Onveilig school netwerk - Netwerken

donderdag 8 december 2005 10:53

Acties:

Verwijderd

Topicstarter

Hallo,

Het probleem is als volgt op school hebben wij 2 netwerken een school netwerk dat helemaal bekabeld is en een wifi netwerk.

Het wifi netwerk is een los netwerk met een aparte ADSL aansluiting.
Om dit wifi netwerk op te mogen moet je hier lid van worden.

De beheerders hebben gekozen alleen MAC adres beveiliging in te stellen.
en DHCP en SSID gewoon aan te laten.

Ik ben hier lid van maar ik kreeg toch de kriebels van het idee dat als je bijvoorbeeld zit te surfen dat elke andere knakker met een sniff tool jou data op kan sniffen en vervolgens heel makkelijk uit te lezen is.

Nu ben ik dus op zoek naar een oplossing om wel veilig te kunnen internetten. (Ik ben gewoon een netwerk gebruiker dus ik kan niks aan passen in het wifi netwerk zelf)

Zelf dacht ik om gewoon een VPN naar mijn thuis server op de zetten en dan gewoon via mijn thuis gateway te internetten.

Of heeft iemand anders nog een oplossing of idee ?

donderdag 8 december 2005 10:55

Acties:

Verwijderd

waarom? als jij het gevoel hebt dat het niet veilig genoeg gaat kan je een verzoek indienen, met complete uitleg.

maar watvoor ultra geheime dingen doe jij op school die echt niemand te weten mag komen? diskettes van de AIVD?

donderdag 8 december 2005 10:55

Acties:

Gekkenhuis

Whatever it takes

Trek aan de bel bij de systeembeheerders van jullie school, en leg ze voor hoe het beter kan?

rMBP M3 16"  rMBP M1 13"  iPhone 14 Pro  AWU3  AirPods Pro

donderdag 8 december 2005 10:56

Acties:

Verwijderd

Topicstarter

Nou bijvoorbeeld m'n mail lezen?

donderdag 8 december 2005 10:57

Acties:

Jassy

Nou, dan zorg je ervoor dat ze een wepkey ophet netwerk installeren, en dan ben je al een stuk veiliger

Vraag ernaar bij Uw systeembeheer; )

Bekijk op www.dabmonitor.nl informatie over diverse Nederlandse DAB Ensembles.

donderdag 8 december 2005 10:58

Acties:

sariel

Een wepkey er op zetten is niet veel veiliger (in +- 5 minuten te hacken) . zet er dan wpa op.

Copy.com

donderdag 8 december 2005 11:00

Acties:

CodeCaster

Stop AI Slop

Wepkey in 5 minuten te hacken? Als je het hele schoolnetwerk van een worm voorziet misschien

Geef anders even een bron

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

donderdag 8 december 2005 11:01

Acties:

Verwijderd

Mjah... zoals je al zegt.. zelf een secure tunnel naar huis toe opzetten en je bent wel veilig. Al zou ik toch zeker bij systeembeheer aankaarten dat ze WPA moeten gaan gebruiken

donderdag 8 december 2005 11:04

Acties:

Verwijderd

Topicstarter

WPA lijkt me niet echt een goed idee, iedereen moet dan over Service Pack 2 beschikken, de hele school..?

donderdag 8 december 2005 11:07

Acties:

MuddyMagical

Verwijderd schreef op donderdag 08 december 2005 @ 11:04:
WPA lijkt me niet echt een goed idee, iedereen moet dan over Service Pack 2 beschikken, de hele school..?

En toch moet je beveiliging niet gaan laten omdat je opeens SP2 moet installeren.

TE KOOP: BMW R1100RT Custom Honda NTV650 Daytona motormover

donderdag 8 december 2005 11:09

Acties:

Verwijderd

Topicstarter

Maar wat is dan wel een optie?

donderdag 8 december 2005 11:09

Acties:

AzzKickah

06-CENSORED

Waarom zou je geen SP2 installeren?

donderdag 8 december 2005 11:10

Acties:

El Cid

http://tor.eff.org/

donderdag 8 december 2005 11:11

Acties:

Verwijderd

Topicstarter

Aha, eens kijken

donderdag 8 december 2005 11:12

Acties:

rsmits

Omdat dat misschien compatibiliteits problemen op kan leveren met de gebruikte programma's op school? Daar gaat dan dus nog wat extra tijd in zitten met oog op het testen van het functioneel blijven

edit:

dat TOR systeem lijkt me niet de oplossing; omdat het signaal nog onderschept kan worden voordat het naar andere, willekeurige nodes verbinding maakt. TOR lijkt mij een tool om anoniem te surfen (en P2P-en), niet om veilig wachtwoorden in te voeren en mails te lezen

[ Voor 43% gewijzigd door rsmits op 08-12-2005 11:15 ]

donderdag 8 december 2005 11:14

Acties:

netvor

http://www.tomsnetworking.com/Sections-article111.php

Drie minuutjes, met een doodgewone laptop en wat Linux tools. WEP is nutteloos als je graag beveiliging wil.

