Privacy op open WiFi bedrijfsnetwerk.

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • honey
  • Registratie: Juni 2001
  • Laatst online: 12-06 15:12
Als ik inlog op onze open WiFi netwerk op het werk met mijn eigen iPad.

Hoeveel gegevens worden er dan gelogt?

Stel mijn iPad heet: "ipad van Sophie", is dat zichtbaar?
Wordt gelogt wat en waar je heen surft?
Is het anoniem of kunnen ze toch precies zien dat jij het bent?

Specs van pc


Acties:
  • 0 Henk 'm!

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 19:50

ShadowBumble

Professioneel Prutser

honey schreef op maandag 12 januari 2015 @ 08:29:
Als ik inlog op onze open WiFi netwerk op het werk met mijn eigen iPad.

Hoeveel gegevens worden er dan gelogt?

Stel mijn iPad heet: "ipad van Sophie", is dat zichtbaar?
Wordt gelogt wat en waar je heen surft?
Is het anoniem of kunnen ze toch precies zien dat jij het bent?
In principe zou alles wat over een open wifi verbinding gaat gelogged kunnen worden. Wij kunnen niet inzien wat de bedrijfs policy is ten opzichte het gebruik van het open Wifi netwerk.Ga er dus vanuit dat alles gelogged word. Wil je dat niet dan stel ik voor een VPN te gebruiken, device naam is altijd te zien.

"Allow me to shatter your delusions of grandeur."


Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
Ach, zelfs als het access point een WEP of WPA/WPA2-beveiliging (pre-shared key [PSK]) heeft, kan alles nog door mede-gebruikers gezien en gelogd worden.

't Wordt pas écht een beetje veilig qua privacy zodra je "802.1x EAP" als beveiligingsmethode ziet staan. En zelfs dán kan natuurlijk de beheerder van de access point/netwerk zelf alsnóg alle data zien. Die WiFi-beveiliging is immers tussen iPad (of andere client) en access point en niet verder.

Wil je de data over je verbinding daadwerkelijk enigszins veilig hebben, dan zul je inderdaad een VPN moeten gebruiken. Helaas zijn er weer WiFi-netwerken die dat blokkeren. Of slechts gare, alsnog-niet-zo-veilige VPN-protocollen toestaan. (/me Kuch * NS :/ /me uche *)

Acties:
  • 0 Henk 'm!

  • honey
  • Registratie: Juni 2001
  • Laatst online: 12-06 15:12
Het gaat mij niet zo wat kan. Denk ook wel dat er erg veel kan.

In hun log-files, wat is gebruikelijk om op te slaan?
Is het gebruikelijk dat ze kunnen zien waar je precies heen surft, de inhoud kunnen zien, bijvoorbeeld je forumnaam op een website enzo?

Dank

Specs van pc


Acties:
  • 0 Henk 'm!

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 19:50

ShadowBumble

Professioneel Prutser

honey schreef op maandag 12 januari 2015 @ 09:42:
Het gaat mij niet zo wat kan. Denk ook wel dat er erg veel kan.

In hun log-files, wat is gebruikelijk om op te slaan?
De enige die die vraag kan beantwoorden is de beheerder van het netwerk.
Is het gebruikelijk dat ze kunnen zien waar je precies heen surft, de inhoud kunnen zien, bijvoorbeeld je forumnaam op een website enzo?

Dank
Ja, dat is gebruikelijk op open netwerken. Althans ik zou het wel doen als het mijn netwerk was.

"Allow me to shatter your delusions of grandeur."


Acties:
  • 0 Henk 'm!

  • Mijzelf
  • Registratie: September 2004
  • Niet online
Osiris schreef op maandag 12 januari 2015 @ 08:57:
Helaas zijn er weer WiFi-netwerken die dat blokkeren. Of slechts gare, alsnog-niet-zo-veilige VPN-protocollen toestaan. (/me Kuch * NS :/ /me uche *)
Wat blokkeert de NS dan? Zelf gebruik ik altijd een Dynamic SSH tunnel naar mijn router thuis. Werkt wel alleen voor een browser.

Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
Mijzelf schreef op maandag 12 januari 2015 @ 09:47:
[...]

Wat blokkeert de NS dan? Zelf gebruik ik altijd een Dynamic SSH tunnel naar mijn router thuis. Werkt wel alleen voor een browser.
offtopic:
IPSec werkt niet, last time I checked. En de knakkers op 't forum zouden er op terugkomen, maar da's ondertussen ook wel weer een half jaar terug :X

ShadowBumble schreef op maandag 12 januari 2015 @ 09:43:
[...]

