Mogelijkheid afkijken gegevens op zelfde netwerk?

WiFi is per definitie niet veilig (ook niet met WPA2). Maar je moet inderdaad sowieso je 'klanten' scheiden van je bedrijfsnetwerk.
Het bedrijfsnetwerk (ook via WiFi) wordt vaak als vertrouwd gezien, in de firewallconfiguratie op de clients. Dat is normaal al onterecht, maar zeker als je ook vreemden (de jongeren) op je netwerk laat, is dat vragen om problemen.

Dus ja, de jongeren kunnen meekijken. Dat wil zeggen, je kunt niet zeggen dat ze niet mee kunnen kijken.

Een deel van de oplossing is de boel te scheiden. Losse SSID's voor de jongeren en het bedrijfsnetwerk, beiden op een eigen VLAN. En configureer een firewall op élke end-point (client, server, etc.). Daarnaast ook geen pre-shared key (WPA2) gebruiken maar bijvoorbeeld radius.

Maar als ik het zo lees: Schakel een specialist in.

[ Voor 12% gewijzigd door Room42 op 04-03-2016 08:44 ]

Een betere oplossing is om gebruik te maken van VPN's over wifi volgens mij. Een bedrijfsnetwerk over wifi is nog steeds af te luisteren.

Ik zou hiervoor een bedrijf laten komen, of je moet technisch genoeg zijn om het zelf te doen.
Vooral ook omdat je met 2 groepen te maken hebt. Ik zou als begeleider het geen prettig idee vinden als de jongeren achter mijn gegevens zouden komen.

De jongeren gewoon op een gast netwerk en de begeleiders op het normale netwerk.

Zolang je gebruikmaakt van end-to-end encryptie (https) valt er in principe niet zo veel af te luisteren, behalve de URLs die worden benaderd. In theorie kan iemand proberen een MITM aanval te doen, maar zolang je goed oplet of de certificaten vertrouwd zijn, en je dus niet ineens een self-signed certificaat accepteert (negeer browser-waarschuwingen dus niet) moet dat goed gaan.

Je kan het wat makkelijker maken: Gewoon fysiek scheiden. Dus twee netwerken, twee internetaansluitingen etc...

Dus bv een ADSL voor de jongeren, en een Ziggo kabel (of glasvezel) voor het bedrijf. OK, je hebt twee keer het aantal AP's nodig, maar dat is meestal een éénmalige investerign. Kijk maar naar OpenMesh, dat is een cloud gebaseerde controle portal (voor de jongeren), dan kan je nog zien wat er gebeurt etc.... Ook één keer per maand kan je in één keer het wachtwoord van ALLE AP's wijzigen. Tegelijkertijd.

Dit kán goedkoper uitvallen. Omdat dit maar een éénmalige uitgave is (nieuwe AP's, installatie etc... De cloud is zelf gratis). OK, die maandelijkse kosten voor een extra ADSL lijn zijn wel over alle jongeren uit te smeren. Maar dat is niet veel.


Dit is een mogelijkheid. Het hoeft niet "de oplossing" te zijn.

maar zonder een expert in te schakelen, kan je dit wel makkelijke voor elkaar krijgen.

Een andere mogelijkheid: Over de bestaande AP's een nieuwe SSID laten uitzenden, daar een VLAN op zetten, en deze VLAN op de switch naar een externe ADSL modem sturen.

[ Voor 8% gewijzigd door Verwijderd op 04-03-2016 09:19 ]

Verwijderd schreef op vrijdag 04 maart 2016 @ 08:30:
Mijn vraag

Hallo,

Ik werk in de jeugdzorg, waar wij woningen hebben waar jongeren wonen onder begeleiding. Nu is daar een (beveiligd) wifi netwerk, maar hebben zowel begeleiders als jongeren het wachtwoord om op internet te kunnen.

Nu is mijn vraag in hoeverre het mogelijk is dat jongeren mee kunnen kijken met gegevens die verzonden worden door begeleiders, (of andere jongeren) zoals wachtwoorden, internetbankieren etc.

Mocht dit het geval zijn hoor ik ook graag tips wat hiertegen te doen is.

Alvast bedankt!

Relevante software en hardware die ik gebruik
...

Wat ik al gevonden of geprobeerd heb
...

Je kunt met de juiste apparatuur twee aparte wifi netwerken opzetten welke virtueel gescheiden zijn van elkaar. Dan kan een client in theorie niets afluisteren, tenzij hij of zij fysiek toegang heeft tot de bekabeling, dan wordt het al een ander verhaal natuurlijk.

Ik hoor hier allemaal "gescheiden wifi netwerken".....

