Security Professionals - ipfw add deny all from eindgebruikers to any

proxy server

15-03-2011, 17:48 door johanneslol, 15 reacties
Hallo,

Ik heb een vraag over een proxy server op mijn school.
Mijn school heeft een proxy server op gezet om te voorkomen dat iedereen op sites gaat die niets met de school te maken hebben. ( hyves, msn, online gamen, nieuwssites enzovoort). Ook knijpen ze je internet af als je teveel bandbreedte gebruikt. Nu is dit hun recht natuurlijk.

Echter monitoren en slaan zij ook informatie op die hun (in mijn ogen ) niets aangaat. Bijvoorbeeld als ik mail met gmail kunnen zij zien van welk e-mail adres het komt en waar het heengaat. Websites die je bezoekt en je wachtwoord die je hier op invoert worden opgeslagen in de cache van de proxy server.
Verder wordt deze proxy server onderhouden door studenten die ook ICT volgen en bijna zijn afgestudeerd. Verder zou ik dit wel kunnen omzeilen door te Tethering vanaf mijn mobiel te gebruiken, maar de opdrachten die gemaakt moeten worden staan op de FTP server en de enige manier om daarop te komen is via hun netwerk + bijbehorende proxy server.

Zelf heb ik hier al meerdere klachten over ingediend maar ze zeggen " jij bent de enige die er over valt"

Mijn vraag is dus mag dit zo maar ? Mag een school je zo dwingen om hun netwerk te gebruiken en hun de mogelijk geven om je te monitoren?

alvast bedankt,

johan
Reacties (15)
15-03-2011, 18:39 door djondjeems
Lijkt me typisch een vraagje voor Arnoud Engelfriet.
15-03-2011, 18:48 door [Account Verwijderd]
[Verwijderd]
15-03-2011, 19:24 door Anoniem
Johan,
alles is tegenwoordig toch httpS ? (dat is ook te "breken" maar dat zullen ze vast niet doen)

Welke smaak proxy is het ?
15-03-2011, 19:59 door Anoniem
Door Cvrler: Dag Johanneslol;
Over je vraag;
Niemand "dwingt" je om het netwerk van de school te gebruiken.
Daar kies je zelf voor.
Zie omtrent je gebruiks-wil, het netwerk van de school als een soort internetcafe.
Een internetcafe met de daarbij behorende risico's en haar gevolgen.

Gebruik het dan als zodanig vwb je email. Je kunt inloggen met een 1-malige wachtwoord/toegangscode.
Wat de school betreft; het lijt mij dat zij hun verantwoordelijkheid als eigenaar van het netwerk serieus nemen en terecht het gebruik monitoren.
Of de beheerders er behoefte aan hebben om inhoudelijk kennis te nemen van je mail en andere activiteit is nog maar de vraag, maar goed. Dat is een mogelijkheid en daar dien JIJ rekening mee te houden in je gedrag op het netwerk.
Neem in het internet verkeer allereerst jezelf serieus en neem zelf je eigen verantwoordelijkheid omtrent je gebruiks-veiligheid.

Hun reactie, dat je de enige bent die er over valt is natuurlijk een niet terzake doend argument en duidelijk een dooddoenertje.

Succes met je studie. (Daarvoor zit je op school ;)

Cvrler.


Leuk relaas maar er ontgaat je hier 1 ding;
De beheerders zijn einde jaars studenten en ik betwijfel of deze dezelfde papieren moeten tekenen als een reguliere systeem/netwerkbeheerder. (screening, bewijs goed gedrag, geheimhoudingsverklaring, controle nevenwerkzaamheden, etc, etc)
Ook hebben ze geen baan (lees familie en koophuis) die ze kwijt raken als het aan het daglicht komt.

Controleert de school de einde jaars studenten op wat ze uitspoken / installeren ? Wie heeft de regie ?
De school / leerkrachten hebben er waarschijnlijk geen kaas van gegeten en laten het aan studenten over, makkelijk en lekker goedkoop.
16-03-2011, 12:00 door SirDice
Bijvoorbeeld als ik mail met gmail kunnen zij zien van welk e-mail adres het komt en waar het heengaat.
Niet als je https gebruikt.

