r2504 schreef:ITnetadmin schreef:Als het allemaal geencrypteerd is, zal er niet veel te inspecteren meer zijn.
En dat denk jij... je moet eens wat literatuur lezen over de great firewall of China.
Zelfs de verschillende soorten VPN tunnels welke over je encrypted SSL verbinding gaat kan men herkennen... het gaat echt ver hoor.
ja, maar voor zover ik weet niet de exacte inhoud.
Dus iets camoufleren als een ander soort traffiek wordt makkelijker omdat de ene geencrypteerde data doelbewust nogal op de andere geencrypteerde data lijkt.
r2504 schreef:ITnetadmin schreef:Dat kan mss voor een bedrijf, maar publieke netwerken die poorten blokkeren zijn eraan voor de moeite.
Als bedrijf wil je de rotzooit zoveel mogelijk beperken... dat is dus iedere connectie blocken waarvan je niet weer waarom ze nodig is.
ITnetadmin schreef:En ja, ook guest vlans blokkeren poorten hoor.
Dat is de keuze van de gastheer... misschien wil die niet dat je bepaalde dingen doet... het is voor jou als gast om dat te respecteren (al lijkt dat een ijdel begrip tegenwoordig).
ITnetadmin schreef:Dus onnodige blokkeringen uitvoeren, ook op corporate lans, is idioot.
Hopelijk vertel je dat nooit hardop in een deftige bedrijfsomgeving... veel succes met dergelijke uitspraken
Ik vat het nog ns samen:
Als er ook maar 1 port open is, dan kan je door.
Nutteloos poorten blokkeren is dus onzin.
Als de gastheer gaat blokkeren, dan gaan de gasten omwegen vinden, en de programmeurs gaan daarbij helpen.
Je mag dat niet accepteren, maar het zal wel zo zijn.
En met encryptie in standaard gebruik nu, hoe gaat men de geencrypteerde http pakketjes onderscheiden van de geencrypteerde pakketjes die slechts beweren http te zijn?
De inhoud zelf gaat niet veel info opleveren, en metadata lijkt mij veel makkelijker te faken.
Als je dus alles behalve port 80 en 443 http(s) gaat blokkeren, dan gaan er programmas ontwikkeld worden die data voordoen alsof het om http(s) data gaat, en die over die poorten versturen.
Controle in een geencrypteerde wereld is een illusie (met uitzondering van secured networks waar de firewall mitm speelt).
Kijk naar het beste voorbeeld totnogtoe: websocket video streaming.
Dat is letterlijk video data in http pakketjes encapsuleren.
Waarom denk je dat dat bestaat?
Waarom denk je dat dat ontwikkeld is?
Om lastige firewalls te omzeilen.
Als je dus denkt dat dat een uitzondering op de regel gaat vormen, vrees ik dat je er serieus naast gaat zitten.
Gewoon geencrypteerde data zoals vpn data blokkeren, en ip ranges ook, ja, dat kan ik nog zien gebeuren.
Maar als eenmaal protocols zich gewoon als https gaan voordoen, puur om erdoor te geraken, en de firewalls geen geencrypteerde data vierkant weigeren, is er altijd een gaatje.
OpenVPN traffiek verbergen in een https tunnel wordt nu al hier en daar mee geexperimenteerd.
Ik verg daar overigens geen waardeoordeel over; ik zeg alleen maar hoe ik dingen zie evolueren op internet.
En als je enkel port 80/443 openzet voor je users, dan gaan die alles daarover willen versturen, en de programmeurs gaan hen daarbij helpen.
Over sommige dingen heb je geen controle.
Je weet wel "the tighter you squeeze your fist, the more systems will slip through your fingers".
Dat bv pwd policies als "verander elke 30-90 dagen, complex pwd, no repeats, etc etc..." nog altijd bij de best practices staan, terwijl iedereen met gezond verstand intussen weet dat users het gewoon gaan neerschrijven op een postit ergens, toont aan dat sommigen de realiteit nog altijd weigeren te zien en in "het ideale netwerk" geloven.
Hell, als ik ooit verplicht wordt om maandelijks pwds te wisselen, zal het bij mij ook snel neergeschreven zijn.
+ 
