![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
Saxion, CAA en Linux 
In mijn ruim driekwart jaar lessen volgen aan de Saxion Hogeschool in Enschede ben ik achter twee dingen gekomen: de kantine is te duur en het wifi een crime onder Linux. Aan dat eerste probleem valt niet veel meer te doen dan maar een uurtje langer werken en het geld voor dat broodje brie alsnog ophoesten. Die tweede kwestie daarentegen valt met een beetje prutsen op te lossen.
Clean Access Agent
Het draadloze netwerk van de hogeschool wordt, naast standaard WPA, beveiligd door middel van een stuk software genaamd Clean Access van Cisco. Deze beheersoftware blokkeert normale netwerktoegang voor alle computers die niet uitgerust zijn met een softwareprogramma genaamd Clean Access Agent, afgekort tot CAA.
Dit programma is geweldig: het doorzoekt je computer op de aanwezigheid van bepaalde antimalware en verleent je alleen toegang tot het netwerk wanneer de meest up-to-date (nou, ja, niet te up-to-date, want dan herkent CAA je versie niet meer) versies zijn geïnstalleerd. Als bonus blokkeert het bepaalde onderdelen van je netwerksoftware zodat je de netwerkverbinding niet meer kunt delen met je arme klasgenoot die zonder wifi-kaart zit. Per slot van rekening is het programma alleen beschikbaar voor Mac OS X en Windows.
Gelukkig zijn de systeembeheerders niet geheel onredelijk. Computers zonder CAA hebben de optie om voor 'Restricted Access' te kiezen, waarmee ze alsnog toegang tot het Internet krijgen. De toegang tot het interne Saxion-netwerk, met uitzondering van een bepaald aantal servers, blijft gesloten.
Probleemstelling
Om de een of andere reden, zijn de systeembeheerders van mening dat toegang tot bepaalde servers (onder andere de host van cii.saxion.nl en de linux-systemen van school) niet veilig zijn voor dreigingen vanaf computers verbonden in de beperkte toegangsmodus. Dit is voor mij vrij vervelend, want ik moet nogal eens op de cii-website zijn voor vakinformatie en de linux-computers om... nou, ja, ik wil daar gewoon toegang toe hebben.
Oplossing (Concept)
Opvallend genoeg zijn de voorgenoemde systemen wèl toegankelijk vanaf het internet. Schijnbaar is de dreiging vanuit het internet minder groot. CAA-loze studenten lossen het websiteprobleem doorgaans op met gratis proxy-diensten om zo vanaf het intranet via het internet op de servers die ook weer op het intranet staan te komen.
Mijn inziens kan dit eleganter, maar hiervoor is wel een extra Linux-computer nodig die ten opzichte van het Saxion-netwerk op het internet zit (de Linux-pc's van het Saxion zelf voldoen dus niet). Deze pc moet zijn uitgerust met een OpenSSH-server, zodat een ssh-verbinding kan worden opgezet vanuit het intranet van Saxion.
Het mooie van de ssh-client is dat het als lokale SOCKS5-server kan dienen. Hiermee kunnen programma's door een firewall heen tunnelen en het internet op via de verbinding van de server. Merk op dat dit meer is dan de standaard tunnelfunctionaliteit van ssh. Die functionaliteit laat namelijk de gebruiker ssh-verbindingen leggen naar een vaste host, terwijl SOCKS de applicatie zelf laat bepalen welke host hij bezoekt. Door gebruik te maken van de SOCKS5-dienst kunnen CAA-loze computergebruikers alsnog genieten van (vrijwel) volledige toegang.
Oplossing (Praktisch)
Goed, dat was dus het theoretische deel, op naar de HOWTO van deze blogpost. Zoals gezegd heb je toegang nodig tot een OpenSSH-server. Zoek zelf even op hoe je die moet installeren als je die nog niet hebt, want dat gaat iets buiten deze handleiding om. Vervolgens kan je doodeenvoudig de SOCKS5-server starten door op je laptop het volgende commando op te geven:
Het eerste gedeelte is standaard en zorgt ervoor dat je daadwerkelijk inlogt op de server. De switch 'D' start de lokale SOCKS-server op de opgegeven poort, in dit geval 2000. Denk eraan dat je ingelogd moet blijven om de server actief te houden. Zodra je ssh afsluit, is daarmee ook de server weg.
