Thuiswerken - DNS server van werkgever - legaal?

De VMWare sessie starten in XP mode onder Win7 een optie?

Even kijken of ik je goed begrijp:

Je gebruikt thuis een (eigen) computer
Je werkt voor je werkgever
Je maakt een VPN connectie om voor je werkgever te kunnen werken
Alle (alleen DNS?) verkeer wordt over de VPN gerouteerd

Mijn ervaring is dat bij VPN gebruik voor een bedrijf al het verkeer over de VPN gerouteerd wordt. Lijkt me op zich niets mis mee. Wat ik in jouw geval wel zou overwegen is om gebruik te maken van een gevirtualiseerde omgeving (zoals VMWare) en daarmee verbinding met je bedrijf te laten maken. Dan wordt alleen de gevirtualiseerde omgeving gerouteerd...

Waarom vind je het ongewenst?

masoroso schreef op dinsdag 14 mei 2013 @ 10:35:
Yep, je begrijpt het goed, een eigen pc, vpn connectie en alle verkeer wordt gerouteerd.

Mijn bezwaren;

1
Als bv alle DNS request gelogd worden kan de werkgever dus meekijken naar mijn surfgedrag en dit zeer eenvoudig persoonlijk koppelen want elke IP is makkelijk gekoppeld aan een werknemer.

2
Als mijn werkgever de DNS niet goed beveiligd is er de mogelijkheid dat je op sites komt waar je niet wilt komen, worst case scenario is het intikken van de url van je bank om vervolgens door de gehackte DNS van de werkgever doorgeleidt te worden naar een fake site met alle mogelijkheden vandien

Ik ben benieuwd naar je reactie!

Gaat punt 2 niet gewoon altijd op ? Ongeacht wiens dns je gebruikt, hij kan gehackt worden.

Dat zijn bezwaren die net zo hard opgaan als je op kantoor werkt, en het lijkt me simpel:

1) Onder werktijd is er geen reden om sites te bezoeken waar je werkgever niets van mag weten
2) Onder werktijd is er geen reden om persoonlijke bankzaken te regelen

Ik vind het heel normaal. VPN hoort prive te zijn, en als je remote werkt zouden mensen je DNS af kunnen luisteren. Afgezien van de intranetten.$bedrijfsnaam.nl die niet werken als je dat niet zou doen.

Dat is inderdaad heel normaal bij split-tunnel VPN verbindingen. Als je prive wil surfen zul je even je VPN-verbinding moeten beëindigen.

Het heeft als voordeel, voor je werkgever, dat AL het verkeer via de werkgevers-firewall gaat. Dit betekent dat je prive-pc op dat moment deel uitmaakt van het bedrijfsnetwerk. Als er dan nog een 2e route mogelijk zou zijn (je eigen internetverbinding), is het netwerk niet meer beveiligd en kunnen kwaadwillenden de werkgevers-firewall omzeilen.

[ Voor 56% gewijzigd door c0ne op 14-05-2013 10:48 ]

Ik weet natuurlijk niet bij welke werkgever je zit, maar je tweede punt lijkt me erg sterk. Als het nu gaat om de slager op de hoek, dan kan ik me dat nog voorstellen maar bij een beetje bedrijf met een beetje IT afdeling lijkt me dat geen probleem.

Wat betreft je eerste punt: als je aan het thuiswerken bent moet je ook thuis werken. En wat hier boven al aangehaald is: als ik een VPN verbinding leg naar waar dan ook wil ik ook al het verkeer via deze VPN.

Ben blij dat je uberhaupt met je eigen computer op die VPN mag. Bij veel bedrijven is alleen goedgekeurde hardware (lees: van het bedrijf) toegestaan.

[ Voor 14% gewijzigd door RvL op 14-05-2013 10:47 ]

masoroso schreef op dinsdag 14 mei 2013 @ 10:35:
Als mijn werkgever de DNS niet goed beveiligd is er de mogelijkheid dat je op sites komt waar je niet wilt komen, worst case scenario is het intikken van de url van je bank om vervolgens door de gehackte DNS van de werkgever doorgeleidt te worden naar een fake site met alle mogelijkheden vandien

Met HTTPS voorkom je dat.

c0ne schreef op dinsdag 14 mei 2013 @ 10:45:
Dat is inderdaad heel normaal bij split-tunnel VPN verbindingen. Als je prive wil surfen zul je even je VPN-verbinding moeten beëindigen.

