte ontwikkelingen op basis waarvan SURF haar Smart Campusvisie heeft ontwikkeld.

In de media wordt al jaren bericht dat het met de beveiliging van IoT-apparaten vaak slecht gesteld is. Dit heeft deels te maken met het gedrag van de gebruiker (admin-wachtwoord niet aanpassen), maar ook aan de technische mogelijkheden in het apparaat zelf. Dit brengt serieuze veiligheidsrisico's met zich mee. Enerzijds kunnen kwaadwillenden grote hoeveelheden IoT-apparaten gebruiken om DDoS-aanvallen te genereren. Anderzijds kan het een mogelijke ingang bieden tot de infrastructuur van een organisatie met alle gevolgen van dien. Alhoewel de Europese commissie van plan is om in 2024 eisen te stellen aan fabrikanten van smart devices, zullen er voorlopig kwetsbare systemen in omloop blijven gaan en zijn er geen garanties te geven over nieuwe apparaten.

Voor onze doelgroep is het dus van groot belang dat er een oplossing is die ervoor zorgt dat IoT-apparaten op een veilige, herleidbare, maar ook voor de gebruiker makkelijke manier, kunnen worden aangesloten op het netwerk.

Propositie

Het gebruik van IoT-apparaten binnen instellingen groeit fors. Al deze apparaten hebben veilige connectiviteit nodig, zonder ingewikkelde handelingen te hoeven uitvoeren. Daarvoor zijn als basis verschillende technologieën beschikbaar, zoals LoRaWAN, 5G, WiFi en Bluetooth Low Energy. De SURF-dienst iotroam richt zich in eerste instantie op connectiviteit via WiFi. Voor (IoT) apparaten die 802.1X-authenticatie ondersteunen, is het duidelijk hoe ze op een veilige manier kunnen aansluiten op het netwerk. Door gebruik te maken van een “device-bound credential” kunnen clients/apparaten zich veilig authentiseren met behulp van een sterke gebruikers- en/of apparaatidentiteit. SURF biedt hiervoor eduroam.

Veel IoT-apparaten zijn niet in staat om netwerkbeveiligingsfunctionaliteit zoals 802.1X te ondersteunen, of wil men geen (gedeelde) user accounts hiervoor aanmaken uit beveiligingsoverweging, technisch dan wel beleidsmatig. Echter, als IoT-apparaten zonder authenticatie en onbeheerd worden aangesloten op het netwerk, levert dit beveiligingsrisico’s op: ongewenste apparaten of apparaten van ongewenste personen of organisaties kunnen toegang krijgen tot het netwerk. Anderzijds moet het voor de gebruiker van IoT-apparaten eenvoudig zijn om de apparatuur te gaan gebruiken, zodat ze zodat ze de aandacht aan het apparaat en de toepassing kunnen schenken. iotroam is een oplossing om IoT-apparatuur veilig en makkelijk online te krijgen.

iotroam biedt instellingen voordelen van gemakkelijk gebruiken van IoT-apparatuur in facilitair, onderwijs en onderzoek zonder tussenkomst van de ICT-afdeling.

Daarnaast biedt iotroam de ICT-organisatie van de instellingen de volgorde voordelen:

Verantwoordelijkheid voor het beheren van IoT-apparaten daar in de organisatie beleggen waar ze horen, wat beheerlast bij de ICT-afdeling vermindert. De ICT-beheerder kan groepen aanmaken met groepsverantwoordelijken. Daardoor vindt het uitvoerende werk daar plaats, maar blijft ICT in control;
Mogelijkheid voor studenten of onderzoekers om met IoT-apparatuur samen te werken vanuit verschillende instellingen. Dit is een groot onderscheidend vermogen met wat er op de markt aan oplossingen te krijgen is;
Geen zorgen over onbekende IoT-apparaten op het netwerk. IoT-apparaten zijn traceerbaar. Ofwel, elk IoT-apparaat is te herleiden tot een verantwoordelijke persoon en alleen personen met rechten vanuit SURFconext kunnen IoT-apparaten laten verbinden met het Wifi-netwerk;
IoT-apparaten worden op een veilige manier verbonden (binnen de mogelijkheden die de techniek biedt). Er kunnen afzonderlijke security policies toegekend worden aan de verschillende groepen binnen iotroam;
Er is geen inkoop, onderhoud en doorontwikkeling van een eigen systeem nodig. Daarnaast is iotroam als uniform systeem opgezet voor alle instellingen, waardoor ook samenwerking en gedeelde toepassingen op de campus tussen instellingen gefaciliteerd kan worden.

