Ik moet altijd inloggen via mijn werkgever zijn VPN, anders kan ik niet eens op internet komen.
Betekend dit dat al het internetverkeer wat ik bezoek te monitoren is of gelogd wordt?
Iemand ervaringen hiermee?
Ik vind dit wel ver gaan namelijk
Gaat wel ver, maar doen veel orginisaties.
Wat ze er aan hebben? Tsja
Wat je er aan hebt? Valideren dat er geen malware in je netwerk draait, zorgen dat er geen data lekt etc etc
Normaal gesproken kan het bedrijf dus niet zien waar je naar surft, maar ziet het wel meldingen binnen komen als je naar websites gaat met malware of ook soms bepaalde content als seks, drugs en gokken.
Op een callcenter gaan ze wel eens verder door al het verkeer actief te monitoren, evenals bijvoorbeeld op een mediatheek op school. Dan hoort het wel van tevoren bekend te zijn dat ze dit doen en heeft een OR (indien organisatie groot genoeg) akkoord gegeven hierop.
Dit is wat hoort.
Gebruik je je VPN via je eigen apparaat of via een werklaptop die jou door je werkgever is verstrekt?
In dat eerste geval (een oplossing die ik als iemand in dit vakgebied nooit zou aanraden aan een bedrijf vanwege de slechte beveiliging hiervan, maar goed) dan is je privacy wel in het geding. Echter wat jij surft als de VPN niet aanstaat daar kan de werkgever ook niet bij. Gewoon zorgen dat de VPN altijd uitstaat als je niet aan het werk bent.
In het laatste geval kan je werkgever sowieso alles achterhalen wat er allemaal op die werklaptop staat.
Als je hier vragen over hebt, heeft je bedrijf allicht een Legal afdeling waar je deze vragen kan stellen en hoe zij voldoen aan de GDPR wetgeving.
Maar ja, dit kan.
Een bedrijf dat ransomwareaanvallen heeft meegemaakt moet linea recta die VPN de prullenbak ingooien en gaan voor een wél werkende oplossing met b.v. een digitale werkplek. Denk aan windows virtual desktop, Citrix, zijn nog wel wat anderen in die markt ook. Volgens mij heeft VMware ook wel wat.quote:Op woensdag 23 juni 2021 16:21 schreef investeerdertje het volgende:
Een bedrijf die het verkeer niet inspecteert zou zich moeten afvragen hoe ze straks bij de AVG gaan melden als ze weer ransomware hebben.
Maar ja, dit kan.
Die VPN maakt een directe tunnel tussen jouw apparaat en het bedrijfsnetwerk. Stel jij hebt ergens malware op je apparaat. Als daar een beetje goede ransomware in zit die de matige beveiliging van de VPN omzeilt ben je echt de pineut en kan je gaan dokken.
Als die medewerker op VDI (of welke andere techniek) zit en in zijn VDI dat mailtje van amazon krijgt met daarin een shipment.pdf.exe of whatever ze je naar door linken ben je alsnog de sjaak, VPN of VDI, of welke techniek dan ook helpen niet tegen acties van de eigen medewerkers.quote:
[..]
Een bedrijf dat ransomwareaanvallen heeft meegemaakt moet linea recta die VPN de prullenbak ingooien en gaan voor een wél werkende oplossing met b.v. een digitale werkplek. Denk aan windows virtual desktop, Citrix, zijn nog wel wat anderen in die markt ook. Volgens mij heeft VMware ook wel wat.
Die VPN maakt een directe tunnel tussen jouw apparaat en het bedrijfsnetwerk. Stel jij hebt ergens malware op je apparaat. Als daar een beetje goede ransomware in zit die de matige beveiliging van de VPN omzeilt ben je echt de pineut en kan je gaan dokken.
laptops met vpn kan prima, maar dan wel met goede policies er overheen, geen virusscanner die up to date is en je systeem virusvrij meld of windows die patches die mist, dan kom je niet op het productie netwerk maar op een netwerk wat geisoleerd is en enkel bedoeld is om je systeem te patchen.
Maar bovenal, geef medewerkers vooral niet de gelegenheid om de admin uit te hangen, op geen enkele omgeving.
