Netwerkverkeer zichtbaar? AP is van werkgever staat thuis

Als die unify AP met een Unify controller beheerd wordt (kan in de cloud bijv.) dan kunnen ze wel loggen wat er over dat AP heen gaat denk ik.
Ik weet dat die Controller het een en ander kan loggen in ieder geval.

edit:
Handleiding van de controller
Weet je precies wat de controller kan als die gebruikt wordt.

[ Voor 30% gewijzigd door Meekoh op 05-01-2018 16:49 ]

Als je hem van je werkgever hebt overgenomen, waarom reset je hem dan niet even en configureer je hem zelf?

Als het een faciliteit van je werkgever is, hoef je het alleen maar te vragen; Ze zijn verplicht jou te informeren over de mogelijke privacy-brekende zaken die ze toepassen.

In de standaard logs/controller kunnen ze alleen de cliens (ip,mac,hostname) en de bytes aan traffic zien, het verkeer zelf niet.

Echter, via de controller kunnen ze ssh access op de ap krijgen en dan tcpdump uitvoeren: https://help.ubnt.com/hc/...-Useful-Debug-Information

Met tcdump kunnen ze dus in theorie alles zien.

laurens0619 schreef op vrijdag 5 januari 2018 @ 17:32:
[...]

Met tcdump kunnen ze dus in theorie alles zien.

Met die nuance dat TLS/SSL-verkeer niet zomaar decrypted kan worden. Daarvoor moeten ze wel echt heel graag willen. Maar dat zou je als eindgebruiker wel moeten merken. (Tenzij je laptop/PC ook van de werkgever is.)

@laurens0619 hieronder, helemaal waar!

[ Voor 5% gewijzigd door Room42 op 05-01-2018 17:44 ]

Room42 schreef op vrijdag 5 januari 2018 @ 17:37:
[...]

Met die nuance dat TLS/SSL-verkeer niet zomaar decrypted kan worden. Daarvoor moeten ze wel echt heel graag willen. Maar dat zou je als eindgebruiker wel moeten merken. (Tenzij je laptop/PC ook van de werkgever is.)

Klopt maar tegelijk ook met de nuance dat ze wel bij tls/ssl de dns lookup/hostname zien dus ook https://www.natuurfilms.nl komt voorbij

TS heeft het over een AP. Niet over een USG.

In de manager kun je alleen de clients zien + hostnames hiervan. Dus wie verbonden is (of je bv thuis bent - adhv je mobiel)

Om de rest te zien heb je (bv) een USG nodig. Wat zit er achter dat aparte SSID? Als daar nog een router met vpn oid achter zit dan is het verkeer, over dat SSID, te volgen. Maar het encrypted verkeer zelf niet (zoals gezegd wel DNS namen)

In de manager kun je een hoop zien, als je een USG hebt en DPI gebruikt. Maar die info mis ik in de TS, hij noemt alleen een AP-Pro

[ Voor 13% gewijzigd door DJSmiley op 05-01-2018 17:49 ]

@DJSmiley " AC Pro van het werk, welke via kabel op mijn router thuis is aangesloten"
Lijkt me onwaarschijnlijk dat TS even een extra kastje daartussenin vergeet te noemen, dus zal waarschijnlijk geen USG of andere non-AP apparatuur van werkgever aanwezig zijn.

Geloof niet dat Unifi AP's zelf een VPN naar 'thuis' kunnen aanhouden dus dat zou dan oke moeten zijn, lijkt me?

DJSmiley schreef op vrijdag 5 januari 2018 @ 17:48:
TS heeft het over een AP. Niet over een USG.

In de manager kun je alleen de clients zien + hostnames hiervan. Dus wie verbonden is (of je bv thuis bent - adhv je mobiel)

Om de rest te zien heb je (bv) een USG nodig. Wat zit er achter dat aparte SSID? Als daar nog een router met vpn oid achter zit dan is het verkeer, over dat SSID, te volgen. Maar het encrypted verkeer zelf niet (zoals gezegd wel DNS namen)

In de manager kun je een hoop zien, als je een USG hebt en DPI gebruikt. Maar die info mis ik in de TS, hij noemt alleen een AP-Pro

Klopt helemaal maar dat zegt toch ook niemand dat de ts een usg heeft?

Doordat de ap aan de controller hangt kun je via ssh erop inloggen, en met ssh tcpdump starten. Of werkt ssh access alleen als je in hetzelfde netwerk zit? Ik dacht nl dat er een reverse shell access optie zat in de unifi controller

[ Voor 4% gewijzigd door laurens0619 op 05-01-2018 18:40 ]

Illy27 schreef op vrijdag 5 januari 2018 @ 16:37:
Ik heb een Unifi AP AC Pro van het werk, welke via kabel op mijn router thuis is aangesloten.
Apparaat is geconfigureerd door werkgever. Apart SSID. kunnen zij zien welk verkeer er over het netwerk gaat? m.a.w. kunnen zij zien wat ik doe?
...

