Gaat niet werken.. Ook al vertrouw ik mijn provider onder geen beding wordt er iets op afstand uitgevoerd op mijn machine.

Bovendien lijkt dit me ook redelijk simpel te omzeilen. De computer die een verbinding maakt wordt gecontroleerd. Eventuele computers die daar achter zitten niet.

Als ISP dat willen verplichten gaan ze impliciet consumenten hun platform en
OS opleggen. Dan heb ik het ook nog niet over virusscanners die niet door de
ISP ('s NAC oplossing) herkent worden.

Leuk maar m.i. onzinnig en onuitvoerbaar idee.

Als de gebruiker niet van het Internet afgesloten wil worden
kan hij maar beter ervoor zorgen zijn zaakjes voor elkaar te
hebben.... zo gaat dat bij 'ons'.... ;)
Maar 'wij' gaan hun niet voorkauwen hoe zij dat
kunnen/moeten doen..... doet ook niemand voor ons.....
Ja Bill heeft het in het verleden wel eens geprobeerd...
dat was lachen.... ;)

Mijn stelling luidt : De internet provider moet zorg dragen voor een virus-vrije
verbinding.

Dit idee impliceert meteen dat de ISP gaat voorschrijven welk OS een klant zal
moeten gebruiken aangezien dat degene zal zijn welke 'ondersteund' wordt.
Alle anderen zullen dan dus niet door de NAC heenkomen.

Wat doen we met Appliances als AppleTV, PS3, XBOX en meer van die
internet capable machines?
Plus... Wat doen we met alle NAT en Packetfilterende routertjes? DAT zijn de
apparaten die het initiele IP adres aanvragen en dus door de NAC moeten
komen... Er draait over het algemeen niet eens voldoende OS op om
uberhaupt een viruschecker te installeren (Ook op de Linux based routers is
vaak niet voldoende capaciteit om die functionaliteit in te bouwen)

Dom plan


Om echt te kunnen bepalen of een machine 'op een veilige manier' aan het
Internet hangt kan eigenlijk alleen maar door het verkeer te
monitoren en analyseren. We zitten alleen dan wel met een common-carrier
probleem en iets als 'net neutrality'.
Ik vraag me af of we een dergelijk begin van grootschalige censuur wel willen
met zijn allen, want wie gaat bepalen wat 'goed' en wat 'fout' verkeer is?

Als ik een auto koop hoef ik ook niet mijn eigen verkeerspolitie aan te schaffen.

Wil je dat soort belasting(en) en overheidstoezicht ook op
je Internet en PC !?!?!
(even nadenken voordat je iets zegt.... ;) )

Het lijkt mij een lastig uitvoerbaar voorstel. NAC is niet
toepasbaar en/of waterdicht in de ISP wereld, vooral door
het gebruik van NAT.

Het zou alleen kunnen werken als je ISP een routertje levert
die zelf NAC doet voordat je internet op mag. Hoe dan ook,
het is tricky.

Volgens mij kun je met een ander pakket maatregelen meer
bereiken. Schoon zal je netwerk nooit worden, maar je kunt
het wel enigzins indammen.

- Blokkeer HTTP requests naar IP adressen die malware
verspreiden (bijvoorbeeld op basis van een URIBL).
- Blokkeer poort 25 naar buiten en sta alleen mail versturen
via de ISP relay toe.
- Gebruik SMTP authenticatie op de mailrelay server, maar
biedt voor bedrijven en savvy users de mogelijkheid zonder
authenticatie te relayen mbv een whitelist (maar wel met
middelen om te detecteren en blokkeren als blijkt dat er
spam wordt verstuurd).
- Plaats geïnfecteerde PC's in een quarantaine omgeving met
een online virusscanner en verdere aanwijzingen hoe de PC te
schonen. Bijvoorbeeld IP's die in een DNSBL voorkomen en
IP's die malware blijken te hosten.
- Stop meer effort in het bewust maken van klanten op de
gevaren van het internet via bijvoorbeeld een maandelijkse
mailing.

Zo is de impact op de internetervaring van klanten gering en
worden ze alleen geconfronteerd met 'beperkingen' als er
iets mis is met hun computer of ze iets willen doen wat niet
verstandig is (zoals het klikken op links naar malware sites).

Het is allemaal geen rocket science, maar het kost een hoop
tijd, geld en expertise om zoiets goed te doen. En aangezien
het de ISP in kwestie verder weinig oplevert in een
concurrerende markt zullen ze zulke zaken niet gaan doen,
tenzij de concurrent het gaat doen of het wordt opgelegd
door de overheid.

