Internetten op het werk via de ISP van thuis*

En jij wilt hier aan meewerken? .. Als hij denkt dat een icter mee kijkt kan hij een klacht indienen bij de ICT manager/coordinator.

VPN / Encryptie Boven mij is de reactie beter.
Lees de huisregels van je bedrijf ook even.

[ Voor 73% gewijzigd door Silver7 op 02-09-2008 08:59 ]

Proxy met Encryptie, of PC thuis laten draaien en dan met Remote Desktop Connection die PC benaderen.

Thuis een SSH server opzetten zodat je via putty kunt gaan tunnelen. Er is veel informatie te vinden daarover op internet. En als je thuis geen PC wil laten aanstaan: Zoek een goedkope (Linksys) router waar je DD-WRT of OpenWRT kan op zetten: Dan heb je direct een ssh server waarnaar je kan tunnelen.

[ Voor 29% gewijzigd door flux_w42 op 02-09-2008 09:15 ]

Kleine title change. SIP => ISP

Verder denk ik dat er maar 2 mogelijke oplossingen zijn.

De thuisPC overnemen via een secure protocol of VPN
Thuis een Proxy Server draaien welke alleen via https te gebruiken is.

Alle andere mogelijkheden zijn variaties op deze. Misschien helpt dit.

Verder kan de directie natuurlijk handelen op dit soort zaken. Niet alleen in technische zin (IPsec op het lan) maar ook in organisatorische zin. Als je in het bedrijfsregelement duidelijk hebt staan dat sniffen op het netwerk verboden is, dan kan je daar naar acteren.

Overigens hebben de meeste (zichzelf respecterende) banken een SSL secured thuisbankier website en die zal die slimme ict'er echt niet zomaar openbreken. (tenzij je Proxy als SSL offloader ingesteld staat en de rest van de verbinding (proxy => client PC) onversleuteld is.

Ik weet niet wat jouw functie is, maar ik neem aan dat je niet thuis bij de directie wil gaan kloten met allerlei losse hardware of programmatjes.

Ik geloof ook best dat deze 'slimme icter' het netwerk verkeer kan monitoren, dat is namelijk best wel handig in het geval van troubleshooten. En hem die rechten afnemen is ook niet de way to go.
Maar wat je natuurlijk niet wil is dat hij zonder aanleiding anderen in de gaten gaat houden of iets met die verkregen informatie gaat doen ('zeg collega X, onze directeur zit net op relatieplanet.nl te kijken. Heeft ie soms een ander?') etc etc. Hier geldt ook: "With great powers comes great responsibilities".

Het beveiligen van informatie via dit soort houtje-touwtje oplossingen is in mijn ogen niet goed. Op het werk mag je er vanuit gaan dat de PCs beveiligd zijn tegen virussen/keyloggers e.d. door gebruik van firewalls, virusscanners, GPOs e.d., maar over de PC thuis heb je geen beheer. De directie is dan zelf verantwoordelijk voor het beveiligen van de PC en up to date houden.
En die potentieel gevoelige informatie hoort wat mij betreft gewoon via de bedrijfslijn naar buiten te gaan.

Wat betreft deze slimme ICTer lijkt het me gewoon dat de directie zijn leidinggevende benadert om duidelijkheid te krijgen over blacktrace en/of de policy aanpast indien nodig. Je hebt op dit moment geen bewijs voor de bewering van de directie. Dat iemand gegevens kan monitoren betekent niet meteen dat hij/zij het onterecht doet. Bovendien kan de betreffende medewerker ook bij dit vraagstuk betrokken worden, toch?
Als er een vertrouwensbreuk is tussen directie en die medewerker, moet dat opgelost worden en dat doe je niet door allerlei ICT maatregelen te bedenken.

Equator schreef op dinsdag 02 september 2008 @ 10:29:
De thuisPC overnemen via een secure protocol of VPN
Thuis een Proxy Server draaien welke alleen via https te gebruiken is.

Een variatie hierop is logMeIn. remote desktop via een gebruikersvrienerlijker shelletje.

Ik heb het vroeger via een ssh tunnel gedaan, maar ik zou het ECHT niet aanraden om dat zonder medeweten van je netwerkbeheerder te doen. Vergeet niet dat je je job hiermee op het spel zet aangezien dit een ernstig misdrijf is.

Het opzetten van een ssh tunnel is een ernstig misdrijf? Mag ik het wetsartikel even zien waarin dat staat?

Los daarvan: ik ben het met eerdere schrijvers eens: dit moet op een niet-technische manier worden opgelost. Als er een medewerker zonder toestemming/noodzaak verkeer zit te monitoren, dan moet die medewerker daarop worden aangesproken. Brakke omwegen via houtje-touwtje oplossingen heeft niemand wat aan.

