Toon posts:

Wifi op school gedeeld ww hoe veilig

Pagina: 1
Acties:

Vraag

zondag 11 september 2022 11:12

Acties:
  • 0 Henk 'm!
  • psy
  • Registratie: Oktober 1999
  • Laatst online: 11-07 10:20

psy

Topicstarter
Mijn dochter gaat vanaf deze week naar de middelbare school. Nu gaan ze daar laptops gebruiken en hebben ze allemaal eenzelfde wachtwoord gekregen om op het gastnetwerk te kunnen verbinden.

Nu heb ik altijd begrepen, openbaar netwerk zonder wachtwoord is niet veilig, in dat geval moet je eigenlijk een vpn gebruiken.

Maar geldt dit niet net zo goed voor een "beveiligd" netwerk waarvan iedereen het zelfde wachtwoord gebruikt?

Hoe groot zijn de risico's?

Ik kan waarschijnlijk wel een vpn verbinding naar huis instellen via poort 443 (gebruik ik ook wel eens met mijn privélaptop, dat werkt prima) maar ik heb nog geen idee of dit überhaupt toegestaan is.

8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)

Alle reacties

zondag 11 september 2022 11:20

Acties:
  • +1 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 10-07 12:56

MAX3400

XBL: OctagonQontrol

Simpel antwoord: elk device zal in hetzelfde subnet zitten en afhankelijk van de toegestane protocollen op dat subnet, heb je een gerede kans dat laptop A en laptop B met elkaar data kunnen uitwisselen. Dit kan handig zijn want als je bijvoorbeeld (nadruk) OneDrive gebruikt, kan het zo zijn dat de data niet eerst over het internet moet maar direct "peer to peer" uitgewisseld. Ook Windows Update (als voorbeeld) kan de updates onderling uitwisselen zodat laptops sneller voorzien van correcte fixes en het kost de school minder bandbreedte. Tot zover een paar voordelen.

Een paar nadelen van 1 subnet kan zijn inderdaad dat Jantje gaat lopen scripten en probeert andere laptops binnen te dringen. Tja, voor een paar aantekeningen niet erg maar wie weet of dan ook prive-foto's of andere zaken (afspraak tandarts etc) kunnen worden binnengesleept. En andersom, 1 groot subnet (of allicht 4 kleinere maar alsnog met elk 200 laptops per subnet) kan ook een hele korte en directe bron van agressieve malware zijn. Nogmaals, voorbeelden maar niet ondenkbaar.

Wat gaat een VPN jou helpen? Eigenlijk niets. Het enige wat je daarmee doet is verkeer naar huis sturen en daar afhandelen. Maar dat helpt niet als, bijvoorbeeld, de school een eigen server heeft staan met alle lesmateriaal in PDF. Of een eigen mailserver. Dan moet je je VPN gaan split-tunnelen en daar zit enige kennis aan vast (ook van de infra van school). Maar een VPN gaat je inderdaad wel helpen als je 100% al het verkeer niet via de WiFi van school wil laten lopen; en volgens mij moet dat ook best kunnen.

De vraag is dus meer een beetje "waar ben je bang voor"? En andersom; heb je je zorgen al besproken met school? Want zelfs al geven ze iedereen een eigen password voor het WiFi, je zit nog steeds op hetzelfde subnet...

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zondag 11 september 2022 11:28

Acties:
  • +3 Henk 'm!
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 21:19

The Eagle

I wear my sunglasses at night

Je weet niet wat er intern draait van school en wat er extern draait. Daarnaast heb je geen zicht op hoe het netwerk verder ingericht is. Dat er 1 SSID met wachtwoord is zegt namelijk niks over de verdere inrichting van het netwerk. Hooguit dat er geen radius server oid draait.
Genoeg bedrijven waarbij er gewoon 1 SSID met wachtwoord is waar iedereen op zit.

Als je meer wilt weten zou ik contact zoeken met systeembeheerder van school. Makkelijkst is denk ik om dat via de administratie te spelen; ik verwacht niet dat een klasse docent dat zal weten.