Ik heb =graag= network access control als dienst van mijn ISP. Maar
tegelijkertijd wel op =vrijwillige= basis.

Wat een onzin de eindgebruiker zelf is nog altijd vrij te kiezen hoe die het net
op gaat en niet de provider die zelf nalatig is in hun eigen server onderhoud en
gebrek aan security kennis.

En willen ze dan ook nog voorschrijven dat het een scanner
moet zijn die op een bepaald moment 97,8% van alle bekende
malware volgens een specifieke antimalwaretestsite
detecteert en blokkeert?

Nee hoor, gewoon internet uit een stekkertje en verder geen
gehannes. Gewoon een nutsvoorziening, net als water en
stroom. Van mij hoeft Essent ook niet vast te stellen of
mijn buren wel een Kema keur op hun stofzuiger hebben zitten.

Fantastisch, het compliancy monster komt de huiskamer binnen :-(

Laten 'we' nu eerst eens beginnen met het standaard (verplicht?)
aanbieden van een anonieme proxy voor elke Inet gebruiker bij alle
ISP's die op een persoonlijke configuratie pagina bij de ISP kan
worden ingesteld.

Dat scheelt gebruikers een hoop rompslomp met het instellen van
een proxy op iedere machine die zij gebruiken. Zo zou een Inet
gebruiker ook vrijwillig kunnen kiezen voor bekende blacklisted
domeinen die dan automatisch worden geblockt etc.

Ja ik weet dat er IPS's zijn die al filters gebruiken maar het is juist de
centralisering en vrijwillige interactie van de eindgebruiker die een
eindgebruiker ook nalatig maakt bij evt. problemen.

"De aanpak lijkt misschien extreem, maar vergelijk het met
het omdoen van een autogordel. "

Ik doe zelf mijn gordel wel om, ik heb daar geen
kindermeisje (ISP) voor nodig

Waarom anonieme proxy heb je soms wat te verbergen ?
Voor mijn part mogen ze alle anonieme proxy's verbieden ,want deze worden
gebruikt door malware en spam schrijvers die ik beschouw als kriminelen .
Doe die proxy's weg en de isp's krijgen meer controle over hun klanten , zo
zouden de isp's ook kunnen controleren of hun klanten virussen opslaan op
hun pc om anderen mee te schaden en kunnen ze voor deze de stekker uit het
net halen .
Sommigen hebben wel degelijk en kindermeisje nodig om hun gedrag bij te
sturen.

hier ben ik het mee eens.

De rest van de publicaties al gelezen hier op security.nl...??

Met anonieme proxy's word de handel in gebruikers-data een stuk
minder interessant voor die goedkope ISP's en Hyves achtige
dienstverleners.

Wellicht heeft U niets begrepen van de privacy discussie.
Anonieme proxy's zijn er voor de privacy, dat Criminelen het ook
zouden kunnen gebruiken doet daar NIETS aan af.

Met kunstmest, dieselolie en aanstekers doen mensen ook andere
dingen dan waar het voor bedoeld is, en dus zou men geen
kunstmest, diesel en aanstekers meer moeten verkopen...??

Maar i.d.d. hebben sommige mensen een 'kindermeisje' nodig om
hun gedrag bij te sturen. Voor u geld dat u eerst het DNA van uw kind
in moet leveren bij de gem. basisadministratie om onderzocht te
worden op evt. criminele aanleg en het maatschappelijk belang om
uw kind toe te staan in de samenleving alvorens u in aanmerking
komt voor kinderbijslag of aanmelding op een kleuterschool.

Anno Niemstra

Stelling: mensen die een gevaar zijn voor de privacy van anderen
word het gebruik en bezit van een computer in zijn geheel
verboden.....

Dus als mensen express virussen op hun computer zetten om
hiervoor vervolgens een fix te maken. (zijn genoeg mensen
die dit doen om zelf virus/malware fixen te schrijven,) -
dan mag dit niet omdat hiervoor de virusscanner uitmoet van
de ISP?

Ik vind de vraagstelling erg veel zeggen over het algemene
niveau van security.nl. Het gaat uit van een gemiddelde
gebruiker thuis met een Windows PC. Als je een beetje tech
minded bent, weet je dat internetten niet alleen maar achter
je PC zitten is, maar dat dat gigantisch aan het verschuiven
is. Ik zag al iemand die zaken als Apple TV, PS3 en andere
toepassingen noemde. Er zijn dagen dat ik mijn laptop niet
eens meer openklap, omdat ik even snel mijn mail en wat
websites bekijk met mijn iPod Touch.

Haal deze stelling toch gewoon weg. Het is echt een hele domme.