De dienst kan worden gezien als een verlengde van eduroam en eduroam Visitor Access. Door iotroam af te nemen kunnen instellingen zich vooral focussen op de use-cases die ze met de IoT-apparatuur willen ondersteunen, dan het zelf managen van een toegangsplatform voor IoT-apparaten.

Toekomstvisie

iotroam valt binnen de Smart Campusvisie van SURF. iotroam maakt het veilig gebruik van smart- of IoT-apparatuur binnen de campus WiFi-infrastructuur mogelijk. Daarmee vormt het een basis om de Smart Campus verder te ontwikkelen.

iotroam is opgezet om ook ‘roaming’-use cases en –functionaliteit te kunnen bieden in de toekomst, waarbij op IoT-vlak makkelijker samengewerkt kan worden tussen instellingen. Ook zijn er ideeën om iotroam breder in te zetten dan alleen voor WiFi. Daarbij kan gedacht worden aan connectivity provisioning voor sensoren op LoRaWAN, BLE, NB-IoT of andere 5G-technologieën. Verder kan het geïntegreerd worden met SURFwireless en in de toekomst SURFwired, als onderdeel van SURF CNaaS.

Functionele beschrijving van de dienst

Samenvatting

Met iotroam biedt SURF deelnemende instellingen de mogelijkheid om IoT-apparaten die geen gebruik kunnen maken van eduroam om toch te verbinden met het WiFi-netwerk van de instelling. Bij eduroam is altijd een gebruikersnaam/wachtwoord of certificaat op het apparaat nodig om online te komen. iotroam voorziet in de behoefte om apparaten te kunnen verbinden die deze mogelijkheid niet hebben en alleen WPA2-personal met PSK (Pre Shared Key) kunnen gebruiken.

Het voordeel van iotroam ten opzichte van een commerciële oplossing is dat iotroam is opgezet met de toepassing in onderwijs en onderzoek en daardoor schaalbaar is opgezet en gemaakt voor alle instellingen. Er is geen lock-in met een productleverancier en flexibiliteit in verdere ontwikkeling van functionaliteiten. Zo werkt iotroam vanaf het begin al met groepen voor diverse toepassingen (facilitair, onderwijs, onderzoek, lab, etc.). Per groep is het dan mogelijk policies toe te passen, waardoor de ICT-afdeling in control komt waar in het netwerk deze apparaten verbinden en wie er verantwoordelijk is voor het apparaat. Dit verhoogt de beveiliging bij het gebruik van IoT-apparatuur.

We onderscheiden op dit moment 2 verschillende rollen binnen iotroam. De ene is gericht op ICT-beheerders en de andere op gebruikers van IoT-apparatuur. Deze worden hieronder verder uitgewerkt.