Nu de server is gestart wordt het tijd om je programma's te vertellen dat hun verbindingen via die server moeten gaan lopen. Ik heb bijvoorbeeld mijn Firefox uitgerust met de FoxyProxy-addon, waarmee ik met reguliere expressies tot op de url nauwkeurig kan aangeven wanneer ik een verbinding wil laten verlopen via de server en wanneer niet.
Sommige programma's bieden niet uit zichzelf de optie om de verbindingen via een proxy te laten verlopen. Ook daar is een oplossing voor in de vorm van een cli-programmaatje genaamd tsocks. Dit is in essentie een wrapper voor de programma's zonder proxy-functionaliteit. Om bijvoorbeeld je Firefox-verbindingen te laten lopen via SOCKS5, moet je het volgende commando in de terminal invoeren:
Wanneer nu Firefox een verbinding wil openen, zal tsocks deze verbinding laten lopen door een SOCK5-tunnel. Wanneer tsocks zonder extra parameters wordt gestart, start het een nieuwe shell waarin alle verbindingen via SOCKS5 zullen verlopen. Dit is bijvoorbeeld praktisch als je met de Subversion-server van school werkt via de cli.
Om tsocks te configureren voor je locale server, moet je het bestand /etc/tsocks.conf bewerken en de volgende regels aan het einde aanpassen:
code:
Nu kan je in ieder geval je verbindingen via je thuisservertje (of die van een vriend) laten lopen en zo toch bij de gesloten websites en servers. Nu nog een manier vinden om te kunnen printen...
Clean Access Agent
Het draadloze netwerk van de hogeschool wordt, naast standaard WPA, beveiligd door middel van een stuk software genaamd Clean Access van Cisco. Deze beheersoftware blokkeert normale netwerktoegang voor alle computers die niet uitgerust zijn met een softwareprogramma genaamd Clean Access Agent, afgekort tot CAA.
Dit programma is geweldig: het doorzoekt je computer op de aanwezigheid van bepaalde antimalware en verleent je alleen toegang tot het netwerk wanneer de meest up-to-date (nou, ja, niet te up-to-date, want dan herkent CAA je versie niet meer) versies zijn geïnstalleerd. Als bonus blokkeert het bepaalde onderdelen van je netwerksoftware zodat je de netwerkverbinding niet meer kunt delen met je arme klasgenoot die zonder wifi-kaart zit. Per slot van rekening is het programma alleen beschikbaar voor Mac OS X en Windows.
Gelukkig zijn de systeembeheerders niet geheel onredelijk. Computers zonder CAA hebben de optie om voor 'Restricted Access' te kiezen, waarmee ze alsnog toegang tot het Internet krijgen. De toegang tot het interne Saxion-netwerk, met uitzondering van een bepaald aantal servers, blijft gesloten.
Probleemstelling
Om de een of andere reden, zijn de systeembeheerders van mening dat toegang tot bepaalde servers (onder andere de host van cii.saxion.nl en de linux-systemen van school) niet veilig zijn voor dreigingen vanaf computers verbonden in de beperkte toegangsmodus. Dit is voor mij vrij vervelend, want ik moet nogal eens op de cii-website zijn voor vakinformatie en de linux-computers om... nou, ja, ik wil daar gewoon toegang toe hebben.
Oplossing (Concept)
Opvallend genoeg zijn de voorgenoemde systemen wèl toegankelijk vanaf het internet. Schijnbaar is de dreiging vanuit het internet minder groot. CAA-loze studenten lossen het websiteprobleem doorgaans op met gratis proxy-diensten om zo vanaf het intranet via het internet op de servers die ook weer op het intranet staan te komen.