Juist omdat het zo'n domme stelling is, heb je kans dat
binnenkort een of ander politicus zich daar sterk voor gaat
maken. Misschien is het goed om de discussie aan te
zwengelen voor de dombo's uit het Binnenhof zich er tegenaan
gaan bemoeien.

Ieder is voor zich toch vrij om wat voor programma's op haar/zijn PC te zetten?
Als mijn provider daar iets over wil roepen neem ik wel een andere, er zijn er
zat!

Eigenlijk is het een domme ontwikkeling eerst wordt iedereen internet
aangesmeerd. En nu willen ze de consument gaan verplichten dat we
virus scanners en andere onzin programma's als firewalls gaan kopen.

@ Redactie :

Waarom is de stelling dat de ISP een virusscanner moet verplichten, en niet
dat men een virusvrije machine vereist. Immers is het laatste criteria veel
logischer om te hanteren, aangezien je genoeg situaties hebt waar mensen
door een afwijkend OS, door het gebruik van LiveCD's, door interne
bedrijfspolicies, of door andere redenen geen virusscanner lokaal hebben
draaien - of een virusscanner die bij de ISP niet bekend is.

Wat dat betreft is het logischer om een geinfecteerde PC in quarantaine te
zetten, dan een PC welke naar mening van de ISP niet goed beveiligd zou
kunnen zijn (en wat een hoop verkeerde conclusies zou kunnen opleveren).

"Waarom anonieme proxy heb je soms wat te verbergen ?"

Alsof een ''anonieme proxy'' bij een Nederlandse ISP zou betekenen dat
er
geen logfiles worden bijgehouden welke door Justitie kunnen worden
opgevraagd. Je zou slechts anoniem zijn voor de website die je bezoekt, en
bij wetsovertredingen zou men alsnog kunnen opvragen wie je bent, je
argument is daardoor al onzinnig.

"Voor mijn part mogen ze alle anonieme proxy's verbieden ,want
deze worden gebruikt door malware en spam schrijvers die ik
beschouw als kriminelen ."

En anonymous proxies worden eveneens gebruikt door talloze anderen met
meer legitieme redenen (i.e. mensen in landen als China of Iran, of andere
landen waar internet wordt gecontroleerd en/of gecensureerd).

Zullen we het internet maar verbieden, want zonder het internet zouden we
weinig last hebben van malware of spam ?

Nee maar je wilt wil dat Vittens schoon water levert als Nutsbedrijf.
Dus als de ISP's een Virusvrije internet verbiding leveren net als Vitens vindt ik
dat wel wat waard.

oh, dus als linux user ben je dus niet welkom bij een ISP
omdat je weet wat je doet.

En virus vrij Internet begint bij jouw als klant van je ISP daarom vind ik dat je
ISP de consument mag verplichten tot het plaatsen van een anti virus.
Wie denkt dat zijn ISP hem nu niet controleert is er aan voor de moeite.
Ik kan er zo nog wel en aantal op noemen die dat doen .
Toch raar dat er zoveel zijn die niet willen gecontroleerd worden en zich dan
achter en proxy willen verschuilen in de plaats van en AV te zetten alsof dat zou
helpen tegen malware .
Trouwens je ISP kan je nu ook wettelijk het Internet wijgeren als je overlast
bezorgt of geen security op je pc hebt om je zo te verplichten je te beveiligen
met AV .

"En virus vrij Internet begint bij jouw als klant van je ISP daarom vind ik dat
je
ISP de consument mag verplichten tot het plaatsen van een anti virus."

Paar vraagjes :

-Hoe wil je om gaan daarmee wanneer je een LiveCD gebruikt als OS, welke
niet geinfecteerd kan worden, en waarop je geen software kunt installeren ?

-Hoe wil je om gaan met virus scanners welke niet door de ISP worden
gedetecteerd ?

-Hoe wil je om gaan met operating systems waarvoor geen virussen bestaan,
en dus ook geen virus scanners ?

-Hoe wil je om gaan met network address translation, wanneer er meerdere
PC's achter een router hangen, die vanuit het oogpunt van de ISP allemaal
hetzelfde publieke IP adres hebben ?

-Waarom zou jij je ISP toestemming willen geven om te detecteren welke
software er op jouw PC draait ?

Er zijn veel te veel haken en ogen aan het verplicht stellen van een virus
scanner.

"Wie denkt dat zijn ISP hem nu niet controleert is er aan voor de moeite.
Ik kan er zo nog wel en aantal op noemen die dat doen ."