Het probleem zit niet in het gedeelde netwerk. Het probleem zit hem in het feit dat Wifi (of anything over the air) inherent onveilig is. Zoals al gemeld; ook WPA2 is te kraken als je maar lang genoeg mee kunt luisteren (en dat kunnen de jongeren hier).

De netwerken scheiden, op welke manier dan ook, gaat de beveiliging op geen enkele manier verbeteren zolang je nog met (alleen) Wifi blijft werken.

De enige zinvolle oplossing die ik tot nu toe gehoord heb is gebruik maken van VPN over de wifi. Daarmee encrypt je de verzonden informatie op een manier die niet af te luisteren is.

^^ Gescheiden Wifi netwerken is alleen een oplossing als je bijvoorbeeld wil voorkomen dat je mobiele kassa's er mee stoppen als er iemand in je koffiezaak extreem gaat lopen downloaden op je wifi netwerk.

Zeker aangezien je op geen enkele manier de fysieke beveiliging fatsoenlijk kan/wil afdwingen in zo'n huis met jongeren, zou ik dat niet eens gaan proberen.

Als de begeleiders mobiel zijn is een VPN zowieso een goed idee. Het hoeft niet eens een bedrijfsspecifieke VPN te zijn, iets als Freedome of PIA is prima, want jullie gebruiken waarschijnlijk toch allemaal die kinddossier webapp?

[ Voor 55% gewijzigd door BCC op 04-03-2016 09:34 ]

Verwijderd schreef op vrijdag 04 maart 2016 @ 09:37:
Even for the sake of argument: Betekent deze redenatie dat je in een studentenhuis ook maar beter niet kan internetbankieren?

Strict genomen kun je dat inderdaad beter niet doen. Dan kun je beter de data verbinding van je mobiele telefoon gebruiken (wel rechtstreeks op 3g 4g he, niet je telefoon via diezelfde wifi aansluiten )

For the sake of argument: zou je in de starbucks internetbankieren? Zeker bij een studentnhuis heb je geen idee wie er aan gasten in huis zijn of wie er een servertje van een "vriend" in de kast heeft liggen

[ Voor 51% gewijzigd door BCC op 04-03-2016 09:42 ]

Verwijderd schreef op vrijdag 04 maart 2016 @ 09:17:
Je kan het wat makkelijker maken: Gewoon fysiek scheiden. Dus twee netwerken, twee internetaansluitingen etc...

Dus bv een ADSL voor de jongeren, en een Ziggo kabel (of glasvezel) voor het bedrijf. OK, je hebt twee keer het aantal AP's nodig, maar dat is meestal een éénmalige investerign. Kijk maar naar OpenMesh, dat is een cloud gebaseerde controle portal (voor de jongeren), dan kan je nog zien wat er gebeurt etc.... Ook één keer per maand kan je in één keer het wachtwoord van ALLE AP's wijzigen. Tegelijkertijd.

Dit kán goedkoper uitvallen. Omdat dit maar een éénmalige uitgave is (nieuwe AP's, installatie etc... De cloud is zelf gratis). OK, die maandelijkse kosten voor een extra ADSL lijn zijn wel over alle jongeren uit te smeren. Maar dat is niet veel.


Dit is een mogelijkheid. Het hoeft niet "de oplossing" te zijn.

maar zonder een expert in te schakelen, kan je dit wel makkelijke voor elkaar krijgen.

Een andere mogelijkheid: Over de bestaande AP's een nieuwe SSID laten uitzenden, daar een VLAN op zetten, en deze VLAN op de switch naar een externe ADSL modem sturen.

ADSL? Ik heb geen idee hoeveel mensen OP onder begeleiding heeft, maar als je ADSL over 20 mensen (10/20) verdeelt kom je uit op 0,5 Mb/s en dat is echt prut, nét iets meer dan inbellen... Dan zou ik het aanraden om een VPS aan te schaffen (sowieso 2GB ram (voor de userdata) en 2 cores (voor de encryptie)) voor een VPN. Dan raad ik het wel aan om het in Amsterdam te doen, snel (vlakbij andere grote datacentra) en dichtbij...
Ik raad t ook wel aan om PPTP met IPsec te doen, OpenVPN werkt niet (zonder gekloot met low level permissies) in Windows...

Verwijderd schreef op vrijdag 04 maart 2016 @ 09:17:
Je kan het wat makkelijker maken: Gewoon fysiek scheiden. Dus twee netwerken, twee internetaansluitingen etc...

Dus bv een ADSL voor de jongeren, en een Ziggo kabel (of glasvezel) voor het bedrijf. [...]

