Tag: Rogue

Optimaliseer je Wi-Fi omgeving!

Optimaliseer je Wi-Fi omgeving!

Rogue access points en tethering clients maken vaak gebruik van dezelfde frequenties en/of kanalen. Niet-802.11-apparaten bezetten de gebruikte kanalen.  Hierdoor kunnen de access-points en clients niet optimaal functioneren.

Rogue access-points zijn niet-geautoriseerde draadloze access-points waarvan aanschaf en installatie buiten de ICT om zijn gegaan en waarvoor geen expliciete toestemming is gegeven door ICT. Je kunt rogue acces-points in je panden identificeren en isoleren indien je alternatieven hebt. Daarnaast is het ook van belang dat er huisregels, reglementen of beleid is om de rogue-access-points in je panden te kunnen ‘elimineren’.

Wi-Fi Tethering is het delen van de mobiele internetverbinding van uw toestel (meestal een smartphone) met andere apparaten, zoals een tablet, laptop of computer. Ook wordt soms gesproken over het gebruik van een ‘hotspot’.

Niet-802.11-apparaten zijn: Bluetooth apparaten, magnetrons, bewegingsdetectie, draadloze camera’s, etc. Wanneer deze apparaten aanwezig zijn, kunnen ze een of meer van uw kanalen bezetten, waardoor de signaal-ruisverhouding (SNR) van de draadloze gebruiker wordt verminderd en daardoor een aanzienlijk verlies van bandbreedte veroorzaken.

Het gebruik van tethering, het plaatsen van niet beheerde access-points of aanwezigheid van genoemde storingsapparaten, heeft een negatief effect op het draadloze netwerk.

Met betrekking tot tethering en rogue access-points treden er twee problemen op:

Aan de hand van een voorbeeld maak ik duidelijk wat Adjacent Channel Congestion is:

Je luistert met je vrienden naar een concert. Achter je zit een drummer die helemaal los gaat en tegelijkertijd praten alle mensen in de zaal met elkaar, ieder in een eigen groep. Er komt zoveel geluid binnen dat het moeilijk is jouw gesprek met je vrienden voort te zetten. Wanneer jij luider begint te praten, moet de persoon naast je ook zijn stem verheffen. Je hoort dat er meerdere gesprekken plaatsvinden en je hoort de muziek van de band, maar het is onmogelijk om nog te communiceren. Dit is precies wat er gebeurt met draadloze apparaten die proberen te communiceren in een drukke omgeving.

Alle access-points horen eigenlijk uitsluitend gebruik te maken van kanaal 1,6 of 11 in de 2.4 GHz. Zodra er een andere kanaal in gebruik en/of aanwezig is anders dan 1,6 en 11 zal er ‘Adjacent Channel Congestion‘ plaatsvinden. Dit is wat het voorbeeld duidelijk maakt.

Aan de hand van een voorbeeld maak ik duidelijk wat Co-channel Interference is:

Om congestie van co-kanalen te kunnen begrijpen moeten we ons een denkbeeldig gesprek voorstellen in een klaslokaal. Denk terug aan je schooltijd – de kans is groot dat je van minstens één klas kunt bedenken dat de ene leerling langzamer praat dan de anderen. Alle anderen moeten dan op hun beurt wachten om een vraag te stellen.

Co-channel congestie werkt op een vergelijkbare manier: de prestaties worden gehinderd door de wachttijden. Elk apparaat krijgt de kans om met de bijbehorende Access-Points te praten als het aan de beurt is.

Om bovenstaande problemen binnen je beheerde Wi-Fi domein op te lossen zul je een aantal zaken moeten inregelen:

Om het rogue-access-point van derde partijen uit je beheerde Wi-Fi-omgeving te kunnen verwijderen heb je een alternatief nodig voor deze partijen.Binnen het onderwijs wordt er gebruik gemaakt van Eduroam. Dit is een besloten community waarvan commerciële partijen  geen gebruik mogen maken. (Er is weliswaar een SURFnet derden regeling maar deze is vaak onvoldoende (Zie https://www.surf.nl/surfinternet-een-snelle-betrouwbare-internetverbinding/derden-aansluiten-op-surfnet.) Je bent daarom verplicht om gebruik te maken van een andere (commerciële) internetkoppeling.

Open Wi-Fi kan een oplossing zijn voor tijdelijk internet, mits je daarnaast ook gebruik maakt van een VPN. Voor bedrijven is dit geen oplossing. Je zult naast Eduroam dan ook nog een andere Wi-Fi-oplossing moeten aanbieden. Zolang je deze oplossingen via je eigen Wi-Fi-infrastructuur kan aanbieden heb je geen last van ‘rogue-access-points’.

De ‘tethering-clients’ blijven daarentegen een behoorlijke uitdaging. Deze onwenselijke WiFi-verbindingen kunnen wel tot een minimum beperkt worden als er gebruik wordt gemaakt van MDM / portals waarin deze mogelijkheden worden afgeraden en/of via policies worden afgedwongen/verboden.