Oja, leg dan eens uit hoe zo'n ISP door mijn firewall heen komt om dit te
doen, en welk account ze hebben op mijn PC dat hun toestemming geeft
om te detecteren welke software er op mijn PC draait ?

"Toch raar dat er zoveel zijn die niet willen gecontroleerd worden en zich
dan
achter en proxy willen verschuilen in de plaats van en AV te zetten alsof dat
zou helpen tegen malware."

Een virus scanner draaien is wat ander dan een plicht hiertoe, en het
verschaffen van het recht aan een ISP om op jouw netwerk rond te kijken.

"Trouwens je ISP kan je nu ook wettelijk het Internet wijgeren als je
overlast
bezorgt of geen security op je pc hebt om je zo te verplichten je te
beveiligen et AV ."

Waar haal je deze bewering nou weer vandaan ?

Onjuist. Ook een LiveCD zou geinfecteerd kunnen worden als het draait. Dat het weg is zodra je de machine weer uitzet doet daar niets aan af.
Er bestaan geen OSsen waar geen virussen voor zijn. Elk OS heeft ze.

>Er bestaan geen OSsen waar geen virussen voor zijn. Elk OS heeft ze.

Mja, alleen als je daar dan ook alle virussen bij meerekent welke inderdaad
bestaan in een lab-omgeving, maar verder niet of nauwelijks verspreid
worden. Theoretisch gezien heb je gelijk.

>Onjuist. Ook een LiveCD zou geinfecteerd kunnen worden als het draait.
Dat het weg is zodra je de machine weer uitzet doet daar niets aan af.

Veel succes met het besmetten van read-only media. Een virus kan in je
geheugen komen, een cd kan er niet mee besmet worden. Verder verandert
dat weinig aan het feit dat je op een livecd geen virus scanner kunt
installeren.

En toch heeft U het nog niet helemaal begrepen, privacy en
anonimiteit zijn twee heel verschillende dingen.

Het vrijwillig bijhouden of het verplicht bijhouden van logs zijn OOK
twee verschillende dingen. (Xs4All doet dat bijvoorbeeld NIET
vrijwillig!) dataretentie is iets anders dan commerciele datamining..

Criminele proxy's en 'gewone' anonieme proxy's zijn wederom twee
verschillende dingen.

Daarbij komt ook dat anonieme proxy netwerken als TOR ook niet
meer zaligmakend zijn aangezien 'men' al in staat is om computers
via een remote fingerprint te identificeren.
http://www.sans.org/reading_room/whitepapers/testing/1231.php

TOR is en blijft WEL de meest voor de hand liggende en veilige
oplossing voor dissidenten (ook in Nederland!)

De kans dat een Chinese overheid deze techniek in huis heeft is
zeer groot....

En mensen die een tientje op hun internet verbinding willen besparen
moeten niet zeuren over privacy maar eerder de voorwaarden
doorlezen waarvoor men tekent bij een ISP. De meeste goedkope
ISP's hebben wel ergens een clausule dat gegevens 'geanonimiseert'
mogen worden gebruikt voor reclame doeleinden en dat deze
gegevens tevens mogen worden verhandeld.
Hoe kan je in dan hemelsnaam iemand reclame toesturen..? daar heb
je tenminste een adres voor nodig.

Toedeloe

"En ik, ik wens dat wegen vrij zijn van ongelukken en
technisch gebrekkige voertuigen...." (Alice in Wonderland
o.i.d.) voel je 'm, begint u het een beetje te snappen?
anders google eens op DNS systeem.... ;)

"En toch heeft U het nog niet helemaal begrepen, privacy en
anonimiteit zijn twee heel verschillende dingen."

Ik snap niet waarom je denkt dat ik dat niet zou weten.

"Het vrijwillig bijhouden of het verplicht bijhouden van logs zijn OOK
twee verschillende dingen. (Xs4All doet dat bijvoorbeeld NIET
vrijwillig!) dataretentie is iets anders dan commerciele datamining.."

Goh meen je dat ? Ik beweerde niets anders, ik had het over anonymous
proxies bij Nederlandse providers, waarbij men moet voldoen aan de data
retention wetgeving. Dat dit, bijv. bij Xs4all niet vrijwillig is, is weinig relevant
in deze discussie.

"Criminele proxy's en 'gewone' anonieme proxy's zijn wederom twee
verschillende dingen."

Geef eens een definitie van een "criminele proxy", ik ben erg benieuwd.

"TOR is en blijft WEL de meest voor de hand liggende en veilige
oplossing voor dissidenten (ook in Nederland!)"

Zolang je er rekening mee houdt dat je slachtoffer kunt worden van een
man-in-the-middle attack, naast het gevaar wat je zelf al aangeeft m.b.t.
remote fingerprinting.