Qua vpn gebruiken: kan uiteraard, maar kan ook betekenen dat je dochter ineens niet meer bij dingen kan waar ze bij zou moeten kunnen. zie eerste opmerking :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

zondag 11 september 2022 11:34

Acties:
  • +4 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Schakel in de eigenschappen van de netwerkkaart file & printersharing uit (behalve als je het echt nodig hebt). Zorg dat het systeem en de virusscanner altijd uptodate zijn, en dochter geen adminrechten heeft om het uit te kunnen schakelen.

Verder is er kans dat bijv. client isolation aan staat en men in het gastennetwerk de mede-gasten niet kan zien, maar dat kunnen we van afstand niet weten.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 11 september 2022 11:38

Acties:
  • +1 Henk 'm!
  • psy
  • Registratie: Oktober 1999
  • Laatst online: 11-07 10:20

psy

Topicstarter
MAX3400 schreef op zondag 11 september 2022 @ 11:20:
Simpel antwoord: elk device zal in hetzelfde subnet zitten en afhankelijk van de toegestane protocollen op dat subnet, heb je een gerede kans dat laptop A en laptop B met elkaar data kunnen uitwisselen. Dit kan handig zijn want als je bijvoorbeeld (nadruk) OneDrive gebruikt, kan het zo zijn dat de data niet eerst over het internet moet maar direct "peer to peer" uitgewisseld. Ook Windows Update (als voorbeeld) kan de updates onderling uitwisselen zodat laptops sneller voorzien van correcte fixes en het kost de school minder bandbreedte. Tot zover een paar voordelen.

Een paar nadelen van 1 subnet kan zijn inderdaad dat Jantje gaat lopen scripten en probeert andere laptops binnen te dringen. Tja, voor een paar aantekeningen niet erg maar wie weet of dan ook prive-foto's of andere zaken (afspraak tandarts etc) kunnen worden binnengesleept. En andersom, 1 groot subnet (of allicht 4 kleinere maar alsnog met elk 200 laptops per subnet) kan ook een hele korte en directe bron van agressieve malware zijn. Nogmaals, voorbeelden maar niet ondenkbaar.

Wat gaat een VPN jou helpen? Eigenlijk niets. Het enige wat je daarmee doet is verkeer naar huis sturen en daar afhandelen. Maar dat helpt niet als, bijvoorbeeld, de school een eigen server heeft staan met alle lesmateriaal in PDF. Of een eigen mailserver. Dan moet je je VPN gaan split-tunnelen en daar zit enige kennis aan vast (ook van de infra van school). Maar een VPN gaat je inderdaad wel helpen als je 100% al het verkeer niet via de WiFi van school wil laten lopen; en volgens mij moet dat ook best kunnen.

De vraag is dus meer een beetje "waar ben je bang voor"? En andersom; heb je je zorgen al besproken met school? Want zelfs al geven ze iedereen een eigen password voor het WiFi, je zit nog steeds op hetzelfde subnet...
toon volledige bericht
Ik ben niet heel bezorgd hoor, maar ik heb ooit gezien hoe poepsimpel het is om een openbaar wifinetwerk te sniffen cq een dummynetwerk aan te maken en ben sindsdien nogal beducht op niet zo veilige netwerken. Potentiële probleemsituaties ben ik liever voor. Ik wil gewoon niet dat iemand bij haar data kan komen.

Het stukje "niet bij lokale netwerkdata kunnen" had ik me ook al bedacht en zie ik ook als grootste minpunt. Maar ik weet (nog) niet of dit echt een issue is. Ik vermoed echter, als iedereen een gastnetwerk moet gebruiken dat er helemaal geen data op het lokale netwerk wordt gedeeld.

Ik weet dit ook pas sinds vrijdagavond dus heb nog niets kunnen bespreken maar ga dit wel aankaarten, deze week heb ik namelijk al een ouderavond ;)

Wilde vooral eens polsen hoe hierover gedacht werd.

8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)

zondag 11 september 2022 11:40

Acties:
  • 0 Henk 'm!
  • psy
  • Registratie: Oktober 1999
  • Laatst online: 11-07 10:20

psy

Topicstarter
The Eagle schreef op zondag 11 september 2022 @ 11:28:
Je weet niet wat er intern draait van school en wat er extern draait. Daarnaast heb je geen zicht op hoe het netwerk verder ingericht is. Dat er 1 SSID met wachtwoord is zegt namelijk niks over de verdere inrichting van het netwerk. Hooguit dat er geen radius server oid draait.
Genoeg bedrijven waarbij er gewoon 1 SSID met wachtwoord is waar iedereen op zit.

Als je meer wilt weten zou ik contact zoeken met systeembeheerder van school. Makkelijkst is denk ik om dat via de administratie te spelen; ik verwacht niet dat een klasse docent dat zal weten.

Qua vpn gebruiken: kan uiteraard, maar kan ook betekenen dat je dochter ineens niet meer bij dingen kan waar ze bij zou moeten kunnen. zie eerste opmerking :)
Ja al kan ze de VPN gewoon aan of uitzetten, maar ik hou de dingen liefst KISS :)
Een systemadmin aanspreken is ook een goeie inderdaad.

8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)

zondag 11 september 2022 11:46

Acties:
  • 0 Henk 'm!
  • psy
  • Registratie: Oktober 1999
  • Laatst online: 11-07 10:20

psy

Topicstarter
F_J_K schreef op zondag 11 september 2022 @ 11:34:
Schakel in de eigenschappen van de netwerkkaart file & printersharing uit (behalve als je het echt nodig hebt). Zorg dat het systeem en de virusscanner altijd uptodate zijn, en dochter geen adminrechten heeft om het uit te kunnen schakelen.

Verder is er kans dat bijv. client isolation aan staat en men in het gastennetwerk de mede-gasten niet kan zien, maar dat kunnen we van afstand niet weten.
Lastig is, dat ik thuis op mijn server een backupscript heb draaien die elk kwartier de profielmap checkt op updates. Ik neem maar even aan dat ik dat niet uit kan schakelen wil ik die (nuttige) functie intact laten. Het liefst laat ik die functie op de server aangezien alle clients hier thuis zou gesynct worden...

Windows update/virus staat aan en kan niet zomaar gedeactiveerd worden.
Verder is ze geen admin. Ik heb wel een lokale admin aangemaakt die ze eventueel kan gebruiken als er echt nog iets geïnstalleerd moet worden. Liever deed ik dit niet maar goed op school kan ik niet even langslopen om in te loggen.

[ Voor 4% gewijzigd door psy op 11-09-2022 11:48 ]

8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)

zondag 11 september 2022 11:47

Acties:
  • 0 Henk 'm!
  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 15:56

Umbrah

The Incredible MapMan

Wat voor soort beveiliging is dat? Als het WPA2/WPA3 is, dan is dat wachtwoord an-sich alles wat je nodig hebt om het fysieke verkeer te beveiligen tot het niveau dat iemand die niet op het netwerk zit het niet aan de hand van broadcast kan aftappen (want wifi = broadcast). Zo werkt elk wifi: security door middel van een token. Dit is echter enkel cryptografisch, en zodra het wachtwoord "lekt" is het niet veilig meer. Vandaar dat je vaak EAP of iets soortgelijks ziet om het netwerkverkeer extra te beveiligen door de beveiliging 'persoonlijk' te maken: een individueel wachtwoord, of een certificaat op de machine die als 'wachtwoord' dient.

Hoe dan ook, dit is enkel je fysieke verbinding.

Wat er daarna gebeurt, daar vertel je niet veel van. Is er een DHCP server? Heeft die beveiliging? Is er een domain? Zijn de machines via LDAP of SAML in een domain enrolled? Is er een MDM aanwezig om de machines verder te beheren met applicatie/group policies? Is het netwerk zo geconfigureerd dat er vlans zijn voor diverse soorten apparaten? Wordt broadcasten voor SMB toegestaan? Ga zo maar door.

Puur en enkel voor wifi, zal ik altijd een wachtwoord willen. Zonder dat wachtwoord is het immers een écht publiek wifi, en is het verkeer niet versleuteld. Wat ik nu lees, is dat er een wachtwoord aan leerlingen verteld wordt, en wat dat wachtwoord doet is juist het verkeer versleutelen (zodat niet elke onverlaat met een 2,4GHz/5GHz radio MITM kan lopen spelen) -- het feit dat het wachtwoord vrij publiek is en niet gebruikers-uniek doet er niet aan af dat de verbinding beveiligd is. Zodra iemand echter het wachtwoord heeft kán hij die MITM gaan spelen en ben je (zeker als je applicaties zelf ook niet versleuteld zijn) weer onveilig, zeker HTTP verkeer zal ik niet doen op die manier bijvoorbeeld, maar desalniettemin: op fysiek niveau is het netwerk beveiligd. Zei het dat iedereen dezelfde sleutel heeft en kopietjes vrij eenvoudig te maken zijn (net zoals dat als jij een foto op het internet zet met je huissleutel aan de bos zichtbaar dat ik met m'n 3D printer hem na kan maken en je huis in zou kunnen gaan).

zondag 11 september 2022 11:56

Acties:
  • 0 Henk 'm!
  • psy
  • Registratie: Oktober 1999
  • Laatst online: 11-07 10:20

psy

Topicstarter
Umbrah schreef op zondag 11 september 2022 @ 11:47:
Wat voor soort beveiliging is dat? Als het WPA2/WPA3 is, dan is dat wachtwoord an-sich alles wat je nodig hebt om het fysieke verkeer te beveiligen tot het niveau dat iemand die niet op het netwerk zit het niet aan de hand van broadcast kan aftappen (want wifi = broadcast). Zo werkt elk wifi: security door middel van een token. Dit is echter enkel cryptografisch, en zodra het wachtwoord "lekt" is het niet veilig meer. Vandaar dat je vaak EAP of iets soortgelijks ziet om het netwerkverkeer extra te beveiligen door de beveiliging 'persoonlijk' te maken: een individueel wachtwoord, of een certificaat op de machine die als 'wachtwoord' dient.

Hoe dan ook, dit is enkel je fysieke verbinding.

Wat er daarna gebeurt, daar vertel je niet veel van. Is er een DHCP server? Heeft die beveiliging? Is er een domain? Zijn de machines via LDAP of SAML in een domain enrolled? Is er een MDM aanwezig om de machines verder te beheren met applicatie/group policies? Is het netwerk zo geconfigureerd dat er vlans zijn voor diverse soorten apparaten? Wordt broadcasten voor SMB toegestaan? Ga zo maar door.
Heel veel vragen waar ik het antwoord nog niet op heb aangezien ze volgende week pas gaan werken met die apparaten.

Maar ik heb er zelf ook al over nagedacht...

Het gaat om eigen laptops en gehuurde laptops. In feite BYOD dus.
Ik ga er dus ook niet echt vanuit dat ze in een domein komen te hangen, want dan wordt de situatie wel een tikkje ingewikkelder. Zeer waarschijnlijk dat ze alleen Windows 365 gaan gebruiken maar dat ga ik vanzelf wel merken, ze hebben wel aan een Google account gekregen voor de mail, wat ik dan wel weer gek vind.
Puur en enkel voor wifi, zal ik altijd een wachtwoord willen. Zonder dat wachtwoord is het immers een écht publiek wifi, en is het verkeer niet versleuteld. Wat ik nu lees, is dat er een wachtwoord aan leerlingen verteld wordt, en wat dat wachtwoord doet is juist het verkeer versleutelen (zodat niet elke onverlaat met een 2,4GHz/5GHz radio MITM kan lopen spelen) -- het feit dat het wachtwoord vrij publiek is en niet gebruikers-uniek doet er niet aan af dat de verbinding beveiligd is. Zodra iemand echter het wachtwoord heeft kán hij die MITM gaan spelen en ben je (zeker als je applicaties zelf ook niet versleuteld zijn) weer onveilig, zeker HTTP verkeer zal ik niet doen op die manier bijvoorbeeld, maar desalniettemin: op fysiek niveau is het netwerk beveiligd. Zei het dat iedereen dezelfde sleutel heeft en kopietjes vrij eenvoudig te maken zijn (net zoals dat als jij een foto op het internet zet met je huissleutel aan de bos zichtbaar dat ik met m'n 3D printer hem na kan maken en je huis in zou kunnen gaan).
Juist. Zo dacht ik dus ook. Als iedereen hetzelfde wachtwoord heeft, loop je het risico dat een Handige Harry (medeleerling) kan gaan sniffen ofzo. Daar gaat mijn VPN vraag dus vooral om.

8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)

zondag 11 september 2022 12:02

Acties:
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 19:35

laurens0619

Wifi laag:

Open netwerk:
al het verkeer kan bekeken worden. Ook is evil twin ap mogelijk

Wpa2 same key
alleen broadcast kan bekeken worden want iedere client heeft een eigen sessie encryptie key. Echter als je lang genoeg op de lijn zit en de client vaak genoeg disconnect kun je die sessie keys achterhalen. Ook is evil twin ap mogelijk

Wpa2 radius
Niet mogelijk de key af te luisteren

Netwerk laag:
Los van wpa etc kun je zaken als arp poisening doen om verkeer via jouw pc te laten gaan om mitm. Dat kan niet altijd (bv vlans of ap isolation).

Lang verhaal kort: static wpa2 key is niet mega onveilig, wel veiliger dan open. Mensen kunnen niet zomaar meelezen. Dan moet iemand een evil twin neerzetten of genoeg deauth pakketjes sturenom de sessie key te achterhalen. En dan krijg je 99% en crypted verkeer te zien

Tegelijk zit het grootste risico in unencrypted verkeer, dat moet je op welk publiek netwerk dan ook voorkomen

https://wiki.wireshark.org/HowToDecrypt802.11

[ Voor 13% gewijzigd door laurens0619 op 11-09-2022 12:10 ]

CISSP! Drop your encryption keys!

zondag 11 september 2022 12:09

Acties:
  • 0 Henk 'm!
  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 15:48

eric.1

psy schreef op zondag 11 september 2022 @ 11:56:
[...]

Juist. Zo dacht ik dus ook. Als iedereen hetzelfde wachtwoord heeft, loop je het risico dat een Handige Harry (medeleerling) kan gaan sniffen ofzo. Daar gaat mijn VPN vraag dus vooral om.
Nu ben ik niet heel erg (meer) thuis in entreprise wifi oplossingen. Maar waarom is dit alleen een probleem wanneer je jezelf authenticeert met hetzelfde ww binnen een gastennetwerk? Ook met aparte accounts kan je in hetzelfde subnet terecht komen waar handige medeleerling Harry kan gaan zitten prutsen indien de maatregelen onvoldoende zijn ingeregeld.

Uiteindelijk gaat het erom hoe het na de authenticatie-laag geregeld is.

[ Voor 9% gewijzigd door eric.1 op 11-09-2022 12:10 ]

zondag 11 september 2022 12:12

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Iets zegt med at niet elke lagere school een fulltime expert heeft rondlopen. Ook zelf maatregelen nemen lijkt me niet onverstandig.
psy schreef op zondag 11 september 2022 @ 11:46:
Lastig is, dat ik thuis op mijn server een backupscript heb draaien die elk kwartier de profielmap checkt op updates. Ik neem maar even aan dat ik dat niet uit kan schakelen wil ik die (nuttige) functie intact laten. Het liefst laat ik die functie op de server aangezien alle clients hier thuis zou gesynct worden...
Je kunt in de Windows firewall instellen dat in / outbound filesharing alleen met bepaalde IP-adressen mogelijk is (c.q. dat alleen verkeer via de betreffende poorten kan lopen van/naar die adressen).

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 11 september 2022 12:20

Acties:
  • 0 Henk 'm!
  • psy
  • Registratie: Oktober 1999
  • Laatst online: 11-07 10:20

psy

Topicstarter
eric.1 schreef op zondag 11 september 2022 @ 12:09:
[...]

Nu ben ik niet heel erg (meer) thuis in entreprise wifi oplossingen. Maar waarom is dit alleen een probleem wanneer je jezelf authenticeert met hetzelfde ww binnen een gastennetwerk? Ook met aparte accounts kan je in hetzelfde subnet terecht komen waar handige medeleerling Harry kan gaan zitten prutsen indien de maatregelen onvoldoende zijn ingeregeld.

Uiteindelijk gaat het erom hoe het na de authenticatie-laag geregeld is.
Op zich wel een goed punt, zover had ik nog niet eens gedacht. Ik zat meer te denken aan de "ojee een niet zo goed beveiligde wifi verbinding", maar als iedereen eenmaal in eenzelfde subnet zit zijn daar ook risico's natuurlijk.

Dit wordt dan meer een bredere discussie, hoe veilig is je BYOD device in zo'n situatie eigenlijk? Hier heb ik nooit zo bij stilgestaan, los van de vinkjes die je in Windows moet zetten als je voor het et eerst een netwerk aansluit ("vertrouw niemand!" ;) )

8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)

zondag 11 september 2022 12:21

Acties:
  • 0 Henk 'm!
  • psy
  • Registratie: Oktober 1999
  • Laatst online: 11-07 10:20

psy

Topicstarter
F_J_K schreef op zondag 11 september 2022 @ 12:12:
Iets zegt me dat niet elke lagere school een fulltime expert heeft rondlopen. Ook zelf maatregelen nemen lijkt me niet onverstandig.

[...]

Je kunt in de Windows firewall instellen dat in / outbound filesharing alleen met bepaalde IP-adressen mogelijk is (c.q. dat alleen verkeer via de betreffende poorten kan lopen van/naar die adressen).
Ja zo sta ik er ook in. Liever vooraf al nadenken dan achteraf.

Dan van die filtering is een hele goeie, dat ga ik even uitzoeken.

8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)

zondag 11 september 2022 12:24

Acties:
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 19:35

laurens0619

@psy netwerk technisch is het volgende belangrijk:
- geen binnenkomende poorten openzetten
- geen unencrypted verbindingen gebruiken
- geen foute certificate accepteren

Als je dat kunt aanhouden dan maakt het netwerk niet meer zoveel uit waarmee je verbonden bent. Als het school netwerk static wpa2, ap isolation en anti arp poisening doet dan ben je als hacker ook vrij beperkt

Maar balanceer je risicos
Als iemand bij de data van je dochter wilt komen is de kans veel groter dat ze dit doen dmv een phishing mail of achterhalen wachtwoord/geheime vragen in gesprekje.

[ Voor 37% gewijzigd door laurens0619 op 11-09-2022 12:32 ]

CISSP! Drop your encryption keys!

zondag 11 september 2022 12:32

Acties:
  • +3 Henk 'm!
  • mr_evil08
  • Registratie: December 2008
  • Nu online

mr_evil08

TS: Is niet zo simpel te zeggen en moet je navragen bij de beheerder hoe het netwerk is ingericht de school kan ook een professioneel bedrijf ingehuurd hebben hier op Tweakers zijn veel aannames.

Situatie op onze school is ook iedereen hetzelfde wachtwoord om vervolgens op een registratieportaal te registreren met eigen naam/ww en kom je in een afgeschermd netwerk, hier hangen een rits beveiligingen aan welke de gebruiker niet kan zien.

Scholen kunnen wel minimaal AP isolation ingeschakeld hebben, vrijwel elke accespoint kan dat, zelfs je thuis WiFi en wordt "sniffen" al een stuk lastiger.

Ben je paranoid dan zet je een SSTP VPN aan inderdaad maar in algemeen als je Windows firewall aan staat en doordat alle website,s nu HTTPS zijn valt er niet meer zoveel te rotzooien als vroeger gebeurde.

WP | SP, Daikin FTXM35M/RXM35M

zondag 11 september 2022 13:05

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 20:22

dion_b

Moderator Harde Waren

say Baah

Grootste probleem met gedeeld wachtwoord is niet tussen gebruikers onderling, maar voor de beheerder: je hebt geen mogelijkheid om bij abuse door een enkel figuur de toegangsrechten in te trekken. Er is een reden dat alle HBO's en universiteiten gebruik maken van eduroam, wat op WiFi-niveau werkt met WPA2-Enterprise en waar iedereen dus eigen logingegevens heeft.

Een registratieportal erachter beschermt ICT-middelen van school, maar laat deur wagenwijd open voor DoS-activiteiten van iemand die wel aangemeld is in het WPA2-Personal netwerk. Al kun je ook prima layer 1 DoSsen zonder aangemeld te zijn op een netwerk... Zo'n portal klinkt als iets in de cloud wat door onvoldoende budget, kennis of aandacht niet dmv federated identity oplossing gekoppeld is aan WiFi access in school.

Argument dat niet ieder school een deskundige sysadmin heeft rondlopen klopt, maar goed, volledig zelfstandige scholen komen anno 2022 nauwelijks voor en in een schoolbestuur met tientallen scholen is er wel ruimte voor een dergelijke rol.

Enfin, uit professioneel oogpunt vind ik wat ik hier hoor inelegant en waarschijnlijk onverstandig, maar als ouder zou ik geen onoverkomelijke problemen hebben met m'n kind aan te laten melden op zo'n net. Misschien zou ik wel kijken of hij lekken/issues zou kunnen opsporen en responsible disclosure doen aan schoolleiding >:)

* dion_b heeft zoon in groep 8, volgend jaar zou dit zomaar kunnen spelen ;)

Als je je zorgen maakt zou ik dan ook focussen op lokaal op laptop dochter de boel op orde te hebben: encrypted filesystem, automatic updates aan - incl van virus/malwarescanner, regulier werk doen met account zonder admin-rechten etc. Oh, en USB sticks ook encrypten met password protection. Rondslingerende USB sticks zijn een veel groter risico dan wat dan ook iemand op het schoolnet uitspookt.

[ Voor 12% gewijzigd door dion_b op 11-09-2022 13:08 ]

Oslik blyat! Oslik!

zondag 11 september 2022 13:15

Acties:
  • 0 Henk 'm!
  • Marzman
  • Registratie: December 2001
  • Niet online

Marzman

They'll never get caught.

Het meeste is tegenwoordig volgens mij wel versleuteld en hoe geheim zijn de dingen van je dochter? Ik zou me er niet te veel zorgen over maken. Ze zal geen bankzaken gaan doen met die laptop op het openbare wifinetwerk (en dat is ook al versleuteld door de bank). Eventueel kun je haar tweewegverificatie uitleggen voor alles waarvoor dat kan, dan hebben mensen die een wachtwoord onderscheppen daar nog niks aan.

[ Voor 22% gewijzigd door Marzman op 11-09-2022 13:15 ]

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zondag 11 september 2022 13:38

Acties:
  • 0 Henk 'm!
  • sypie
  • Registratie: Oktober 2000
  • Niet online

sypie

Ik hoop wel dat client isolation aan staat...

zondag 11 september 2022 14:14

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 20:51

Ben(V)

Je moet de boel ook niet overdrijven.
Het enige wat er afgetapt zou kunnen worden is de data die over de wifi gaat, het niet zo dat ineens die hele laptop open op dat netwerk hangt.
Niet minder veilig dan alles wat ze op het internet doen.

Verder gewoon ervoor zorgen dat die laptop secure blijft dus netje wachtwoorden gebruiken, geen shares laten aanmaken, de windows firewall configureren en up-to-date houden en geen accounts laten aanmaken.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zondag 11 september 2022 19:17

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 20:22

dion_b

Moderator Harde Waren

say Baah

Ben(V) schreef op zondag 11 september 2022 @ 14:14:
Je moet de boel ook niet overdrijven.
Het enige wat er afgetapt zou kunnen worden is de data die over de wifi gaat, het niet zo dat ineens die hele laptop open op dat netwerk hangt.
Niet minder veilig dan alles wat ze op het internet doen.

Verder gewoon ervoor zorgen dat die laptop secure blijft dus netje wachtwoorden gebruiken, geen shares laten aanmaken, de windows firewall configureren en up-to-date houden en geen accounts laten aanmaken.
Voor internetgebruik prima afdoende. Vraag is hoe school-spullen afgeschermd zijn. Als dat als onversleutelde HTTP gaat met plaintext wachtwoorden in URL is het alsnog feest...

Oslik blyat! Oslik!

maandag 12 september 2022 07:43

Acties:
  • 0 Henk 'm!

Anoniem: 30722

psy schreef op zondag 11 september 2022 @ 11:12:
Mijn dochter gaat vanaf deze week naar de middelbare school. Nu gaan ze daar laptops gebruiken en hebben ze allemaal eenzelfde wachtwoord gekregen om op het gastnetwerk te kunnen verbinden.

Nu heb ik altijd begrepen, openbaar netwerk zonder wachtwoord is niet veilig, in dat geval moet je eigenlijk een vpn gebruiken.

Maar geldt dit niet net zo goed voor een "beveiligd" netwerk waarvan iedereen het zelfde wachtwoord gebruikt?

Hoe groot zijn de risico's?

Ik kan waarschijnlijk wel een vpn verbinding naar huis instellen via poort 443 (gebruik ik ook wel eens met mijn privélaptop, dat werkt prima) maar ik heb nog geen idee of dit überhaupt toegestaan is.
Wireguard naar huis laten verbinden zodra de laptop op een vreemd netwerk zit ;)
Alle verkeer er overheen duwen en klaar!
Uiteraard de firewall op de laptop goed dicht zetten
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq