Internet toegang voor users, technieken & 'filosofie'

Je zit hier op een lastig iets. Veel van de "applicaties" kunnen niet altijd overweg met authenticatie. Gelukkig worden het er steeds minder, maar ze zijn er nog steeds.

Maar eventueel een squid proxy, icm met authenticatie, of op basis van whitelisting. Eventueel met dansguardian voor site blacklisting. Squid heeft ook AV en malware scannning mogelijkheden. Zowel gratis als betaalde versies (die wat sneller en beter werken).

Nadeel hiervan is, je zit erg in de privacy hoek te werken. Iets wat goed afgetikt moet zijn. Je mag niet zomaar alles tegenwoordig.

Politiek is dus helaas altijd een lastig iets, vanuit de privacy hoek

Wij gebruiken binnen ons hele (internationale) bedrijf een internetproxy met een Blue Coat web filter. Verder heb ik er niet zo veel weet van aangezien ik niet in de beheerders hoek zit. Wel weet ik dat het erg goed werkt aangezien er best af en toe mensen aan mij bureau komen met de vraag waarom dit of dat niet uitgezonderd kan worden (is een mogelijkheid). Heb verder geen affliatie met dit bedrijf.

Rolfie schreef op vrijdag 21 september 2012 @ 12:41:
Je zit hier op een lastig iets. Veel van de "applicaties" kunnen niet altijd overweg met authenticatie.

Mocht je ISA/UAG gebruiken, dan kan dat probleem met de ISA client opgelost worden:

Firewall Client for ISA Server can be optionally installed on client computers protected by Microsoft ISA Server. Firewall Client for ISA Server provides enhanced security, application support, and access control for client computers. It provides authentication for Winsock applications that use TCP and UDP, supports complex secondary protocols, and supplies user and application information to the ISA Server logs.

When a client computer running Firewall Client for ISA Server makes a request, the destination is evaluated by the Firewall Client software, and external requests are directed to the ISA Server computer for handling. No specific routing infrastructure is required. Firewall Client sends user information transparently with each request, enabling you to create a firewall policy on the ISA Server computer with rules that use the authentication credentials presented by the client.

PeterPan schreef op vrijdag 21 september 2012 @ 11:25:
Eigenlijk willen vanuit IT beheer alleen maar malware blocken en voorkomen dat eindgebruikers zelf via internet allerlei tooltjes spelletjes enz. downloaden.

Welk OS draaien de clients op? In het geval van Windows kun je gewoon aangeven welke executables allowed zijn. Gedownloade executables "draaien" dan niet. Verder hebben de users geen admin rechten neem ik aan, dus installeren van die zooi is sowieso niet mogelijk.

Question Mark schreef op maandag 24 september 2012 @ 10:05:
[...]

Mocht je ISA/UAG gebruiken, dan kan dat probleem met de ISA client opgelost worden:

Klopt. Hiermee kan je iedere applicatie op basis van authenticatie laten werken richting het Internet. Echter bij geen enkele klant heb ik dit ooit werkend gezien

Rolfie schreef op maandag 24 september 2012 @ 13:29:
[...]

Klopt. Hiermee kan je iedere applicatie op basis van authenticatie laten werken richting het Internet. Echter bij geen enkele klant heb ik dit ooit werkend gezien

Ik heb bij verschillende klanten van mijn vorige werkgever een ISA server geimplementeerd en nooit gezeur gehad met applicaties, mits de firewall client maar gebruikt wordt en de juiste protocol definitions gemaakt worden...

Wij hebben hier op het werk een Sophos UTM 9.0 appliance (gezien als eindgebruiker die af en toe geblocked wordt...)

Deze lijkt met categorieën te werken, maar heb het ding nog niet op een onbedoelde block en/of whitelisting kunnen betrappen.

misschien een grote schop, maar ik ben wel benieuwd of je het hebt opgelost, of nu een bepaalde techniek gebruikt die wel werkt?

Kanttekening, je mag tegenwoordig ook niet zomaar van alles blokkeren. Zeker met de wet net neutraliteit in 't verschiet etc. Ook iets om aan de bedrijfsjurist voor te leggen

PeterPan schreef op donderdag 17 januari 2013 @ 12:48:
[...]

Nee, eigenlijkt niet. Wel schakelen we binnenkort waarschijnlijk over naar modernere een proxy server met iets meer mogelijkheden.


[...]


Dat is voor het eerst dat ik daar iets over hoor. Heb je daar meer informatie over?
Ik kan me niet voorstellen dat een (commercieel) bedrijf niet meer zelf mag bepalen wat ze wel en niet toelaten op hun eigen netwerk infra (dan heb ik het niet over inhoudelijk monitoren/loggen maar over het blocken van bepaalde protocollen of websites).