Mijn inziens kan dit eleganter, maar hiervoor is wel een extra Linux-computer nodig die ten opzichte van het Saxion-netwerk op het internet zit (de Linux-pc's van het Saxion zelf voldoen dus niet). Deze pc moet zijn uitgerust met een OpenSSH-server, zodat een ssh-verbinding kan worden opgezet vanuit het intranet van Saxion.
Het mooie van de ssh-client is dat het als lokale SOCKS5-server kan dienen. Hiermee kunnen programma's door een firewall heen tunnelen en het internet op via de verbinding van de server. Merk op dat dit meer is dan de standaard tunnelfunctionaliteit van ssh. Die functionaliteit laat namelijk de gebruiker ssh-verbindingen leggen naar een vaste host, terwijl SOCKS de applicatie zelf laat bepalen welke host hij bezoekt. Door gebruik te maken van de SOCKS5-dienst kunnen CAA-loze computergebruikers alsnog genieten van (vrijwel) volledige toegang.
Oplossing (Praktisch)
Goed, dat was dus het theoretische deel, op naar de HOWTO van deze blogpost. Zoals gezegd heb je toegang nodig tot een OpenSSH-server. Zoek zelf even op hoe je die moet installeren als je die nog niet hebt, want dat gaat iets buiten deze handleiding om. Vervolgens kan je doodeenvoudig de SOCKS5-server starten door op je laptop het volgende commando op te geven:
ssh gebruikersnaam@url.van.de.server -D 2000
Het eerste gedeelte is standaard en zorgt ervoor dat je daadwerkelijk inlogt op de server. De switch 'D' start de lokale SOCKS-server op de opgegeven poort, in dit geval 2000. Denk eraan dat je ingelogd moet blijven om de server actief te houden. Zodra je ssh afsluit, is daarmee ook de server weg.
Nu de server is gestart wordt het tijd om je programma's te vertellen dat hun verbindingen via die server moeten gaan lopen. Ik heb bijvoorbeeld mijn Firefox uitgerust met de FoxyProxy-addon, waarmee ik met reguliere expressies tot op de url nauwkeurig kan aangeven wanneer ik een verbinding wil laten verlopen via de server en wanneer niet.
Sommige programma's bieden niet uit zichzelf de optie om de verbindingen via een proxy te laten verlopen. Ook daar is een oplossing voor in de vorm van een cli-programmaatje genaamd tsocks. Dit is in essentie een wrapper voor de programma's zonder proxy-functionaliteit. Om bijvoorbeeld je Firefox-verbindingen te laten lopen via SOCKS5, moet je het volgende commando in de terminal invoeren:
tsocks firefox
Wanneer nu Firefox een verbinding wil openen, zal tsocks deze verbinding laten lopen door een SOCK5-tunnel. Wanneer tsocks zonder extra parameters wordt gestart, start het een nieuwe shell waarin alle verbindingen via SOCKS5 zullen verlopen. Dit is bijvoorbeeld praktisch als je met de Subversion-server van school werkt via de cli.
Om tsocks te configureren voor je locale server, moet je het bestand /etc/tsocks.conf bewerken en de volgende regels aan het einde aanpassen:
code:
1
2
3
| server = 127.0.0.1 server_type = 5 server_port = 2000 |
Nu kan je in ieder geval je verbindingen via je thuisservertje (of die van een vriend) laten lopen en zo toch bij de gesloten websites en servers. Nu nog een manier vinden om te kunnen printen...
 22-04
|
Op de spreekwoordelijke mat |
 26-03
|
Buienradar en Gnome Weather Report Applet |
Reacties
Door
LuckyY,
dinsdag 15 april 2008 20:45
Nice gedaan.
Maar heb je het hier ook met je systeembeheerders overgehad.
Ze schermen het niet voor niks af.
Als ze jou van school willen trappen is dit een lullige reden die ze kunnen gebruiken.
Maar heb je het hier ook met je systeembeheerders overgehad.
Ze schermen het niet voor niks af.