Het heeft als voordeel, voor je werkgever, dat AL het verkeer via de werkgevers-firewall gaat. Dit betekent dat je prive-pc op dat moment deel uitmaakt van het bedrijfsnetwerk. Als er dan nog een 2e route mogelijk zou zijn (je eigen internetverbinding), is het netwerk niet meer beveiligd en kunnen kwaadwillenden de werkgevers-firewall omzeilen.

Je haalt wat dingen door elkaar. Bij VPN is het normaal, maar een split-tunnel VPN is bedoeld om niet-VPN gerelateerd verkeer niet via de VPN te routen. Als je bij een split-tunnel VPN ook nog je eigen DNS servers gebruikt, ziet je werkgever niet meer waar je surft.

Omzeilen van de werkgevers-firewall kan met een volledige VPN nog steeds, alleen moet er dan een programma op je pc draaien dat zelfstandig werkt.

[ Voor 5% gewijzigd door GlowMouse op 14-05-2013 10:51 ]

edit: lamaar , ging over de dns, niet álle verkeer.

[ Voor 109% gewijzigd door Verwijderd op 14-05-2013 10:52 ]

RvL schreef op dinsdag 14 mei 2013 @ 10:46:
...als je aan het thuiswerken bent moet je ook thuis werken. ...

RvL schreef op dinsdag 14 mei 2013 @ 10:46:
... ls je aan het thuiswerken bent moet je ook thuis werken. ...

Uiteraard is dat zo, maar je kan ook best software op je computer hebben die zonder tussenkomst van de gebruiker DNS-requests doet en verkeer genereert.

@TS ik zou me niet zo druk maken.

[ Voor 5% gewijzigd door begintmeta op 14-05-2013 10:53 ]

Ik vind trouwens wel dat de werkgever een plicht heeft te melden dat al het verkeerd vanuit de thuiscomputer/situatie via de servers van het bedrijf gaat, zodra gebruik wordt gemaakt van de VPN, en daar ook bijbehorend openbaar beleid op zou moeten hebben bij het geval van onwenselijke situaties

Kun je bij de eigenschappen van de ppp-adapter niet handmatig je eigen gewenste dns aangeven? (en ik neem aan dat-ie niet álle verkeer over de ppp-adapter route?)

Ik zou dan inderdaad, zoals al gezegd is, een virtuele PC gebruiken om te werken. Daar maak je dan je VPN-verbinding in. In je 'eigen' Windows kan je dan doen wat je wilt

Er zijn ook allerlei services die op de achtergrond draaien waar de werkgever niks mee te maken heeft. Je privé Outlook, torrentclient, Spotify, ... ik noem maar wat.

Dennahz schreef op dinsdag 14 mei 2013 @ 10:55:
Ik zou dan inderdaad, zoals al gezegd is, een virtuele PC gebruiken om te werken. Daar maak je dan je VPN-verbinding in. In je 'eigen' Windows kan je dan doen wat je wilt

Er zijn ook allerlei services die op de achtergrond draaien waar de werkgever niks mee te maken heeft. Je privé Outlook, torrentclient, Spotify, ... ik noem maar wat.

Op zich kan een werkgever best verlangen dat je die services niet hebt draaien als je verbinding maakt via VPN met het bedrijfsnetwerk imho.

Overigens wordt bij mijn vpn ook de dns-server gewijzigd. Dat komt omdat de dns-server van m'n ISP alleen over z'n eigen netwerk bereikbaar is. En met m'n vpn zit ik daar niet meer op. Wellicht heeft je werkgever het om die reden gedaan. Overigens werken de Google of Openvpn dns-servers in dat geval uiteraard ook.

[ Voor 12% gewijzigd door Verwijderd op 14-05-2013 11:02 ]

masoroso schreef op dinsdag 14 mei 2013 @ 11:04:
[...]


Dat hebben ze wel netjes gemeld via intranet alleen was het wel een melding die niet voor leken was en is er ook geen verwijzing naar een policy die er bij hoort.

Eigenlijk zou je dat best kunnen vragen wat de policy daaromheen is. Er zal toch een reden zijn dat ze het melden.

bonzz.netninja schreef op dinsdag 14 mei 2013 @ 10:57:
[...]

Op zich kan een werkgever best verlangen dat je die services niet hebt draaien als je verbinding maakt via VPN met het bedrijfsnetwerk imho.

Waarom geven ze dan blijkbaar geen apparatuur die eigendom is van henzelf om zodoende VPN-verbinding te maken?