-nickx- schreef op dinsdag 02 september 2008 @ 09:11:
Het betreft hier de directie zelf. Het heeft niets te maken met illegale activiteiten maar meer met beschermen van gegevens.

Echter heeft de directie weinig kaas van dit alles gegeten waardoor de vraag bij mij is terecht gekomen.

Thnx

NOFI maar jij blijkbaar ook niet. Als je een veilige oplossing wil bieden zal je toch minimaal moeten weten hoe de infrastructuur er uit ziet en wat er wel en niet mogelijk is Vor die ICT'er. Als het uberhaupt zo eenvoudig mogelijk is dan klopt er iets niet in je infra en zal er nog wel meer mis zijn.

[ Voor 5% gewijzigd door TrailBlazer op 02-09-2008 14:51 ]

Verwijderd schreef op dinsdag 02 september 2008 @ 12:12:
Ik heb het vroeger via een ssh tunnel gedaan, maar ik zou het ECHT niet aanraden om dat zonder medeweten van je netwerkbeheerder te doen. Vergeet niet dat je je job hiermee op het spel zet aangezien dit een ernstig misdrijf is.

Welke wet overtreed je hiermee precies?

is het dan niet beter om met VLAN's een nieuwe subnet te maken in de Router? En dan enkel de server toelaten van dat subnet , dan kan je naar buiten via de firewall en hoef je niet alles tunellen etc.

Die "klant" is dat toevallig de directeur / eigenaar van dat bedrijf ?
Als die het namelijk niet is, heb je zeer grote kans dat je de IT-policy van het betreffende bedrijf aan het overtreden bent.

En die "slimme" medewerker, is dat heel toevallig niet de systeembeheerder die gewoon tools heeft voor zijn werk ?

Dan nog mag die ICT'er dat niet zomaar doen zonder dat dit dudielijk in je contract staat.

TrailBlazer schreef op dinsdag 02 september 2008 @ 15:10:
Dan nog mag die ICT'er dat niet zomaar doen zonder dat dit dudielijk in je contract staat.

Ach de soep word niet zo heet gegeten als het altijd is.

Waarschijnlijk is dit een klein bedrijf met verschillende mensen die een wantrouw tegen elkaar hebben. Gebeurd wel meer, wie weet zelfs een familie bedrijf.

Als ze echt alles willen scheiden, moeten ze met VLAN's werken, dan kan de gebruiker in VLAN2 gestoken worden, en de andere in VLAN3. Dan kan je policy's instellen dat je enkel en aleen aan de server kunt en internet via VLAN2&3 , in VLAN1 zit dan de server en de rest van het personeel.

Dan zit iedereen in zijn eigen gescheiden lan en is alles in orde. ( Als hij natuurlijk niet aan de switch komt en daar aanpassingen doe.

blaataaps schreef op dinsdag 02 september 2008 @ 14:43:
[...]

Welke wet overtreed je hiermee precies?

idd, dat dacht ik ook direct. Als je voor privé zaken het netwerk van het bedrijf MAG gebruiken, zie ik niet in waarom je er dan ook niet voor mag zorgen dat je internet gedrag privé blijft door het te beveiligen (coderen dmv een SSH tunnel).

In vrijwel ieder bedrijf is de netwerkbeheerder in staat om te zien wat iedere gebruiker uitspookt. IP adressen (en dus webpagina's), mails via de exchange server, gedownloade bestanden. Messenger comunicatie etc lopen allemaal via deze afdeling en worden gelogd. Daarom dient er binnen het bedrijf toezicht te worden gehouden op de handel en wandel van de werknemers met deze privileges. Ook wettelijk gelden hier regels voor (wet op de privacy etc).

Ik wil jou en het bedrijf waar je voor werkt graag adviseren hoe je dit intern kunt opzetten en uitvoeren. De manier waarop dit nu loopt is zeer zeker niet gewoon te noemen. Voor hetzelfde geld wil deze directeur zelf ongezien frauderen, kinderporno bekijken of i.d. en vraagt hij jou nu om daar dus maatregelen voor te treffen. Als de directeur zijn eigen ICT niet vertrouwt, dan is het hoog tijd voor een ander ICT afdeling of outsourcing (daar kun je mij ook voor bellen )

Mijn advies aan jou: geef aan dat je veel begrip hebt voor de situatie, maar dat dit niet de oplossing is (zie hierboven). Als het probleem werkelijk bestaat (onderzoek door externe partij laten doen?) dan zijn er meer maatregelen nodig dan dit 'vuurtje' blussen. Want blijkbaar vindt de directeur zijn persoonlijke gegevens belangrijker dan zijn bedrijfsinformatie die dan blijkbaar onbeschermd is en veel meer waard is dan zijn sex habits (uitzonderingen daargelaten ).