Als ze jou van school willen trappen is dit een lullige reden die ze kunnen gebruiken.
Door
maxi-pilot,
dinsdag 15 april 2008 20:52
Lijkt me niet, aangezien hij enkel de diensten wil gebruiken waarmee hij via het gewone internet ook op kan.
Waarom draai je niet d.m.v. b.v. vmware een windows machientje dat wel toegang heeft tot het netwerk ?
Door
hafkensite,
dinsdag 15 april 2008 21:19
Correct me if I'm wrong, maar vmware gebruikt toch alleen virtuele hardware, dus kan je niet vmware gebruiken om verbinding te maken met het wireless netwerk. En een bridged verbinding moet alsnog gebruikmaken van de 'Restricted Access'.Waarom draai je niet d.m.v. b.v. vmware een windows machientje dat wel toegang heeft tot het netwerk ?
@Reddog33 maar wat is de lol daarvan?
Door
-Niels-,
dinsdag 15 april 2008 22:13
ha, 2x eens met alinea 1.
Wat betreft t netwerk, ook op windows vertoont t regelmatig problemen... En de problemen beperken zich helaas niet alleen tot t netwerk, niet werkende software, niet geinstalleerde onderdelen van..., 3 kwartier wachten tot je software is ingeladen, pc's die de software niet aankunnen, haperende mailservers, brak diskmanagement enz....
Lijkt me dat ze t IT-beheer beter aan de IT-studenten kunnen geven....
Wat betreft t netwerk, ook op windows vertoont t regelmatig problemen... En de problemen beperken zich helaas niet alleen tot t netwerk, niet werkende software, niet geinstalleerde onderdelen van..., 3 kwartier wachten tot je software is ingeladen, pc's die de software niet aankunnen, haperende mailservers, brak diskmanagement enz....
Lijkt me dat ze t IT-beheer beter aan de IT-studenten kunnen geven....
Door
servies,
dinsdag 15 april 2008 22:47
't Is er dus alleen maar slechter op geworden op Saxxion. Ik ben ondertussen bijna 12 jaar geleden afgestudeerd aan de HIO. In mijn laatste jaren werd het systeembeheer van de HIO steeds meer uitbesteed aan een afdeling van (destijds) de Hogeschool Enschede... Een stelletje prutsers waren het. Een printer installeren op de Unix systemen was ver boven hun pet gegrepen. En over de beveiliging van het netwerk zullen we het maar helemaal niet hebben... dat was gewoon een lachertje... en blijkbaar nog steeds...
Door
Maxxi,
dinsdag 15 april 2008 23:28
Het vorige systeem was een simpele check op je MAC.
Als deze klopte kreeg je een IP, anders niet.
Stelde je een vast ip (binnen de goede range) in, dan had je weer internet ;-)
Die Cisco client is niet altijd even stabiel, en er blijken trucen te zijn deze eruit te slopen en toch internet te houden.
Het is me niet nog gelukt, maar mocht het lukken dan zal ik het posten.
Als deze klopte kreeg je een IP, anders niet.
Stelde je een vast ip (binnen de goede range) in, dan had je weer internet ;-)
Die Cisco client is niet altijd even stabiel, en er blijken trucen te zijn deze eruit te slopen en toch internet te houden.
Het is me niet nog gelukt, maar mocht het lukken dan zal ik het posten.
Door
Maxxi,
dinsdag 15 april 2008 23:29
foutje..
Door
-Niels-,
dinsdag 15 april 2008 23:30
Over de printers niet dan lof sinds ong een jaar, toen is er een nieuw systeem inc nieuwe printers geinstalleerd. Het herkent je aan je chipknip en begint met printen.... tenzij er een systeembeheerder de printer later opnieuw heeft geinstalleerd, dan herkent het systeem niemand en print gewoon:)
Makkelijker is om gewoon de /etc/hosts file aan te passen. Je pingt vanaf een externe locatie de geblokkeerde cii.saxion.nl sites en zet het IP in de hosts file 
.