De zoekterm is "wet net neutraliteit". In het kort komt er op neer dat als je Internet toegang verleent aan werknemers/gasten/etc. je bv. niet Facebook mag blokkeren, maar Twitter wel toestaan. In dit geval gaat het dan om het fenomeen "sociale media". Als je dat wil blocken, moet je _alle_ social media sites gaan blocken.

Evenzo bv. YouTube blocken en Vimeo niet. Dat mag dan gewoon niet meer

Gaat dus om functionele dingen blokkeren zoals "video sites". De ene wel, de andere niet is uit den boze onder deze wetgeving.

[ Voor 6% gewijzigd door WhizzCat op 17-01-2013 12:51 . Reden: korte aanvulling ]

Wij hebben 2 squid dozen staan en een sandbox browser omgeving.
Geen directe access. Files worden op de file server gescanned voor vrijgave etc.

Zie een provider nog zo 123 geen browser aan bieden in een sandbox omgeving >.<. Dus nee ik zit niet bij een ISP. Ik zit in de overheid business.

WhizzCat schreef op donderdag 17 januari 2013 @ 11:26:
Kanttekening, je mag tegenwoordig ook niet zomaar van alles blokkeren. Zeker met de wet net neutraliteit in 't verschiet etc. Ook iets om aan de bedrijfsjurist voor te leggen

Dat geldt alleen voor aanbieders van openbare netwerken zoals ISP's en telco's.

CyBeR schreef op donderdag 17 januari 2013 @ 13:35:
[...]


Dat geldt alleen voor aanbieders van openbare netwerken zoals ISP's en telco's.

De Uni van Groningen was anders ook de sjaak. Dat is toch geen ISP en ook geen telco. Dit hadden torrent verkeer geblokkeerd, maar moesten mooi die blokkade opheffen

Wij hebben nog steeds veel afgeblocked, maar wel met categorieën en een white/blacklist van bepaalde sites. We doen dit met behulp van een Palo Alto. te weten de PA-5060 (2 exemplaren fysiek op andere locaties tbv failover...)

WhizzCat schreef op donderdag 17 januari 2013 @ 13:37:
[...]


De Uni van Groningen was anders ook de sjaak. Dat is toch geen ISP en ook geen telco. Dit hadden torrent verkeer geblokkeerd, maar moesten mooi die blokkade opheffen

Zij zijn voor hun inwonende studenten een ISP. Dit gold bij hun alleen voor studenten op kamers en niet voor medewerkers en de computers die zijn zelf aan studenten aanbieden.

[ Voor 6% gewijzigd door CyBeR op 17-01-2013 13:46 ]

WhizzCat schreef op donderdag 17 januari 2013 @ 13:37:
[...]


De Uni van Groningen was anders ook de sjaak. Dat is toch geen ISP en ook geen telco. Dit hadden torrent verkeer geblokkeerd, maar moesten mooi die blokkade opheffen

Omdat zij tegen betaling internettoegang leveren aan studenten Dus tenzij je als werkgever je werknemers laat betalen voor internet, mag je gewoon zelf bepalen wat je blokkeert.

Hmm, kijk, dat maakt 't al wat genuanceerder. Wel een interessante optie trouwens.

Dus als je mensen niet laat betalen, maar wel internet levert, een Gast wifi bv. mag je niks blokkeren?

Natuurlijk wel.

Ik kan helaas geen goeie definitie van heel deze wet vinden. Er is echt veel stof opgewaaid, maar ik kan echt 0,0 zinnigs vinden over dit onderwerp. Misschien tijd om eens door de bedrijfsjurist ingelicht te worden... ik vind 't maar een wazig geheel

Op security.nl stond laatst een aardig duidelijk verhaal hierover van Arnoud Engelfriet

Een universiteit moet dus netneutraal zijn naar zijn studenten. En als een universiteit dat moet zijn, dan moet een school dat ook. En een hotel, en een café en een bedrijf - als ze internet aanbieden aan bezoekers of klanten. Alleen als je de toegang tot internet kunt verkopen als iets anders dan "aanbieden" (zoals werknemers die je een bedrijfsmiddel beschikbaar stelt) zou je er wellicht nog onderuit komen.

Hier lees ik toch gewoon dat als ik een (openbaar, vrij toegankelijk) Gast wifi aanbiedt, ik netneutraal moet zijn? Ongeacht wie of wat ik ben als bedrijf? Zeker als er expliciet wordt afgestemd dat toegang tot dit netwerk voor bezoekers/gasten is en er voor personeel een afgeschermde Internettoegang op basis van user/pwd wordt geleverd? Deze laatste is gewoon het bedrijfsmiddel waar Arnoud het over heeft, maar dat Gast verhaal mag ik dan toch niet knijpen? Bv. YouTube wel en Vimeo niet?