Wat heeft de internetverbinding met dit probleem te maken? Dat is echt overkill. Gewoon een goede firewall tussen de twee netwerken en je hebt hetzelfde bereikt. Maar een bedrijfsnetwerk moet gewoon professioneel aangelegd worden, daar ga je geen hobby-oplossing gebruiken.

Is er geen systeembeheerder of ict'er die dat wifi netwerk beheerd ?!

Wifi is altijd onveilig, dus ....

@r!k schreef op vrijdag 04 maart 2016 @ 09:39:
[...]


Strict genomen kun je dat inderdaad beter niet doen. Dan kun je beter de data verbinding van je mobiele telefoon gebruiken (wel rechtstreeks op 3g 4g he, niet je telefoon via diezelfde wifi aansluiten )

Maar de verbinding met de bank loopt over SSL. En 3g is ook niet zo safe, een IMSI catcher kan je zelf bouwen: https://www.element14.com...pi?displayFullThread=true

"WiFi is altijd onveilig" gaat wat ver.

Jullie gebruiken zo te horen 'gewoon' WPA(2)-PSK beveiliging, dus iedereen deelt dezelfde sleutel en zodra je aangemeld bent kun je alle verkeer inzien van andere aangemelde apparaten. Minder handig onder de geschetste omstandigheden.

Maar je kunt waarschijnlijk met bestaande hardware of minimale uitbreiding overstappen op WPA2-Enterprise oftewel iedere individuele gebruiker z'n eigen login geven. Het verkeer van die gebruiker wordt anders versleuteld dan van andere gebruikers, waardoor in ieder geval in de lucht elkaars gegevens niet in te zien zijn. Bijkomend voordeel is dat je in geval van abuse (of gewoonweg vertrek uit het huis) individueel toegang kunt intrekken.

Nagenoeg iedere AP kan in WPA2-Enterprise mode draaien. Je hebt dan een Radius-server nodig, wat in zo'n kleine situatie vaak gewoon op een router mee kan draaien. Is dat met jullie apparatuur niet mogelijk, dan is een minimale losse server genoeg.

Dat WPA gekraakt kan worden is (iig bij WPA2-AES) nog niet bewezen. Het lijkt me onwaarschijnlijk dat de doelgroep hier dat doet, en zo ze dat al kunnen hebben ze dermate veel hogere kennisniveau van netwerken dat je overige maatregelen weinig zin hebben. Lijkt me geen realistische scenario.

En verder is het allicht handig om te werken met aparte VLANs voor bewoners vs medewerkers vs bezoek (voorzover je bezoek erop wilt laten). Administratieve systemen alleen toegankelijk voor medewerkers, evt gedeelde thuisservers alleen voor medewerkers en bewoners.

Maar bovenal heb je iemand nodig die dit voor je beheert. En ja dat kost geld, maar dat hoort eenvoudigweg bij de situatie, evengoed als dat je een loodgieter moet inhuren en niet verwacht wordt dat een medewerker of handige bewoner die lekkage verhelpt...

Als ik af ga op de geschetste situatie zoals is die nu is kunnen bewoners inderdaad data onderscheppen van medewerkers. Ze kunnen zelfs op je pc/laptop komen indien deze niet correct is ingesteld (publiek netwerk). Dit lijkt me dus geen goede situatie.

Er zijn mensen die zeggen wifi is per definitie niet veilig, er is niks per definitie veilig en je zal dan ook op zoek moeten naar de middenweg van veilig en handig. Dit betekent:

Aparte SSID voor bewoners en personeel, 2 verschillende netwerken dus.
Schakel client isolation in, daarmee kunnen zowel bewoners als werknemers niet anders dan het internet op en elkaars apparaten niet zien.
Zorg ervoor dat het wachtwoord voor de wifi lang genoeg is en niet makkelijk te raden is. Het absolute minimale aantal tekens is 9, gebruik vreemde leestekens, hoofdletters en kleine letters en bij voorkeur een willekeurige tekenreeks. Dit maakt bruteforcen een stuk lastiger. Gebruik tevens WPA2 met AES.
Radius gebruiken kan ook een goede optie zijn, maar ook daarbij geld weer dat sterke wachtwoorden gebruiken een verreiste is.
Zorg daarbij dat de Windows intellingen goed staan, bij voorkeur op publiek netwerk, zodat de firewall alle inkomende verbindingen tegenhoud.

Om de wifi goed te regelen zal er waarschijnlijk wel nieuwe hardware aangeschaft moeten worden. Over het algemeen is dit niet mogelijk met de door de provider geleverde apparatuur. Dit hoeft overigens niet eens extreem kostbaar te zijn, ook beetje afhankelijk van de grootte van het gebouw. Beste kan je hier een IT-specialist voor raadplegen.