VPN is inderdaad bezig met een uitfasering, maar dat ligt niet zozeer aan de opkomst van VDI oplossingen als die van Citrix en VMWare Horizon (die al ruim 10 jaar bestaan) maar aan de decentralisering van IT en de opkomst van allerlei Cloud oplossingen.quote:
[..]
Een bedrijf dat ransomwareaanvallen heeft meegemaakt moet linea recta die VPN de prullenbak ingooien en gaan voor een wél werkende oplossing met b.v. een digitale werkplek. Denk aan windows virtual desktop, Citrix, zijn nog wel wat anderen in die markt ook. Volgens mij heeft VMware ook wel wat.
Die VPN maakt een directe tunnel tussen jouw apparaat en het bedrijfsnetwerk. Stel jij hebt ergens malware op je apparaat. Als daar een beetje goede ransomware in zit die de matige beveiliging van de VPN omzeilt ben je echt de pineut en kan je gaan dokken.
VPN is puur een definitie, het hangt er natuurlijk af van hoe die opgebouwd wordt!quote:
Een VPN is een nogal achterhaalde oplossing inmiddels, maar veel bedrijven gebruiken het nog altijd. Ja, je werkgever kan al je gegevens en ook je browse historie inzien als je surft via hun VPN.
Gebruik je je VPN via je eigen apparaat of via een werklaptop die jou door je werkgever is verstrekt?
In dat eerste geval (een oplossing die ik als iemand in dit vakgebied nooit zou aanraden aan een bedrijf vanwege de slechte beveiliging hiervan, maar goed) dan is je privacy wel in het geding. Echter wat jij surft als de VPN niet aanstaat daar kan de werkgever ook niet bij. Gewoon zorgen dat de VPN altijd uitstaat als je niet aan het werk bent.
In het laatste geval kan je werkgever sowieso alles achterhalen wat er allemaal op die werklaptop staat.
Als je hier vragen over hebt, heeft je bedrijf allicht een Legal afdeling waar je deze vragen kan stellen en hoe zij voldoen aan de GDPR wetgeving.
Ik claim nergens dat VPN tegen ransomware beschermd. Maar dat doen al jouw genoemde oplossingen ook niet. Ransomware "omzeilt" geen VPN beveiliging, die zal er gewoon overheen gaan.quote:
[..]
Een bedrijf dat ransomwareaanvallen heeft meegemaakt moet linea recta die VPN de prullenbak ingooien en gaan voor een wél werkende oplossing met b.v. een digitale werkplek. Denk aan windows virtual desktop, Citrix, zijn nog wel wat anderen in die markt ook. Volgens mij heeft VMware ook wel wat.
Die VPN maakt een directe tunnel tussen jouw apparaat en het bedrijfsnetwerk. Stel jij hebt ergens malware op je apparaat. Als daar een beetje goede ransomware in zit die de matige beveiliging van de VPN omzeilt ben je echt de pineut en kan je gaan dokken.
Het betekent niet dat het gelogd wordt, maar het zou wel gelogd kunnen worden.quote:Op woensdag 23 juni 2021 15:59 schreef Newby6781 het volgende:
Hi folks,
Ik moet altijd inloggen via mijn werkgever zijn VPN, anders kan ik niet eens op internet komen.
Betekend dit dat al het internetverkeer wat ik bezoek te monitoren is of gelogd wordt?
Iemand ervaringen hiermee?
Ik vind dit wel ver gaan namelijk
De makkelijkste logging is eigenlijk welke sites er bezocht worden. Daarmee bedoel ik bijvoorbeeld dat ze makkelijk kunnen loggen forum.fok.nl. Het is al een stuk moeilijker om te loggen welk topic je op die site aan het bekijken bent. Het is geen grote uitdaging voor en ITer om dat mogelijk te maken, maar er moet wel meer voor gedaan worden.
Dus het kan, maar dat betekent niet direct dat het zo is.
Als ze de pagina kunnen zien... Is er meer dan een VPN aan de hand hahaquote:
[..]
Het betekent niet dat het gelogd wordt, maar het zou wel gelogd kunnen worden.
De makkelijkste logging is eigenlijk welke sites er bezocht worden. Daarmee bedoel ik bijvoorbeeld dat ze makkelijk kunnen loggen forum.fok.nl. Het is al een stuk moeilijker om te loggen welk topic je op die site aan het bekijken bent. Het is geen grote uitdaging voor en ITer om dat mogelijk te maken, maar er moet wel meer voor gedaan worden.
Dus het kan, maar dat betekent niet direct dat het zo is.
https://beyondcorp.com
End point security is een compleet los probleem wat je met welke andere oplossing voor je netwerk alsnog moet adresseren. Ik zie dan ook niet wat malware met VPN te maken heeft.
Verkeer in kunnen zien heeft zeker mogelijkheden voor detectie. Geeft mogelijkheden om een endpoint uit te sluiten.quote:
Ik zie dan ook niet wat malware met VPN te maken heeft.
Dat het endpoint security niet vervangt zeker, helemaal mee eens.
Een beetje firewall bij een bedrijf is in staat om zowel inkomend als uitgaand internet verkeer te controleren op bekende security risico’s (bijvoorbeeld blokkeren van connecties naar bekende botnets).quote:
Ik zie dan ook niet wat malware met VPN te maken heeft.
Ja ik bedoelde meer dat je verkeer ook op andere manieren kan in zien van een endpointquote:
[..]
Verkeer in kunnen zien heeft zeker mogelijkheden voor detectie. Geeft mogelijkheden om een endpoint uit te sluiten.
Dat het endpoint security niet vervangt zeker, helemaal mee eens.
als je daarvoor perse VPN nodig hebt dan ben je de strijd wel aan het verliezen momenteelDan moet al het verkeer wel via een firewall lopen wat imo een beetje een achterhaalde manier is om een bedrijf op te zetten tegenwoordig.quote:
[..]
Een beetje firewall bij een bedrijf is in staat om zowel inkomend als uitgaand internet verkeer te controleren op bekende security risico’s (bijvoorbeeld blokkeren van connecties naar bekende botnets).
Je bedoelt dat we geen firewalls meer nodig hebben in 2021? Alles open, YOLO?quote:
Dan moet al het verkeer wel via een firewall lopen wat imo een beetje een achterhaalde manier is om een bedrijf op te zetten tegenwoordig.
Wel extreem dat je niet eens op internet kan zonder VPN.
Nee, ik bedoel dat corporate user security zou moeten werken via end point control & endpoint monitoring, firewalls zijn zeker een goed idee (en helemaal als je het combineert met een IDS/DPI) voor je productie netwerk.quote:
[..]
Je bedoelt dat we geen firewalls meer nodig hebben in 2021? Alles open, YOLO?
Een kantoor netwerk is een achterhaald idee.
Niets extreems aan, gebeurd zo vaak. Veel bedrijven hebben tegenwoordig een Always-On VPN op hun devices. Het is veiliger, goedkoper en eenvoudiger om al het internet verkeer op 1 plek door een fatsoenlijke firewall te trekken.quote:
Wel extreem dat je niet eens op internet kan zonder VPN.
Als een werkstation malware (of iets anders vervelends) oppikt en meesleept naar je ‘productie netwerk’ heb je niets meer aan die dure firewall. Beveiliging bestaat uit meer dan 1 laag, en aan de werkstations moet je het per definitie niet toevertrouwen. Want het grootste beveiligingsrisico zit al decennia tussen de stoel en het toetsenbord.quote:
[..]
Nee, ik bedoel dat corporate user security zou moeten werken via end point control & endpoint monitoring, firewalls zijn zeker een goed idee (en helemaal als je het combineert met een IDS/DPI) voor je productie netwerk.
Ok, jij zegt het. Ik denk dat dit nog wel meevalt, zeker voor de grotere bedrijven.quote:Een kantoor netwerk is een achterhaald idee.
Directe toegang tot een productie netwerk zou ook niet moeten gebeuren maar goed, ik weet dat niet iedereen zo ver isquote:
[..]
Als een werkstation malware (of iets anders vervelends) oppikt en meesleept naar je ‘productie netwerk’ heb je niets meer aan die dure firewall. Beveiliging bestaat uit meer dan 1 laag, en aan de werkstations moet je het per definitie niet toevertrouwen. Want het grootste beveiligingsrisico zit al decennia tussen de stoel en het toetsenbord.
[..]
Ok, jij zegt het. Ik denk dat dit nog wel meevalt, zeker voor de grotere bedrijven.
en ja, meerdere lagen altijd beter dan geen lagen eens. Maar als je (net als de grotere bedrijven) geen bedrijfs netwerk meer hebt (en dat lijstje is best lang) heb je dus ook niks om centraal te firewallen (en/of te monitoren). Wat ik zeg, beyond corp is the way to go. https://research.google/pubs/pub43231/
Wat versta je onder een ‘productie netwerk’, je deed voorkomen alsof je het kantoornetwerk bedoelde.quote:
[..]
Directe toegang tot een productie netwerk zou ook niet moeten gebeuren maar goed, ik weet dat niet iedereen zo ver is
Zolang er een kantoor is heb je een bedrijfsnetwerk (of kantoornetwerk). Maar ook al heb je een groot deel uitbesteed richting een clouddient, dan nog is het zaak om zoveel mogelijk beveiliging in te bouwen. Leuk als je al je bestanden in OneDrive hebt, als een client vervolgens alles lekker doorstuurt naar een hacker kan je alsnog de AP bellen.quote:Maar als je (net als de grotere bedrijven) geen bedrijfs netwerk meer hebt (en dat lijstje is best lang) heb je dus ook niks om centraal te firewallen (en/of te monitoren).
Nee, een productie netwerk = het netwerk waar je productie services draaien, wat dat voor jou werk dan ook mag zijn. Daar hoor je gewoon niet zomaar toegang tot te hebben.quote:
[..]
Wat versta je onder een ‘productie netwerk’, je deed voorkomen alsof je het kantoornetwerk bedoelde.
[..]
Zolang er een kantoor is heb je een bedrijfsnetwerk (of kantoornetwerk). Maar ook al heb je een groot deel uitbesteed richting een clouddient, dan nog is het zaak om zoveel mogelijk beveiliging in te bouwen. Leuk als je al je bestanden in OneDrive hebt, als een client vervolgens alles lekker doorstuurt naar een hacker kan je alsnog de AP bellen.
Kantoor netwerken bestaan voor ons niet.
Het scenario wat je schetst los je dus op met endpoint control/management maar goed, ik zou de paper is lezen, het is vrij boeiend.
Klopt. Alles is echt dichtgetimmerd op mijn laptopquote:
Ja dat kan. Heb vaker verkeer moeten nakijken dat langs firewall ging en dan kan je zien waar mensen naar surfen.
Wel extreem dat je niet eens op internet kan zonder VPN.
In theorie wel ja.quote:
Dus ze kunnen dus bijna alles zien wat ik doe?
Voor je aangepast. Ja, ze kunnen technisch gesproken alles zien.quote:
Dus ze kunnen dus bijna alles zien wat ik doe?
Zonder aanleiding zal alleen niemand in detail gaan bekijken wat je allemaal gedaan hebt. Als ze alles 100% willen controleren moeten ze voor elke werknemer nog iemand aannemen om te controleren. (Maar wie controleert die dan?)
Als je niet wilt dat het gezien kan worden moet je zorgen dat het niet bestaat.
Dit is een goed idee ja, of een eigen laptopje ernaast. Maar zodra je weer naar kantoor moet, word je daar wel op aangekeken, en als je even op facebook of fok kijkt op je werklaptop is dat niet per se het geval.quote:
Ik gebruik zelf een eigen iPad naast mijn werk computer voor privé zaken (en maak ook geen gebruik van wifi via werk oid) om exact deze reden trouwens TS.
Als je niet wilt dat het gezien kan worden moet je zorgen dat het niet bestaat.
Maar zolang we thuiswerken werkt dat best.
Persoonlijk maak ik me er niet al te vee lzorgen om. Natuurlijk is mijn baan belangrijk en ik verdien momenteel ook goed, maar ik woon in een land waar ik niet kan aarden (ierland) dus iets in mij zegt dat plots ontslag niet het einde van mijn leve nzou betekenen maar juist een nieuwe kans. Niet dat ik verder mijn werk niet doe of echt foute dingen doe hoor daar niet van.
Ik ben het met je eens dat als je even Fokt oid op een werk computer dat niet zo'n risico is.. Ze zien wat DNS requests en hoe vaak je het doet maar, so what.
Het gaat mij er meer om dat ik geen privé zaken via een werk computer wil laten lopen denk daarmee aan:
- iMessage/WhatsApp/Signal etc
- bank zaken
- overheidszaken etc
Dus even m'n iPad erbij pakken vind ik persoonlijk een fijner idee dan het 'dan maar even snel' op een werk computer doen.
Edit: Daarnaast heb ik zelf gemerkt dat ik minder afgeleid raak als ik het splits per apparaat.. Oh even op Twitter/Fok etc? Privé apparaat. De fysieke handeling zorgt ervoor dat ik besef dat ik mezelf zit af te leiden :p
En wat verstandig is hangt helemaal af van het betreffende bedrijf.
Helemaal niet, verbindingen met ssl/tls zijn nog steeds end to end encrypted, dat wordt echt niet teniet gedaan als het over een vpn gaat. Ze kunnen daarvan hoogstens meta-data zien zoals met welke ip-adressen je connect en wanneer, maar het verkeer zelf is niet te sniffen.quote:
[..]
Voor je aangepast. Ja, ze kunnen technisch gesproken alles zien.
Iemand ontslaan omdat je naar hun mening te veel zit te internetten kan niet zomaar.
Er zijn genoeg werkgevers bekend die achteraf iemand hebben moeten compenseren vanwege onterecht ontslag.
(en anders gebruik je daar toch een prive apparaat voor ?
)Als het een werk laptop betreft is het een kleine moeite om er gewoon tussen te gaan zitten hoor, gebeurt vaak genoeg. https://blog.sonicwall.co(...)cryption-inspection/quote:
[..]
Helemaal niet, verbindingen met ssl/tls zijn nog steeds end to end encrypted, dat wordt echt niet teniet gedaan als het over een vpn gaat. Ze kunnen daarvan hoogstens meta-data zien zoals met welke ip-adressen je connect en wanneer, maar het verkeer zelf is niet te sniffen.
Ik dacht dat je link over mitm attacks zou gaan, mbv een extra rootcertificaat op je pc, maar het verhaal in je link is gewoon gelul. Er bestaan echt geen firewalls die transparant on the fly moderne beveiligde verbindingen kunnen decrypten.quote:
[..]
Als het een werk laptop betreft is het een kleine moeite om er gewoon tussen te gaan zitten hoor, gebeurt vaak genoeg. https://blog.sonicwall.co(...)cryption-inspection/
Een werkgever die decrypt is natuurlijk geen mitm attack. En dat is trouwens precies waar het artikel over gaat. Even door klikken en je komt uit bij pagina's als: https://www.sonicwall.com(...)ssl/170505885674291/quote:
[..]
Ik dacht dat je link over mitm attacks zou gaan, mbv een extra rootcertificaat op je pc, maar het verhaal in je link is gewoon gelul. Er bestaan echt geen firewalls die transparant on the fly moderne beveiligde verbindingen kunnen decrypten.
Dus toch mitm. Als mijn werkgever zoiets zou flikken zou ik hem voor de rechter slepen. Dit zijn praktijken voor China of noord Korea.quote:
[..]
Een werkgever die decrypt is natuurlijk geen mitm attack. En dat is trouwens precies waar het artikel over gaat. Even door klikken en je komt uit bij pagina's als: https://www.sonicwall.com(...)ssl/170505885674291/
Dat maakt het geen aanval natuurlijk en ok, stoer.quote:
[..]
Dus toch mitm. Als mijn werkgever zoiets zou flikken zou ik hem voor de rechter slepen. Dit zijn praktijken voor China of noord Korea.
quote:
[..]
Ik dacht dat je link over mitm attacks zou gaan, mbv een extra rootcertificaat op je pc, maar het verhaal in je link is gewoon gelul. Er bestaan echt geen firewalls die transparant on the fly moderne beveiligde verbindingen kunnen decrypten.
Echt wel.
Ssl offloading heet datquote:
[..]
Dus toch mitm. Als mijn werkgever zoiets zou flikken zou ik hem voor de rechter slepen. Dit zijn praktijken voor China of noord Korea.
Sure.quote:
[..]
Dus toch mitm. Als mijn werkgever zoiets zou flikken zou ik hem voor de rechter slepen. Dit zijn praktijken voor China of noord Korea.
Als ze dat doen staat dat gewoon in het handboek van het bedrijf.
En het is niet zo dat iemand die streams 24/7 zit te bekijken. Dat mag pas nadat er is begonnen met dossierbouw met toestemming van HR.
Dat is echt iets anders.quote:
Laat ik het dan zo zeggen, ik zou nooit voor zo'n werkgever gaan werken. Heb het ook nog nooit meegemaakt. Vind het toch vergelijkbaar met verplicht een camera in je badkamer moeten installeren waardoor de baas kan meekijken als je onder de douche staat. "Maar we kijken meestal niet hoor".quote:
[..]
Sure.
Als ze dat doen staat dat gewoon in het handboek van het bedrijf.
En het is niet zo dat iemand die streams 24/7 zit te bekijken. Dat mag pas nadat er is begonnen met dossierbouw met toestemming van HR.
De 1 zegt wel te tracken en de andere niet. Wie heeft het definitieve antwoord?
Dankje!
Maar als ze zouden willen kunnen ze mijn internetgebruik zo uitdraaien
Ik zie het probleem niet zo.
Dat kan je met een device management oplossing die streng genoeg is ook gewoon niet toestaan. Bijvoorbeeld bij Apple telefoons kan je in 'supervised' mode een VPN erop zetten die je er alleen maar af kan halen door het apparaat te wissen (always-on VPN mode, enige toegestane verbinding buiten de VPN om is naar de VPN server, heeft me weleens genekt op vakantie omdat de hotel Wi-Fi én de telecomprovider de IPsec poorten blokkeerdequote:
Je kan je VPN gewoon zo instellen dat alleen de routes die je voor het bedrijf nodig hebt eroverheen gaan, en de rest gewoon via je ISP loopt.
).Op werkstations zal vast hetzelfde kunnen met de juiste software i.c.m. geen lokale adminrechten geven en werken met een VPN shared secret waar je zonder eerder genoemde rechten niet zomaar bij kunt. Samen met een clausule in de bedrijfsregels dat je mag wieberen als je dankzij de fysieke toegang toch rare capriolen uit gaat halen en buiten het geďnstalleerde OS om gaat werken.
Yeah dat klopt, maar in dat geval gaat het vermoedelijk om een apparaat van de werkgever, en heb je (naar ik aan neem) nog een eigen apparaat waar je op kan browsen e.d.quote:
[..]
Dat kan je met een device management oplossing die streng genoeg is ook gewoon niet toestaan. Bijvoorbeeld bij Apple telefoons kan je in 'supervised' mode een VPN erop zetten die je er alleen maar af kan halen door het apparaat te wissen (always-on VPN mode, enige toegestane verbinding buiten de VPN om is naar de VPN server, heeft me weleens genekt op vakantie omdat de hotel Wi-Fi én de telecomprovider de IPsec poorten blokkeerde
Op werkstations zal vast hetzelfde kunnen met de juiste software i.c.m. geen lokale adminrechten geven en werken met een VPN shared secret waar je zonder eerder genoemde rechten niet zomaar bij kunt. Samen met een clausule in de bedrijfsregels dat je mag wieberen als je dankzij de fysieke toegang toch rare capriolen uit gaat halen en buiten het geďnstalleerde OS om gaat werken.
De meeste werkgevers zullen internetverkeer wel monitoren ja. Hoe ze er mee omgaan, verschilt per werkgever.quote:
Hi folks,
Ik moet altijd inloggen via mijn werkgever zijn VPN, anders kan ik niet eens op internet komen.
Betekend dit dat al het internetverkeer wat ik bezoek te monitoren is of gelogd wordt?
Iemand ervaringen hiermee?
Ik vind dit wel ver gaan namelijk
Waar ik in loondienst werkte, keken ze het eigenlijk alleen na als er vermoedens waren dat iemand een groot deel van z'n werktijd aan andere dingen besteedde dan aan werken.
Dus bv. iemand vertelt tegen z'n manager dat een collega de hele dag series zit te kijken, dan gaan ze na of dat zo is.