Guest access for Global bedrijven

Tja, je kan zaken aanvoeren als mogelijk illegale dingen die worden uitgevoerd via de verbinding van de zaak, en dat er geen (afaik) versleuteling is tussen connected clients en de accesspoint(s), zodat iedereen met een wireshark achtige tool voor wifi, mee kan 'luisteren'.

Je kan beter tegen je klant zeggen: U kunt beter op zoek gaan naar een andere partner, want wie willen dit niet implementeren.

Ik snap werkelijk niet wat er mis is met de wensen cq. eisen van je klant.

Je kan tegenwoordig gratis internetten in de trein, bij de Mac, en waarom zou dat bij je klant niet moeten kunnen als ie dat wel wenst? Of kunnen jullie gewoon dat werk niet leveren?

Doe dus een ander, veilig, voorstel, om het via een hotspot te laten lopen. Kaartje halen bij de receptie, die dan een dag geldig is. Blijft het gratis, en wel veiliger.

[ Voor 18% gewijzigd door RaZ op 15-04-2010 17:16 ]

Verwijderd schreef op donderdag 15 april 2010 @ 17:19:
[...]


De antwoord van de klant daarop was, het is afgescheiden van ons netwerk en de eigen verantwoordelijkheid van de bezoeker

Tja, dan moet ie dat maar even in de wet veranderen zeker?

Simpel argument: wat nou als ik met mijn laptop het weekend voor de deur ga staan, via publieke/open sites (die in de gaten worden gehouden door BREIN) het halve internet leegtrek met illegale software en films: wie gaat dat dan verantwoorden van de directie als BREIN of de BSA aan de deur staat?

En anders kan je alsnog een argument de lucht inslingeren: poortje 80 kan ik openzetten maar om aanvallen van buitenaf te voorkomen, zetten we de overige poorten dicht.

In dat geval lijkt het me toch het beste als je een authenticatiepagina eropgooit, en je bezoekers zich bij de receptie laten melden. Iets meer moeite, maar het is wel een stuk veiliger. Je weet tenslotte wie het is geweest, mocht er iets aan de hand zijn. Dan heb je logs.

Het is iets meer moeite voor de receptie, maar wat je zou kunnen overwegen is een stapeltje kaartjes maken met daarop one-time access codes. Deze leg je bij de receptie weg, en de receptionist geeft zo'n papiertje mee en schrijft naam+bedrijf van de bezoeker op... eigenlijk zoals met de bezoekerspasjes.

Kan iemand mischien een praktijkvoorbeeld aanhalen van waar een bedrijf een enorm gezeur heeft gekregen van z'n open netwerk? Want ik heb er al jaren een in centrum amsterdam (ook voor gasten, uiteraard gescheiden van ons normale netwerk) en ik heb nog nooit zelfs maar een piep gehoord. En zo kom ik 't heel vaak tegen trouwens. Die 'haal een kaartje bij de receptie'-systemen echter nooit. Hoogstens presenteert 't systeem een 'dit mag wel, dit mag niet, beveiliging is je eigen verantwoordelijkheid'-agreement de keerste keer dat je verbindt.

[ Voor 30% gewijzigd door CyBeR op 15-04-2010 17:40 ]

Waar maak je je druk om. Maak een document met de opties en de pross en cons van elke oplossing. De klant kan dan een beslissing nemen. Standaard uitgaande poorten zou ik wel dichtzetten maar als die dat niet wil prima zijn feestje.

[ Voor 14% gewijzigd door TrailBlazer op 15-04-2010 17:49 ]

Verwijderd schreef op donderdag 15 april 2010 @ 17:44:
[...]


Ik ben ook inderdaad opzoek naar praktijk voorbeelden.. en die onder de neus van de klant schuiven is denk ik het enige wat helpt.

Hoezo, 'wat helpt'? Er is helemaal niets aan de hand. Bovendien: je klant wil 't graag, wat maakt 't jou uit?

Heb je zelf ooit een scan gedaan op het open netwerk wat er op rond fietst?

Ik weet wat er rondhangt, ja. Erg spannend is 't allemaal niet.

[ Voor 5% gewijzigd door CyBeR op 15-04-2010 17:52 ]

Verwijderd schreef op donderdag 15 april 2010 @ 17:57:
[...]

overtuigen van implementatie met authenticatie op het gast netwerk.

Ja dat snap ik, maar je ziet dus een probleem dat er niet is. En nogmaals: het netwerk is eigendom van je klant, jullie beheren 't alleen voor ze. Als zij willen dat er een open gastnetwerk is, dan is dat toch gewoon wat je moet doen?

