Inloggen op open netwerk met beveiliging

Natuurlijk. Zo zijn er van die macroprogrammatjes waar je programmastarts en muiskliks mee kan uitvoeren. Of je verzint een andere manier. Het gaat wel een hoop moeite kosten, en kan bij de eerste de best update ineens niet meer werken.

Maar mischien dat het een beter idee is om eens even met de netwerkbeheerder te gaan babbelen?

Vetrol schreef op dinsdag 24 juli 2018 @ 08:28:

Er zijn helaas een aantal problemen.

1. De pop-up werkt niet in Chrome, mijn standaardbrowser, om onbekende redenen.
2. In Internet Explorer is er een probleem met het certificaat, wat een extra scherm vormt.
3. Na 4 uur is je sessie verlopen en wordt je eruit geknikkerd.

Is het mogelijk om dit soepeler te laten verlopen? Misschien een script schrijven dat verbindt, het certificaatscherm skipt en inlogt?

Gebruik je addblockers. anti-tracking of andere popup-blockers / privacy tools ?

Indien je het certificaat zelf vertrouwd, kan je het toevoegen aan je 'trusted zone' in IE

Een gastnetwerk is juist dat, voor gasten.
Als gedetacheerde ben je imho wel iets meer, of hebben de "eigen" mensen dezelfde problemen met hun werk-verbindingen ?

Wat voor werkzaamheden moet je dan uitvoeren?? Lijkt me als je voor een bedrijf werk gedetacheerd of niet je bepaalde werkzaamheden moet uitvoeren??

Daarvoor ook resources nodig hebt om je werkzaamheden uit te voeren. Niet dat je full permission op alles moet hebben natuurlijk.

Vetrol schreef op dinsdag 24 juli 2018 @ 12:55:
Hebben we gedaan, helaas moet de beste man zich aan de bedrijfsbrede protocollen houden. Zie quote hieronder voor meer uitleg.

De manier om dat op te lossen is om het protocol aan te passen. En dat kan en mag ook.

Gedetacheerde is niet echt het juiste woord, het is meer in de buurt van uitzendkrachten.
Omdat we zelf niet voor het bedrijf werken, mogen we geen gebruik maken van hun vaste en draadloze netwerk en is het gastnetwerk de enige optie. Daarnaast maken we gebruik van Google Drive, wat op het netwerk van het bedrijf geblokkeerd is en op het gastnetwerk niet.

Het gastnetwerk is overduidelijk bedoeld voor incidenteel gebruik (maximaal vier uur) van bezoekers. Dat ben je niet als je de hele dag aan een project knutselt. Dus er is geen geschikte netwerkfaciliteit voor deze taak en deze groep mensen voorhanden.

Dan heb je dus een casus voor een protocolaanpassing. Dan krijg je inderdaad een derde faciliteit, wellicht een derde SSID. Maar mischien dat een (goedgekeurd) tijdelijk AP met eigen VLAN naar buiten ook heel aardig werkt.* Daar kan best veel, maar je moet dus een protocolkader hebben. Iets voor "tijdelijke werkgroepen".

Het kan zijn dat je dit via je chef bij de uitzendorganisatie moet spelen. Niet om flauw te doen maar omdat hun eigen protocol je daartoe dwingt. Dat roep je er vooraf, achteraf, en tijdens bij.

Het is natuurlijk voor een techneut om hier een technisch probleem in te zien, maar de root cause is in dat bedrijfsbrede protocol. En aangezien het toch de bedoeling is dat het werk gedaan wordt, is het tijd ruimte voor jullie te maken in dat protocol. Dit aankaarten moet dus op managementniveau.

* Overigens, met z'n allen in dezelfde ruimte google drive delen is ook niet echt efficient. Als je een eigen routertje hebt met bestandsdeelfunctie kun je wellicht beter een USB stick of externe drive daar aan hangen en iedereen dat laten gebruiken voor het directe samenwerken. Die lokaliteit maakt het soepeler. En dan evt. een dagelijke back-up naar google drive oid. Daarnaast zal dat google drive blokkeren ook een reden hebben en is het wellicht een goed idee om zelf om een deelfaciliteit te vragen, in plaats van te wachten tot er gedonder over komt. "Jullie hebben dit project HOE gedeeld?!?"

Is vaak niet heel lastig te automatiseren (hangt beetje van de portal af)

Zet in browser de developer toolbar aan, doe het request om in te loggen en met een beetje geluk zie je dit request terug in de network requests met het username en password in de post data. Bij veel browser kun je copy as curl doen waarvan je het resultaat in een .cmd kunt plakken (wel curl even installeren)

@Anoniem: 718429 als iemand aan mijn bureau zou komen met verzoek tot protocol aanpassing omdat de uitzendkracht 2x per dag moet inloggen vanuit internet explorer en hij dus graag wilt dat hier een uitzondering zou voor moeten worden gemaakt zou ik hard lachen uitleggen dat iedere non standard change uiteindelijk tot een ongeorganiseerde instabiele it infra leidt.

Mrja wij hebben het ook ingericht dat het iedere 8 uur inloggen is plus een certificaat geregeld. Beetje vreemde afweging om het iedere 4 uur te doen, voegt security technisch zo goed als niets toe en is alleen irritant (usability)

[ Voor 48% gewijzigd door laurens0619 op 24-07-2018 19:14 ]

To_Tall schreef op dinsdag 24 juli 2018 @ 13:08:
Wat voor werkzaamheden moet je dan uitvoeren?? Lijkt me als je voor een bedrijf werk gedetacheerd of niet je bepaalde werkzaamheden moet uitvoeren??

Daarvoor ook resources nodig hebt om je werkzaamheden uit te voeren. Niet dat je full permission op alles moet hebben natuurlijk.

Op mijn werk is de situatie ongeveer hetzelfde (wat verschillend is is dat wij 8+ uur togangscodes hebben voor het gasten netwerk).

Ik ben gedetacheerd bij het bedrijf en heb een laptop van het bedrijf en heb dus gewoon toegang tot het bedrijfsnetwerk. Een collega die ook gedetacheerd zit maar een BYOD situatie heeft krijgt simpelweg geen toegang tot het bedrijfsnetwerk. Vrij normale situatie als je het mij vraagt.

Je moet het probleem niet zelf gaan oplossen maar voorleggen aan je eigen werkgever (of het bedrijf waar jij gedetacheerd bent). Er zijn diverse truukjes beschikbaar om het probleem wat dragelijker te maken echter is dat geen rechttoe-rechtaan-pasklare oplossing (wat je wel meteen wenst lijkt me).

Het alternatief is vrij simpel door:
1) Een 3G/4G Dongle en/of Router aan te schaffen
2) Je eigen (mogelijk onbeperkte) data verbinding gebruiken van je smartphone en deze dus inzetten als zogeheten WiFi HotSpot

laurens0619 schreef op dinsdag 24 juli 2018 @ 18:57:
@Anoniem: 718429 als iemand aan mijn bureau zou komen met verzoek tot protocol aanpassing omdat de uitzendkracht 2x per dag moet inloggen vanuit internet explorer en hij dus graag wilt dat hier een uitzondering zou voor moeten worden gemaakt zou ik hard lachen uitleggen dat iedere non standard change uiteindelijk tot een ongeorganiseerde instabiele it infra leidt.

Lach hard, en je krijgt een heleboel verborgen non-standard infra.

Die heb je zelfs al, want: "Je hebt internet exploder nodig voor je netwerkverbinding" kun je binnen je organisatie nog net afdwingen mits je ook alle apparaten beheert en dus zorgt dat die internet exploder hebben. Dat kun je eigenlijk niet maken voor je gasten met hun eigen apparaten, het is echt slecht dat te doen.

Bovendien, ik zeg hier ook niet "regel iets niet-standaards", ik zeg vrij expliciet "neem een casus op in je protocol voor dit soort tijdelijke situaties." Je leert de organisatie dus een nieuw standaardtruukje.

Ben ik het niet mee eens, een niet beheerde laptop/Device wil je niet op je corp netwerk hebben.

Als byod policy hebben kan de laptop aan het gasten netwerk gekoppeld worden. Geen probleem. Daarmee blijf je afgescheiden van je corp netwerk servers e.d.

Echter ja IE afdwingen voor authenticatie is niet echt gebruikers vriendelijk. Zit je dan met je debian of mac en kan je geen verbinding maken.

Daarnaast moet je bij de opdracht gever zijn om beklaag te houden dat je zo niet fatsoenlijk kan werken. Zij zullen dan naar een oplossing moeten zoeken. Je zou het ook via je werkgever kunnen aangeven.

Als jij aannemelijk kan maken dat dit je werkzaamheden in de weg zit en niet efficiënt kan werken. Gaat dat je opdrachtgever zelf geld kosten. Willen zij hiermee niet mee werken. Dan moet je het doen zoals het is. Zelfs al houd je collega daarmee andere ook op. Daar kan hij niets aan doen. Kost het je werkgever hierdoor geld omdat je xx uur langer bezig bent dan normaal is dat ook het probleem van je opdrachtgever. Met andere worden het kost hem geld en dat zal hij niet leuk vinden.