"Network Access Control is het nieuwe mantra bij bedrijven om het netwerk
veilig te houden. De software kijkt of elke aangesloten computer wel de
laatste updates geinstalleerd heeft, van een virusscanner en firewall is
voorzien en aan andere beveiligingsmaatregelen voldoet."

Waarom gaat de stelling in dit artikel enkel over virusscanners, terwijl NAC,
zoals aangegeven ook over updates en firewalls gaat ?

I.i.g. ben ik direct bij mijn provider weg, wanneer deze denkt te kunnen
bepalen of ik een virusscanner moet draaien, een firewall aan moet hebben
staan, en alle updates geinstalleerd moet hebben.

Waarom worden virussen die "de krant" niet gehaald hebben eigenlijk altijd afgedaan als "theoretische laboratorium experimenten"? Alsof een virus eerst minimaal 4 miljoen infecties op z'n naam moet hebben staan om voor "echt" te worden aangezien.

Ik zei ook niet dat je de CD zelf kan infecteren. Je kan echter wel het lopende OS infecteren en volledig vanuit RAM werken. Ergo, een draaiende LiveCD kan geinfecteerd raken. Bekijk voor de gein eens hoe Code Red werkt (IIS worm, dropped geen files en draait volledig vanuit het geheugen). Komt nog bij dat op de meeste LiveCDs de software al wat ouder is..

Om redenen die in bovenstaande posts al genoeg beschreven
zijn lijkt het me niet handig/haalbaar om zo'n controle uit
te voeren. Ik voel veel meer voor een systeem waarbij een
abbonnee de keuze krijgt: ISP doet de beveiliging of je moet
dat als klant zelf doen.

Als je wil dat de ISP de beveiliging doet geef je hem
toestemming om naar eigen inzicht poorten te blokkeren en
andere dingen tegen te houden waarvan ze het vermoeden
hebben dat deze schadelijk zijn. Voordeel van de klant is
dat ze niet afgesloten kunnen worden wegens abuse, hooguit
een verzoek vanuit de ISP kuinnen krijgen hun PC eens na te
kijken.

Als je zelf de beveiliging doet, doet de ISP zo goed als
niets meer voor je. Geen blokkeringen of andere (mogelijk
ongewensde) effecten van beveiliging door de ISP. Nadeel
voor de klant is je met deze optie instemd dat de ISP je mag
afsluiten als blijkt dat je je zaakjes niet goed voor elkaar
hebt en rotzooi staat te verspreiden.

nat valt binnen 1 paar jaar weg
met de uitrol van ipv6
dan wordt het alsnog mogelijk om afzonderlijke pc te screenen

het is een kleine moeite voor isp's om zg clean-pipe
services aan te bieden. (gewoon antivirus en anti spyware op
elke in komende en uitgaande bundle aan brengen)

Ik vind dat internet providers "Zelf" moeten zorgen voor een
schoon netwerk. Zij zijn toch immers "de gespecialiseerde".
Zeker met e-mails zouden ze dat automatisch moeten scannen.
Ik huur een deel ruimte op hun servers. Zij moeten dan ook
zorgen dat die schoon zijn en blijven.

ik vind dat internet providers met hun poten van mijn
pakketjes af moeten blijven, dus geen scanners over onze
e-mail en al helemaal niet over ons normale verkeer.

----Internetprovider moet virusscanner voor consument
verplichten---
Nee,nee,nee en nog eens nee. Niks verplichten. Aanbieden kan
nog, maar verplichten, echt niet. Als de gemiddelde
gebruiker beschermd dient te worden, dan moet de ISP zelf
maar een virusscanner gaan draaien. Maar eindgebruikers gaan
verplichten, dat gaat me te ver.
Sterker nog, als het ooit verplicht zou worden, gooi ik uit
verzet , mijn virusscanner meteen van de computer.

Mijn internet provider moet mij van een internet verbinding
voorzien en verder niets. Wat ik met die verbinding doe, is
mijn zaak. Mijn ISP heeft mijn pakketjes niet te bekijken,
laat staan te blokkeren. Laat dat mijn eigen aangelegenheid
zijn. Daar heb ik geen hulp bij nodig. En er gaat geen
enkele byte code op mijn machine lopen, niks verplichting...
ik regen mij eigen zaakjes zelf wel. Maar goed, gelukkig zit
ik bij een provider die de privacy en rechten van de
gebruiker respecteerd.

Mijn stelling
Linux (of in elk geval een open source systeem) moet
verplicht worden op elke computer