Verwijderd schreef op donderdag 15 april 2010 @ 17:59:
[...]

Het is zijn feestje inderdaad.. maar onze oplossing die ik er neerzet.

Ik zou graag zien dat de klant het contract zou verlengen aan het einde van de periode..

ik moet ook regelmatig dingen bouwen waar ik niet 100% achtersta maar ja de klant wil het graag zo. Ik beargumenteer dan waarom ik vind waarom het anders moet. Niet mee eens prima jouw feestje.

de klant neemt een weloverwegen beslissing op basis van jouw argumenten. Waarom zou hij het contract niet verlengen? Jij hebt hem gewaarschuwd maar blijkbaar vond hij dat niet zwaar genoeg wegen.

[ Voor 52% gewijzigd door TrailBlazer op 15-04-2010 18:01 ]

Maar hoezo harde argumenten? Neem toch aan dat jij (of het bedrijf waarvoor je werkt) bepaalde technische kennis in huis hebt op basis waarvan je een risico-analyse kan overleggen aan de klant voor wat betreft "unlimited guest access"?

Als de klant dat slikt, mooi een paar clausules in de SLA dat niemand gaat rennen als er een virus, spammailer of whatever op het netwerk gedetecteerd wordt en fijne wedstrijd verder met je open access.

Dat lijkt me denk ik inderdaad de beste oplossing. Ik neem aan dat de klant jullie beoordeelt op wat jullie wegzetten, hoe dat performt, enzovoorts, en niet dat ze je afrekenen op hoe het spul werkt dankzij hun beleid.

Verwijderd schreef op donderdag 15 april 2010 @ 18:18:
[...]

Juridisch hebben we niks te vrezen. Dat is het niet.
Ik voorkom namelijk liever dan genezen. Niemand schiet er iets mee op als je maar naar SLA's blijft wijzen? of zie ik dit verkeerd?

Een SLA is niets meer en niets minder dan een overeenkomst waarin staat wie het hardst mag schreeuwen en wie het hardst niets gaat doen bij een storing.

Op het moment dat jullie bedrijf pertinent vindt "technologie en oplossing A die de klant wil is insecure en dus is een mogelijke oplostijd minstens 4 uur werk en maximaal 48 uur werk", dan komt dat in de SLA. Accepteert de klant dat, dan is dat een afspraak en kan je neerzetten wat de klant wil en heb je op een ander tijdstip 48 uur de tijd om een rot accesspoint ofzo te vervangen.

Hoe slechter de vraagstelling van de klant, hoe beperkter de SLA over het algemeen wordt.

Verwijderd schreef op donderdag 15 april 2010 @ 18:09:
[...]


[...]


Daarom wil ik graag harde argumenten hebben en niet een paar losse flodders.

Je wilt dus dat wij 'harde argumenten' aanleveren zodat jij jouw overigens erg gesloten mening door kunt drijven?

Want dat doe je. Jij hebt een idee over iets, en elk ander idee vind je tot zover onacceptabel. Ik heb al gezegd dat het hebben van een open netwerk helemaal geen probleem hoeft te zijn. Ja, er is een kans op misbruik. Maar heb je al uitgezocht hoe klein die kans eigenlijk wel niet is? Heel klein, namelijk. Niet veel groter dan wanneer je een sign-in systeem gebruikt.

Natuurlijk beslist de klant en is het uiteindelijk zijn probleem en Natuurlijk moet je afentoe met de klant mee maar tot bepaalde grenzen moet je willen gaan lijkt mij?

Ja, maar een simpel technisch verzoek van een klant, waar jij verder geen hinder van ondervindt lijkt me er niet een? Als ze je nou voor een enorm ethisch dilemma stelden...

Maarja als jij 't echt niet wilt doen dan doe je 't niet. Kijk eens of je klant z'n contract dan nog verlengt..

Je wilt toch zelf ook iets professioneel neerzetten en niet achteraf met vingertjes gaan wijzen van ik heb je gewaarschuwd? en dat je dan terug krijgt van Ja maar die waarschuwingen leken niet echt gevaarlijk dus namen we het risico maar.

Open gastnetwerk en professioneel sluiten elkaar niet uit natuurlijk.