Dido schreef op dinsdag 14 mei 2013 @ 10:39:
Dat zijn bezwaren die net zo hard opgaan als je op kantoor werkt, en het lijkt me simpel:

1) Onder werktijd is er geen reden om sites te bezoeken waar je werkgever niets van mag weten
2) Onder werktijd is er geen reden om persoonlijke bankzaken te regelen

Kan wel wezen, maar er is ook nog zoiets als privacy. Er zijn duidelijke regels over het monitoren van netwerkverkeer.

[ Voor 39% gewijzigd door Gunner op 14-05-2013 11:18 ]

Gunner schreef op dinsdag 14 mei 2013 @ 11:17:
[...]

Waarom geven ze dan blijkbaar geen apparatuur die eigendom is van henzelf om zodoende VPN-verbinding te maken?

omdat ze alles afvangen met een dns.. vergeet niet je mag thuiswerken.. maar je pc moet wel veilig zijn natuurlijk.

als jij in je vrijetijd lekker aan het surfen bent en daardoor een trojan binnenkrijgt is jou probleem, zodra jou bedrijf daarmee geinfecteerd word dat is het probleem van het bedrijf.. deze kiest ervoor om dit dicht te timmeren en te beveiligen.

wees blij dat je mag thuiswerken..

thuiswerken is werken, niet lekker de hele dag facebooken en je vpn openhouden en zeggen ''kijk ik werk toch''

op kantoor doe je het ook niet dus thuis ook niet

standaard zaken dit en al helemaal in de vpn wereld.

Gunner schreef op dinsdag 14 mei 2013 @ 11:17:
[...]

Waarom geven ze dan blijkbaar geen apparatuur die eigendom is van henzelf om zodoende VPN-verbinding te maken?


[...]
Kan wel wezen, maar er is ook nog zoiets als privacy. Er zijn duidelijke regels over het monitoren van netwerkverkeer.

dan blokkeer je op de dns server facebook.com en alle zaken waar jou bedrijf niet wilt dat je naartoe kan, monitoren ze niks kom je alleen als je naar facebook.com gaat uit op 127.0.0.1

ik ken zat van bedrijven die een url firewall hebben waar het bezoeken van nu.nl/cnn.nl/facebook.com echt niet zomaar kan hoor.

[ Voor 28% gewijzigd door AjDuLion op 14-05-2013 11:23 ]

masoroso schreef op dinsdag 14 mei 2013 @ 10:35:
Yep, je begrijpt het goed, een eigen pc, vpn connectie en alle verkeer wordt gerouteerd.

[...]

Kijk eens bij network connections -> adapter settings. Als daar die ppp-adapter vermeld staat kun je bij 'properties' je eigen dns-server weer invoeren en bij 'advanced' kun je aangeven welke default gateway er gebruikt moet worden. Als je dat uitvinkt wordt je eigen gateway weer als default gebruikt, en wordt alleen het verkeer naar je werk over de ppp-adapter geroute. Of je maakt gebruik van het route-commando.

masoroso schreef op dinsdag 14 mei 2013 @ 10:15:
Dat alle internetverkeer die ik in de VMWare sessie uitvoer via hun DNS gaat vind ik logisch en ok maar dat al mijn internetverkeer dat ik op dezelfde pc buiten de VMWare sessie laat lopen ook via hun DNS gaat vind ik zeer ongewenst.

Je maakt de vpn verbinding toch binnen in de vmware sessie? of maak je die op de host pc? Ik zie niet in als je IN de vmware client een vpn verbinding maakt, hoe de data van je host zou kunnen ontsnappen
(Host -> client -> werkgever).

Tenminste, ik neem aan dat ej werkgever een vmware cleint image heeft gemaakt voor werkrelated software.

Jouw systeem heeft maar een DNS resolver. Daarom gaat alle DNS verkeer maar naar een DNS server. Meestal gaat daarna alle data niet voor een werkmachine gewoon via je eigen non-VPN verbinding.

Masst het draaien van een andere machine (virtueel of echt) kan je ook je DNS splitsen. Requests worden dan als eerste op jouw machine bekeken: Is het werk (specifieke domeinnamen) -> DNS request via VPN, is het iets anders -> DNS request via eigen DNS server.

Ik geloof dat http://gleamynode.net/articles/2267/ is wat je zoekt, maar er zijn 1001 verschillende oplossingen hiervoor. De meeste niet klikklik-makkelijk.

masoroso schreef op dinsdag 14 mei 2013 @ 11:38:
[...]


Dat kunnen ze ook doen door enkel alle verkeer naar hun netwerk af te vangen, daar hoeven ze niet voor de rest van mijn netwerkactiviteit te volgen of zie ik dat verkeerd?