[ Voor 5% gewijzigd door Verwijderd op 04-03-2016 10:52 ]

Dit is wel leuk om te lezen. Ik werk als ICT-er bij een jeugdzorg instelling. Voor de meeste locaties hebben onze collega's gewoon thin clients die via VPN naar onze hoofdlocatie gaan. Dit gaat soms over dezelfde hardware als de WiFI verbinding maar is dan gescheiden door vlan's.

Wireless is gewoon vrij te gebruiken. Zeggen dat internet bankieren per definitie onveilig is lijkt me een beetje overdreven aangezien deze verbinding gewoon versleuteld is.


Het grootste risico wat ik wekelijks tegen kom? Collega's zonder kennis van ICT die aan de kabels zitten van het netwerk. Dat is het grootste risico. Niet Wifi, maar collega's die niet van kabels af kunnen blijven...

Wij hebben 80+ locaties waarvan veel woonhuizen waar geprobeerd worden jongeren weer in een normale leefomgeving te brengen. Hier zitten vaak kleine kantoortjes met 1 a 2 werkplekken waar geen ruimte is voor afgesloten patch kasten..

Zolang de collega's de meterkasten, kantoren gesloten houden en van de kabels afblijven zijn de grootste problemen verholpen. Druk maken over WiFi is niet echt nodig.

[ Voor 4% gewijzigd door Nopheros op 04-03-2016 10:49 ]

Ik werk bij Ambiq, zorg instelling in oost en noord Nederland.

Denk dat de conclusie van het verhaal is, zorg dat je over HTTPS gebruikt maakt van internet. En als je toch gegevens verstuurd over HTTP zoals een willekeurig forum bijvoorbeeld en je gebruikt dezelfde inloggegevens ook voor belangrijke dingen zoals email etc. wacht dan even tot je thuis bent

[ Voor 6% gewijzigd door Nopheros op 04-03-2016 11:15 ]

Moraal van het verhaal: De mens is de grootste "boosdoener' in dit verhaal. hi..hi...

Verwijderd schreef op vrijdag 04 maart 2016 @ 14:52:
Moraal van het verhaal: De mens is de grootste "boosdoener' in dit verhaal. hi..hi...

Duh. Lees het boek van Kevin Mitnick - ja, hij kon redelijk coden, maar nee, dat was niet wat hem tot beruchte hacker maakte. Puur social engineering oftewel misbruiken van de zwakste schakel: de mens.

Verwijderd schreef op vrijdag 04 maart 2016 @ 10:38:
[...]

Om de wifi goed te regelen zal er waarschijnlijk wel nieuwe hardware aangeschaft moeten worden. Over het algemeen is dit niet mogelijk met de door de provider geleverde apparatuur. Dit hoeft overigens niet eens extreem kostbaar te zijn, ook beetje afhankelijk van de grootte van het gebouw.

Nagenoeg ieder AP of modem/router geval kan WPA2-Enterprise aan. Enige wat je nodig hebt is de Radius-server.

Beste kan je hier een IT-specialist voor raadplegen.

Dit.

Verwijderd schreef op vrijdag 04 maart 2016 @ 11:06:
Wij zijn een kleine organisatie en hebben geen ict'er in dienst. Wij hebben binnenkort 5 huizen, met 4 jongeren en 1 begeleider per huis. In 1 woning zit ook ons kantoor(tje).

Nope, maar zie m'n eerdere voorbeeld: je hebt ook geen loodgieter in dienst. Toch huur je er eentje in als het nodig is. Zeker voor het opzetten van een secure systeem wil je een deskundige. Zij/hij kan het vervolgens zodanig inrichten dat dagelijks beheer door een medewerker met minimale training gedaan kan worden.

dion_b schreef op vrijdag 04 maart 2016 @ 18:17:
[...]

Duh. Lees het boek van Kevin Mitnick - ja, hij kon redelijk coden, maar nee, dat was niet wat hem tot beruchte hacker maakte. Puur social engineering oftewel misbruiken van de zwakste schakel: de mens.

[...]

Ja, dat boek had ik al een jaar of 10 geleden gelezen. Maar dat bedoelde ik dan ook niet met deze zin. Ik borduurde voort op Nopheros die zei dat er collega's aan kabels gaan trekken, etc....

Uhm.... Art of Deception is in 2009 (pas) uitgegeven my bad: Publication date October 4, 2002 I stand corrected.....


.... maar het blijft een intrigerend boek...

[ Voor 28% gewijzigd door Verwijderd op 04-03-2016 22:14 ]