Of lees ik nou echt helemaal krom? Dat is overigens mogelijk want ik ben geen jurist

Nee, volgens mij lees je dat correct. Als jij een publieke hotspot aanbiedt, dan dien je dat netneutraal te doen.

Maar we gaan nu wel ernstig off-topic, dus laten we die discussie maar even staken of elders voortzetten (als er niet al ergens een draadje hierover loopt).

WhizzCat schreef op donderdag 17 januari 2013 @ 14:31:
[...]


Hier lees ik toch gewoon dat als ik een (openbaar, vrij toegankelijk) Gast wifi aanbiedt, ik netneutraal moet zijn? Ongeacht wie of wat ik ben als bedrijf? Zeker als er expliciet wordt afgestemd dat toegang tot dit netwerk voor bezoekers/gasten is en er voor personeel een afgeschermde Internettoegang op basis van user/pwd wordt geleverd? Deze laatste is gewoon het bedrijfsmiddel waar Arnoud het over heeft, maar dat Gast verhaal mag ik dan toch niet knijpen? Bv. YouTube wel en Vimeo niet?

Of lees ik nou echt helemaal krom? Dat is overigens mogelijk want ik ben geen jurist

Dat lees je correct.

hiervoor hebben wij aparte AP's en AP's met 2 SSID (user en guest)afhankelijk van de lokatie, waarbij de ene een user/pass van domain nodig heeft en dingen geblokkeerd heeft staan en de ander open is (toegang moet wel gegeven worden door werknemer)

Hmm. Ok. Bij deze bied ik dan geen internettoegang meer aan, maar alleen toegang tot websites en mail. Met 5Mbps.

Hoewel: voor gasten wordt álles geknepen dus mag geen probleem heten.

[ Voor 29% gewijzigd door CyBeR op 17-01-2013 14:43 ]

PeterPan schreef op donderdag 17 januari 2013 @ 15:42:
Interessant, aan de andere kant moet je wel alles loggen i.v.m. de bewaarplicht voor providers en ben je ook nog eens aansprakelijk.
Zonder het artikel gelezen te hebben, volgens mij is er dan nog steeds een verschil tussen een MacDonalds die gratis WiFi hotspots heeft, of een doorsnee bedrijf/kantoor dat voor bezoekers WiFi aanbiedt als service. Ik kan me echt niet voorstellen dat die laatste geen torrents of SMTP etc mag blocken.

Nee,ik haal even het volgende stuk vanuit die link waarin het duidelijk staat:

Een universiteit moet dus netneutraal zijn naar zijn studenten. En als een universiteit dat moet zijn, dan moet een school dat ook. En een hotel, en een café en een bedrijf - als ze internet aanbieden aan bezoekers of klanten. Alleen als je de toegang tot internet kunt verkopen als iets anders dan "aanbieden" (zoals werknemers die je een bedrijfsmiddel beschikbaar stelt) zou je er wellicht nog onderuit komen.


lijkt me duidelijk

De splitsing zit dus tussen klanten/bezoekers en werknemers(waar het een tool is om hun werk te doen en er geblocked mag worden)

[ Voor 5% gewijzigd door mrsar op 17-01-2013 15:50 ]

PeterPan schreef op donderdag 17 januari 2013 @ 15:42:
Interessant, aan de andere kant moet je wel alles loggen i.v.m. de bewaarplicht voor providers en ben je ook nog eens aansprakelijk.

Hooo daar dat is sowieso niet het geval, sterker nog: je mag juist niet loggen. Die bewaarplicht geldt alleen voor aanbieders van openbare netwerken.

mrsar schreef op donderdag 17 januari 2013 @ 15:48:
[...]
De splitsing zit dus tussen klanten/bezoekers en werknemers(waar het een tool is om hun werk te doen en er geblocked mag worden)

Met als belangrijk verschil ook dat je als werkgever aansprakelijk bent voor schade die werknemers met dat gereedschap veroorzaken, terwijl een aanbieder van internet niet aansprakelijk is voor wat een (anonieme) bezoeker via die internetverbinding doet. Zie het linkje in Orion84 in "Internet toegang voor users, technieken & 'filosofie'"

Wat betreft loggen, ook daar heb ik nog wel een linkje van Arnoud Engelfriet over: https://www.security.nl/a...rkeer_afluisteren%3F.html

PeterPan schreef op donderdag 17 januari 2013 @ 16:08:
Ja, dat lees ik nu ook. Maar is dat niet ooit wel zo geweest?

Nee, dat is nooit zo geweest. Dat is bedacht door overijverige beheerders.

PeterPan schreef op donderdag 17 januari 2013 @ 15:42:
Ontopic:
Ik ben nog steeds geïnteresseerd in alternatieve oplossingen. Niet zozeer 'wij gebruiken een XX proxy' of 'YY firewall' maar meer een korte uitleg van de gebruikte methoden en achterliggende gedachtegang. Met name waar men er voor gekozen heeft niet met de traditionele webproxy/firewall oplossing te werken!

Wij bieden onze gebruikers een mooie sandbox omgeving vanuit daar kan men internetten.
En op de verbinding van internet staan nog proxies en die verbinding is max 300Mb ofzo voor alle gebruikers

Als je ervanuit gaat dat je netwerk intern niet veilig is, dan ben je al een heel eind.

Tegenwoordig zie je steeds meer het 'Bring Your Own Device' principe. Daar gaan mensen (collega's, maar ook bezoek dat iets wil presenteren etc.) om vragen. Verder zijn er ook 'illegale' en/of besmette laptops, gadgets, hubjes, gevonden usb sticks, switches, wifi ap's, eigen hotspots etc..

Je moet dan eigenlijk doen wat banken op het (onveilige) internet doen. Goede authenticatie (2 factor) en SSL verbindingen (client certificaten bv).. Goede antivirus installeren (en ook controleren op juiste werking). Zeer kritieke en gevoelige informatie / applicaties, kan je nog via een citrix achtige omgeving aanbieden. Of wat extra VPN doen tussen bv kassa en voorraadsystemen (applicaties die doorgaans niet op de iphone worden gedaan).

Verder is het personeel hierin trainen en motiveren het aller, allerbelangrijkste. Als deze nog steeds simpele pietje1, pietje2 wachtwoorden gebruiken, documenten op dezelfde 'pietje1' privé google docs/ dropbox zetten, nieuwkomers hun (manager)account geven om alvast te beginnen, zeer onhandig doen met informatie op website/twitter/e-mail dan blijft het dweilen met de kraan open.

Feitelijk is zelfs een gehackte privé smartphone met camera/microfoon aan al een potentieel gevaar binnen een bedrijf, zelfs als dat bedrijf geen enkele vorm van IT heeft!

Laat staan als deze smartphone via USB aan de PC wordt opgeladen, wifi/bluetooth kan sniffen etc etc..

PeterPan schreef op vrijdag 12 juli 2013 @ 16:38:
Nog maar eens een bump.
Zijn er geen IT beheerders/managers bij MKB+ of groter die er bewust voor gekozen hebben om toegang naar internet geheel (alle poorten en protocollen) of gedeeltelijk (HTTP(S), FTP en een hand vol andere applicaties) open te zetten? Zonder tussenkomst van een proxy o.i.d, gewoon direct op de firewall en maar hopen dat de anti virus software z'n werkt doet?

Dat is een filosofie die op zich prima kan werken, mits je een fatsoenlijke firewall hebt. Wat je tegenwoordig ook meer ziet (volgens mij heb ik dat hier al eens genoemd, maar goed) is dat firewalls steeds meer naar het midden van het netwerk verhuizen en een soort "core" functionaliteit gaan vervullen. Je gaat dus al je verkeer "centraal" benaderen. Zo kan je b.v. erg makkelijk tussen VLAN's gaan firewallen i.p.v. ACL's gebruiken (ja, komt u maar, ik weet het, ACL's kunnen ook dynamisch, maar ik vind mijn firewall fijner werken ).

In ons geval gaan we de proxy wel uit faseren omdat:

1. Hij is antiek ...
2. Alles wat ding kan, kan onze Firewall beter

Verder is het beheer en de failover van onze firewall beter gewaarborgd zonder extra proxy server ertussen. Wij hebben daarom nog voor een relatief "oud" concept gekozen door de firewall aan de "Edge" van het netwerk te plaatsen.

PeterPan schreef op vrijdag 12 juli 2013 @ 16:38:
Nog maar eens een bump.
Zijn er geen IT beheerders/managers bij MKB+ of groter die er bewust voor gekozen hebben om toegang naar internet geheel (alle poorten en protocollen) of gedeeltelijk (HTTP(S), FTP en een hand vol andere applicaties) open te zetten? Zonder tussenkomst van een proxy o.i.d, gewoon direct op de firewall en maar hopen dat de anti virus software z'n werkt doet?

Ik blokkeer helemaal niks.

Ik blokkeer op de clients niets, maar wel op de RDS omgeving waar het werk op wordt gedaan. Daar alleen toegang tot het werk noodzakelijke, de rest op de client. Als de client ergens door verneukt wordt, boeiend, daar staat geen data op.

Ik blokkeer ook helemaal niets.

Soms wel OpenDNS of een firewall die wat webfiltering doet.