Waar wordt die vpn- (ppp) adapter aangemaakt, in de vmware-instantie of op je host?

masoroso schreef op dinsdag 14 mei 2013 @ 12:06:
[...]


In de VMWare sessie. Zodra ik die opstart komt er een PPP adapter bij en wordt gepoogd mijn hosts bestand te wijzigen.

Dus als je die vmware-sessie opstart komt die ppp-adapter op je *host* erbij? Kun je bij de eigenschappen van die adapter (rechtsklikken daarop)?

// Indien ja, dan kun je je dns-servers wijzigen bij 'eigenschappen -> netwerk -> ip protocol v4', en je default gateway bij 'eigenschappen -> netwerk -> ip protocol v4 -> advanced'. Als je dat vinkje daar weghaalt, gaat alleen nog maar je werk verkeer naar je werkgever toe, al het andere verkeer verloopt dan weer via je isp.

// En wat wil-ie precies wijzigen aan dat hosts bestand, wil-ie domeinen (met wellicht interne ip's) toevoegen van je werk?

Doe evt. een 'route print', nadat die ppp-adapter is aangemaakt, dan kun je precies zien wat naar waar geroute wordt (en wijzigen als het nodig is).

[ Voor 45% gewijzigd door Verwijderd op 14-05-2013 12:39 ]

AjDuLion schreef op dinsdag 14 mei 2013 @ 11:21:
[...]


dan blokkeer je op de dns server facebook.com en alle zaken waar jou bedrijf niet wilt dat je naartoe kan, monitoren ze niks kom je alleen als je naar facebook.com gaat uit op 127.0.0.1

ik ken zat van bedrijven die een url firewall hebben waar het bezoeken van nu.nl/cnn.nl/facebook.com echt niet zomaar kan hoor.

Content filtering dus. Blacklisten van url's of met keywords, of via application firewalling.

Je kunt ook gewoon een PC van je werk vragen... Dan kun je daarop werken. Dan is het ingericht zoals zij willen, draait er een policy op die zij hebben bepaald...En is het patch level ter hunne verantwoording!
Uiteraard moet je daar dan geen gekke dingen doen.
Als ik werkgever zou zijn en een remote werken oplossing zou hebben, zou ik ook grrraaaag willen weten wat mijn PC's doen op mijn netwerk (Dus ik hebt niet over het werk, maar over het gedrag van software). BYOD is een lastig concept en voor je het weet kun je een trojan oid in het netwerk verspreiden. Ik zou dat graag willen terug zien in mijn DNS log.

Ik lees een heleboel niet gerelateerde zaken, en helaas ook een hoop onzin.

Als jij gaat thuiswerken, en je hebt voor deze werkzaamheden een VPN verbinding met de zaak nodig dan zal dat waarschijnlijk zijn omdat je resources op kantoor moet kunnen benaderen. (Shares, printers, websites etc.) Om dit mogelijk te maken, zal je gedurende je VPN verbinding gebruik moeten maken van de interne DNS servers van je werkgever, omdat daarin de resources te vinden zijn die jij moet benaderen. Ga jij je DNS server aanpassen in je VPN verbiding, dan gebruik je deze DNS servers misschien niet meer, maar heb je ook geen toegang meer tot de resources. Althans niet meer op Fully Qualified Domain Name. Wel op basis van het IP adres, maar die moet je dan wel allemaal weten.

Als jij tijdens de VPN verbinding gaat surfen, dan zal ook je Internetverkeer via de VPN verbinding lopen. Dat begint met het nameresoving stuk (DNS) maar (tenzij anders ingeregeld, maar daar ga ik even niet vanuit) ook de rest van het verkeer van en naar Internet.

Dit kan gesplitst worden door gebruik te maken van split-tunneling. Daarbij wordt tijdens de opbouw van de VPN verbinding gezorgt dat alleen verkeer voor het interne netwerk van de werkgever over de VPN verbinding loopt. De rest van je Internetverkeer verloopt dan via je eigen Internet verbinding. (op DNS na, zie bovenstaande probleemstelling). Split-tunneling vereist een client en een server die dit ok af kan handelen, of een hoop scriptwerk om je routing op orde te krijgen voor en na de VPN verbinding.

Als jij niet wilt dat je surfverkeer via de VPN verbinding loopt, dan kan je er voor kiezen om een schone instalatie van een OS te gebruiken in een virtuele PC (VMware, Hyper-V, Virtual PC, etc) waarvandaan je de VPN verbinding opzet. Alle andere zaken doe je dan op je gewone PC.