Mocht je hulp nodig hebben om zoveel mogelijk rogue access-points en/of andere storingsbronnen te identificeren en/of processen hiervoor in te willen regelen neem dan contact met mij op. Ik ben op korte termijn beschikbaar en kan je Wi-Fi netwerk een enorme boost geven!

Zie ook https://wifision.nl/mijn-aanbod/

Geen sprake van lekken inloggegevens #UvA

uva-hva-a4-rgb-300dpiAfgelopen weekend is er in de media en op Folia een bericht over een lek van inloggegevens bij de UvA en HvA gepubliceerd.

Wat is er aan de hand?
Er is geen sprake van het lekken van inloggegevens via de websites van de UvA en HvA.
Een man in the middle attack is binnen de ICT-wereld een bekend gegeven, waarbij iemand een ‘eigen’ draadloos en onbeveiligd netwerk in de lucht brengt en iemand verleidt (bijvoorbeeld via mail of door een vrij toegankelijk draadloos netwerk aan te bieden) om op dat vreemde netwerk in te loggen. Het is dus belangrijk altijd op te passen bij het inloggen op een vreemd netwerk.

Veilig
Studenten en medewerkers kunnen, zoals gebruikelijk, veilig gebruik maken van het bedrade en draadloze netwerk van de UvA en HvA en inloggen op de diverse sites van de UvA en HvA.
Wel het advies alert te zijn:

  • Verbind bij de UvA altijd met het beveiligde draadloze netwerk eduroam of UvA. Maak bij het eerste gebruik van eduroam verbinding via https://wifiportal.uva.nl.
  • Let bij het inloggen op websites van de UvA en HvA goed op het internetadres: staat er een groen slotje en een https verbinding in de internetbrowserbalk?
  • Reageer niet op phishing mails waarin gevraagd wordt om in te loggen op websites met eigen gegevens.

Aanvullende tip :

Mocht je geen gebruik maken van het draadloze netwerk eduroam of uva, bijvoorbeeld in een internet cafe of andere open WiFi-netwerk, maak dan altijd gebruik van UvAvpn. Via UvAVPN krijgt u veilig toegang vanaf een willekeurige internetaansluiting(open netwerk). UvAVPN is voor iedereen met een UvAnetID beschikbaar.

Voor vragen neem contact op met de Servicedesk ICTS via 020 525 2200 of servicedesk-icts@uva.nl.

bron: Gepubliceerd door ICT Services 17 november 2014

UPDATE 27 november 2014:

Inmiddels is er een brief van de directeur gepubliceerd. Deze brief is integraal geplaatst in folia magazine op pagina 32 (FoliaMagazine nr 12.2014).

Persoonlijke mening : Dhr H. Strikkers van Folia heeft de waarheid geweld aangedaan (traditionele journalisten zijn opgeleid om vormen hoor en wederhoor toe te passen of onderzoek te doen; Dit is duidelijk niet gebeurd en het artikel is veel te snel gepubliceerd!)

Reactie directeur ICT Services UvA/HvA : reactie-Bert-V-Folia

Verwante artikelen :

Beveiliging draadloze netwerken UvA & HvA

rogueBinnen de panden van de HvA en UvA heeft ICTS een groot aantal terugkerende, niet-geautoriseerde draadloze access-points gedetecteerd, d.w.z. waarvan aanschaf en installatie buiten ICTS om zijn gegaan.

Deze niet-geautoriseerde acces-points (eigen draadloze netwerken) brengen het gevaar met zich mee dat de diensten HvA en UvA draadloos niet of slecht functioneren. Daarnaast zijn deze draadloze netwerken niet altijd even goed beveiligd waardoor niets vermoedende, onwetende gebruikers beveiligingsrisico’s lopen t.a.v. data die over de ‘eigen niet-ICTS’ draadloze netwerken worden verzonden. Dit kan tot vervelende gevolgschade leiden.

De oplossing voor deze uitdagingen is locatie-gebaseerde beheer en intrusion detectie technologie. Door deze oplossingen is het mogelijk om realtime rogue access points op te sporen. Hierdoor kan de exacte fysieke locatie van alle draadloze 802.11-apparaten in en rond de panden bepaalt worden.

ROGUE AP

Een rogue ap is de meest voorkomende beveiligingsprobleem in een enterprise-omgeving. Een werknemer of hacker plaatst een meegenomen access point in een open, reeds bekabelde netwerkpoort. Dit access point zorgt voor het uitsturen van een wlan-signaal naar iedereen met een 802.11-apparaat, geautoriseerd of ongeautoriseerd. In de meeste gevallen heeft de werknemer geen idee wat de consequenties hiervan kunnen zijn en is de werknemer alleen maar op zoek naar de voordelen van mobiliteit van het netwerk. Echter, een ongeautoriseerd access point biedt toegang tot het volledige bekabelde netwerk op een manier die gemakkelijk door iedereen gerealiseerd kan worden met de aanschaf van een goedkope access point.

De detectie van ongeoorloofde ap’s werkt op basis van scans van zowel het bekabelde als het draadloze netwerk. Zodra op een van beide een nieuw apparaat wordt ontdekt, kan het systeem die correleren. Een ap heeft namelijk ook een bekabelde aansluiting. De mac-adressen van de aldus gevonden toestellen worden dan vergeleken met een database van oa. fabrikanten.

Ad hoc-modus

Wanneer een werknemer zijn laptop in ad-hoc-modus zet, zorgt hij hiermee ook dat zijn laptop een gateway wordt naar de rest van het netwerk. Ongeacht of de ad-hoc modus met opzet of per ongeluk is gekozen, kan elke toevallige netwerk ‘snooper’ of ‘hacker’ verbinding maken met het bedrijfsnetwerk via de ad hoc-modus van de netwerkkaart van de werknemer. Beide scenario’s (en andere nauw verwante onderwerpen zoals soft-AP configuraties) vormen enorme risico’s omdat ze alle investeringen die je hebt gemaakt in encryptie- en authenticatiesystemen kunnen omzeilen. Dit betekent dat iedereen met een draadloos apparaat verbinding kan maken met een netwerk zonder authenticatie. Ze kunnen hierdoor ook ongecodeerd netwerkverkeer ontvangen om hieruit bijvoorbeeld wachtwoorden te stelen, zodat ze andere onderdelen van de infrastructuur zouden kunnen aanvallen.

Hackers maken op dat moment gebruik van een reeks van aanvallen om toegang te krijgen tot het UvA en HvA-netwerk. Deze aanvallen komen neer op het systematisch proberen om de authenticatie- en encryptiesystemen te verslaan.

beleid

Het beleid t.a.v. het draadloze netwerk is dat het onderhoud en de operationele integriteit van het draadloze netwerk van de HvA en UvA te waarborgen en te behouden moeten zijn. Iedereen die binnen HvA- en UvA panden gebruik wil maken van netwerkfaciliteiten en daarbij een draadloze verbinding nodig heeft, moet gebruik maken van de netwerkinfrastructuur van de UvA of HvA. Dit houdt in dat alleen acces-points, geïnstalleerd en beheerd door ICTS Services, dienen te worden gebruikt, tenzij er aparte afspraken zijn gemaakt.

Officieel beleid in deze :

1. UvA : reglement UvAnet – ICT gedragregels, Artikel 2, lid 3

ICTS beheert en onderhoudt het gehele UvAnet en is uitsluitend bevoegd om netwerkapparatuur in het UvAnet te plaatsen alsmede om de routering binnen het UvAnet te regelen. ICTS monitort alle actieve netwerkapparatuur. ICTS verzorgt de aanleg van het UvAnet en brengt daarin, al dan niet op verzoek van de betrokken (onder)mandataris, wijzigingen aan. Aanleg en wijziging van het UvAnet gebeuren via een door het College van Bestuur vastgestelde procedure die regels kent ten aanzien van de prioritering. De(onder)mandataris stelt daartoe de naar het oordeel van ICTS benodigde technische ruimten beschikbaar.

2. HvA : huisregels van de HvA, artikel 4, lid 7

Het gebruik van zelf meegenomen elektrische apparatuur, anders dan voor directe onderwijsdoeleinden, is niet toegestaan. het gebruik van portable geluidsapparatuur en apparatuur die medegebruikers overlast bezorgen, is verboden.

Hoe kunnen we dit voorkomen/oplossen?

Een gelaagde aanpak door middel van onderwijs, detectie, rapportage en preventie is essentieel om de veiligheid en continuïteit te herstellen van HvA- en UvAdraadloos.

  • Leer gebruikers hoe zij de ad hoc-modus kunnen uitschakelen om te voorkomen dat onbevoegden gebruik kunnen maken van UvAdraadloos en HvAdraadloos
  • Rogue detectie/actieve opsporing kan de organisaties helpen controleren of draadloze signalen afkomstig zijn van UvAdraadloos, HvAdraadloos of van externen
  • Rapporteer maandelijks alle rogue access-points aan de organisatie en ga in gesprek met de verantwoordelijken.

De uitdaging is daarom om het draadloze verkeer binnen het gebouw te houden en andere draadloze netwerken buiten het gebouw te houden. De sleutel tot het voorkomen van wlan-inbraken is de mogelijkheid met een juiste nauwkeurigheid te kunnen bepalen wat de fysieke locatie is van de (niet UvA\HvA AP’s) draadloze apparaten.

Conclusie

Door accurate locatiebepaling is een koppeling te maken met de werkelijke fysieke ruimte, waardoor je verder kunt nadenken over de veiligheid in fysieke termen.

Door gebruik te maken van Location Based Services kan je apparaten terugvinden en hiermee bepalen wat de werkelijke fysieke locatie is van deze draadloze apparaten. Hierdoor kan je een virtueel schild optrekken langs de buitenmuren en/of ruimtes binnen de omgeving waarbinnen je het RF-verkeer volledig kunt controleren. Dit helpt je bij het voorkomen van inbraken op het UvAdraadloos, HvAdraadloos netwerk en elimineert verstoringen en veiligheidsrisico’s.