Voor ICT-beheerders

De ICT-beheerders van een instelling die gebruik maakt van iotroam zijn verantwoordelijk voor de technische inrichting van de dienst binnen de instelling. Zij hebben in SURFconext de rol AAIVerantwoordelijke of iotroam-beheerder. Bij het aansluiten van de dienst dient de beheerder een aantal acties uit te voeren en moeten er ontwerpkeuzes gemaakt worden over groepen en VLAN’s, in combinatie met IP-adressen. De beheerder heeft binnen iotroam o.a. de mogelijkheid om:

Groepen aan te maken en te beheren. Aan de groepen kunnen gebruikers worden toegekend. Er kunnen bijvoorbeeld groepen gemaakt worden voor alle beveiligingscamera’s, koffieautomaten, VR-brillen of per vakgroep die IoT-apparaten gebruiken;
VLAN’s toe te kennen aan de groepen om zo ook verschillende type IoT-apparatuur van elkaar en de rest van het netwerk te scheiden;
Security policies toe te kennen aan de groepen. Denk hierbij ook aan de maximale retentietijd, de tijd waarin een apparaat toegang krijgt tot het netwerk;
Gebruikers autoriseren voor iotroam en toewijzen aan groepen;
Beperking op het aantal persoonlijke devices van gebruikers instellen;
IoT-apparatuur aanmaken, beheren en verwijderen;
Middels CSV-import grote hoeveelheden IoT-apparatuur in één keer toevoegen.
Informatie over apparaten en groepen kunnen worden uitgelezen middels een Rest API en via de API kunnen ook apparaten worden toegevoegd of gewijzigd. Informatie over de API.

Er is een beheerdershandleiding beschikbaar.

Voor gebruikers van IoT-apparatuur

Een gebruiker met IoT-apparatuur, voorbeeld een docent, student of onderzoeker, heeft de mogelijkheid om via het self serviceportaal:

Persoonlijke IoT-apparatuur toe te voegen, te wijzigen en te verwijderen. Dit zijn persoonlijke devices, zoals smartwatches. De beheerder kan ook bepalen dat gebruikers deze mogelijkheid niet krijgen;
IoT-apparatuur aan een groep toe te voegen, te wijzigen en te verwijderen, maar alleen in groepen waar de gebruiker rechten voor heeft. Zo kan een student bijvoorbeeld een lab-apparaat voor zijn/haar practicum toevoegen of een robot voor het tijdvak waarmee hij/zij daarmee gaat experimenteren;
Alle IoT-apparatuur en de details daarvan inzien binnen de groep(en) waar de gebruiker rechten voor heeft;
Als een gebruiker de rol van groepseigenaar heeft, kan deze anderen uitnodigen om lid te worden van de groep. De groepseigenaar kan de gebruikers van de groep beheren en ook een andere gebruiker eigenaar maken.

Onderstaande afbeelding geeft globaal weer hoe iotroam werkt voor een gebruiker.

SURF User Knowledge Base > Functionele beschrijving iotroam > Hoe werkt iotroam.jpg

Vanuit gebruikersperspectief vinden er 5 stappen plaats, die ook in de afbeelding zijn aangegeven:

De gebruiker gaat naar https://www.iotroam.nl en logt in via SURFconext. Daarna voert de gebruiker zijn/haar IoT-apparaat op door een MAC-adres in te vullen, het apparaat een naam te geven en eventueel een opmerking toe te voegen. Het MAC-adres is vaak te vinden op een sticker op het IoT-apparaat. De gebruiker krijgt dan vanuit de iotroam-infrastructuur een sleutel (pre shared key) terug of kan er zelf een kiezen;
De gebruiker voert bij de WiFi-instellingen van het IoT-apparaat het ssid iotroam en de sleutel in;
Het IoT-apparaat probeert verbinding te maken met het WiFi-netwerk van de instelling met de toegewezen sleutel;
Het WiFi-netwerk doet een check bij de RADIUS-server van iotroam of de combinatie van MAC-adres en sleutel klopt en geeft een reactie terug aan het WiFi-netwerk (mogelijk met een specifiek VLAN voor de gebruikte groep);
Als de combinatie klopt, wordt het apparaat verbonden met het WiFi-netwerk in een daarvoor gereserveerd VLAN.

Er is een gebruikershandleiding in het Nederlands en Engels beschikbaar.