Ja, dat is gebruikelijk op open netwerken. Althans ik zou het wel doen als het mijn netwerk was.
Maar zaken als inhoud zomaar opslaan mag toch echt niet.

[ Voor 31% gewijzigd door Osiris op 12-01-2015 09:54 ]


Acties:
  • 0 Henk 'm!

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 19:50

ShadowBumble

Professioneel Prutser

Osiris schreef op maandag 12 januari 2015 @ 09:50:
Maar zaken als inhoud zomaar opslaan mag toch echt niet.
De vraag was ook niet of ze het zullen opslaan de vraag was of ze het zouden kunnen zien. Ik zou de inhoud ook niet opslaan meta data wel ( src dst enz enz ), echter als ik ga meekijken kan ik het wel degelijk zien zonder erg ingewikkelde procedures te volgen.

Als ik verantwoordelijk ben als eigenaar van een open wifi netwerk, wil ik monitoring kunnen toepassen op inhoud bij verdachte activiteiten, en dit kunnen herleiden naar een device.

De vraag is natuurlijk of de gebruiker voor dat "open" bedrijfswifi netwerk, nog moet inloggen met ad login om zijn/haar BYOD te kunnen gebruiken. Of dat we praten over een echt open netwerk, in het laatste geval zijn er namelijk andere regels als dat het om een afgebakende groep gaat ( dus met toegang op basis van AD gegevens, denk hierbij aan gast / medewerker toegang )
honey schreef op maandag 12 januari 2015 @ 09:42:
Is het gebruikelijk dat ze kunnen zien waar je precies heen surft, de inhoud kunnen zien, bijvoorbeeld je forumnaam op een website enzo?

Dank

[ Voor 7% gewijzigd door ShadowBumble op 12-01-2015 10:10 ]

"Allow me to shatter your delusions of grandeur."


Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
ShadowBumble schreef op maandag 12 januari 2015 @ 10:08:
[...]

De vraag was ook niet of ze het zullen opslaan de vraag was of ze het zouden kunnen zien.
Je quotte eerder letterlijk dat ze niet wil weten wat kán, maar wat gebruikelijk is ;) Ikzelf zou 't eerlijk gezegd noet weten. 't Kan immers ook altijd heimelijk gebeuren, zonder dat de client er weet van heeft.
ShadowBumble schreef op maandag 12 januari 2015 @ 10:08:
offtopic:
Als ik verantwoordelijk ben als eigenaar van een open wifi netwerk, wil ik monitoring kunnen toepassen op inhoud bij verdachte activiteiten, en dit kunnen herleiden naar een device.
offtopic:
Oei, kun je beter niet doen. Actief monitoren en daar actie op ondernemen zorgt ervoor dat je juridisch geen "passief internet aanbiedt", waardoor je i.p.v. niet juridisch aansprakelijk bent, dat wél wordt.

Acties:
  • 0 Henk 'm!

  • honey
  • Registratie: Juni 2001
  • Laatst online: 12-06 15:12
Het is een netwerk waar je in je browser akkoord moet gaan met de voorwaarden, maar verder ook niet.

We hebben hier ook onze gewone werkplek waar je natuurlijk wel moet inloggen met naam/wachtwoord. Dat zou ik geen dingen op durven doen wat niet werkgerelateerd is. Wifi is hier gewoon open. Als je op je eigen ipad werkt, vergeet je wel eens dat je niet thuis bent en ga je dingen doen (downloaden / surfen) wat je normaal niet op je werk zou doen.

Specs van pc


Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Osiris schreef op maandag 12 januari 2015 @ 08:57:
Die WiFi-beveiliging is immers tussen iPad (of andere client) en access point en niet verder.
Niet per see. Sommige controller-based oplossingen doen de crypto in de controller. Aruba bijvoorbeeld.
ShadowBumble schreef op maandag 12 januari 2015 @ 10:08:
[...]
Als ik verantwoordelijk ben als eigenaar van een open wifi netwerk, wil ik monitoring kunnen toepassen op inhoud bij verdachte activiteiten, en dit kunnen herleiden naar een device.
Dat wil je zeker niet, want dat is een inbreuk op de privacy en gewoon keihard illegaal. Plus het aansprakelijkheidsverhaal wat hierboven al gemeld werd.