-nickx- schreef op dinsdag 02 september 2008 @ 08:56:
De reden hiervan is dat hij denkt dat er een medewerk (slimme icter) op dit moment exact kan zien waar hij naar toe surft en wat hij doet (email, bankzaken, communicatie en message client).

Als die ict'er de beheerder is doet 'ie z'n werk niet goed als 'ie dat niet kan zien. Dwz, bankzaken gaan via SSL dus daar kan 'ie alleen zien dát er verkeer naar een bank gaat, niet wát dat verkeer inhoudt.

VLANs helpen ook niet echt als die beheerder dat instelt natuurlijk. Enige wat zou werken is een encrypted VPN tunnel ergens anders naartoe opzetten.

Edgarz schreef op dinsdag 02 september 2008 @ 16:08:
*knip*

Ik wil jou en het bedrijf waar je voor werkt graag adviseren hoe je dit intern kunt opzetten en uitvoeren. De manier waarop dit nu loopt is zeer zeker niet gewoon te noemen. Voor hetzelfde geld wil deze directeur zelf ongezien frauderen, kinderporno bekijken of i.d. en vraagt hij jou nu om daar dus maatregelen voor te treffen. Als de directeur zijn eigen ICT niet vertrouwt, dan is het hoog tijd voor een ander ICT afdeling of outsourcing (daar kun je mij ook voor bellen )

*knip*. Want blijkbaar vindt de directeur zijn persoonlijke gegevens belangrijker dan zijn bedrijfsinformatie die dan blijkbaar onbeschermd is en veel meer waard is dan zijn sex habits (uitzonderingen daargelaten ).

En jij denkt dat die directeur jou gaat inhuren na dit soort insinuaties over zijn sex habits/kinderporno/fraude? Wat een sneue opmerkingen toch weer.
In mijn ogen heeft die directeur gewoon te weinig kennis van informatie/netwerk beveiliging danwel wantrouwen t.o.v. de ICT medewerker en komt het verzoek daar vandaan.

Zou Tor hier geen simpele optie voor zijn? Hoewel er nog steeds afgeluisterd kan worden op de exit nodes, kan de systeembeheerder dit iig niet meer.

smesjz schreef op dinsdag 02 september 2008 @ 16:54:
[...]


En jij denkt dat die directeur jou gaat inhuren na dit soort insinuaties over zijn sex habits/kinderporno/fraude? Wat een sneue opmerkingen toch weer.
In mijn ogen heeft die directeur gewoon te weinig kennis van informatie/netwerk beveiliging danwel wantrouwen t.o.v. de ICT medewerker en komt het verzoek daar vandaan.

De werkelijkheid is soms weerbarstig en harder dan je wellicht vermoedt. En voor het geval je het gemist hebt: het waren toch duidelijk voorbeelden. Moraal van het verhaal: laat je niet zomaar een verhaal op de mouw spelden want voor je het weet faciliteer je zaken die niet echt zuiver zijn. En wie is dan de pineut...? Degene die wij hier proberen te helpen. En wat de directeur er van vindt? Laten we zeggen dat hij er hartelijk om lacht, toch even zijn netwerk laat checken op immorele zaken en meer weet over de mens en zijn internetgebruik.

Herko_ter_Horst schreef op dinsdag 02 september 2008 @ 13:30:
Het opzetten van een ssh tunnel is een ernstig misdrijf? Mag ik het wetsartikel even zien waarin dat staat?

wetsartikel? Ik kan me voorstellen dat vele mensen toch een bedrijfsreglement hebben moeten tekenen waar dit soort situaties ook in beschreven staan...

Verwijderd schreef op woensdag 03 september 2008 @ 01:34:
[...]


wetsartikel? Ik kan me voorstellen dat vele mensen toch een bedrijfsreglement hebben moeten tekenen waar dit soort situaties ook in beschreven staan...

Ik heb niks hoeven te tekenen oid, maar de ICT afdeling is in beheer wat er gebeurd, je hebt zelf niks te vertellen.

We hebben dus novell met die gate erop en vrijwel alles zit dicht getimmerd, gelukkig is het bedrijf niet Nederlands dus is tweakers nog wel open, maar als ze zien dat er wat verkeer heen gaat is die ook zo dicht. Maar als ik in mijn 30 minuten lunchpauze eens even mijn eigen email wil checken of even 2 minuten iets anders wil doen dan naar code staren waarom worden we dan tegen gehouden? Het is eigenlijk een soort van censuur Waarom niet gelijk de ramen dicht timmeren want anders kijken we misschien te veel naar buiten...

Verwijderd schreef op woensdag 03 september 2008 @ 01:34:
[...]


wetsartikel? Ik kan me voorstellen dat vele mensen toch een bedrijfsreglement hebben moeten tekenen waar dit soort situaties ook in beschreven staan...

Een contract kan iets niet als een 'misdrijf' bestempelen. Een 'misdrijf' is iets wat beschreven wordt en waarvoor een straf wordt uiteengezet in het Wetboek van Strafrecht.

Moord is een misdrijf. Een ernstig misdrijf zou je 't zelfs kunnen noemen. Porno kijken op je werk is gewoon 'niet netjes', of in bepaalde gevallen op z'n hoogst contractbreuk.

[ Voor 16% gewijzigd door CyBeR op 03-09-2008 01:53 ]

Verwijderd schreef op woensdag 03 september 2008 @ 01:34:
wetsartikel? Ik kan me voorstellen dat vele mensen toch een bedrijfsreglement hebben moeten tekenen waar dit soort situaties ook in beschreven staan...

En je denkt dat dat een probleem is als je in opdracht van de eigenaar van het bedrijf iets doet met de thuis-verbinding van de eigenaar van het bedrijf? Die zoiets zou willen omdat 'ie redenen denkt te hebben z'n eigen systeembeheerder niet te kunnen vertrouwen?

Goed, de TS was niet al te duidelijk in dat opzicht, maar dat is wat ik er van maak.

-nickx-: Ik zou je willen adviseren niet verder te gaan dan het geven van adviezen. De directeur van je opdrachtgever zit in een bijzonder lastig pakket. Alles wat jij _doet_ is potentieel te ontdekken door z'n systeembeheerder, en als dat gebeurt zit je opeens midden in een conflict wat je niet wilt hebben. Je opdrachtgever zit in een lastig pakket. Hij zal moeten achterhalen of z'n systeembeheerder afluistert (wat wel een ernstig misdrijf is) maar de enige manier waarop 'ie dat kan doen gaat gegarandeerd diezelfde systeembeheerder fors op de kast jagen, ofwel omdat 'ie betrapt is, ofwel omdat 'ie ten onrechte beschuldigd wordt. In beide gevallen kan het erop volgende conflict uitlopen op een duur en uiterst vervelend oorlogje. Je hebt maar een paar seconden nodig om enorme schade aan te richten bij een bedrijf wat afhankelijk is van z'n ICT.

Je opdrachtgever zou kunnen overwegen een club als Fox-IT in te huren (http://www.fox-it.com/nl/fox-it-oplossingen) voor een onderzoek. Ik noem die club omdat ik een aantal mensen daar ken en weet wat ze kunnen, dus shop vooral verder. Maar beschouw dit wel als een serieuze voorzet.) Die kunnen gegarandeerd ongemerkt vaststellen of er wel of niet iets aan de hand is. Ook bij de vervolgstappen kunnen ze helpen (het beveiligen van data zodat een wrokkige ex-netwerkbeheerder niet even de hele adminstratie om zeep helpt.). Maar goedkoop gaat het niet worden, en je opdrachtgever zit potentieel met een naar conflict.

Inderdaad wat Burne zegt.

Zelfs advies zou ik nog niet willen geven ( behalve dat hij zijn sysbeheerder moet ontslaan als hij hem niet vertrouwt ).
Wereldje waarin ik werk is te veel ons kent ons.

En ik ken te veel directeuren die bij ontdekking de zwarte piet wel even naar jou toeschuiven omdat jij hebt gezegd dat het zo moest gebeuren...

Je kan wel een mooi verhaal houden over https verbindingen van bijvoorbeeld banken en hoe reeel de kans is dat daarop ingebroken wordt.

Persoonlijk zou ik ook gewoon vragen waar de directeur denkt dat de sysbeheerder de tijd vandaan haalt? Loggen is over het algemeen moeilijker en tijdrovender dan het lijkt vanwege de interpretatie stap die je moet maken.

En als de directeur hier echt bang voor is, maar toch de sysbeheerder niet wil ontslaan laat hem een thuiswerkplek aanvragen met VPN naar de zaak.

Zolang hij op de zaak zit te werken en sysbeheerder niet wil ontslaan kan hij imho alleen maar een partij als fox-it inhuren of gewoon accepteren dat het gebeurt. Uit caches etc op de computer van de zaak zijn anders altijd genoeg dingen te vinden voor de foute beheerder.