Als er WLC's staan kan je hier basic IPS op draaien. Niet zo uitgebreid als dat je wIPS draait op een aparte MSE, maar het geeft aardig wat info. Op het bedrijfsnetwerk kan je de wIPS op blokken zetten en het guest netwerk zou je alleen kunnen monitoren. ( Zodat je mogelijk geen applicaties van gasten blokt. )

Met deze logging informatie kan je dan bepalen of er verdere stappen nodig zijn. ( Met IPS ook blokken van guest verkeer. De lobby ambassador functie aanzetten. enz... ) Of de firewall moet al voorzien zijn van een IPS.

Meten is weten

MAX3400 schreef op donderdag 15 april 2010 @ 18:12:
Maar hoezo harde argumenten? Neem toch aan dat jij (of het bedrijf waarvoor je werkt) bepaalde technische kennis in huis hebt op basis waarvan je een risico-analyse kan overleggen aan de klant voor wat betreft "unlimited guest access"?

Juist.. Is niet zo moeilijk..(voorbeeld):

Dreiging	Iemand maakt buiten kantoortijden misbruik van het open netwerk.
Kans	Middelgroot
Impact	Klein, jij kan v.z.i.w. niet aasprakelijk worden gehouden als er niet duidelijk aantoonbaar is dat jij de persoon was die buiten stond met een laptop.
Risico	Klein tot middel.
Maatregel	Zorg voor een stroombron die alleen tijdens ingestelde tijden werkt.
Restrisico	Accepteren.

Doe een vergelijkbaar iets met elk van de risico's die jij denkt dat er zijn, en laat de klant ervoor tekenen.

V.w.b. de openstaande poorten:

TrailBlazer schreef op donderdag 15 april 2010 @ 17:48:
Standaard uitgaande poorten zou ik wel dichtzetten maar als die dat niet wil prima zijn feestje.

IK neem aan dat TrailBlazer de niet standaard uitgaande poorten bedoeld. Er is immers een duidelijke risico-analyse te maken waarmee je het gevaar duidelijk maakt dat jou open netwerk gebruikt kan worden bij het verspreiden van virussen, of het meedoen aan een DDoS. En als jij dat goed kan overbrengen aan de klant is het prima te verdedigen dat je alleen specifieke poorten openzet.

Eigenlijk niet ik bedoelde de standaard risicovolle poorten als SMTP ICMP rate limitten dat soort werk. Alleen beetje beroerd omschreven. Persoonlijk zou ik enkel HTTP HTTPS en wat VPN dingen toestaan.

Ah, op die manier..

Hangt natuurlijk ook weer van de lokatie af. Is dit een eigen pand met behoorlijk wat ruimte er omheen (groen / parkeerplaatsen) zodat er weinig kans is om als buitenstaander met je laptopje in de zon op zaterdag hun hele verbinding dicht te trekken? Of zijn het lokaties waar je in een algemeen kantoorpand een verdieping hebt gehuurd en er dus dagelijks jan en alleman van die open verbinding gebruik zal maken?

Verder is het echt een keuze van de klant, je kan de valkuilen aangeven met een compleet open omgeving - lijn die door de ISP dicht wordt gezet vanwege het verspreiden van spam/virri of het deel uitmaken van een botnet etc. Je geeft een voorstel, zet daarbij de plus en minpunten en laat de klant lekker beslissen. Poorten dicht zetten lijkt met onhandig als je ziet hoe bagger sommige demo's zijn. Die plain tekst over telnet of wat dan ook gevoelige data uitwisselen etc. ("ja dit wordt opgelost in de productie versie" etc. etc. etc.), maar dan moet je er wel voorzorgen dat het een compleet aparte omgeving is incl de lijn naar de isp (bijvoorbeeld een simpel adsl/kabel lijntje - al hangt dat natuurlijk ook weer af van het aantal gebruikers).

misschien interessant leesvoer: http://blog.iusmentis.com...-als-bewijs-van-onschuld/

Aanvulling: http://blog.iusmentis.com...-op-4chan-niet-strafbaar/

Het bleek in die zaak niet strafbaar om alleen maar op de router van de buren aan te loggen en vandaar op 4chan te gaan posten. yes rly.

Ik snap de hele discussie ook niet echt. Bij de Mac hebben ze ook een open wifi netwerk.
Bij een bewuste keuze lijkt mij hier niets mis mee.

Als klant A eist dan krijgt hij deze gewoon. Hoe hard je ook B roept.

Ik kan me nog wel een verhaal herinneren over een arts binnen een ziekenhuis die een AP had aangesloten. Hierdoor hing het hele ziekenhuis netwerk open en bloot.

Verhaal gaat hier echter niet op. Klant eist -> advies geven -> Klant eist -> plaatsen de hap