[ Voor 42% gewijzigd door CyBeR op 12-01-2015 11:27 ]

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
honey schreef op maandag 12 januari 2015 @ 11:14:
Het is een netwerk waar je in je browser akkoord moet gaan met de voorwaarden, maar verder ook niet.
Tja, je zou haast denken dat als er niets over vermeld wordt in die voorwaarden, dat ze 't dan ook niet mogen. Maar of eventuele bedrijfs-policies nog bovenop die expliciet te accepteren voorwaarden vallen weet ik niet. Ben ook maar medicus en geen jurist ;) :P

CyBeR schreef op maandag 12 januari 2015 @ 11:26:
[...]

Niet per see. Sommige controller-based oplossingen doen de crypto in de controller. Aruba bijvoorbeeld.
Ja ok, ik bedoelde meer de simpelere situaties :P

[ Voor 22% gewijzigd door Osiris op 12-01-2015 11:45 ]


Acties:
  • 0 Henk 'm!

  • honey
  • Registratie: Juni 2001
  • Laatst online: 12-06 15:12
CyBeR schreef op maandag 12 januari 2015 @ 11:26:
[...]


Niet per see. Sommige controller-based oplossingen doen de crypto in de controller. Aruba bijvoorbeeld.


[...]
Ik zie hier wel een kleine logo staan van Aruba bij de wifi. Is dit voor mij relevant? Volg de discussie op dit gebied niet helemaal meer.

Specs van pc


Acties:
  • 0 Henk 'm!

  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 22:40

Umbrah

The Incredible MapMan

Heel basaal:

Zolang zij de infrastructuur hebben, kunnen ze zien wat er is of je nou veilige wifi gebruikt of niet. Veilige wifi gaat over versleuteling van het signaal tussen accesspoint en apparaat. Niet over je verbinding met fora/etc. Wat je in je URL's post zullen ze eigenlijk altijd kunnen zien, en wat de inhoud van je berichten is... tsja... daar is SSL voor bestemt.

Gelukkig is er wet- en regelgeving om dat te voorkomen... kuch... dit is dus waar dat hele NSA verhaal omheen gaat. Een simpele test voor je: start een command prompt (windows 8.1: klik rechts op de startknop, selecteer: powershell (of command prompt), en tik je in: tracert tweakers.net:

PS C:\Users\hierstondmijnnaam> tracert tweakers.net

Tracing route to tweakers.net [213.239.154.20]
over a maximum of 30 hops:

  1    <1 ms    <1 ms     4 ms  192.168.178.1
  2     9 ms     7 ms    11 ms  dezehoudikevengeheim
  3     8 ms    11 ms     9 ms  ookgeheim
  4    11 ms     9 ms     8 ms  mnd-rc0001-cr101-ae12-0.core.as9143.net [213.51.160.160]
  5    11 ms    30 ms    26 ms  asd-tr0042-cr101-ae7-0.core.as9143.net [213.51.158.2]
  6    20 ms    16 ms    11 ms  amsix.true.nl [80.249.208.171]
  7    21 ms    17 ms    17 ms  ams7.edge01.tengig-6-1-11.true.nl [87.233.1.218]
  8    13 ms    12 ms    13 ms  tweakers.net [213.239.154.20]


Maar 8 stappen, maar het kan een langere route zijn, en binnen in elke stap kan een "blackbox" aan processen staan -- elke van deze stappen >ZOU< in theorie "deep packet inspection" plaats kunnen vinden. SSL is sóms je vriend (groen hangslot linksboven) maar ook niet altijd...

Nu wat publiek wifi betreft:

Wifi moet je zien als een accesspoint wat schreeuwt en luisterd in één ruimte, en elk apparaat schreeuwt en luistert ook. Je hebt geen controle over welke richting je opschreeuwt, het gaat gewoon de ruimte in, en iedereen kan alles horen. Doorgaans kan maar één iemand tegelijk praten, en als een iemand praat, luistert de rest (en ziet dus alles...). Beveiligde wifi (WEP telt niet meer...) maakt van het gesprek een geheimtaal die het welliswaar nog steeds geschreeuw maakt (iedereen deelt dus een enkele ruimte, dus bandbreedte...), maar het taaltje is geheim tussen accesspoint, en elk individueel apparaat (een praat duits, ander engels, de andere frans, en het accesspoint spreekt alle talen).

Het is >VERDOMD< eenvoudig om op een NIET versleutelde wifi dus ALLES te horen. Ik zal in feite in een starbucks gewoon wireshark kunnen starten, en alle packets van iedereen kunnen onderscheppen. En daarmee dus sessie-tokens, wachtwoorden, namen, gebruikersnamen, etc... dan kan je HELE traceroute nog zo integer zijn (iedereen volgt de regels en kijkt niet mee met elkaar in een utopische wereld), maar een publieke wifi heeft dus als nadeel dat je je medemens als onzekere factor gaat meerekenen.