De correcte oplossing die beijvoorbeeld bij mij op de uni gebruikt wordt: WPA beveiliging met EAP encryptie, user/pass authenticatie via een Radius server. Echter, dit is niet zo makkelijk op te zetten en te beheren als simpel MAC-filtering. En je hebt er professioneel netwerkspul zoals Cisco voor nodig.

EDIT: trouwens, volgens mij is het wel degelijk mogelijk om WPA onder Windows XP te gebruiken zonder SP2 te installeren. Het kan alleen niet met de standaard Windows tool. Als je NetStumbler of Intel's eigen ProSet (die ik overigens een stuk fijner vind werken dan de MS-tool) gebruikt dan kan je volgens mij wel degelijk WPA gebruiken, onafhankelijk van je service pack. Maar dit weet ik niet zeker.

[ Voor 30% gewijzigd door netvor op 08-12-2005 11:17 ]

Computer Science: describing our world with boxes and arrows.

donderdag 8 december 2005 11:22

Acties:

CodeCaster

Stop AI Slop

Wow, cool...

* CodeCaster gaat de buurt maar weer eens scannen vanavond...

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

donderdag 8 december 2005 11:28

Acties:

Tuumke

Shingaling?

CodeCaster schreef op donderdag 08 december 2005 @ 11:22:
Wow, cool...

* CodeCaster gaat de buurt maar weer eens scannen vanavond...

offtopic:
foei! boefje!

* Tuumke maakt gebruik van wpa + mac

Ik zou idd gewoon contact opnemen met sys beheer
en voorleggen wat beweegredenen zijn om het op een andere manier te doen
en hoe je dat zou doen
(bijv ssid en dhcp dan ook uitzetten

)
Geef idd als voorbeeld dat je mail persoonlijk is.
Als je ze dan niet kan overtuigen..
ga dan zelf ff sniffen

en laat je ze zien wat je allemaal wel niet te weten kunt komen.

[WhatPulse Profiel] [ Tuumke's n00by website]

donderdag 8 december 2005 11:40

Acties:

j-a-s-p-e-r

En ondertussen leest de systeembeheerde ook gewoon je mail hoor. Weet nog wel dat het met de privacy op mijn middelbare school treurig gesteld was.
Je had ook een mediatheek beheerder die dmv een soort VNC gewoon met iedereen mee kon kijken. Maar dat process kon je trouwens gewoon killen

Maargoed eigelijk kon dat me ook niet zoveel schelen omdat ik gewoon niet achter zo'n computer privacy gevoelige info op zou gaan zoeken.

Als je er zo over in zit dan benader je de systeembeheerder, die is de enige die hier structureel wat aan kan doen.

[edit]
DHCP en het SSID uitzetten? Zet dan je hele netwerk uit man! niet iedereen is een tweaker die wel ff z'n ip instelt

Of niet zeuren óf encryptie op het netwerk. Klaar.

[ Voor 15% gewijzigd door j-a-s-p-e-r op 08-12-2005 11:41 ]

donderdag 8 december 2005 11:42

Acties:

netvor

Zelf sniffen zou ik niet doen, tenminste niet als je de admin graag te vriend wil houden (en dat is belangrijk bij admins, want een user quota van 2KB en /dev/null als home directory is toch wel vervelend

). Sniffen is namelijk niet alleen onbeleefd, het is in de meeste gevallen zelfs strafbaar.

Als je het toch wil doen om te kijken hoe makkelijk het is, zorg er dan iig voor dat je niet te traceren ben (verander je MAC adres dus eventjes voordat je begint) en ga de resultaten niet persoonlijk aan de admin lopen melden.

Computer Science: describing our world with boxes and arrows.

donderdag 8 december 2005 11:44

Acties:

El Cid

Incubus666 schreef op donderdag 08 december 2005 @ 11:12:dat TOR systeem lijkt me niet de oplossing; omdat het signaal nog onderschept kan worden voordat het naar andere, willekeurige nodes verbinding maakt. TOR lijkt mij een tool om anoniem te surfen (en P2P-en), niet om veilig wachtwoorden in te voeren en mails te lezen
[/edit]

Al het verkeer wordt al vanaf de client versleuteld. Pas vanaf de laatste node verlaat het verkeer onversleuteld het TOR-netwerk.

donderdag 8 december 2005 11:54

Acties:

Nvidiot

notepad!

WEP / WPA is leuk, maar de andere gebruikers van het wifi netwerk kunnen dan nog steeds je wachtwoorden sniffen. Je voorkomt wel dat een buitenstaander even zijn laptop aanzet en jouw gegevens achterhaalt.

Als je wilt dat anderen je email niet lezen kun je kijken of de mailserver de je gebruikt POP3S en SSMTP (Pop3-SSL / secure smtp) ondersteunt. Als dat het geval is is het een kwestie van een vinkje in je email client zetten en het wordt versleuteld voordat het naar de mailserver gaat.

Als de mailserver dat niet ondersteunt dan is het veiligst om een VPN op te zetten naar je server thuis en vanaf daar te internetten. Zo gaat *al* het verkeer van je laptop versleuteld naar je server.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

donderdag 8 december 2005 11:59

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

MuddyMagical schreef op donderdag 08 december 2005 @ 11:07:
En toch moet je beveiliging niet gaan laten omdat je opeens SP2 moet installeren.

offtopic:
Eeeuhm. Is dat nog niet gebeurt dan? Dan zou ik hoe dan ook niet durven inloggen gezien de veiligheidsproblemen die je hebt

Maar goed, inderdaad voor een tunnel / VPN via huis (of een ander vertrouwd netwerk) gaan. Of wat Nvidiot zegt, als het alleen om je mail gaat: ga via https webmail werken. En/of IMAP / SMTP / POP via SSL.

[ Voor 4% gewijzigd door F_J_K op 08-12-2005 12:01 . Reden: zeg ik MAPI? IMAP natuurlijk, ik ga meteen koffie halen 8)7 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 8 december 2005 12:08

Acties:

Mishmash

Als de systeembeheerders een VPN server opzetten en WEP gaan gebruiken is het veilig zat. Je maakt via wifi en WEP verbinding met het LAN, vervolgens moet je eerst een VPN opzetten met de server die in het lan hangt voordat je kan werken.
Zie je wifi als een apart afgesloten netwerk en de VPN server als je gateway naar het echte netwerk/internet.

By the way, als je weet hoe mac spoofing werkt zit je dus ook zo op dat netwerk

[ Voor 11% gewijzigd door Mishmash op 08-12-2005 12:09 ]

donderdag 8 december 2005 12:12

Acties:

Verwijderd

Precies wat Nvidiot zegt.

Enkel om op F_J_K terug te komen is https en SSL in het algemeen ook niet echt veilig, omdat met een simpele Man In The Middle attack de SSL cert wordt gefaked waardoor nog alles te lezen valt.

Dit is wat Ettercap er over zegt:
SSL support : you can sniff SSL secured data... a fake certificate is
presented to the client and the session is decrypted.

donderdag 8 december 2005 12:16

Acties:

Verwijderd

Verwijderd schreef op donderdag 08 december 2005 @ 12:12:
Enkel om op F_J_K terug te komen is https en SSL in het algemeen ook niet echt veilig, omdat met een simpele Man In The Middle attack de SSL cert wordt gefaked waardoor nog alles te lezen valt.

Een SSL cert dmv MITM kan toch alleen als je de fingerprint niet conteroleerd iedere keer dat je aanmeld. Zolang ik mijn fingerprints blijf vergelijken dan lijkt het me dat ik wel veilig zit toch?

/me doet altijd SSH naar thuis om zo veilig te netwerken.
Je kan ook kiezen voor bv OpenVPN of HTTHost (windows progje, tunneling over HTTP protocol).

donderdag 8 december 2005 12:21

Acties:

Verwijderd

Verwijderd schreef op donderdag 08 december 2005 @ 12:16:
[...]

Een SSL cert dmv MITM kan toch alleen als je de fingerprint niet conteroleerd iedere keer dat je aanmeld. Zolang ik mijn fingerprints blijf vergelijken dan lijkt het me dat ik wel veilig zit toch?

SSL MITM ATTACK
While performing the SSL mitm attack, ettercap substitutes the real ssl certificate with its own.
The fake certificate is created on the fly and all the fields are filled according to the real
cert presented by the server. Only the issuer is modified and signed with the private key con-
tained in the 'etter.sll.crt' file.

Gebruik wel altijd enkel SSH2 daar SSH1 niet veilig is.

donderdag 8 december 2005 12:57

Acties:

Glashelder

Anti Android

imp schreef op donderdag 08 december 2005 @ 11:14:
http://www.tomsnetworking.com/Sections-article111.php

Drie minuutjes, met een doodgewone laptop en wat Linux tools. WEP is nutteloos als je graag beveiliging wil.

De correcte oplossing die beijvoorbeeld bij mij op de uni gebruikt wordt: WPA beveiliging met EAP encryptie, user/pass authenticatie via een Radius server. Echter, dit is niet zo makkelijk op te zetten en te beheren als simpel MAC-filtering. En je hebt er professioneel netwerkspul zoals Cisco voor nodig.

Zelfs een simpele E-tech van ruim 2 jaar terug ondersteunt dit

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

donderdag 8 december 2005 13:16

Acties:

netvor

Kan jij mij dan een link geven naar de specs van een e-tech AP die als radius server kan werken? Ik gok dat je in de war bent met WPA-PSK, de thuisvariant van WPA.

EDIT: OK, mijn thuisroutertje van US Robotics kan dat ook. Maar je moet dan wel nog steeds een RADIUS server opzetten en beheren; dus met alleen een AP die het ondersteunt ben je er nog niet.

[ Voor 38% gewijzigd door netvor op 08-12-2005 15:30 ]

Computer Science: describing our world with boxes and arrows.

donderdag 8 december 2005 13:37

Acties:

Glashelder

Anti Android

Niet als, maar met:

Afbeeldingslocatie: http://tweakers.net/ext/f/8fcf0b209de49535eca444754036ea42/full.png

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc