Studentennetwerk; Deel 2.

Door Biersteker op donderdag 5 januari 2012 19:57 - Reacties (22)
Categorie: -, Views: 8.307

Als vervolg op mijn vorige blogpost. (BierstekerBlog: Studentennetwerk; Kan het nog onveiliger?)

Ondertussen heb ik een reactie van het systeembeheer gekregen. Maar om nou te zeggen dat ik er echt tevreden mee ben. Nee. Bij deze een schaamteloze copy paste van de mail van het systeembeheer. (Wel geanonimiseerd, natuurlijk.)
Voor een studenten netwerk is het van belang is dat het voor iedereen zo
toegankelijk mogelijk is. In overleg met de student is er besloten het
netwerk zo open mogelijk te houden en de beveiliging tot een minimum te
beperken.

Verder hebben alle studenten de mogelijkheid om via het bedrade netwerk
gebruik van Internet te maken en dat is zeker niet af te luisteren.

Wij zijn zeker in staat om het draadloze netwerk af te grendelen maar
dat zal het gebruikersgemak zeker niet ten goede komen. Een gerouteerd
netwerk zal bijvoorbeel het delen van bestanden en het opzetten van
lokale game-servers zwaar hinderen.

Sterker nog, we hebben in eerste instantie een beveiligd netwerk
opgeleverd en dat werd door de studenten niet geaccepteerd. Daarna
hebben we de mensen de keuze gegeven tussen een beveiligd en onbeveiligd
netwerk en het beveiligde netwerk werd amper gebruikt.
Laten we de reactie even beter bekijken. Vooral de opmerking dat er in overleg met de student is besloten het netwerk open en de beveiliging tot een minimum te houden is in mijn ogen erg kwalijk.

Het doel van een systeembeheerder is een veilig netwerk aan te leggen. Niet om bestanden te delen, en ook niet om gameservers mogelijk te maken. Hiervoor zijn namelijk zat alternatieven die de gebruiker zelf kan toepassen. Bijvoorbeeld LogMeIn Hamachi. Ook het feit dat de studenten een keus hadden, is erg treurig, aangezien het gaat over een pand met een hoop studenten. (300+). En het verloop is bij een studentenhuis ook groot. Dus krijgt iedere nieuwe bewoner deze vraag? Nee! Ik heb met een aantal bewoners gesproken, en die staan letterlijk perplex van de reactie van het systeembeheer.

Ook de keuze van een beveiligd en onbeveiligd draadloos netwerk is niets anders dan stompzinnig te noemen. Een onbeveiligd netwerk zal altijd meer worden gebruikt omdat je dan geen wachtwoord hoeft in te voeren. Maar daar ligt niet eens het punt. Er gaat geen encryptie over een open wifi. Dus dan werk je sniffers keihard in de hand. Er hoeft niet eens met ARP gewerkt te worden.

Op de opmerking dat gebruikers niet te monitoren zijn als ze aan een ethernet kabel zitten, ga ik niet eens in. Behalve dan, ARP is een race, niets meer niets minder, en gezien de hardware lijst die beschikbaar is op internet, en het niet gebruiken van VLANs, hebben ze volgens mij niet door, wat hun hardware nou kan, en hoe het ingesteld moet worden. Ik hou me hart vast voor de bewoners. Dit is gewoon echt niet meer van deze tijd.

Volgende: RouterKeyGen - Waarom werkt zoiets nog? 06-'12 RouterKeyGen - Waarom werkt zoiets nog?
Volgende: Studentennetwerk; Kan het nog onveiliger? 12-'11 Studentennetwerk; Kan het nog onveiliger?

Reacties


Door Tweakers user Joseph, donderdag 5 januari 2012 20:04

KPN even opbellen en daar een gigantische ADSL verbinding opleveren, voor iedereen zijn eigen abbonement. Ik kwam vroeger in een gebouw waar een gigantisch patchrack hing, er waren namelijk >56 ADSL aansluitingen van de PTT. (Nu buiten gebruik, er was er nog 1 actief)

Of vraag de glasvezelboer om een deal. Kan iedereen het zelf regelen.

Die ADSL-Pijp die het gebouw binnenkwam was DIK!

[Reactie gewijzigd op donderdag 5 januari 2012 20:05]


Door Tweakers user Biersteker, donderdag 5 januari 2012 20:07

@Joseph, In dit geval niet. Er mogen geen wijzigingen aan de kamers gedaan worden. Zelfs een spijker in de muur, het weghalen van de aanwezige schilderijen, een ander bed etc word niet toegestaan.

Door Tweakers user DefLite, donderdag 5 januari 2012 20:12

Je mag het bed niet vervangen? Want? Zit het vast in de muur ofzo? En er staat in het huurcontract dat het niet mag? Kan dat wettelijk wel?

Door Tweakers user Joseph, donderdag 5 januari 2012 20:14

Solliciteer daar, zou ik zeggen? Maar je mag er natuurlijk niet bij, jij weet te veel en dat zorgt paniek :X

Ik raad hem aan om eens even met Windows Server een NPS aan te maken, en dan certificaatjes uit te delen aan de studenten. Werkt stukken beter. Zijn kennis lijkt van een dusdanig niveau dat ik over Linux maar niet ga beginnen...

En als iemand nou >2 Meter is, mag hij dan geen aangepast bed hebben? Dat zou discriminatie zijn.

[Reactie gewijzigd op donderdag 5 januari 2012 20:15]


Door Tweakers user Biersteker, donderdag 5 januari 2012 20:17

@Deflite, Kennelijk zo zit dat zo in elkaar. Laten we het erop houden dat het ook een hotel is.
@Joseph, Het is niet 1 persoon, er zit ook echt een fatsoenlijk bedrijf achter. Keurmerk, SURFnet aansluiting etc. Vandaar ook mijn verbazing.

Door Tweakers user Joseph, donderdag 5 januari 2012 20:23

Wat voor keurmerk? En ik heb wisselende verhalen SURFnet gehoord, maar dat terzijde.

En als nogmaals, stel nu eens dat ik langer als een meter ben, moet ik het dan met een 2 meter bed doen?

Door Tweakers user Biersteker, donderdag 5 januari 2012 20:26

@Joseph Kwaliteitskeurmerk Internetdiensten Onderwijs of iets in die trend. Als je langer bent dan 2 meter, dan weet ik het ook niet. Ben ook erg blij dat in nooit in zo'n kamer heb gezeten.

Door Tweakers user i-chat, donderdag 5 januari 2012 21:22

punt is als het over het zelfde netwerk gaat wifi en bedraad dan is afluisteren natuurlijk gewoon mogelijk.. ik snap ook werkelijk niet waarom met niet gewoon met PPPOE of zoiets aan de gang gaat gewoon inloggen met je systeempje gaat met die banaan en servers zijn dan natuurlijk gewoon mogelijk sterker nog, aan pppoe kun je heel gemakkelijk vaste ips hangen en dat maakt een en ander alleen maar makkelijker voor de student..

Door Tweakers user Hennie-M, donderdag 5 januari 2012 22:40

Het is een bedrijf. En er is een vraag. In zijn antwoord is duidelijk wat de wens van de klant is. Leer er gewoon mee leven en zorg voor je eigen beveiliging.

Door Tweakers user Ultraman, donderdag 5 januari 2012 22:55

Hennie-M schreef op donderdag 05 januari 2012 @ 22:40:
Het is een bedrijf. En er is een vraag. In zijn antwoord is duidelijk wat de wens van de klant is. Leer er gewoon mee leven en zorg voor je eigen beveiliging.
Die beveiliging kan hij helaas alleen regelen door zelf een internet verbinding aan te (laten) leggen. Bijvoorbeeld door een eigen ADSL/kabel abonnement af te gaan nemen. Zie dat echter maar eens te regelen in een studentenhuis met 300 bewoners... Dat zal per huis verschillen, maar ik ken er menigeen waar dat wel eens lastig kan gaan worden.
Zelf een routertje aan het bedrade netwerk hangen is ook geen directe oplossing. Dat WiFi staat waarschijnlijk bridged met dat bekabelde netwerk, waardoor dat ook gewoon open ligt... Je zult dan je verkeer moeten versleutelen over dat hele netwerk.
Iets wat je zou kunnen doen door gebruik te maken van VPN of SSH tunnels. Daarvoor moet je alleen wel een servertje op een veiligere locatie neerzetten die je als relay kunt gebruiken.
Ik heb bij mijn ouders, welke een glasvezelverbinding hebben, een machientje staan waarover ik wel eens tunnels aanleg als ik op een computer van de universiteit of over diens netwerk persoonlijke data wil gooien. Zoiets zou je dan kunnen doen voor al je internet verkeer.
Als er meer mensen zijn die zich hier zorgen om maken zou je hiervan een gezamelijk project kunnen maken waardoor je ook kosten kunt delen.

Dat ze dit zo opgeleverd hebben is eigenlijk idioot. Ik zit hier in een pand met zes studenten, dus wat dat betreft heb ik het makkelijker. Die zes studenten zijn allen koppels, er zijn drie 2-persoonsunits. Dat was ook 1 "groot" netwerk toen ik hier kwam wonen. Dat heb ik omgetoverd tot ADSL modem bridged met router met OpenWRT er op. Daarop 3 VLANs aangemaakt, 3 SSIDs aangemaakt (1 voor elk VLAN) en dito voor elk VLAN een fysieke netwerkpoort. Zo heeft elke woning zijn eigen netwerk en kan er geen verkeer tussen de woningen heen-en-weer.
Zoiets zouden ze op grote schaal moeten doen in jouw studentenpand eigenlijk...
Maarja, dat bemoeilijkt het overgooien van random files en gaming wel ja.
Dat WiFi voorzien van een passphrase is eigenlijk wel een minimum...

[Reactie gewijzigd op donderdag 5 januari 2012 22:56]


Door Maarten, donderdag 5 januari 2012 23:05

Ik zou zelf voortaan over ssh via een bestaand servertje internetten of een betaalde vpn nemen. Bijvoorbeeld https://www.goldenfrog.com/vyprvpn niet de goedkoopste maar wel een snelle.

Er is zeker ook niet iets van een QoS of iets dergelijks... Ik heb zelf gehad dat zodra een medebewoner zijn download open gooide de overige bewoners een minder prettige surf ervaring beleefde. Dan heb je natuurlijk niets aan je vpn/ssh tunneltje.

Een bed wat je niet mag vervangen (mits niet aan de muur verankert) is wettelijk toegestaan, ongeacht wat je huurcontract zegt. Het is een ander verhaal als je het bed beschadigd o.i.d.

Door Tweakers user Sissors, donderdag 5 januari 2012 23:43

Om heel eerlijk te zijn vind ik dat je nogal moeilijk doet over zoiets. Je kan 180 PCs in het netwerk zien? Moet je eens naar de UT gaan, kan je er nog heel veel meer bereiken. Netwerkverkeer is daar wel encrypted (maar geen WPA uit mijn hoofd), maar doen ze ook niet moeilijk met VLANs enzo om dingen gescheiden te houden, het hele idee is juist dat het één groot netwerk is. Daarom is het meteen wel zo handig om als je er verbinding mee te maakt de grote knop "dit is een openbaar netwerk" aan te klikken, zodat je bestandsdeling niet aan is. (Of er een wachtwoord op te gooien). Maar als de gebruiker dat liever heeft, wie is die systeembeheerder dan om anders te besluiten?

Dan kan je wel mensen een ander idee geven met horrorverhalen wat je allemaal wel niet kan doen op zon netwerk, maar laten we wel wezen, die data gaat ook allemaal via 3rd party routers verder het internet op waar zowel jij als je ISP geen enkele controle over heeft, oftewel als je iets privé wilt houden moet het gewoon van begin tot einde encrypted zijn, en niet alleen het draadloze stukje. Oftewel HTTPS verbindingen. En zelf gebruik ik ook dan geen facebook, maar snelle google laat mij zien dat je ook daar kan inschakelen dat hij altijd https gebruikt.

En als je echt alles privé wilt hebben, moet je een VPN tunnel gebruiken. Goedkoper dan je eigen ADSL verbinding willen. Zelf zou ik waarschijnlijk wel voorstander zijn van er toch maar WPA encryptie op te gooien, maar hele gedoe met gescheiden VLANs zou ik ook geen voorstander van zijn.

Door Tweakers user Biersteker, vrijdag 6 januari 2012 00:11

Het probleem is juist dat deze verbinding door alle huuders word gebruikt. Laten we zeggen hun thuisverbinding. In mijn ogen is dit echt vragen om problemen. Zelf kunnen de huurders er weinig aan doen, ook de keuze mogelijkheid om te kiezen voor een beveiligde wireless verbinding is niet meer aanwezig. Ook is het aansluiten van ADSL niet mogelijk zoals ik al eerder aangaf. Het probleem is dan ook niet dat alles prive moet zijn, maar een beetje je gebruikers in bescherming nemen zou hier echt geen kwaad kunnen. Aangezien het ook nog eens een hotel is.

[Reactie gewijzigd op vrijdag 6 januari 2012 00:11]


Door Tweakers user Oebele Drijfhout, vrijdag 6 januari 2012 00:40

Je maakt je druk om niks. Als je je op het internet begeeft via een 'normale' ISP heb je exact dezelfde situatie: je zit me honderden gebruikers bij dezelfde ISP, iedereen kan verkeer afluisteren dat niet versleuteld is, iedereen kan verbinding maken met poorten die open staan. Het enige verschil is dat normaal gesproken je bij een ISP, bv UPC, een publiek IP krijgt en jij waarschijnlijk niet en dus met z'n 180-en op een prive-netwerk zit. Sucks, maar NAT heeft, in tegenstelling tot wat veel mensen denken, niets te maken met beveiliging. Je bent als eindgebruiker zelf verantwoordelijk voor je veiligheid, dus ik zou zeggen, zet een firewall neer en neem nog een biertje.

Door Tweakers user CodeCaster, vrijdag 6 januari 2012 02:12

T-MAN3000 schreef op vrijdag 06 januari 2012 @ 00:40:
Sucks, maar NAT heeft, in tegenstelling tot wat veel mensen denken, niets te maken met beveiliging.
Maar het ís wel veiliger. Al je poorten staan standaard namelijk dicht, wat bij de situatie die Biersteker hier heeft niet het geval is.

Door Tweakers user Petervanakelyen, vrijdag 6 januari 2012 09:54

Herkenbaar, ik heb zelf ook jaren met zo iemand te maken gehad.
Als je dit stukje leest weet je genoeg over het niveau van de persoon in kwestie :X
Verder hebben alle studenten de mogelijkheid om via het bedrade netwerk
gebruik van Internet te maken en dat is zeker niet af te luisteren.

[Reactie gewijzigd op vrijdag 6 januari 2012 09:54]


Door Tweakers user Sissors, vrijdag 6 januari 2012 09:55

Bij elke firewall staan standaard ook al je poorten van je computer dicht, tenzij je uiteraard bestandsdeling aanzet.


En tja als iemand zover gaat om het bedrade netwerk af te luisteren dan kan diegene ook bij de router fysiek al het verkeer afluisteren, dan gaat een VLAN ook niet meer helpen, kan hij desnoods de router vervangen door een andere, met bijvoorbeeld andere DNS servers.
Biersteker schreef op vrijdag 06 januari 2012 @ 00:11:
Het probleem is juist dat deze verbinding door alle huuders word gebruikt. Laten we zeggen hun thuisverbinding. In mijn ogen is dit echt vragen om problemen.
Nog steeds exact hetzelfde als op de campus, en daar zitten 2000+ studenten op hetzelfde netwerk zonder VLAN. En dat zijn enkel de studenten die er wonen, dan heb je nog alle gast accounts, medewerkers accounts en accounts van andere studenten, en die kunnen datzelfde netwerk ook nog eens via een VPN tunnel op van buiten. En dat zit allemaal op één en hetzelfde netwerk, niks gescheiden met VLANs.

En zoals ik en andere al eerder zeiden, je kan er best wat aan doen als gebruiker, een beveiligde VPN tunnel afnemen, sowieso goedkoper dan een eigen ADSL lijn, en net zo veilig.

[Reactie gewijzigd op vrijdag 6 januari 2012 09:57]


Door Wiert, vrijdag 6 januari 2012 23:46

Casa hotel zeker? Die wifi verbinding werkt niet eens in alle kamers....

Door LuckY, zondag 8 januari 2012 14:58

Wat moet er volgens jou dan gebeuren? WPA-PSK?
Dan moet die niet gaan uitlekken want anders heb je precies dezelfde problemen als een unencrypted netwerk, nu heb je enkel een EAPOL handshake nodig bij een begin van de verbinding).

PPoE en 802.1x zijn leuk, maar dat is een bitch om te managen over meerdere OS's / mobiele telefoons en ipads.

Een veilige oplossing die gemakkelijk werkt is er niet, wat er gedaan kan worden is een een groepje studenten (2 of 3 ) in dat huis een oplossing laten bedenken die dat dan ook gaan supporten.

In mijn studentenflat is het zo dat ze WPA-PSK met mac filtering doen, de code is al enkele maanden niet gewijzigd. Dat is ook onveilig, je socialengineerd of steelt de code van een klasgenoot zijn laptop (lees niet locken en foto van code maken) en je steelt een random mac adress aan de andere kant van de flat.

Dan kan ik precies hetzelfde doen als wat jij nu doet, alleen is het een klein stapje moeilijker gemaakt.
Het is niet jou flat, je maakt je druk om niks, je kan hooguit vrienden adviseren om het te gaan onderzoeken.

oh en +1 over je facebook comment mbt sociaallevel

Door Tweakers user Biersteker, zondag 8 januari 2012 15:07

@Lucky. Je hebt gelijk dat je het met een WPA-PSK niet veel anders is. Behalve dan dat je dan met ARP moet gaan werken. In plaats van unencrypted data sniffen. Ik maak me er ook niet echt druk om verder. Heb het even aangekaart bij het systeembeheer, ik was alleen verbaasd over hun reactie. Volgende blog post zal over iets anders gaan :)

Door LuckY, maandag 9 januari 2012 20:40

Euhm nee, je hoeft niet met ARP te werken.
Je gebruikt een Pre-shared-key (zo iedereen hetzelfde), de wpa(2) encryptie exchanged in de eapol handshake aan het begin van de connectie wat parameters. Op basis van die parameters en jou encryptiekey word de keys gegeneerd voor jou communicatie.
Maar de EAPOL handshake is unencrypted, dus als jij de key bezit en de eapol handshake kan je al het verkeer decrypten (wireshark kan dat automatisch).

Ohja en met een deauth force je een reconnectie waarbij je de EAPOL handshake kan sniffen ;) dus geen arp nodig

Door Tweakers user Biersteker, maandag 9 januari 2012 22:53

Heb je gelijk in. Ik bedoelde met droidsheep eigenlijk.

Reageren is niet meer mogelijk