.
Door
joopata,
woensdag 16 april 2008 07:34
Ook ik weet niet of de systeembeheerders er blij mee zullen zijn. Maar ja, zolang je er geen problemen mee krijgt gaat het prima.
Door
Ghost,
woensdag 16 april 2008 12:17
@Naamloos:
Hoe bedoel je dat aanpassen van je host-configuratie? Ik dacht namelijk dat dat bestand uitsluitend voor dns-lookup werd gebruikt.
@joopata en anderen:
Ik heb ook bij docenten rondgevraagt over wat de mogelijke aanleiding kan zijn, maar ook zij vinden het een even vreemd verschijnsel. Voornamelijk het idee dat de diensten wel beschikbaar zijn vanuit het web doet mij geloven dat het meer een configuratiefoutje is dan dat restricted computers echt niet bij die diensten zouden mogen. Daarom denk ik dat dit een prima manier is als workaround voor deze irritatie.
Hoe bedoel je dat aanpassen van je host-configuratie? Ik dacht namelijk dat dat bestand uitsluitend voor dns-lookup werd gebruikt.
@joopata en anderen:
Ik heb ook bij docenten rondgevraagt over wat de mogelijke aanleiding kan zijn, maar ook zij vinden het een even vreemd verschijnsel. Voornamelijk het idee dat de diensten wel beschikbaar zijn vanuit het web doet mij geloven dat het meer een configuratiefoutje is dan dat restricted computers echt niet bij die diensten zouden mogen. Daarom denk ik dat dit een prima manier is als workaround voor deze irritatie.
Niet alleen Linux vertoont problemen met CCA, maar Windows Vista sinds SP1 ook. Dat idiote Cisco-programma snapt niets van SP1 en vindt dat ik niet alle recente beveiligingsupdates heb geïnstalleerd, terwijl dat weldegelijk het geval is...
Door
beeman,
woensdag 16 april 2008 14:12
@Ghost:
Wat betreft het niet bereikbaar zijn van de website van cii.saxion.nl is het verstandig dit gewoon bij de ServiceDesk te melden (dat kan het beste per mail). Zoals je zegt vinden de docenten dit ook een vreemd verschijnsel, het lijkt mij dus ook iets wat niet bewust is dichtgezet. Als dit wel zo is moet de ServiceDesk je kunnen vertellen waarom. Mocht je hier geen of een niet inhoudelijke reactie op krijgen moet je mij maar effe een berichtje sturen.
Daarnaast ben ik van mening dat de CAA er gewoon voor Linux moet komen, ik heb zelf ook altijd problemen mij aan te melden op wireless. Voor zover ik weet is de CAA onder OS X een dummy client, die altijd aangeeft dat het werkstation clean is, dat moet voor Linux ook te regelen zijn.
Wellicht een leuk studie-object, het rev. engineeren van de CAA van OS X en dit onder Linux beschikbaar maken? Ik hou me als tester aanbevolen.
Wat betreft het niet bereikbaar zijn van de website van cii.saxion.nl is het verstandig dit gewoon bij de ServiceDesk te melden (dat kan het beste per mail). Zoals je zegt vinden de docenten dit ook een vreemd verschijnsel, het lijkt mij dus ook iets wat niet bewust is dichtgezet. Als dit wel zo is moet de ServiceDesk je kunnen vertellen waarom. Mocht je hier geen of een niet inhoudelijke reactie op krijgen moet je mij maar effe een berichtje sturen.
Daarnaast ben ik van mening dat de CAA er gewoon voor Linux moet komen, ik heb zelf ook altijd problemen mij aan te melden op wireless. Voor zover ik weet is de CAA onder OS X een dummy client, die altijd aangeeft dat het werkstation clean is, dat moet voor Linux ook te regelen zijn.
Wellicht een leuk studie-object, het rev. engineeren van de CAA van OS X en dit onder Linux beschikbaar maken? Ik hou me als tester aanbevolen.
Door
GrooV,
woensdag 16 april 2008 14:40
@beeman,
Als het een dummy client is, dan is het helemaal nutteloos zeg! Maar je moet dus een of andere daemon schrijven die, wanneer het systeem er om vraagt zegt dat alles ok is. Lijkt me vrij makkelijk te spoofen.
ik kwam trouwens nog ff deze link tegen via google:
http://forums.invisionpow...=threaded&pid=1714807
Als het een dummy client is, dan is het helemaal nutteloos zeg! Maar je moet dus een of andere daemon schrijven die, wanneer het systeem er om vraagt zegt dat alles ok is. Lijkt me vrij makkelijk te spoofen.
ik kwam trouwens nog ff deze link tegen via google:
http://forums.invisionpow...=threaded&pid=1714807
Door
beeman,
woensdag 16 april 2008 15:07
@Groov:
Onder Windows is de client zeker geen dummy. Zoals in de OP aangegeven is checked bij daar op je patchlevel, of je anti malware tools en een virusscanner geinstalleerd hebt. Als dit niet het geval is word je in een Remedy lan gezet waar je deze dingen kan installeren.
Bij OS X wordt er vanuit gegaan dat een systeem altijd clean is wat betreft virussen en andere rommel. Het lijkt mij dat je daar ook redelijkerwijs vanuit kan gaan, in tegenstelling tot bij Windows. Vandaar een dummy agent op OS X. Dit zou voor Linux ook moeten gelden, ik denk dat deze client er niet is omdat er een stuk minder Linux gebruikers dan OS X gebruikers zijn.
De oplossing waar ze het over hebben in de link die je aangeeft gaat bij de configuratie op Saxion niet werken helaas, je moet daar de CAA hebben om 'volledige' toegang te krijgen, het eenmalig booten van een Ubuntu CD gaat daar helaas niet bij helpen.
Onder Windows is de client zeker geen dummy. Zoals in de OP aangegeven is checked bij daar op je patchlevel, of je anti malware tools en een virusscanner geinstalleerd hebt. Als dit niet het geval is word je in een Remedy lan gezet waar je deze dingen kan installeren.
Bij OS X wordt er vanuit gegaan dat een systeem altijd clean is wat betreft virussen en andere rommel. Het lijkt mij dat je daar ook redelijkerwijs vanuit kan gaan, in tegenstelling tot bij Windows. Vandaar een dummy agent op OS X. Dit zou voor Linux ook moeten gelden, ik denk dat deze client er niet is omdat er een stuk minder Linux gebruikers dan OS X gebruikers zijn.
De oplossing waar ze het over hebben in de link die je aangeeft gaat bij de configuratie op Saxion niet werken helaas, je moet daar de CAA hebben om 'volledige' toegang te krijgen, het eenmalig booten van een Ubuntu CD gaat daar helaas niet bij helpen.
Hoi
Ik studeer ook op het saxion ik heb het handiger opgelost door gewoon me laptop deze heeft verbinding met het internet via caa en dan de draadloze netwerkverbinding te delen met de lan verbinding.
Crosscable ertussen en klaar, alles werkt :-)
Ik had het afgelopen donderdag geprobeerd iig.
Groetjes Jeroen
Ik studeer ook op het saxion ik heb het handiger opgelost door gewoon me laptop deze heeft verbinding met het internet via caa en dan de draadloze netwerkverbinding te delen met de lan verbinding.
Crosscable ertussen en klaar, alles werkt :-)
Ik had het afgelopen donderdag geprobeerd iig.
Groetjes Jeroen
Door
Dutch3men,
zondag 20 april 2008 04:00
Ik ben ook student op het Saxion en het is echt waardeloos, maar misschien ben ik daar wel één van de schuldigen van. Mijn laptop schijnt namelijk mensen van het netwerk af te trappen, geen idee hoe, maar het lukt hem wel.
Dit kreeg ik namelijk in mijn saxion mail:
Beste studenten,
Naar aanleiding van netwerkscans blijkt dat jullie (laptops) verdacht gedrag vertonen op het draadloos netwerk.
Hier hebben andere gebruikers last van.
Daarom het dringende verzoek je laptop na te kijken en verdachte software te verwijderen.
Voor de wireless verbinding van Saxion heb je niet meer software nodig dan vermeld staat in de handleidingen op wifi.saxion.nl.
Alvast hartelijk dank voor jullie medewerking!
Hierop hebben een paar andere studenten op gereageerd en toen kregen we deze reactie:
Dag allen,
Dank voor jullie reacties. Naar aanleiding daarvan dit mailtje.
Jullie melden dat je laptops netjes voorzien zijn van Windows, een virusscanner, antispyware en de clean access agent.
Ik dacht aan tooltjes of een of andere infectie, maar ik zal jullie niet onderschatten. ;-)
Als je zeker bent van een clean systeem, dan zal dat zo zijn.
Er is dan wel iets bijzonders aan de hand. Dat heeft te maken met het type meldingen.
Enige uitleg is op zijn plaats:
Op de momenten dat het netwerk gaat hikken (veel mensen die verbinding verliezen, weer een netwerk loginscherm krijgen, etc etc) zien wij wel het een en ander aan meldingen voorbijkomen.
Het meest opvallende zijn de volgende alarmerende meldingen:
Broadcast authentication, broadcast deauthentication, EAPOL Flood, Authentication Flood en Deauthentiaction Flood
Deze 5 types zijn van de orde 'zeer schadelijk' en (onder andere) kenmerkend voor hacktools en ze komen alleen maar voor als het netwerk hikt.
Het rare is, dat op afgelopen dinsdag deze meldingen van de mac-adressen van jullie laptops komen. Waarom is dat zo?
Als nu iedereen zo'n melding veroorzaakte zou dat nog aan het netwerk kunnen liggen, maar jullie zijn op dat moment de enigen van de honderden gebruikers.
Ofterwijl er gaat iets flink mis.
Ikzelf draai netjes een virusscanner etc en ik doe er ook niks boeiends mee, dus waarom het gebeurt is me ook een compleet raadsel.
Maar wel vind ik het eigenlijk een rampen systeem, gewoon je mac address registreren is veel makkelijker zoals op de UT. Enige nadeel hiervan is inderdaad wel dat je geen controle meer hebt of mensen wel een virusscanner etc op hun laptop hebben draaien.
Dit kreeg ik namelijk in mijn saxion mail:
Beste studenten,
Naar aanleiding van netwerkscans blijkt dat jullie (laptops) verdacht gedrag vertonen op het draadloos netwerk.
Hier hebben andere gebruikers last van.
Daarom het dringende verzoek je laptop na te kijken en verdachte software te verwijderen.
Voor de wireless verbinding van Saxion heb je niet meer software nodig dan vermeld staat in de handleidingen op wifi.saxion.nl.
Alvast hartelijk dank voor jullie medewerking!
Hierop hebben een paar andere studenten op gereageerd en toen kregen we deze reactie:
Dag allen,
Dank voor jullie reacties. Naar aanleiding daarvan dit mailtje.
Jullie melden dat je laptops netjes voorzien zijn van Windows, een virusscanner, antispyware en de clean access agent.
Ik dacht aan tooltjes of een of andere infectie, maar ik zal jullie niet onderschatten. ;-)
Als je zeker bent van een clean systeem, dan zal dat zo zijn.
Er is dan wel iets bijzonders aan de hand. Dat heeft te maken met het type meldingen.
Enige uitleg is op zijn plaats:
Op de momenten dat het netwerk gaat hikken (veel mensen die verbinding verliezen, weer een netwerk loginscherm krijgen, etc etc) zien wij wel het een en ander aan meldingen voorbijkomen.
Het meest opvallende zijn de volgende alarmerende meldingen:
Broadcast authentication, broadcast deauthentication, EAPOL Flood, Authentication Flood en Deauthentiaction Flood
Deze 5 types zijn van de orde 'zeer schadelijk' en (onder andere) kenmerkend voor hacktools en ze komen alleen maar voor als het netwerk hikt.
Het rare is, dat op afgelopen dinsdag deze meldingen van de mac-adressen van jullie laptops komen. Waarom is dat zo?
Als nu iedereen zo'n melding veroorzaakte zou dat nog aan het netwerk kunnen liggen, maar jullie zijn op dat moment de enigen van de honderden gebruikers.
Ofterwijl er gaat iets flink mis.
Ikzelf draai netjes een virusscanner etc en ik doe er ook niks boeiends mee, dus waarom het gebeurt is me ook een compleet raadsel.
Maar wel vind ik het eigenlijk een rampen systeem, gewoon je mac address registreren is veel makkelijker zoals op de UT. Enige nadeel hiervan is inderdaad wel dat je geen controle meer hebt of mensen wel een virusscanner etc op hun laptop hebben draaien.
Er is een makkelijker oplossing voor je hele probleem.
De oplossing beperkt je internet helaas tot het gebruiken van Konqueror en geen enkele andere browser, maar je doet het volgende:
Verander je browser identificatie naar
"Netscape Navigator version 4.76 on Mac PPC"
Het zou moeten werken. Ik heb het nog niet getest zelf...
De oplossing beperkt je internet helaas tot het gebruiken van Konqueror en geen enkele andere browser, maar je doet het volgende:
Verander je browser identificatie naar
"Netscape Navigator version 4.76 on Mac PPC"
Het zou moeten werken. Ik heb het nog niet getest zelf...
Door
Ghost,
woensdag 14 mei 2008 09:31
@Jeroen:
Dat kan wel, maar dan moet de Linux-gebruiker (die ik op het oog heb) alsnog een extra laptop gaan meeslepen met CAA erop. Een alternatief is de laptop van een klasgenootje te gebruiken, maar die zijn ook niet altijd in de buurt. Door deze ssh-oplossing ben je hiervan onafhankelijk.
@Simon:
Ik weet niet of je user-agent string aanpassen echt zou helpen, maar dat is natuurlijk altijd het proberen waard. In Firefox kan dit overigens ook, alleen moet je daarvoor eerst een addon installeren.
Punt blijft dat je met jouw oplossing alleen toegang krijgt tot de websites. De verbindingen met de svn-server en Linux-systemen blijven zo nog steeds ontoegankelijk. Als je alleen dat eerste nodig hebt, lijkt jouw oplossing beter.
Dat kan wel, maar dan moet de Linux-gebruiker (die ik op het oog heb) alsnog een extra laptop gaan meeslepen met CAA erop. Een alternatief is de laptop van een klasgenootje te gebruiken, maar die zijn ook niet altijd in de buurt. Door deze ssh-oplossing ben je hiervan onafhankelijk.
@Simon:
Ik weet niet of je user-agent string aanpassen echt zou helpen, maar dat is natuurlijk altijd het proberen waard. In Firefox kan dit overigens ook, alleen moet je daarvoor eerst een addon installeren.
Punt blijft dat je met jouw oplossing alleen toegang krijgt tot de websites. De verbindingen met de svn-server en Linux-systemen blijven zo nog steeds ontoegankelijk. Als je alleen dat eerste nodig hebt, lijkt jouw oplossing beter.
@beeman,:
heeft iemand de link geprobeerd op Saxion Hogescholen??
ik namelijk wel en ben nu ingelogd zonder CCAA cliënt maar wel met windows. je wordt nog steeds doorverwezen in je browser maar als je klikt op restricted zie je dat je een unlimited user session hebt.
heeft iemand de link geprobeerd op Saxion Hogescholen??
ik namelijk wel en ben nu ingelogd zonder CCAA cliënt maar wel met windows. je wordt nog steeds doorverwezen in je browser maar als je klikt op restricted zie je dat je een unlimited user session hebt.
@peter: klopt, restricted = beperkt in mogelijkheden (geen msn, imap, etc) maar inderdaad onbeperkt in tijd.