Opslag voor twee gescheiden netwerken - Netwerken

Vraag

dinsdag 26 juli 2022 15:18

Acties:

0 Henk 'm!

Topicstarter

Kort verhaal
Ik zoek een USB harde schijf die tevens via een netwerkpoort te benaderen is of een eenvoudige mini NAS/router die een USB schijf via twee gescheiden netwerken toegankelijk kan maken.

Lang verhaal
Voor een projectje moet ik een testsysteem voor een bepaald product maken, waarbij de meetresultaten beschikbaar moeten worden in een Excel of soortgelijk bestand. Voor het betreffende bedrijf heb ik al eens eerder een dergelijke oplossing gemaakt, waarbij de data werd opgeslagen op een kleine PC in het testsysteem. Dat werkte prima, de data werd opgeslagen op een USB stick die de gebruiker mee kon nemen naar zijn eigen werkplek.

Doordat het betreffende bedrijf echter alle USB poorten van de pc's van gebruikers ging blokkeren, werkte dit niet meer. De PC van het testsysteem ging op het bedrijfsnetwerk, waarbij de ICT mannen van dat bedrijf hun poepje op de pc hebben losgelaten. Resultaat was dat de pc alleen maar druk was met het aan de gang houden van de management tools van de ICT mannen en bij iedere update van het testsysteem moesten meerdere personen uit hun ICT hol komen om mij toegang te verlenen tot het systeem. Daarnaast was de PC voorzien van een profiel dat ook werd gebruikt voor kantoormedewerkers, waardoor telkens na een tijdje de schermbeveiliging met wachtwoord werd ingeschakeld. Uiteraard wist niemand dit wachtwoord.

Hoewel ik goed begrijp dat computerveiligheid erg belangrijk is, is dit alles onwerkbaar. Voor het nieuwe testsysteem wil ik dit niet nogmaals, echter wil men wel graag via het netwerk de meetresultaten kunnen zien. Mijn idee is om het systeem te voorzien van een soort van schijf die via gescheiden wegen te benaderen is. Van de ene zijde schrijf ik vanaf mijn testsysteem in de schijf, van de andere zijde, via netwerk, leest het bedrijfsnetwerk gegevens. Beide zijden kunnen elkaar niet zien of benaderen.

Met een Synology of QNAP NAS met twee netwerkpoorten zou zoiets gerealiseerd kunnen worden, maar dat is wel wat overkill. In mijn hoofd zie ik een USB schijf die ook via een netwerkpoort als soort van NAS te benaderen is of een compacte vorm van de Synology/QNAP NAS met twee netwerkpoorten. Bijvoorbeeld een apparaat waar je eenvoudig een USB stick op aansluit met twee netwerkpoorten.

Zoeken leverde mij weinig resultaat op, alleen een PI kloon met twee netwerkpoorten en OpenWRT zou misschien wat kunnen zijn, maar is misschien wat minder vriendelijk te configureren voor de klant.

Iemand een idee?

Alle reacties

dinsdag 26 juli 2022 15:20

Acties:

+7 Henk 'm!

silverball

De wagen voor moderne mensen

Even om tafel met de desbetreffende ICT-mannen is geen optie? Als 'ICT-Man' zou ik erg ongelukkig worden als er in mijn bedrijf een dergelijke oplossing wordt gerold.

[ Voor 51% gewijzigd door silverball op 26-07-2022 23:45 ]

dinsdag 26 juli 2022 15:21

Acties:

+3 Henk 'm!

bdevogt

Lekker neerbuigend verhaal,

Als het om een bestandje gaat waarom niet via de mail automagisch laten versturen ?

'Iedereen is gelijk, maar sommigen zijn meer gelijk dan anderen',. -George Orwell

dinsdag 26 juli 2022 15:23

Acties:

+1 Henk 'm!

bregweb

Zoals eerder gezegd, ga met de betrokkenen om tafel zitten en bedenk een optie die iedereen accepteert.

Betere USB-blokkers laten ook uitzonderingen toe, is dat een optie? 2e optie is een bestand delen in de cloud?

Hattrick: Thorgal Eagles

dinsdag 26 juli 2022 15:28

Acties:

0 Henk 'm!

wolly_a

Topicstarter

@silverball @bdevogt @bregweb Het is zeker niet neerbuigend bedoeld richting de betreffende ICT mannen. Uiteindelijk voeren de mannen ook maar het beleid van het bedrijf uit en hebben ze zeker meegedacht. Hun feedback was eigenlijk 'Als we het kunnen zien op het netwerk en het is Windows, dan zijn de management tools en policies verplicht'. Een oplossing met een NAS ertussen was voor hun prima, vandaar de betreffende vraag.

dinsdag 26 juli 2022 15:28

Acties:

+2 Henk 'm!

lier

MikroTik nerd

Meetsysteem haar (of zijn?) gegevens weg laten schrijven naar een storage waar zowel dat systeem als de gebruikers bij kunnen? Dat lijkt mij een heel eenvoudige vraag richting beheer, kunnen zij dat mooi en veilig inrichten.

Zit je vast aan Windows?

[ Voor 5% gewijzigd door lier op 26-07-2022 15:30 ]

Eerst het probleem, dan de oplossing

dinsdag 26 juli 2022 15:31

Acties:

0 Henk 'm!

wolly_a

Topicstarter

@lier Dat zou prima kunnen, maar in dat geval hangt het systeem aan het bedrijfsnetwerk, dus management tools en policies van het bedrijf verplicht... Het oorspronkelijke idee van schrijven naar een USB stick was eigenlijk de mooiste oplossing voor beide partijen.

dinsdag 26 juli 2022 15:31

Acties:

0 Henk 'm!

silverball

De wagen voor moderne mensen

wolly_a schreef op dinsdag 26 juli 2022 @ 15:28:
@silverball @bdevogt @bregweb Het is zeker niet neerbuigend bedoeld richting de betreffende ICT mannen. Uiteindelijk voeren de mannen ook maar het beleid van het bedrijf uit en hebben ze zeker meegedacht. Hun feedback was eigenlijk 'Als we het kunnen zien op het netwerk en het is Windows, dan zijn de management tools en policies verplicht'. Een oplossing met een NAS ertussen was voor hun prima, vandaar de betreffende vraag.

Als je Linux zou kunnen installeren op de bestaande installatie is dat allemaal snel opgelost dus, of is dat geen optie? Met SMB lijkt dit allemaal vrij triviaal.

[ Voor 4% gewijzigd door silverball op 26-07-2022 15:33 ]

dinsdag 26 juli 2022 15:32

Acties:

0 Henk 'm!

bdevogt

wolly_a schreef op dinsdag 26 juli 2022 @ 15:28:
@silverball @bdevogt @bregweb Het is zeker niet neerbuigend bedoeld richting de betreffende ICT mannen. Uiteindelijk voeren de mannen ook maar het beleid van het bedrijf uit en hebben ze zeker meegedacht. Hun feedback was eigenlijk 'Als we het kunnen zien op het netwerk en het is Windows, dan zijn de management tools en policies verplicht'. Een oplossing met een NAS ertussen was voor hun prima, vandaar de betreffende vraag.

Poepje en hol klinken jammer genoeg wel zo,

Maar je hebt dus al wat antwoorden gehad,

Nas,
Email,
overleg idd wat de ICT'ers mogen met het beleid.
en haal hier de informatie uit voor je testsysteem.

'Iedereen is gelijk, maar sommigen zijn meer gelijk dan anderen',. -George Orwell

dinsdag 26 juli 2022 15:40

Acties:

0 Henk 'm!

wolly_a

Topicstarter

@silverball Linux zou perfect zijn voor het delen van de meetresultaten, ware het niet dat de meetoplossing niet werkt onder Linux.

@bdevogt Zo was het zeker niet bedoeld. Poepje heb ik even als verzamelnaam gebruikt voor een hele reeks aan tools waarmee de ICT mannen van het bedrijf de pc's beheren, op afstand kunnen benaderen, installeren, configureren, beveiligen, etc... En toen ik ze kwam bezoeken zaten ze in een afgelegen, donkere ruimte, ver weg van alle andere kantoren...

Wat betreft mogelijkheden in het beleid, die zijn er helaas niet. Het komt er op neer dat als de pc op het netwerk zit, dan moet de pc geinstalleerd, en geconfigureerd zijn volgens het beleid van het bedrijf. Resultaat was eerder bijvoorbeeld dat de gebruiker van het systeem me belde om te zeggen dat het niet meer werkte. Toen ik kwam was de PC opnieuw geinstalleerd met alleen Windows en de management tools en policies van het bedrijf. Mijn meetsoftware was compleet verdwenen bij de herinstallatie.

We dwalen ook een beetje af van de oorspronkelijk vraag 'Ik zoek een eenvoudige buffer tussen mijn pc en een netwerk'. De rest van het verhaal was meer ter informatie waarom dit nodig was, maar levert nu meer antwoorden op dan de oorspronkelijk vraag.

dinsdag 26 juli 2022 15:42

Acties:

0 Henk 'm!

bdevogt

Terugkomend op je vraag waarom op beide netwerken?

je bestand laten versturen is toch veel minder werk.

Via een smtp server vanaf het testnetwerk en het bestand is op het normale netwerk

'Iedereen is gelijk, maar sommigen zijn meer gelijk dan anderen',. -George Orwell

dinsdag 26 juli 2022 15:45

Acties:

0 Henk 'm!

wolly_a

Topicstarter

bdevogt schreef op dinsdag 26 juli 2022 @ 15:42:
Terugkomend op je vraag waarom op beide netwerken?

je bestand laten versturen is toch veel minder werk.

Via een smtp server vanaf het testnetwerk en het bestand is op het normale netwerk

Dat is een heel goed idee, maar op bijvoorbeeld het bestand te laten versturen met e-mail zou ik op het bedrijfsnetwerk moeten voor internet en dat betekent weer dat alle management tools, beveiliging en policy op de pc geinstalleerd moet worden. Deze tools zorgden de vorige keer voor onderbrekingen in de data van de meetgegevens, problemen bij installatie van updates en het telkens op schermbeveiliging springen.

Voor alle keren dat ik er naartoe ben geweest om problemen op te lossen, had ik wat kosten betreft beter een losse laptop kunnen kopen met Excel erop, zodat de gebruiker de meetresultaten daarop kon openen en inzien. Dat is echter ook wat overdreven natuurlijk.

[ Voor 15% gewijzigd door wolly_a op 26-07-2022 15:46 ]

dinsdag 26 juli 2022 15:49

Acties:

+5 Henk 'm!

bdevogt

Bij ons zou je test machine in een apart zone op de firewall komen,
die alleen port 25 open zou hebben naar de relay server.
echter weet ik natuurlijk niet hoe het is ingericht bij je klant.

De enigste met een zinnig antwoord is toch ICT op locatie

'Iedereen is gelijk, maar sommigen zijn meer gelijk dan anderen',. -George Orwell

dinsdag 26 juli 2022 15:52

Acties:

+1 Henk 'm!

SeatRider

Hips don't lie

Maar als je via 1 netwerk een bestandje neer kan zetten, wat dan via een ander netwerk weer te benaderen is, dan heb je daarmee toch je netwerksegmentatie ongedaan gemaakt? Die segmentatie is er niet voor niks, natuurlijk.

Nederlands is makkelijker als je denkt

dinsdag 26 juli 2022 15:53

Acties:

0 Henk 'm!

wolly_a

Topicstarter

bdevogt schreef op dinsdag 26 juli 2022 @ 15:49:
Bij ons zou je test machine in een apart zone op de firewall komen,
die alleen port 25 open zou hebben naar de relay server.
echter weet ik natuurlijk niet hoe het is ingericht bij je klant.

De enigste met een zinnig antwoord is toch ICT op locatie

De mail oplossing heb ik nog niet direct besproken met de klant, omdat ik in mijn hoofd vast zit aan 'pc aan netwerk=bedrijfstools installeren'. Ik ben bang dat dit ook geldt voor de mail oplossing. Zodoende was ik zelf aan het denken richting een bufferoplossing als netwerkshare. Ik ga ze eens benaderen wat ze vinden van dit idee.

@SeatRider De scheiding tussen netwerken gaat me niet zozeer om bestanden heen en weer tegen te houden. Die bestanden moeten op één of andere manier toch heen en weer. Het ging mij er meer om dat de betreffende Windows pc niet meer zichtbaar in het bedrijfsnetwerk zal zijn, zodat deze pc niet meer geheel afgetimmerd hoeft te worden. Ter informatie, de pc zit helemaal ingesloten in het meetsysteem. Uiteindelijk zit er geen muis of toetsenbord aan, alleen een knop START METEN.

[ Voor 25% gewijzigd door wolly_a op 26-07-2022 15:56 ]

dinsdag 26 juli 2022 15:55

Acties:

0 Henk 'm!

Fr33z

rapsberry pi neerzetten en daar een USB-netwerkkaartje aanzetten? USB stick er in, beetje configgen en gaan? als het de bedoeling is dat het niet in "windows netwerk" zichtbaar is kun je er nog over nadenken om de map bijv. beschikbaar te stellen via webdav met "rsync servce webdav". Dan kan je gebruiker in zijn dichtgetimmere netwerk gewoon via een browser naar "http://ip-adress-rpi:poort" en dan downloaden.

wel een mega gare uitgangspositie zeg. Ik zou in zo'n geval het project gewoon maar stopzetten of een mobiel internet modempje kopen voor die testpc. Ongelooflijk dat er bedrijven zijn die zo proberen te werken.

edit: als ze zo belachelijk blijven doen qua security dan kun je inderdaad beter een cheap laptopje scoren, daar excel op zetten en die dan gebruiken om de resultaten in te zien. Dan kan de gebruiker die daarna mee naar huis nemen, lekker het bestandje emailen en dan ook in het bedrijfsnetwerk zetten (wat een circus zeg

)

[ Voor 52% gewijzigd door Fr33z op 26-07-2022 16:07 ]

dinsdag 26 juli 2022 16:05

Acties:

0 Henk 'm!

wolly_a

Topicstarter

Fr33z schreef op dinsdag 26 juli 2022 @ 15:55:
rapsberry pi neerzetten en daar een USB-netwerkkaartje aanzetten? USB stick er in, beetje configgen en gaan?

wel een mega gare uitgangspositie zeg. Ik zou in zo'n geval het project gewoon maar stopzetten of een mobiel internet modempje kopen voor die testpc. Ongelooflijk dat er bedrijven zijn die zo proberen te werken.

edit: als ze zo belachelijk blijven doen qua security dan kun je inderdaad beter een cheap laptopje scoren, daar excel op zetten en die dan gebruiken om de resultaten in te zien. Dan kan de gebruiker die daarna mee naar huis nemen, lekker het bestandje emailen en dan ook in het bedrijfsnetwerk zetten (wat een circus zeg )

Raspberry PI is een richting. Ik had zelf een kloon gevonden met twee netwerkpoorten. Mogelijk dat ik ook die kan op wil, maar dat vraagt van mijn zijde ook nog wat extra moeite. Het lijkt me mooi dat de klant vanaf de meetapplicatie de netwerkinstellingen van de PI richting hun zijde kan configureren, zodat de boel ook een beetje chique te configureren is. Dat kan vast door wat commando's via SSH richting de PI te sturen vanaf mijn applicatie, maar daar moet ik me nog wat meer in verdiepen.

En tja, het is allemaal heel erg moeilijk en stroef, maar ik denk dat de ICT van de vestiging ook maar te luisteren heeft naar de opdrachten van hogerhand. Daarnaast komen er natuurlijk dagelijks leveranciers als ik die allerlei rechten willen met hun enge pc's vol duistere software. Het is me niet bekend, maar mogelijk zijn ze al eens slachtoffer geworden van ransomware, in het slimste geval via een pc van een extern bedrijf. Dan begrijp ik ook dat je wel wat voorzichtiger wordt.

dinsdag 26 juli 2022 16:06

Acties:

0 Henk 'm!

_H_G_

wolly_a schreef op dinsdag 26 juli 2022 @ 15:18:
Met een Synology of QNAP NAS met twee netwerkpoorten zou zoiets gerealiseerd kunnen worden, maar dat is wel wat overkill.

Waarom is dit overkill? Als ICT zelf aangeeft dat het -wat hun betreft- een prima oplossing is: waarom niet.

dinsdag 26 juli 2022 16:08

Acties:

0 Henk 'm!

timberleek

wolly_a schreef op dinsdag 26 juli 2022 @ 16:05:
[...]
En tja, het is allemaal heel erg moeilijk en stroef, maar ik denk dat de ICT van de vestiging ook maar te luisteren heeft naar de opdrachten van hogerhand.

Dan moet er hogerhand misschien ook eens meegeluisterd worden. Een beetje "computer says no" blijven roepen schiet natuurlijk niet op.
Dan krijg je dus dit soort beun oplossingen waar het allemaal niet perse veiliger of werkbaarder van wordt.

Ik zou het zelf gewoon scherper insturen.
Data is niet langer op afstand uit te lezen, mag niet van ict.
Dan gaan er vanzelf mensen muiten en zal er uit de lengte of de breedte iets moeten komen

Dit soort ict policies....

edit:
trouwens, dit is enkel een issue met windows?
Een overjarige lekke linux distro in het netwerk beuken heeft niemand een probleem mee?
Dat is natuurlijk de (potentiele) situatie tussen nu en een paar jaar als je een rpi/nas/whatever in het systeem gaat proppen als intermediate.

[ Voor 16% gewijzigd door timberleek op 26-07-2022 16:16 ]

dinsdag 26 juli 2022 16:09

Acties:

0 Henk 'm!

Arie-

Ik zie geen andere mogelijkheid dan:
- Of een tweede 'slimmer*' apparaat er tussen
- Of meer rechten voor een afwijkende windows client in het netwerk.

Waarbij een slimmer apparaat van alles kan zijn, zolang 't maar geen Windows bak is.

dinsdag 26 juli 2022 16:16

Acties:

0 Henk 'm!

Frogmen

Wat denk je van een mifi router aan de PC en de bestanden naar de cloud sturen. Kosten wegen niet op tegen de tijd die je er anders in moet steken.
Dit soort bedrijven snappen met hun IT beleid niet dat er ook nog gewerkt moet kunnen worden. Overigens zijn het de beleidsmakers die ze achter het behang moeten plakken, puur alleen maar ieder risico uitsluiten niet beseffend dat ze met hun gedrag nieuwe risico's introduceren.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 26 juli 2022 16:16

Acties:

+6 Henk 'm!

FreakNL

Well do ya punk?

Wat een houtje-touwtje oplossingen allemaal zeg...

Ik vind het ook wel tegenvallen van de gemiddelde Tweaker in dit topic dat er gegrepen wordt naar allerlei thuis-oplossingen waarbij het doel vooral lijkt te zijn de bestaande IT afdeling (en daarbij het bestaande IT beleid) te omzeilen. Als ik zoiets tegenkom in ons bedrijfsnetwerk trap ik je apparatuur de deur uit en jou erbij...

Tijd dat er hier (in samenwerking met de bestaande IT) een design voor gemaakt wordt. En daar past een Raspberry of MiFi natuurlijk niet in..

Als ik een voorzet mag geven;

- Die LOG-PC moet in een gescheiden (OT) netwerk/vlan. LOG-PC wordt eventueel geleverd door de leverancier (jij?) en zit in een geisoleerd VLAN (en komt daar ook niet uit want 802.1X) zonder internet maar wel toegang tot de systemen waar de data vandaan "gepolled" wordt... Wellicht W10 LTSC als OS?
- De gegenereerde data (ik neem aan dat dit losse bestandjes zijn?) kan dan middels een (door lokaal IT gedragen en ondersteund) pakket richting een ander netwerk/vlan (MASV, Rsync, etc) en zo naar de lokale storage van IT (NAS, Fileserver, etc)..

Er zitten nog wel meer haken en ogen aan (bovenstaand is wel heel simpel), maar op deze manier hou je je netwerk segmentatie in ieder geval grotendeels intact.. Tevens heeft de LOG-PC niks te maken met het IT (KA) netwerk dus daar hoeven ook geen tools op.

Ik snap alleen niet zo goed dat jij daar loopt te hobby-en terwijl de lokale IT niet betrokken is. Dit zou een samenwerking moeten zijn... Zorg er gewoon voor dat de lokale IT meedenkt, je opdrachtgever moet dat regelen.. Als er hier iets moet veranderen in de IT omgeving omdat een externe leverancier iets wil dan worden wij gewoon aangehaakt en kijken we hoe het in de huidige kaders past.. Het kan ook dat iets niet in de huidige kaders past, dan delen we dat gewoon mee.. Maar vaak is er wel een andere weg naar Rome of de kaders wordt verschoven.. Dat laatste ben ik niet zo'n fan van maar IT (security) is natuurlijk niet heilig en soms gaat productie voor.... Ik zou me best kunnen voorstellen dat er voor die LOG-PC en PC van gebruiker een uitzondering wordt gemaakt op het USB-beleid (zomaar een voorbeeld van een oplossingsrichting)....

[ Voor 49% gewijzigd door FreakNL op 26-07-2022 19:07 ]

dinsdag 26 juli 2022 16:29

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

wolly_a schreef op dinsdag 26 juli 2022 @ 16:05:
[...]

..

En tja, het is allemaal heel erg moeilijk en stroef, maar ik denk dat de ICT van de vestiging ook maar te luisteren heeft naar de opdrachten van hogerhand. Daarnaast komen er natuurlijk dagelijks leveranciers als ik die allerlei rechten willen met hun enge pc's vol duistere software. Het is me niet bekend, maar mogelijk zijn ze al eens slachtoffer geworden van ransomware, in het slimste geval via een pc van een extern bedrijf. Dan begrijp ik ook dat je wel wat voorzichtiger wordt.

Wij hebben hier veel service/log PC's van externe leveranciers op onze plants.. Maar die zitten gewoon in een geïsoleerd VLAN zonder Internet. Vaak wordt daar data op verzameld van de diverse machines/apparatuur in de fabrieken.. Deze data gaat ofwel naar de leverancier of naar interne afdelingen.. Uiteraard niet direct via Internet (dus geen Onedrive ofzo) maar middels een intern pakket..

PCs worden soms ook gebruikt voor remote toegang (voor de leverancier) tot de machines. In geval van storingen bijvoorbeeld. Dit gaat uiteraard (uiteindelijk) via Internet, maar niet direct (dus geen Teamviewer oid)).. Mocht zo'n PC om wat voor reden dan ook "besmet" raken (en die kans is al zeer klein) dan is er nog weinig aan de hand.. Gewoon afschrijven en een nieuwe neerzetten.

Ik heb hiervoor bij een bedrijf gezeten (ook industrie) wat de servicePCs van de leveranciers in een gasten-VLAN stopte met Internet toegang.. Dat is wel echt een risico, want die leveranciers werken vaak gewoon met LogmeIN of Teamviewer omdat de (IT) kennis er gewoonweg niet is.. Daar hebben we dus een breach gehad, het Teamviewer account van leverancier X was gehackt en er zat een onbekend iemand in de PC.. Gelukkig kwam die ook niet verder want waarschijnlijk wist hij niet wat hij met de tooling van de machine (een kartonpers) aanmoest, dus het leek een random breach, niet gericht...

[ Voor 18% gewijzigd door FreakNL op 26-07-2022 16:41 ]

dinsdag 26 juli 2022 16:34

Acties:

+1 Henk 'm!

Ben(V)

Waar het op neer komt is dat jij denkt dat jouw test omgeving niet kan functioneren als de management tools van het bedrijf op die PC geïnstalleerd worden.
Misschien iets mis met je testomgeving?
Of vind je het gewoon lastig?

En nu wil je de security policies omzeilen door een soort van gedeelde netwerk storage op te gaan zetten.
Waarom denk je dat ze die policies hebben en waarom alle usb poorten van bedrijf pc's geblocked zijn.

Wie denk je dat er aansprakelijk gesteld gaat worden als er via deze weg een ransomeware virus op het bedrijfsnetwerk terecht komt?

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 26 juli 2022 16:40

Acties:

0 Henk 'm!

wolly_a

Topicstarter

@FreakNL Ik loop daar zeker niet te hobby-en en dat is ook helemaal niet mijn doel. In beginsel heb ik gewoon een prima stand-alone meetsysteem geplaatst, zonder koppeling met wat dan ook. Zoiets wordt gevraagd door persoon A van afdeling AB. Alles werkt prima, totdat iemand bedenkt dat het ook wel handig kan zijn dat de bestanden via het netwerk te benaderen zijn en het ding aan het netwerk prikt, waarna de ICT klakkeloos het ding herinstalleert met hun eigen configuratie, waardoor er niets meer werkt. Ik heb alleen contact met persoon A en heb verder geen weet wat hun ICT afdeling, hun policy en manier van werken.

De hele reeks aan tools en verplichte dingen vanuit het bedrijf zorgen ervoor dat mijn meetapplicatie niet goed meer werkt. Zelf kwam ik erachter dat de ICT een virusscanner van McAfee had geinstalleerd die enorm veel belasting veroorzaakte, maar ook een remote view tool waarmee de ICT op alle pc's in het bedrijf mee kan kijken. Daarnaast had ik al genoemd dat bedrijfspolicies vereisten dat pc's automatisch na een korte tijd geen activiteit op schermbeveiliging springt, waarbij daarna een wachtwoord vereist is. Het meetproces duurt langer dan de ingestelde tijd van de schermbeveiliging, wat enorm lastig is. Al deze dingen zijn verder niet te overleggen, dus hier kom ik niet vanaf zolang er een netwerkstekker van het bedrijf in de pc van mijn meetoplossing zit.

De USB stick oplossing is uiteindelijk het meest makkelijk. Mijn meetoplossing standalone laten. USB stick erin voor de data. Alleen kan de gebruiker het daarna niet verder verwerken, omdat er geen USB sticks zijn toegestaan in bedrijfs pc's, dus ook niet in zijn eigen pc. Ook bedrijfspolicy en ook hier is niet over te onderhandelen.

Alles wat je noemt, is dus niet mogelijk. De ICT mannen zelf noemen de NAS oplossing.

@Ben(V) Ik wil niet eens op hun netwerk zitten. Dat heeft het bedrijf zichzelf bedacht. Ik wil ook geen lekke toestand realiseren, hoewel het eerder zal zijn dat mijn systeem vanuit het bedrijf geinfecteerd zal raken. Mijn systeem is een geheel gesloten doos met alleen een knop START METEN. Geen mogelijkheden om te internetten, geen USB poorten, geen toetsenbord, geen muis, geen niets.

Hun management en beveiligingstools hadden voor mij prima erop kunnen staan, echter moet tijdens de meting in korte tijd een hele berg informatie en beelden verwerkt worden. Als dan hun zware virusscanner tussendoor ook gaat meedoen en hun tools de pc gaan belasten, dan mist het systeem net het moment waar het om gaan. Ik zou één of andere mega pc neer kunnen zetten, zodat deze hun tools makkelijker kan trekken, maar dat is ook wel een beetje omgekeerde wereld. En dan is er ook nog de genoemde schermbeveiliging die automatisch telkens aanspringt. Niets aan te wijzigen, want policy.

[ Voor 20% gewijzigd door wolly_a op 26-07-2022 16:46 ]

dinsdag 26 juli 2022 16:44

Acties:

+1 Henk 'm!

FreakNL

Well do ya punk?

wolly_a schreef op dinsdag 26 juli 2022 @ 16:40:
@FreakNL Ik loop daar zeker niet te hobby-en en dat is ook helemaal niet mijn doel. In beginsel heb ik gewoon een prima stand-alone meetsysteem geplaatst, zonder koppeling met wat dan ook. Zoiets wordt gevraagd door persoon A van afdeling AB. Alles werkt prima, totdat iemand bedenkt dat het ook wel handig kan zijn dat de bestanden via het netwerk te benaderen zijn en het ding aan het netwerk prikt, waarna de ICT klakkeloos het ding herinstalleert met hun eigen configuratie, waardoor er niets meer werkt. Ik heb alleen contact met persoon A en heb verder geen weet wat hun ICT afdeling, hun policy en manier van werken.

De hele reeks aan tools en verplichte dingen vanuit het bedrijf zorgen ervoor dat mijn meetapplicatie niet goed meer werkt. Zelf kwam ik erachter dat de ICT een virusscanner van McAfee had geinstalleerd die enorm veel belasting veroorzaakte, maar ook een remote view tool waarmee de ICT op alle pc's in het bedrijf mee kan kijken. Daarnaast had ik al genoemd dat bedrijfspolicies vereisten dat pc's automatisch na een korte tijd geen activiteit op schermbeveiliging springt, waarbij daarna een wachtwoord vereist is. Het meetproces duurt langer dan de ingestelde tijd van de schermbeveiliging, wat enorm lastig is. Al deze dingen zijn verder niet te overleggen, dus hier kom ik niet vanaf zolang er een netwerkstekker van het bedrijf in de pc van mijn meetoplossing zit.

De USB stick oplossing is uiteindelijk het meest makkelijk. Mijn meetoplossing standalone laten. USB stick erin voor de data. Alleen kan de gebruiker het daarna niet verder verwerken, omdat er geen USB sticks zijn toegestaan in bedrijfs pc's, dus ook niet in zijn eigen pc. Ook bedrijfspolicy en ook hier is niet over te onderhandelen.

Alles wat je noemt, is dus niet mogelijk. De ICT mannen zelf noemen de NAS oplossing.

En daar gaat het fout.

Hij had een request bij de IT afdeling moeten neerleggen dat hij de data van de LOG-PC op een gemakkelijke manier op zijn eigen (KA) PC wil kunnen benaderen.

Eigenlijk moet jij die LOG-PC gewoon leveren en in conclaaf (via persoon A) met de lokale IT. Of de lokale IT moet een "lege" PC leveren (bijvoorbeeld W10 LTSC).

Zie mijn vorige post voor een uitgebreide uitleg..

Het kan ook zijn dat het bedrijf helemaal niet klaar is voor zoiets als dit.. Zijn er bijvoorbeeld wel gescheiden (OT) VLANs? En waarom moet al die tooling erop als het om een OT PC gaat zonder Internet? Volgens mij heb je eerder met de servicedesk te maken gehad ofzo...

Anyways, hier moet een design voor komen.. Klinkt als een klusje voor de lokale Solutions Architect.

Ben het wel met je eens dat de "oplossing" van IT wat rücksichtslos is. Maar wij weten de historie ook verder niet, misschien is persoon A wel een enorme cowbow.. We kennen ze allemaal, die gasten die bijvoorbeeld een eigen AP in de wall-outlet prikken...

[ Voor 6% gewijzigd door FreakNL op 26-07-2022 16:48 ]

dinsdag 26 juli 2022 16:47

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

Is het niet beter om dit via de 'CISO' bij je klant te spelen in plaats van het direct bij 'De ICT Mannen' aldaar te beleggen?

Die 'ICT Mannen' voeren (als het goed is) alléén maar werkzaamheden uit en gaan niet over het (security) beleid wat er gevoerd wordt binnen dat bedrijf. Er geldt daar waarschijnlijk een gegronde policy om géén data middels bepaalde kanalen uit te kunnen wisselen met bjvoorbeeld leveranciers..... 'De ICT Mannen' geven nu eigenlijk alleen maar work-arounds óm dat interne beleid heen

[ Voor 11% gewijzigd door Will_M op 26-07-2022 16:58 ]

Boldly going forward, 'cause we can't find reverse

dinsdag 26 juli 2022 16:50

Acties:

+5 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Laat de ICT mannen maar een oplossing bedenken. Dit ga je zo niet winnen. Je bent namelijk niet alleen bezig met een technische oplossing maar ook met een manier om je aan het beleid te ontrekken. Dat wordt over het lgemeen niet gewaardeerd. Als jouw project niet compatible is met het beleid dan zal dat eerst moeten worden opgelost.

Als de mannen van ICT geen oplossing hebben moet je terug naar je opdrachtgever. Die zal een keuze moeten maken tussen het beleid van ICT en het belang van jou project.

Een systeem aan twee netwerken koppelen zonder toestemming van ICT is ook een echte no-no en vragen om een pittige reactie.

Als het probleem is dat het systeem uberhaupt niet aan het netwerk mag zonder hun tooling dan moeten ze dat gewoon niet doen of de gevolgen voor lief nemen, zoals dat jouw systeem niet meer werkt.

Over het algemeen kan ik alleen maar zeggen dat je geen twee beheerders op 1 systeem wil. Als het bedrijf hun PC's zelf wil beheren met hun eigen software dan moeten ze ook maar zorgen voor hardware die snel genoeg is en de juiste rechten heeft voor jouw applicatie. Of je levert zelf de PC en al het beheer dat daar bij hoort. Dat betekent ook dat je het ding zo beveiligd dat de afdeling IT het apparaat niet zomaar kan herinstalleren. In mijn omgeving is dat echter niet echt acceptabel. Wij beheren onze spullen en niemand van buiten af. Ik besef wel dat veel organisaties daar anders mee om gaan en soort full-service van de leverancier verwachten. Dan zullen ze je ook de benodigde rechten moeten geven. Het is het een of het ander.

[ Voor 6% gewijzigd door CAPSLOCK2000 op 26-07-2022 17:27 ]

This post is warranted for the full amount you paid me for it.

dinsdag 26 juli 2022 16:52

Acties:

0 Henk 'm!

Ben(V)

Tja dan zul toch zelf even in het hol van die Ict-ers moeten kruipen (jouw woorden) en overleg plegen hoe je dit oplost.

Ik ken bedrijven waar ze speciaal hiervoor een PC hebben staan met usb waar niet iedereen toegang toe heeft en extra virus software maar wel in het netwerk.

Of je geeft gewoon een USB stick met de data aan je klant, dan is het gewoon zijn probleem hoe hij dat op z'n pc krijgt.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 26 juli 2022 16:54

Acties:

0 Henk 'm!

wolly_a

Topicstarter

@FreakNL @Will_M Uiteindelijk is dit hele gebeuren ook niet mijn probleem, maar wordt het nu mijn probleem gemaakt. Dit hele feest is iets wat het bedrijf eigenlijk zelf moet uitzoeken en met elkaar moet regelen. Echter is aan het eind van de dag mijn systeem stuk en dan bellen ze mij.

@CAPSLOCK2000 Ik denk dat ik uiteindelijk ook met deze boodschap terug ga naar de klant. Het is altijd een beetje balen dat ik wel tussen twee vuren in zit. Persoon A van klant wil natuurlijk het liefst dat ik het gewoon regel en is misschien al wel heel vaak tegen ICT aangelopen en heeft daardoor zelf ook geen zin om hier tussen te zitten.

dinsdag 26 juli 2022 16:59

Acties:

+1 Henk 'm!

Tsurany

⭐⭐⭐⭐⭐

Naar mijn idee zijn er twee opties. De eerste optie is, zoals hierboven door @FreakNL aangegeven, kijken wat er binnen het huidige bedrijfsnetwerk mogelijk is om dit veilig en compliant neer te zetten. De tweede optie is om dit volledig te ontkoppelen van het bedrijfsnetwerk via of een gast netwerk of een eigen 4G/5G internet verbinding en de data via mail of een eigen webportal beschikbaar te maken.

Hangt er ook sterk vanaf wat er gemeten wordt met het test systeem, kan je daar wat meer over vertellen?

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 26 juli 2022 17:03

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

Tsurany schreef op dinsdag 26 juli 2022 @ 16:59:
Naar mijn idee zijn er twee opties. De eerste optie is, zoals hierboven door @FreakNL aangegeven, kijken wat er binnen het huidige bedrijfsnetwerk mogelijk is om dit veilig en compliant neer te zetten. De tweede optie is om dit volledig te ontkoppelen van het bedrijfsnetwerk via of een gast netwerk of een eigen 4G/5G internet verbinding en de data via mail of een eigen webportal beschikbaar te maken.

Hangt er ook sterk vanaf wat er gemeten wordt met het test systeem, kan je daar wat meer over vertellen?

Ga jij nu adviseren om alsnog het klant domein (lees: netwerk) te ontsluiten met de buitenwereld via een 4G/5G mobiel netwerk / bridge?

Boldly going forward, 'cause we can't find reverse

dinsdag 26 juli 2022 17:07

Acties:

0 Henk 'm!

wolly_a

Topicstarter

Tsurany schreef op dinsdag 26 juli 2022 @ 16:59:
Naar mijn idee zijn er twee opties. De eerste optie is, zoals hierboven door @FreakNL aangegeven, kijken wat er binnen het huidige bedrijfsnetwerk mogelijk is om dit veilig en compliant neer te zetten. De tweede optie is om dit volledig te ontkoppelen van het bedrijfsnetwerk via of een gast netwerk of een eigen 4G/5G internet verbinding en de data via mail of een eigen webportal beschikbaar te maken.

Hangt er ook sterk vanaf wat er gemeten wordt met het test systeem, kan je daar wat meer over vertellen?

4G/5G internet is iets dat ik ook al heb bedacht en eigenlijk een hele mooie oplossing, los van het feit dat ik dan de maandelijkse kosten draag voor de verbinding. Het systeem is nu met een vaste prijs verkocht, dus ik kan nu niet zo goed meer met maandelijkse kosten aankomen. Een verbinding via het gast netwerk is wel een heel goed idee. Daar heb ik nog niet aan gedacht. Dat moet goed mogelijk zijn. Ik ga er niet vanuit dat gasten verplicht worden om een hele reeks tools op hun laptop te installeren. Dankjewel voor het constructief meedenken.

Uiteindelijk is het aanbieden van de data via mail een prima oplossing. Een eigen webportal geeft me alleen maar meer werk.

De data die van het meetsysteem komt is een CSV of Excel bestand met wat resultaten van de meting en wat afbeeldingen van afwijkingen die aangetroffen zijn in de samples.

@Will_M Ik vind het geen gekke gedachte. Het gaat het bedrijf erom dat er geen onbeveiligde pc's in het netwerk zitten, wat op deze manier goed lukt. Daarnaast wil de afdeling van het bedrijf gewoon hun data, dus die zijn ook tevreden, lijkt me.

[ Voor 7% gewijzigd door wolly_a op 26-07-2022 17:10 ]

dinsdag 26 juli 2022 17:26

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

@wolly_a Nogmaals: Alles wat je lijkt te willen bereiken is onderhevig aan het securitybeleid van je klant en zou dus via een 'CISO' moeten lopen. Je lijkt je nu alleen te richten op de beheerders van de Werkplekken (en misschien Servers) binnen dat klantdomein terwijl er ook nog een stukje Netwerk onder zit waar bijvoorbeeld ook de Firewall's onder vallen.

Jij wilt data van 'A naar B' transporteren dus heb je die laatste 'club' qua beheerders nu nodig en die laten zich meestal niet (makkelijk) commanderen door (bijvoorbeeld) een Windows Werkplek Beheerder....

Boldly going forward, 'cause we can't find reverse

dinsdag 26 juli 2022 17:31

Acties:

+3 Henk 'm!

burnedhardware

Zoals hierboven beschreven is, zijn de meeste "oplossingen" een ondermijning van het security beleid. Daar moet je niet aan (willen) meewerken. Ook alle houwtje-touwtje oplossingen moet je bij wegblijven: het gaat een keer kapot en dan wordt van jouw verwacht dat je het repareert (op het slechtst mogelijke moment).

Vaak zijn laboratorium pc's niet of slecht gepatched, zijn ze niet of beperkt hardened en missen ze zaken als antivirus. Dat wil je gewoon niet aan het internet knopen.

Vraag de lokale IT afdeling verantwoordelijke om een oplossing voor de data flow: Dat kan zoiets simpel zijn als een gaatje in de firewall naar een FTP(S) server die zij beheren. Op die server kan een script draaien die het bestand doorstuurt naar een fileshare waar de business bij kan.

dinsdag 26 juli 2022 17:41

Acties:

+6 Henk 'm!

Drardollan

Ik kan je enkel vertellen wat ik zou doen als "IT Man" die uit zijn "hol" kruipt.
En wat ik zou doen is heel simpel: die PC verdwijnt direct de shredder in (theoretisch). Dat zou niet de eerste keer zijn, ooit een grapjurk gehad die zelf onbeveiligde wifi punten in mijn netwerk aan het plaatsen was want dat was lekker makkelijk voor de gebruiker......

Wat jij als leverancier bedenkt is prima, maar doet voor mij niet ter zake. Dit is een probleem van mij en de interne collega die dit heeft aangekocht. Daarmee moet ik het oplossen, daar begint het. En dan zou ik contact met je gaan opnemen, wensen en eisen bekijken en vervolgens zien wat de beste oplossing is. Want er is altijd een oplossing, maar die vereist overleg en planning.

Zie ook niet zo goed waarom jij een bijdrage moet gaan leveren aan een oplossing. Jij levert de meetoplossing en de rest moet het bedrijf maar uitvogelen. En of dat een medewerker wordt die met USB sticks moet gaan zeulen, dat er een NAS bijkomt of een PC met speciale rechten dat is niet aan jou.

Als ik het zo hoor is de IT afdeling daar prima capabel en ik lees hier al diverse oplossingen die ik zelf ook zou aandragen. Als ze de beveiliging zo goed op orde hebben daar, dan kunnen ze hier ook vast een werkbare oplossing voor bedenken.

[ Voor 10% gewijzigd door Drardollan op 26-07-2022 17:42 ]

Automatisch crypto handelen via een NL platform? Check BitBotsi !

dinsdag 26 juli 2022 19:04

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

Het lijkt er vooral op dat de requirements (bestanden benaderen) niet helder zijn gemaakt door A.

Dat is in principe inderdaad niet de TS zijn probleem, mits hij alleen de meet-applicatie levert.

dinsdag 26 juli 2022 20:36

Acties:

0 Henk 'm!

Frogmen

@FreakNL Je hebt helemaal gelijk in een wereld waar budget en uren inzet geen enkel probleem vormen gaat je dit lukken. De werkelijkheid is dat een mifi oplossing als voorbeeld € 100,- en € 25,- per maand kost. Hoe lang kan jouw IT afdeling voor dat geld aan de gang?
Stel dat geld geen probleem is, wanneer hebben jullie de oplossing gereed. Want is niet de realiteit dat het gros van de IT afdelingen onderbezet is.
Ik werk in de facilitaire kant maar wij realiseren ons dat we er zijn om het bedrijfsproces te ondersteunen niet te frustreren. Dat je toegangspas werkt en er geen pincode op zit die iedere 4 weken verandert moet worden.
Misschien heeft het ook wel alles te maken met beleid toch werk ik bij een groot bedrijf en mag ik zelfs zelf software installeren op mijn laptop als ik dat wil en kan ik bijna alles zonder enig probleem en is hij gewoon vlot. Is de clients helemaal dicht blokkeren niet heel erg achterhaald waarom niet gewoon zorgen dat je servers goed beveiligd zijn. Bedenk ook dat zolang er nog geprint en gemaild kan worden kan een handige jongen heel veel.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 26 juli 2022 21:30

Acties:

+2 Henk 'm!

FreakNL

Well do ya punk?

Wat wil je nou eigenlijk zeggen?

Dat meetsysteem van “A” gaat het bedrijf toch geld opleveren? Of is dat gewoon voor de hobby?

Maar prima joh, lekker met mifi rommel aan de gang. Maar dan hoeft “A” ook niet bij de ICT afdeling aan te kloppen als het niet werkt en (erger) hij mag bij productie gaan uitleggen hoe het kan dat die LOG-PC gehackt kon worden via Internet en daardoor het bedrijfsproces een week stillag…

Dit heeft niks met frustreren te maken. Dat je ICT afdeling onderbezet is betekent niet dat je daarom maar shortcuts moet gaan nemen. Nee, dan is het aan je IT baas om meer geld los te peuteren bij de board (met een goed verhaal).

[ Voor 21% gewijzigd door FreakNL op 26-07-2022 21:32 ]

woensdag 27 juli 2022 08:29

Acties:

+1 Henk 'm!

bregweb

Ik krijg ook het gevoel dat het bedrijf jou opzadelt met hun gebrekkige interne communicatie/werkprocessen.

Zij willen ICT-beleid en zij willen meetgegevens en jij krijgt de problemen

Ga met hun om tafel en laat hun bepalen wat zij uiteindelijk willen. Wij kunnen hier een leuke oplossing bedenken, maar als morgen het ICT beleid verandert kan de gehele boel weer omvallen.

Het bedrijf wil, dan moet het bedrijf dat ook mogelijk maken, niet jij.

Hattrick: Thorgal Eagles

woensdag 27 juli 2022 09:09

Acties:

0 Henk 'm!

Tsurany

⭐⭐⭐⭐⭐

Will_M schreef op dinsdag 26 juli 2022 @ 17:03:
[...]

Ga jij nu adviseren om alsnog het klant domein (lees: netwerk) te ontsluiten met de buitenwereld via een 4G/5G mobiel netwerk / bridge?

Nee ik adviseer om het systeem dan volledig te ontkoppelen van het klanten domein en enkel de data via SMTP of een webportal aan te bieden. De vraag is dan vooral of het meetsysteem afhankelijk is van klantsystemen of volledig op zichzelf staat, is dat laatste het geval dan is het geen probleem lijkt me.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

woensdag 27 juli 2022 09:22

Acties:

0 Henk 'm!

laurens0619

wolly_a schreef op dinsdag 26 juli 2022 @ 15:28:
@silverball @bdevogt @bregweb 'Als we het kunnen zien op het netwerk en het is Windows, dan zijn de management tools en policies verplicht'. Een oplossing met een NAS ertussen was voor hun prima, vandaar de betreffende vraag.

Helemaal eens dat “dit samen met it opgelost moet worden” maar als ik dit hierboven lees is dag overleg al geweest?

It zegt: zet er een nas tussen en die windows pc
Moet van het netwerk af.

Als dat het beleid van it is:
Vraag of ze een nas installeren en beheren met 2 netwerk poorten
Kabel 1 gaat naar meet pc
Kabel 2 gaat naar netwerk klant

Bijvoorbeeld deze nas
pricewatch: Synology DiskStation DS418 (zonder harde schijven)

Als IT het hele nas stuk doet hoef jij alleen ip en smb details te weten om de data weg te schrijven naar de share

[ Voor 58% gewijzigd door laurens0619 op 27-07-2022 10:19 ]

CISSP! Drop your encryption keys!

woensdag 27 juli 2022 11:28

Acties:

0 Henk 'm!

Sethro

Je hebt het over een product voor een vaste prijs. Die heb je geleverd.

Nu veranderen de wensen/eisen en jij moet daar iets voor doen. Dat betekent dus een nieuwe offerte inclusief randvoorwaarden.

Hierin kun je dan opnemen dat de opdrachtgever zorgt voor een internetverbinding of een storage oplossing. En dat er geen software van bedrijf op de meetpc wordt geïnstalleerd. De opdrachtgever mag dit verder zelf met de eigen organisatie verzorgen.

[ Voor 8% gewijzigd door Sethro op 27-07-2022 11:29 ]

woensdag 27 juli 2022 12:16

Acties:

0 Henk 'm!

core_dump

Zet een Synology neer met 2 netwerkpoorten of gebruik een oude PC met 2 netwerkkaarten en klaar..

woensdag 27 juli 2022 13:06

Acties:

+1 Henk 'm!

MasterL

Moderator Internet & Netwerken

Ik snap deze hele setup überhaupt niet, kreeg eigenlijk al een wegtrekker bij "een pc in het netwerk" en "twee netwerk poorten". Kan je niet gewoon de IT afdeling verzoeken een VM o.i.d. op te leveren met een share die benaderbaar is voor de gebruikers?

Zo ingewikkeld is het niet:
1: VM die voldoet aan jouw (functionele) eisen eventueel geplaatst in een apart VLAN.
2: Desnoods custom policies toepassen op de VM.
3: Share die benaderbaar is voor de (authenticated) users.

Niet zo heel ingewikkeld om een apart VLAN aan te maken en aan de hand van firewall rules
de boel af te schermen.

Jij hebt toch ook helemaal geen zin om een pctje ergens te gaan beheren?
Ik weet nie hoe mission critical deze applicatie is maar hier krijg je natuurlijk gezeik mee, harde schijf stuk..voeding die een keer het loodje legt. Back-ups?

woensdag 27 juli 2022 14:18

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

Een NAS met 2 netwerk-poorten is natuurlijk ook verre van veilig. Wederom is dat een houtje-touwtje-thuis-oplossing.... Hoe kom je erop.... Net als een PC met 2 touwtjes

Dat de lokale IT dit roept (een NAS) is omdat zij waarschijnlijk ook geen idee hebben.. Je hebt daar misschien met een beheerclub (of servicedesk) te maken die verder niks uitdenken of beslissen.

@MasterL je idee is op zich prima, maar omdat het hier om een "meet-applicatie" gaat zou het zomaar kunnen zijn dat de gegevens niet via TCP binnenkomen.. Wellicht RS232 of USB of misschien zelfs iets propriëtairs...

Als het wel gewoon TCP is dan onmiddelijk middels een VM oplossen uiteraard... Meetgegevens binnen laten komen op een apart VLAN en de VM ook aan dat VLAN hangen. Meet-applicatie op de VM en de gegevens naar IT (KA) syncen middels een gecontroleerde/geaccepteerde methode.

Will_M schreef op dinsdag 26 juli 2022 @ 17:26:
@wolly_a Nogmaals: Alles wat je lijkt te willen bereiken is onderhevig aan het securitybeleid van je klant en zou dus via een 'CISO' moeten lopen. Je lijkt je nu alleen te richten op de beheerders van de Werkplekken (en misschien Servers) binnen dat klantdomein terwijl er ook nog een stukje Netwerk onder zit waar bijvoorbeeld ook de Firewall's onder vallen.

Jij wilt data van 'A naar B' transporteren dus heb je die laatste 'club' qua beheerders nu nodig en die laten zich meestal niet (makkelijk) commanderen door (bijvoorbeeld) een Windows Werkplek Beheerder....

Een CISO wil/moet zich helemaal niet bezig houden met dit soort lowlevel zaken.

Dit is met uitstek een designklus voor een Solutions Architect/Engineer die zich op zijn beurt weer aan de standaarden van security (en netwerk, server, werkplek, etc) dient te houden. En mocht dan blijken dat het NIET binnen de kaders past kunnen we altijd die CISO nog lastig vallen.

[ Voor 119% gewijzigd door FreakNL op 27-07-2022 14:28 ]

woensdag 27 juli 2022 15:17

Acties:

0 Henk 'm!

burnedhardware

Ik blijf dit een raar draadje vinden. maar nu ik het teruglees zie ik dat je het hebt over een instrument met netwerkaansluiting waarop data wordt gegenereerd die moet worden ontsloten naar een (standard) computer in het IT netwerk.

wellicht kan je IT vragen om een standaard PC te leveren met een extra "instrument netwerk kaart"
en vervolgens (alleen) het instrument met een cross cable rechtstreeks aan te sluiten op deze pc.

Vanaf de pc kan de eindgebruiker de data downloaden vanaf het instrument via bijvoorbveeld web of ftp en kan hij deze data opslaan op een fileshare. Door deze constructie heb je geen unmanaged devices in het netwerk en geen howtje touwtje oplossingen. edit: het is wel een pc, en dan wil je dit soort constructies niet.

[ Voor 10% gewijzigd door burnedhardware op 27-07-2022 15:23 ]

woensdag 27 juli 2022 19:24

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

wolly_a schreef op dinsdag 26 juli 2022 @ 16:40:
... En dan is er ook nog de genoemde schermbeveiliging die automatisch telkens aanspringt. Niets aan te wijzigen, want policy.

Kwenie hoor, maar ook dat zou geen probleem moeten vormen. Het gaat om het verzamelen van meetresultaten en dat verzamelen loopt rustig door; ook als het scherm uit staat.

Kort en goed komt het er op neer dat jij in het ontwerp van je meetopstelling rekening moet houden met de beperkingen die op het netwerk gelden. En vooralsnog is jou enige reactie: "dat wil ik niet". En dat ga je verliezen. Want een ICT aflevering hoort de baas te zijn over het netwerk wat zij beheert. En een ICT afdeling weigert nou eenmaal apparaten die niet aan hun voorwaarden voldoen. En dat is terecht; dat is hun bestaansrecht.

Dus ga de discussie aan met de ICT afdeling. Vertel wat jouw randvoorwaarden zijn en laat de ICT afdeling een creatieve oplossing verzinnen.

QnJhaGlld2FoaWV3YQ==

woensdag 27 juli 2022 22:50

Acties:

+1 Henk 'm!

wolly_a

Topicstarter

@Brahiewahiewa Serieus? Ik moet in mijn ontwerp van een (oorspronkelijk stand-alone) meetoplossing rekening houden met alle beperkingen van alle ICT mensen van alle klanten? Er staan wereldwijd tientallen van dergelijke meetoplossingen. What's next? Moet ik straks overal de systemen voorzien van 'blauwe M&M's voor klant A, een speciale rustgevende kleur behuizing voor klant B, allerlei aangepaste instellingen voor klant C, een speciale mooie wallpaper....' en ga zo door en dan zeg jij dat mijn enige reactie is 'Dat wil ik niet'? Terwijl in de basis iemand alleen een bestandje nodig heeft van een computer? Hoe simpel wil je het hebben.

Om de vraag af te sluiten, hierbij het vervolg... Ik heb vandaag overleg gehad met de betreffende klant en hun ICT afdeling om te zoeken naar een oplossing waar alle partijen mee tevreden waren. Daarbij heb ik wat suggesties uit de reacties genoemd. De ICT afdeling gaf aan dat 'ze hun werk prima zelf konden doen op hun manier'. De klant zelf werd ondertussen ook al mooi kriebelig en gaf aan dat het allemaal wel een heel gedoe werd zo en dat 'ie een meetoplossing wilde om zijn werk makkelijker te maken, niet moeilijker.

Uiteindelijk heb ik met de klant afgesproken dat ik in het systeem een eenvoudige tabel met dagelijkse resultaten weergeef, die de klant dan met de hand overtypt in Excel op zijn laptop. Lang leve de techniek van tegenwoordig.

In principe is mijn vraag in deze beantwoord door eigenlijk onbeantwoord te blijven. Jullie mogen van mij nog een tijdje door discussiëren hierover, maar voor mij is dit redelijk afgesloten.

donderdag 28 juli 2022 09:03

Acties:

+1 Henk 'm!

Kabouterplop01

chown -R me base:all

wolly_a schreef op woensdag 27 juli 2022 @ 22:50:
@Brahiewahiewa Serieus? Ik moet in mijn ontwerp van een (oorspronkelijk stand-alone) meetoplossing rekening houden met alle beperkingen van alle ICT mensen van alle klanten? Er staan wereldwijd tientallen van dergelijke meetoplossingen. What's next? Moet ik straks overal de systemen voorzien van 'blauwe M&M's voor klant A, een speciale rustgevende kleur behuizing voor klant B, allerlei aangepaste instellingen voor klant C, een speciale mooie wallpaper....' en ga zo door en dan zeg jij dat mijn enige reactie is 'Dat wil ik niet'? Terwijl in de basis iemand alleen een bestandje nodig heeft van een computer? Hoe simpel wil je het hebben.

Iets in die strekking ja, als de ontwerpers van dat netwerk (de ICT beheerder) vinden dat dat zo moet, dan heb je geen keus.
Als je het veilig wilt doen dan koppel je zaken zoals de beheerder dat wil. En niet hobby Bob omdat wie dan ook dat wil. Er is vast een slimmere Bob die kan bedenken hoe dat moet.
Dus de strekking "ik wil dat niet" komt heel dicht in de buurt.

Netwerksegmenten koppel je d.m.v router ("ongelijke netwerken") met een filter, in netwerkland heet dat een firewall, specifiek om op de netwerklaag alles dicht te kunnen zetten, behalve dat wat nodig is.
Opslag voor 2 gescheiden netwerken suggereert dat je 2 netwerken gaat koppelen op die doos en die zijn daar netwerktechnisch niet voor gemaakt. (met als uitzondering je beheeromgeving)
Technisch gezien gaat het om de routering op zo'n machine tussen de segmenten weg te halen. Je wil geen verkeersstromen die daar niet horen.

kort door de bocht je zult aan het beleid moeten voldoen vanwege de integriteit van dat netwerk. "comply or d**"

oftewel voldoe je niet aan het beleid ga je van het netwerk af.

Met een flinke zak geld maken ze heus wel iets moois voor jou en de klant. Maar zoals je zelf aangeeft lijkt het erop dat de organisatie van de beheerder ook afnemer is van de data. Als dat zo is dan moet de klant met dié partij om de tafel om te laten bouwen wat je wil. Misschien maken ze het dan mooier en geautomatiseerd op een nog slimmere manier dan die jij hebt bedacht

donderdag 28 juli 2022 09:25

Acties:

+2 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Even twee netwerken verbinden omdat het handig is. Dat is hoe bedrijven op het nieuws komen en even later failliet zijn. *kuch* DigiNotar

wolly_a schreef op dinsdag 26 juli 2022 @ 15:18:
Resultaat was dat de pc alleen maar druk was met het aan de gang houden van de management tools van de ICT mannen en bij iedere update van het testsysteem moesten meerdere personen uit hun ICT hol komen om mij toegang te verlenen tot het systeem.

Daarnaast was de PC voorzien van een profiel dat ook werd gebruikt voor kantoormedewerkers, waardoor telkens na een tijdje de schermbeveiliging met wachtwoord werd ingeschakeld. Uiteraard wist niemand dit wachtwoord.

-Gewoon allemaal inloggen met de eigen account?
-Wat is er mis met op schermbeveiliging gaan, de opslag wordt er niet anders van
- Een NAS continu heeft helemaal geen GUI?
- Als een wachtwoord onthouden niet lukt en er actief wordt gezocht naar omzeilen, is des te meer de automatische beveiliging nodig.. We gaat overigens zorgen dat die NAS beheerd wordt?
- Ga er van uit dat die uit het netwerk wordt gekieperd zodra het opvalt. Immers voldoet die NAS dan ook niet aan de policies

Ga toch, netjes en met de juiste persoon, spreken. Wat is nodig, hoe kan dat veilig worden geregeld?

Uiteindelijk voeren de mannen ook maar het beleid van het bedrijf uit en hebben ze zeker meegedacht.

Maar dan was dit niet de juiste groep mensen? Misschien via de CISO of FG? Of via de managers escaleren: chef, we hebben geen testresultaten meer want (%feitelijk en net verhaal incl oplospogingen%)

-
Ga dus vooral niet zelf een netwerkbrug maken. Geen NAS in twee netwerken, geen pi, geen andere techniek. Echt, niet zelf doen. Best case werkt het een tijdje. Worst case gaat er een keer iets goed mis.

Mogelijke oplossing om te bespreken (!), bijvoorbeeld bdevogt in "Opslag voor twee gescheiden netwerken" of ergens op een webdienst op slaan en die vervolgens weer oppakken in productienetwerk. Als het testnetwerk internettoegang heeft dan. Of desnoods USB-stick naar apparatuur op gastennetwerk, dan naar iets als Onedrive en weer oppakken in productienetwerk. Maar nog steeds niet zonder overleg met de juiste persoon.

(Of alleen NAS, in any vorm, na OK van beheer en met op alle fronten auto-updates aan. )

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 28 juli 2022 14:17

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

wolly_a schreef op woensdag 27 juli 2022 @ 22:50:
@Brahiewahiewa Serieus? Ik moet in mijn ontwerp van een (oorspronkelijk stand-alone) meetoplossing rekening houden met alle beperkingen van alle ICT mensen van alle klanten? Er staan wereldwijd tientallen van dergelijke meetoplossingen. What's next? Moet ik straks overal de systemen voorzien van 'blauwe M&M's voor klant A, een speciale rustgevende kleur behuizing voor klant B, allerlei aangepaste instellingen voor klant C, een speciale mooie wallpaper....' en ga zo door en dan zeg jij dat mijn enige reactie is 'Dat wil ik niet'? Terwijl in de basis iemand alleen een bestandje nodig heeft van een computer? Hoe simpel wil je het hebben...

Ja serieus.
Vergelijk het met de situatie dat jij een voertuig moet produceren dat meetgegevens opneemt. Jij komt aan met een oplossing die uit nauwelijks meer bestaat dan een chassis en 4 wielen. En dan meldt zich een politieagent die wil dat er lichten op zitten en richtingaanwijzers en achteruitkijkspiegels en veiligheidsgordels en minstens één airbag en een navigatie systeem, etc, etc. Allemaal voorwaarden die niets met het doel van jouw ontwerp te maken hebben maar waar je toch aan zult moeten voldoen.

Zo is het met PC's in een bedrijfsnetwerk ook. Die moeten aan bepaalde voorwaarden voldoen voordat ze op het netwerk worden toegelaten. Voldoen ze niet aan die voorwaarden, dan komen ze er niet op. Punt.

Wat jij nu doet is die voorwaarden downplayen. Je focust er op dat het alleen maar gaat om irrelevante bijzaken, een wallpaper, een screensaver, een virus scanner. Maar je negeert dat PC's manageable moeten zijn, voordat ze op een netwerk kunnen worden toegelaten

QnJhaGlld2FoaWV3YQ==

donderdag 28 juli 2022 14:45

Acties:

+2 Henk 'm!

Will_M

Intentionally Left Blank

Brahiewahiewa schreef op donderdag 28 juli 2022 @ 14:17:
[...]

Ja serieus.
Vergelijk het met de situatie dat jij een voertuig voor op de openbare weg moet produceren dat meetgegevens opneemt. Jij komt aan met een oplossing die uit nauwelijks meer bestaat dan een chassis en 4 wielen én daarmee dus eigenlijk alleen geschikt is om te kunnen meten op een afgebakend privé terrein. En dan meldt zich een politieagent die wil dat er lichten op zitten en richtingaanwijzers en achteruitkijkspiegels en veiligheidsgordels en minstens één airbag en een navigatie systeem, etc, etc. Allemaal voorwaarden die niets met het doel van jouw ontwerp te maken hebben maar waar je toch aan zult moeten voldoen.

Zo is het met PC's in een bedrijfsnetwerk ook. Die moeten aan bepaalde voorwaarden voldoen voordat ze op het netwerk worden toegelaten. Voldoen ze niet aan die voorwaarden, dan komen ze er niet op. Punt.

Wat jij nu doet is die voorwaarden downplayen. Je focust er op dat het alleen maar gaat om irrelevante bijzaken, een wallpaper, een screensaver, een virus scanner. Maar je negeert dat PC's manageable moeten zijn, voordat ze op een netwerk kunnen worden toegelaten

Jouw zeer goed passende analogie even een beetje verder aangevuld (en hopelijk daarmee ook verduidelijkt) als zijnde Network Engineer / Architect (waardoor ik vanuit dat perspectief dus ook met CISO mensen/afdelingen onderhandel en er mee in discussie kan gaan).

Boldly going forward, 'cause we can't find reverse

donderdag 28 juli 2022 15:01

Acties:

0 Henk 'm!

wolly_a

Topicstarter

Jullie vergelijking gaat mijlen ver mis.

Klant koopt apparaat met bepaalde wensen en eisen. Apparaat is geleverd volgens wensen en eisen, maar klant zou graag een klein dingetje extra willen (bestandje kopiëren), wat helemaal geen super ingewikkelde vraag is en eigenlijk al kon. Bijkomende personen slopen apparaat.

Jullie verzinnen nu een gigantisch verhaal er omheen, dat kilometers ver voorbij het verhaal gaat. Ik was misschien wat overenthousiast met mijn gedachte om de klant te helpen met een oplossing, maar ik had daarbij een beetje vergeten dat dit aan de ICT voorbij gaat.

Maar zoals benoemd is het probleem opgelost doordat klant nu dagelijks een tabel met meetresultaten overtypt. Nu is iedereen blij.

donderdag 28 juli 2022 15:08

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

@wolly_a Pas er voor op dat ze over een paar weken niet met het verzoek bij je aan komen om een OCR scanner te gaan plaatsen doordat 'iemand' bij de klant ergens gehoord heeft dat je daar snel teksten mee kunt omzetten naar ruwe data

[ Voor 3% gewijzigd door Will_M op 28-07-2022 15:12 ]

Boldly going forward, 'cause we can't find reverse

donderdag 28 juli 2022 15:13

Acties:

0 Henk 'm!

wolly_a

Topicstarter

Will_M schreef op donderdag 28 juli 2022 @ 15:08:
@wolly_a Pas er voor op dat ze over een paar weken niet met het verzoek bij je aan komen om een OCR scanner te gaan plaatsen doordat 'iemand' bij de klant ergens gehoord heeft dat je daar teksten mee kunt omzetten naar ruwe data

Ik pas wel op

Dat deel laat ik in het vervolg wel over aan de vakmensen die daar prachtige oplossingen voor kunnen ontwerpen.

Edit: Nu je het zo zegt, is het trouwens wel een fantastische oplossing om supergescheiden dataoverdracht te realiseren...

[ Voor 12% gewijzigd door wolly_a op 28-07-2022 15:15 ]

donderdag 28 juli 2022 15:16

Acties:

0 Henk 'm!

powerboat

Wellicht een apart (V)LAN opzetten met enkel toegang vanuit het LAN om een pull te doen om de bestanden op te pikken.

Zo heeft de log machine geen toegang tot het LAN maar andersom wel.

donderdag 28 juli 2022 15:31

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

wolly_a schreef op donderdag 28 juli 2022 @ 15:01:
...
Maar zoals benoemd is het probleem opgelost doordat klant nu dagelijks een tabel met meetresultaten overtypt. Nu is iedereen blij.

Je voelt zelf ook wel aan dat niet iedereen blij is met deze oplossing. Vooral de persoon die dagelijks de meetresultaten moet overtikken. Die zit nu gewoon voor Jan met de korte achternaam te werken. En dat enkel en alleen omdat jij je niet wenst te conformeren aan bestaande regels

QnJhaGlld2FoaWV3YQ==

donderdag 28 juli 2022 15:39

Acties:

+1 Henk 'm!

M2M

medicijnman

Wat wij meestal doen in situaties waarbij de IT omgeving van de klant onmogelijk kan matchen met de vereisten van de software van een meetinstrument (bijvoorbeeld max win7), is de software en bijbehorende computer onderdeel maken van het meetinstrument. Die computer wordt vervolgens aangesloten op een tweede, door IT geleverde, managed PC die niets anders doet dan datafiles opeten via een rechtstreekse netwerkverbinding tussen de twee computers, waarbij de IT-computer voorzien is van een dedicated netwerkkaart.

Dan hangt de originele PC niet meer in het "netwerk", maar rechtstreeks aan een IT-managed klant-PC met dedicated netwerkkaart. IT regelt dan een geschikte tool om de files binnen te trekken. Meestal zijn het textfiles of excelfiles, waar eenvoudig op gefilterd kan worden. De IT-managed PC kan helemaal dichtgezet worden, want die trekt enkel spul binnen.

IT blij want geen random PC in het netwerk, eindgebruiker blij want het spul werkt gewoon. TS blij, want geen politiek spel hoeven spelen tussen IT en eindgebruiker.

-_-

donderdag 28 juli 2022 15:53

Acties:

0 Henk 'm!

wolly_a

Topicstarter

@Brahiewahiewa Je bedoelt 'ik kan me niet conformeren aan ieders wens', omdat ik één systeem heb dat bij tientallen klanten werkt en ik dus niet voor iedere klant een verschillende versie ga bijhouden met diens wensen. Dat had ik al benoemd. Nu heb ik één standaard model PC in de behuizing van het meetinstrument. Bij een defecte pc heb ik al een spare op de plank liggen (of de klant zelf) en is het deurtje openen, pc omwisselen en gaan.

@M2M Dat zou een fantastische oplossing zijn voor het probleempje. Het lijkt veel op mijn oorspronkelijke idee, alleen wou ik in mijn enthousiasme zorgdragen voor dit deel, maar dan niet als computer, maar meer als een NAS-achtige tussenbuffer waarin beide zijden terecht kunnen. Zoals je kan lezen, wordt dat niet als fijne oplossing ervaren hier, dus ik heb dat idee laten varen.

donderdag 28 juli 2022 16:35

Acties:

0 Henk 'm!

jeroen79

Kun je het probleem en oplossing niet naar de klant schuiven?

Jij maakt jouw standaard PC zo dat er een aantal mogelijke manieren zijn om de data over te zetten.
Bijvoorbeeld:
-USB stick
-E-mail
-Gedeelde map
-Iets anders...

Jij hebt die manieren uitontwikkeld en getest zodat je zeker weet dat ze zullen werken onder de juiste voorwaarden.

De klant mag dan kiezen welke manier zij willen gebruiken en hoe zij hun ICT omgeving daar voor aanpassen.

Willen ze een USB stick gebruiken? Steek er maar in.
Dan mogen ze zelf uitzoeken waar ze die aan hun kant in steken.
Willen ze de data via een gedeelde map ophalen? Dat kan via //ipadres/$meetdata.
Dan mogen zij hun netwerk inrichten zodat die share benaderbaar is.
Willen dat de data wordt gemaild? Zet de optie maar aan.
Dan mogen zij zorgen dat die PC naar buiten kan mailen.

donderdag 28 juli 2022 16:50

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

wolly_a schreef op donderdag 28 juli 2022 @ 15:53:
@Brahiewahiewa Je bedoelt 'ik kan me niet conformeren aan ieders wens', omdat ik één systeem heb dat bij tientallen klanten werkt en ik dus niet voor iedere klant een verschillende versie ga bijhouden met diens wensen. Dat had ik al benoemd. Nu heb ik één standaard model PC in de behuizing van het meetinstrument.

Inderdaad. Sterker nog, de klanten zouden het als onveiliger moeten gaan ervaren als er overal 'maatwerk; komt waar zelfs jij de weg kwijt raakt bij 20 verschillende configuraties.

Maar het zou me niet verbazen als beetje bij beetje meer klanten een apparaat niet in interne productienetwerken willen zien. Hooguit in gastennetwerk zonder communicatie naar de rest, alleen naar internet.

Een structurele en overal bruikbare oplossing zo m.i. verstandig kunnen zijn. En grote Synology is dan echter wel zwaar overkill - en vaak ook niet werkbaar. Wat jeroen79 in "Opslag voor twee gescheiden netwerken" zegt.
Denk ook na over hoe je (automatisch?) Windows en de rest van de software uptodate kan houden, voor zover dat niet gebeurt. En dus ook af en toe over naar een nieuw OS, dus niet nog jaren Windows 7.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Reageer