Je vraag is dus niet alleen betreffende de wireless infrastructuur, maar ook het stuk erna. En zonder een sleuteltje ga jij er nooit achter komen wat ze opslaan. Provider bewaarplicht is overigens ook nog een ding, en met 193 landen in de wereld is het onmogelijk te weten wat wáár wordt opgeslagen door wie...

[ Voor 5% gewijzigd door Umbrah op 12-01-2015 12:30 ]


Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
Umbrah schreef op maandag 12 januari 2015 @ 12:28:
Beveiligde wifi (WEP telt niet meer...) maakt van het gesprek een geheimtaal die het welliswaar nog steeds geschreeuw maakt (iedereen deelt dus een enkele ruimte, dus bandbreedte...), maar het taaltje is geheim tussen accesspoint, en elk individueel apparaat (een praat duits, ander engels, de andere frans, en het accesspoint spreekt alle talen).
/me Uche kuch kuch *

honey schreef op maandag 12 januari 2015 @ 12:25:
[...]


Ik zie hier wel een kleine logo staan van Aruba bij de wifi. Is dit voor mij relevant? Volg de discussie op dit gebied niet helemaal meer.
Lijkt me sterk. Je wilde immers weten of je werkgever daadwerkelijk je iPad-activiteiten volgt toch? Dat ze 't allemaal kúnnen is ondertussen wel duidelijk.. ;) Of ze het mógen is weer een tweede (bedrijfs-policy/voorwaarden) en of ze het doen..? Daar zul je niet zo snel achterkomen ;)

[ Voor 34% gewijzigd door Osiris op 12-01-2015 12:51 ]


Acties:
  • 0 Henk 'm!

  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 22:40

Umbrah

The Incredible MapMan

Alleen met PSK en WEP versleutelingen :)

Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
Umbrah schreef op maandag 12 januari 2015 @ 12:51:
Alleen met PSK en WEP versleutelingen :)
Ook WPA hoor, inc. WPA2. Uiteraard wel pre-shared key-mode. Maar da's vrij gebruikelijk in simpele situaties.

Acties:
  • 0 Henk 'm!

  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 22:40

Umbrah

The Incredible MapMan

Dat bedoel ik met PSK. Maar inderdaad, dan moet je al beveiliging aan hebben staan, het idee is dat zonder die key niemand er bij kan, een publiek (of WEP...) netwerk hoef je in theorie niet eens mee te verbinden om alles al uit te kunnen lezen.

Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 20:47
Indien je Chrome gebruikt kun je je surfgedrag al iets veiliger maken door HTTPS Everywhere te gebruiken. Die probeert zoveel mogelijk om HTTPS ipv HTTP af te dwingen.

Maar als je echt niet wil dat men kan meekijken moet je over een VPN-verbinding surfen. Ik heb op m'n NAS thuis een OpenVPN server draaien. Die heb ik ingesteld op poort 443 en TCP, daarmee kom ik zelfs achter strenge bedrijfsfirewalls nog wel bij m'n VPN.

Acties:
  • 0 Henk 'm!

  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 22:40

Umbrah

The Incredible MapMan

HTTPS-everywhere kan ook wat problemen veroorzaken als de doel-website een andere site op HTTPS-heeft draaien of het simpelweg niet ondersteunt (of met gare externe javascripts werkt...). Daarnaast is de eerste handshake bij HTTPS wel degelijk vatbaar. Je kan met VPN's werken, maar uiteindelijk heb je een endpoint nodig, en vanaf dat endpoint moet je kijken of je nog controle hebt/houd (traceroute verhaal), en het feit dat je er een openzet (wat bij publieke WiFi met inspecting-firewalls nog steeds niet zeker is, en met proxy's hang je toch) is ook al een aanwijzing.

Het idee achter TOR was juist dat je een vorm van VPN hebt met een erg verdeelde verbinding: je connect niet met één VPN, maar met een hele hoop. En zelfs daar zijn al crackdowns geweest.

Tenzij je een manier kan vinden om zeker te weten dat een certificaat niet bekeken is door iemand anders (man in the middle) bij het opzetten van een verbinding, wat dus via quantumcryptografie zou moeten kunnen (kwantumfysica: observatie van het resultaat verandert per definitie het resultaat), en zelfs dan: het liefst de HELE infrastructuur zelf beheerst, is veiligheid nooit 100%.

Er valt iets te omschrijven over TCP/IPoAC! -- potentieel nog meer bandbreedte ook! Alleen wel vatbaar voor bepaalde virussen. H5N8 e.d... Mogelijk wel wat veiliger dan de huidige gevestigde netwerk-infra.