Websites die je bezoekt en je wachtwoord die je hier op invoert worden opgeslagen in de cache van de proxy server.
Dit is niet juist. Je wachtwoord wordt niet gecached op de proxy server maar in je browser.
16-03-2011, 12:36 door Syzygy
Mijn school heeft een proxy server op gezet om te voorkomen dat iedereen op sites gaat die niets met de school te maken hebben. ( hyves, msn, online gamen, nieuwssites enzovoort).

Zo ook privé email en andere niet voor school relevante zaken.

Gebruik het dus alleen voor school gerelateerde zaken.
Pas je aan aan hun policy en draai de zaak niet om.
16-03-2011, 15:55 door Black eagle
Ik kan begrijpen dat een instelling een proxy wil gaan gebruiken en wil gaan monitoren wat de bandbreedte verbruikt.
Zakelijk internet is een stuk duurder dan dat je thuis hebt.

Een proxy cashed van alles. Er zijn standaarden waar een forward proxy aan moet houden:
- Geen Caching van SSL sites
- In de website kan een 'do not Cache' optie gezet worden (dynamische pagina's).
- User/ PSW mag niet gecached worden.

Wat wel de vraag is of er autenticatie op de proxy aangezet. Zo ja dan kan er op username worden gezocht.
Echter het loggen van userid mag altijd mits het niet gebruikt wordt.
Willen ze hier wel gebruik van willen maken dan zal dit in beleid vastgelegd moeten zijn en door iedereen geacepteerd moeten worden. Zakelijk wordt dit in de algemene voorwaarden van het contract genoemd en ga je akkoord met de algemene voorwaarden bij het ondertekenen van je contract.

Op scholen en internet cafe's is dit vaak niet het geval (soms ook zakelijk) maar is er een pop up na het drukken van CTRL ALT DEL met de algemene voorwaarden. Indien je daar op OK druk (moet je wel anders kan je niet inloggen) ga je akkoord met de voorwaarden die gesteld worden bij het gebruik van het computer systeem.

De meeste betere mail providers zullen via SSL zijn. Dit is dan niet terug te halen voor de proxy beheerder. alleen dat je daar je mail ophaald maar wat er daadwerkelijk binnen de SSL Sessie gebeurd is niet te zoen.

Tip voor als je zelf een mail omgeving host maak gebruik van een zelf signed SSL ;-)

FTP in algemeen is geen veilig protocol. Er zijn tegenwoordig veel betere systemen die web based zijn.
Je bent dan mischien wel de enige die er over klaagt maar geef je geen ongelijk om hierover in discussie te gaan.
Wat me het meeste opvalt is dat eindejaars zonder juiste kennis van Privicy en contract form dit mogen doen.
Als er prive gegevens uitlekken en/of gebruik wordt gemaakt van hun rechten is je school aansprakelijk.
16-03-2011, 16:56 door Anoniem
Kijk, als je wel iets mag installeren:

http://www.your-freedom.net/

Even een accountje aan maken en gaan met die banaan!
18-03-2011, 17:37 door johanneslol
Door Anoniem: Johan,
alles is tegenwoordig toch httpS ? (dat is ook te "breken" maar dat zullen ze vast niet doen)

Welke smaak proxy is het ?

Het is zover als ik weet is het een webproxy.


Door Anoniem: Kijk, als je wel iets mag installeren:

http://www.your-freedom.net/

Even een accountje aan maken en gaan met die banaan!


Het is mijn eigen laptop dus dit is prima.


Bedankt iedereen voor de reacties !! :)
19-03-2011, 20:18 door Anoniem
Ik gebruik zelf VPN die dan weer getunneld wordt over SSH voor dit soort zaken.
want standaard staat alles dicht op port van OpenVPN =(
20-03-2011, 23:31 door musiman
Door Black eagle: ...De meeste betere mail providers zullen via SSL zijn. Dit is dan niet terug te halen voor de proxy beheerder. alleen dat je daar je mail ophaald maar wat er daadwerkelijk binnen de SSL Sessie gebeurd is niet te zoen. .

Tip voor als je zelf een mail omgeving host maak gebruik van een zelf signed SSL ;-)....

Dit is IMHO een bijzonder gevaarlijke opmerking. Bedenk dat er bij een managed network in te breken is in een SSL sessie!!!

http://www.redline-software.com/eng/products/tk/components/ssl_decoder.php

Hier heb je alvast een link naar een tool die dat kan. Lees de info en je begrijpt wat ik bedoel. Let wel, dit kan ISA niet als enige, ook de concurrenten kunnen het.
20-03-2011, 23:51 door Anoniem
Is dit toevallig het Friesland College te Leeuwarden? Komt me erg bekend voor deze ongein, en wordt tevens beheerd door studenten "die voornamelijk stage lopen". Laatst hadden ze zelfs de proxy server zo ingesteld, dat als ik naar hyves ging ik zo maar ingelogt was onder een willekeurige account van een andere student (werken met eigen hardeschijven, dus was geen sessie of cookie).

Schande.
21-03-2011, 09:42 door Invader Zim
Er zijn 3 dingen die je nodig hebt om een proxyserver te omzeilen.
1) Shell access op een *nix machine buiten het netwerk
2) PuTTY
3) Browser die SOCKS5 proxy ondersteunt

http://www.devdaily.com/unix/edu/putty-ssh-tunnel-firefox-socks-proxy/

Ik gebruik het om onze brakke proxyserver te omzeilen. Terwijl mijn collega's klagen dat het internet weer down is zit ik gewoon te browsen.
21-03-2011, 10:27 door Anoniem
Er is een betere wijze om toch in alle privacy gebruik te maken van de proxy van je school. www.pocketdesktops.com met deze oplossing omzeil je alles en iedereen en kan je in alle privacy mailen surfen en transacties maken.

Op de site staan een aantal links naar video's waarin het systeem wordt uitgelegd. Echt een aanrader! Het maakt zelfs niet uit of je op je eigen pc zit te werken. Er blijft geen bitje achter op de host pc.
En je hoeft geen verstand te hebben van alerlei moeilijke/technische pc zaken. Plug and play.
21-03-2011, 16:32 door Black eagle
Door musiman: Dit is IMHO een bijzonder gevaarlijke opmerking. Bedenk dat er bij een managed network in te breken is in een SSL sessie!!!

Ja er zijn verschillende manieren om een SSL Sessie in te komen. Ook zijn er diverse tooling om dit principe tegebruiken (Man in The Middel Attacks).
Voor het opnieuw encrypten heb je zelf een Public Key nodig.

Door de SSL Certificaat te bekijken (wat altijd verstandig is) kan je zien wie de Certificaat heeft uitgegeven.

Web SiteSSL Decoder acts as a full-featured certificate authority, such as, for example, VeriSign, Equifax or Thawte. But certificates it issues have two basic differences:
?they are free
?nobody trusts them

Het is in de meeste gevallen dus zichtbaar dat er 'iets' gedaan wordt met de SSL Sessie. In Managed networks kan de root certificaat inderdaad automatisch worden toegevoegd aan de Trusted Root Certificates (Denk aan Group Policy's).

Ik kan me indenken dat dit voor bedrijven en instellingen gewenst is maar de vraag blijft uit Privacy oogpunt: Is dit verantwoord en worden de Beheerders van het systeem vertrouwd?

Of topic:
SSL is 1 van de opties die je hebt om sites te beveiligen.
Tevens is het van belang om wel weet te hebben van de mogelijke dreigingen die er zijn.

Privacy in het algemeen komt steeds meer in het geding aangezien de meeste internet providers ook verkeer loggen en dit wettelijk ook mischien zal gaan moeten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.