Acties:
  • 0 Henk 'm!

  • MisteRMeesteR
  • Registratie: December 2001
  • Laatst online: 00:03

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Ik heb op mijn router thuis ook een VPN geconfigureerd (IPsec). Altijd en overal kan ik met mijn iPhone en iPad verbinding maken met het thuisfront, om via daar weer het internet op te gaan.

De reden hiervan is idd privacy. En omdat het kan natuurlijk :)

www.google.nl


Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 20:47
IPsec had ik voorheen ook, maar die is op veel plekken geblokkeerd (zie hierboven; bij NS in de trein bijv.). Daarom overgestapt naar OpenVPN. Vereist wel installatie van extra app (ik gebruik het op m'n Android toestel, zal voor iOS ook vast iets zijn) maar werkt daarna prima.

Acties:
  • 0 Henk 'm!

  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 17-04 10:47
honey schreef op maandag 12 januari 2015 @ 11:14:
Het is een netwerk waar je in je browser akkoord moet gaan met de voorwaarden, maar verder ook niet.
En wat zeggen die voorwaarden dan?

Abort, Retry, Quake ???


Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
ThinkPadd schreef op maandag 12 januari 2015 @ 13:40:
IPsec had ik voorheen ook, maar die is op veel plekken geblokkeerd (zie hierboven; bij NS in de trein bijv.).
Op dit moment spelen er nog een aantal uitdagingen rondom VPN verbindingen. Het blijkt dat bepaalde typen VPN verbindingen niet tot stand komen ondanks het feit dat er niets geblokkeerd wordt. Er loopt een onderzoek waarbij de connectiviteit van de gehele keten tussen trein en internet wordt onderzocht om de bottleneck te vinden.

Aldus NS. OpenVPN werkt ook niet, aldus een forumuser.

Acties:
  • 0 Henk 'm!

  • honey
  • Registratie: Juni 2001
  • Laatst online: 12-06 15:12
aZuL2001 schreef op maandag 12 januari 2015 @ 13:49:
[...]

En wat zeggen die voorwaarden dan?
Niet zo veel, behalve dat je je netjes moet gedragen en zij niet verantwoordelijk zijn etcetera.

Er staat niet dat de gegevens bekeken worden of dat sessies worden opgeslagen.

Specs van pc


Acties:
  • 0 Henk 'm!

  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 22:40

Umbrah

The Incredible MapMan

Zoals ik in mijn betoog schreef: in dat geval heb je ze maar op hun blauwe ogen te geloven. Maar dat geld dus voor AL het internet. Bij een niet-beveiligd draadloos netwerk heb je echter wél het risico dat iemand die niet in die keten zit (die buurman die aan zijn venti vanilla latte zit naar een macbook te staren mogelijk...) het óók kan zien.

Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 20:47
Osiris schreef op maandag 12 januari 2015 @ 13:51:
[...]


[...]


Aldus NS. OpenVPN werkt ook niet, aldus een forumuser.
Daarom draai ik OpenVPN ook over poort 443, TCP. Dezelfde poort & protocol die voor HTTPS gebruikt wordt. Dan heb je een stuk minder last van firewalls en andere zaken in de keten die moeilijk kunnen doen.

[ Voor 11% gewijzigd door ThinkPad op 12-01-2015 15:06 ]


Acties:
  • 0 Henk 'm!

  • Standeman
  • Registratie: November 2000
  • Laatst online: 23:17

Standeman

Prutser 1e klasse

Ook een leuk topic hoe je met iedereen mee kan kijken op het netwerk:

Verbaasd. Pc sessie overnemen

The ships hung in the sky in much the same way that bricks don’t.


Acties:
  • 0 Henk 'm!

  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 22:40

Umbrah

The Incredible MapMan

Yup... de basis van OAuth... dat is waarom je op z'n minst de authenticatie over HTTPS wilt gaan (en zelfs dan is het best eenvoudig om de tokens te onderscheppen, wachtwoorden zijn dan gelukkig wél veilig...). Je zou haast een Facebook sessie-token kunnen onderscheppen en de bijbehorende cookie, en vervolgens je mede-starbucks/hotelgasten zwanger en getrouwd kunnen maken!

Maar dat ben jij dan, over een publiek netwerk... een onversleutelde wifi verbinding. In de praktijk is gebleken dat dat niet de enige plek is waar netwerkverkeer onderschept kan worden.

Acties:
  • 0 Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 04-06 09:31

TrailBlazer

Karnemelk FTW

de grote vraag is hoeveel mensen hebben hier zitten posten vanaf hun werk terwijl ze aan het werk zouden zijn. Iedere werkgever weet dat zijn mensen ook prive zaken op internet doen.

Acties:
  • 0 Henk 'm!

  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 22:40

Umbrah

The Incredible MapMan

Gelukkig valt Tweakers háást werk te benoemen voor een goede ICT werkgever!

Acties:
  • 0 Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 04-06 09:31

TrailBlazer

Karnemelk FTW

Ik denk niet dat er veel mensen op mijn niveau met netwerken bezig zijn op tweakers ;)

Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

TrailBlazer schreef op maandag 12 januari 2015 @ 16:02:
Ik denk niet dat er veel mensen op mijn niveau met netwerken bezig zijn op tweakers ;)
Geen duizenden maar je moet niet overdrijven he, straks valt die toren van je nog om :P

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • 0 Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 04-06 09:31

TrailBlazer

Karnemelk FTW

Ze posten in ieder geval niet over hun problemen hier. In NT en PNS zie ik zelden leuke problemen op netwerk gebied.

Acties:
  • 0 Henk 'm!

  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 17-04 10:47
TrailBlazer schreef op maandag 12 januari 2015 @ 16:02:
Ik denk niet dat er veel mensen op mijn niveau met netwerken bezig zijn op tweakers ;)
Want de rest zijn prutsers? ;)

Abort, Retry, Quake ???


Acties:
  • 0 Henk 'm!

  • dion_b
  • Registratie: September 2000
  • Laatst online: 00:38

dion_b

Moderator Harde Waren

say Baah

Umbrah schreef op maandag 12 januari 2015 @ 15:55:
Gelukkig valt Tweakers háást werk te benoemen voor een goede ICT werkgever!
Ware het niet dat overgrote deel van Tweakers meer aan de IT kant zit dan de networking zit ;)

Gelukkig is dit vrij on-topic voor mij. En ja, dit post ik vanaf een onversleuteld netwerk op het werk, tijdens een presentatie O-)

Correctie: terwijl we wachten op het werkend krijgen van de beamer. Wat niemand voor elkaar krijgt. In een zaal vol network engineers :')

[ Voor 15% gewijzigd door dion_b op 13-01-2015 09:39 ]

Oslik blyat! Oslik!


Acties:
  • 0 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

honey schreef op maandag 12 januari 2015 @ 09:42:
Het gaat mij niet zo wat kan. Denk ook wel dat er erg veel kan.

In hun log-files, wat is gebruikelijk om op te slaan?
Is het gebruikelijk dat ze kunnen zien waar je precies heen surft, de inhoud kunnen zien, bijvoorbeeld je forumnaam op een website enzo?

Dank
Gebruikelijk is dat de site die je bezoekt wordt gelogged. Meestal zit er overigens ook een filter op; je kunt sowieso niet naar .sex domains en andere politiek incorrecte sites.

De inhoud van wat je stuurt/ontvangt, wordt meestal niet gelogged. Omdat dat toch al makkelijk te encrypten is; de enkele onnozelaar die geen HTTPS gebruikt, zal ook wel geen kwaad in de zin hebben.

Ga er trouwens ook van uit dat het apparaat waarmee je surft, altijd tot jouw te herleiden is. Dus het hernoemen van je iPad heeft geen zin.

Ik zou me, ook op het open WiFi network, gewoon aan de bedrijfspolicy houden. En als die bedrijfspolicy naar jouw mening te restrictief is, kun je overwegen om de discussie daarover op te starten; via de OR ofzo. Alternatief kun je 3G/4G gebruiken.

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 19:50

ShadowBumble

Professioneel Prutser

dion_b schreef op dinsdag 13 januari 2015 @ 09:32:
[...]

Ware het niet dat overgrote deel van Tweakers meer aan de IT kant zit dan de networking zit ;)

Gelukkig is dit vrij on-topic voor mij. En ja, dit post ik vanaf een onversleuteld netwerk op het werk, tijdens een presentatie O-)

Correctie: terwijl we wachten op het werkend krijgen van de beamer. Wat niemand voor elkaar krijgt. In een zaal vol network engineers :')
Misschien moet je ( zoals bij alle Engineers ) dan even concreet maken wat je doelstelling is en je verwachting, waarna je een actie aangeeft die getackeld dient te worden.

( In non Management/presentatie taal, heb je al gewoon gevraagd om hulp :P ?)

Pff ze zitten niet in de IT waarin ze gewoon maar iets globaals kunnen roepen :+

"Allow me to shatter your delusions of grandeur."


Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

dion_b schreef op dinsdag 13 januari 2015 @ 09:32:
[...]
Correctie: terwijl we wachten op het werkend krijgen van de beamer. Wat niemand voor elkaar krijgt. In een zaal vol network engineers :')
Daar heb je ook een AV tech voor nodig :P

Gelukkig doe ik 't allemaal.

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • 0 Henk 'm!

  • dion_b
  • Registratie: September 2000
  • Laatst online: 00:38

dion_b

Moderator Harde Waren

say Baah

CyBeR schreef op dinsdag 13 januari 2015 @ 12:00:
[...]


Daar heb je ook een AV tech voor nodig :P

Gelukkig doe ik 't allemaal.
Iemand van facilities/beveiliging was genoeg. Er hing naast thermostaat een tweede kastje. Daar zat een knopje "VGA" op :P

Oslik blyat! Oslik!


Acties:
  • 0 Henk 'm!

  • honey
  • Registratie: Juni 2001
  • Laatst online: 12-06 15:12
Brahiewahiewa schreef op dinsdag 13 januari 2015 @ 11:47:
[...]

Ga er trouwens ook van uit dat het apparaat waarmee je surft, altijd tot jouw te herleiden is. Dus het hernoemen van je iPad heeft geen zin.
Hoe dan? Alleen als ze het apparaat bestuderen en dat zou wel een grove inbreuk op de privacy zijn. Kijken ze dan naar je deviceID en is deze uniek?

Specs van pc


Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
Brahiewahiewa schreef op dinsdag 13 januari 2015 @ 11:47:
[...]

Ga er trouwens ook van uit dat het apparaat waarmee je surft, altijd tot jouw te herleiden is. Dus het hernoemen van je iPad heeft geen zin.
Euh, te herleiden tot een uniek apparaat wellicht. Maar zolang ze de fingerprints nog niet herleid hebben tot de user `honey`, is het niet tot een persoon te herleiden :)

honey schreef op dinsdag 13 januari 2015 @ 16:46:
[...]

Hoe dan? Alleen als ze het apparaat bestuderen en dat zou wel een grove inbreuk op de privacy zijn. Kijken ze dan naar je deviceID en is deze uniek?
Zelfs een browser is vaak al uniek. Test zelf maar.

[ Voor 29% gewijzigd door Osiris op 13-01-2015 17:09 ]


Acties:
  • 0 Henk 'm!

  • Bl@ckbird
  • Registratie: November 2000
  • Niet online
TrailBlazer schreef op maandag 12 januari 2015 @ 15:51:
de grote vraag is hoeveel mensen hebben hier zitten posten vanaf hun werk terwijl ze aan het werk zouden zijn. Iedere werkgever weet dat zijn mensen ook prive zaken op internet doen.
Een echte Tweaker heeft daarom een demo netwerkje met een apart DSL lijntje + wireless wat helemaal separaat staat van het kantoor / productie netwerk. :P

Wat betreft device fingerprinting:
Afbeeldingslocatie: http://tweakers.net/ext/f/Ip3j4mc9SLeU8zBvxBKH455F/medium.png

Bovenstaande info haal ik uit een Meraki access point. Een deel van het MAC adres bestaat uit de vendor ID. Uit de HTTP headers kan je ook veel info halen welke browser en OS gebruikt wordt. Door dit soort gegevens te combineren, kan je een aardig inschatten om wat voor apparaat het gaat.

Ik gebruik standaard een algemene preshared key, dus geen IEEE 802.1X of integratie met AD ofzo, dus het is niet te herleiden naar een user. Met een beetje logisch nadenken kom je natuurlijk ook een eind: Ben je de enige die met een iPad rond loopt, dan is 1+1=2

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~


Acties:
  • 0 Henk 'm!

  • knutsel smurf
  • Registratie: Januari 2000
  • Laatst online: 10-06 23:36

knutsel smurf

Grote Smurf zijn we er bijna ?

Als ik het goed lees zit je op een aruba netwerk.

Als je puur naar de technische mogelijkheden van een aruba netwerk kijkt dan kan een beheerder alles zien.
De vraag is echter heeft je bedrijf alle tools ingericht om mensen te tracken en die data lang during op te slaan? En vervolgens gaat iemand dan ook echt tijd besteden aan het door spitten van dit? Mijn ervaring leert dat beheerders alleen gaan kijken als er iets mis is, en op zo'n moment gaan ze vaak niet terug kijken maar plaatsen ze een tracker op jouw device en vervolgens bekijken ze jouwe activiteiten om te zien waar het mis gaat.

Mocht je al je data verkeer encrypten dan kan een aruba controller plus airmananger jouw device tracken en de data op slaan. Alleen hiervoor moet de beheerder wel specifieke acties ondernemen om dit te doen.

Acties:
  • 0 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Osiris schreef op dinsdag 13 januari 2015 @ 17:08:
[...]Euh, te herleiden tot een uniek apparaat wellicht. Maar zolang ze de fingerprints nog niet herleid hebben tot de user `honey`, is het niet tot een persoon te herleiden :)
't MAC-adres wordt opgeslagen op de DHCP server en je moet behoorlijk goed thuis zijn in jailbreaking wil je dat kunnen wijzigen. Ik ga niet zeggen dat 't onmogelijk is, maar - met alle respect - heb ik niet het idee dat de TS die skills beheerst

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 28-05 19:39
@honey:

- De beheerder kan alles zien
- Jij kan daar niets tegen doen om dat je de dienst gebruikt met de voorwaarden die bekrachtigt worden door de beheerder

Dus nee, je kan niet zomaar verwachten dat je niet te traceren bent, niet herleidbaar bent of iemand niet kan zien wat je kan doen. In de praktijk kan je er van uit gaan dat tenminste de netwerk beheerders ALTIJD kunnen zien wie je bent en wat je doet. Je kan het ze makkelijker of moeilijker maken, maar onzichtbaar zijn bestaat niet, dat is ook precies hoe internet werkt: als je internet gebruikt op de manier zoals het gebouwd is (dus zonder Tor of een VPN/proxy anonimiseer service) ben je gewoon altijd te vinden/identificeren en kan alles opgeslagen worden.

Hoe je WiFi netwerk ingericht is heeft in de praktijk bar weinig te maken met de vraag of de netwerkbeheerder van een bedrijf kan zien wat je doet en wie je bent.

Er zijn twee redenen waarom dat zo is:

1. Je stuurt altijd unieke data mee, daar zal je gewoon nooit van af kunnen komen

2. Je zal aan je gedrag te herkennen zijn (dus wat voor data je apparaat heen en weer doet en wanner)

Hoewel unieke gegevens niet altijd tot een persoon te herleiden zijn, zijn ze wel altijd tot een apparaat te herleiden. Maar in 99% van de gevallen heb je met een paar unieke gegevens ook al gewoon een naam of iets dergelijks van de eigenaar van het apparaat of de verbinding. Als jij op een Facebook dienst of Google dienst ingelogd bent en je maar 1 request naar een van die diensten kan een beheerder dus al zien dat jij het bent. Als je elke dag rond een bepaalde tijd op een bepaalde AP aangemeld bent en een bepaalde site bezoekt kan een beheerder prima pinpointen wie er is door gewoon het fysieke bereik van de AP na te gaan om te kijken wie met welk apparaat bezig is.

Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
Brahiewahiewa schreef op woensdag 14 januari 2015 @ 02:11:
[...]

't MAC-adres wordt opgeslagen op de DHCP server en je moet behoorlijk goed thuis zijn in jailbreaking wil je dat kunnen wijzigen. Ik ga niet zeggen dat 't onmogelijk is, maar - met alle respect - heb ik niet het idee dat de TS die skills beheerst
MAC-adres is niets anders dan een unieke fingerprint en alsnog niet zondermeer te herleiden tot een persoon. Tenzij ze de enige Apple-user op het complete netwerk is ofcourse. Maar dat lijkt me sterk én moet de IT-dude in z'n hokkie ergens ook nog eens weten dat honey een iPad heeft en de rest van het werk niet. :P

johnkeates schreef op woensdag 14 januari 2015 @ 02:45:
Als jij op een Facebook dienst of Google dienst ingelogd bent en je maar 1 request naar een van die diensten kan een beheerder dus al zien dat jij het bent.
Facebook en Google gebruiken by default HTTPS voor zover ik weet ;) Tenzij je het bijv. in Facebook expliciet uitzet.

[ Voor 22% gewijzigd door Osiris op 14-01-2015 08:06 ]


Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Zoals hierboven al gezegd als de beheerder er niet veel of geld in wil steken is het echt zoeken naar een speld in de hooiberg. Beheer zelf een Scouting netwerk met proxy (voor web filter en snelheid) en in de logs kan ik veel zien, dat is ook meteen je probleem veel data zonder specifieke zoek en filter software is het een spelt in de hooiberg, het risico dat iemand over je schouder iets ziet is veel groter.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

Pagina: 1