Je vraag is te ontleden in 2 subvragen

1. kan de werkgever zien wat er over zijn netwerk (ssid) gaat?
   Het antwoord daarop is "ja". Uitzonderingen daarop zijn versleutelde sessies, maar daar moet dan wel weer bij opgemerkt worden dat de "man in the middle" nogal prominent aanwezig is.
2. kan de werkgever zien wat er op je thuisnetwerk allemaal gebeurt?
   Het antwoord daarop is "deels". Namelijk het gedeelte dat gebruik maakt van dezelfde poort op de dichtsbijzijnde switch. En alles wat gebroadcast wordt, natuurlijk

Waarom zou je dit überhaupt willen? Wat kan er niet wanneer je met je (werk) computer gewoon verbinding maakt met je eigen WiFi?

Illy27 schreef op zaterdag 6 januari 2018 @ 13:06:
Belangrijkste is, als ik mijn thuis pc niet op het AP heb aangemeld, maar via eigen wifi/kabel heb zitten, kunnen ze dan " meekijken" ?

Nee

Als de Unifi AC-AP Pro is geconfigureerd (door de werkgever) wil dat zeggen dat deze gekoppeld is aan een (cloud) contrioller.
Ik zou direct de boel resetten en zelf een controller (desnoods in de cloud, maar liever op het LAN) in de lucht gooien en de boel zelf gaan beheren. Dit zou op je eigen pc kunnen, of bijvoorbeeld op een rpi.
Overigens, het ubiquity forum is een dikke aanrader als je ergens niet uitkomt. Goede hulp van mede gebruikers.

Verwijderd schreef op zaterdag 6 januari 2018 @ 13:24:
Als de Unifi AC-AP Pro is geconfigureerd (door de werkgever) wil dat zeggen dat deze gekoppeld is aan een (cloud) contrioller.
Ik zou direct de boel resetten en zelf een controller (desnoods in de cloud, maar liever op het LAN) in de lucht gooien en de boel zelf gaan beheren. Dit zou op je eigen pc kunnen, of bijvoorbeeld op een rpi.
Overigens, het ubiquity forum is een dikke aanrader als je ergens niet uitkomt. Goede hulp van mede gebruikers.

Dat ligt een beetje aan de afspraken daar over.

TS heeft het over klantcontact, dan lijkt het me voor een deel logisch dat dat via het bedrijfsnetwerk loopt ( veiligheid e.d )
Persoonlijk wil ik ook geen onbekende apparatuur in mijn netwerk, maar heb voor anderen wel een vpn-router zo ingesteld, dat die over mijn IPadres kan verbinden.
< al zijn dit prive afspraken, een collega die NL Netflix wil, en IPTV Ziggo kijken in België >

Uhm.... waar heeft TS het over klantcontact? Ik zie het niet in zijn posts staan.

Verder: Agreed,
Toch zou ik dan een extra afschermingslaag introduceren. Bijvoorbeeld door NethServer te installeren op een homeserver en de Unifi AP met een Blue of Orange netwerk adapter te verbinden zodat je LAN (Green) niet vanaf de Unifi benaderd kan worden.

[ Voor 12% gewijzigd door Verwijderd op 06-01-2018 13:38 ]

Verwijderd schreef op zaterdag 6 januari 2018 @ 13:35:
Uhm.... waar heeft TS het over klantcontact? Ik zie het niet in zijn posts staan.

Illy27 schreef op zaterdag 6 januari 2018 @ 12:56:
[...]


Mijn werk wil graag zekerheid dat de internetverbinding altijd goed is. (ivm klantcontact wat ik heb)
mijn thuisnetwerk is prima, ik zou het liefst mijn werk laptop helemaal niet op mijn netwerk willen.

[ Voor 39% gewijzigd door Verwijderd op 06-01-2018 13:47 ]

Verwijderd schreef op zaterdag 6 januari 2018 @ 13:46:
[...]


[...]

ok...duidelijk over heen gelezen.
In dat geval is een nethserver met extra netwerk interface voor een 'gast/werk netwerk' zeker aan te raden. Dan kan die laptop voor het werk daar op inloggen zonder dat de rest van het LAN benaderbaar is door de unifi.

Illy27 schreef op zaterdag 6 januari 2018 @ 12:56:
[...]


Mijn werk wil graag zekerheid dat de internetverbinding altijd goed is. (ivm klantcontact wat ik heb)
mijn thuisnetwerk is prima, ik zou het liefst mijn werk laptop helemaal niet op mijn netwerk willen.

Grappig (bijzonder) dat je alleen op de allerlaatste post reageert. Er zijn veel meer vragen gesteld. Gelukkig beantwoord je enkele wel indirect.

Wat je dus aangeeft is dat je de apparatuur voor je werk nodig hebt. Wat je dan zelf kunt doen is jouw netwerk opsplitsen. Je zet dan een 2e router tussen de Unify en de router van je provider. Vervolgens maak je daarop twee netwerken... Maar ik heb het idee dat dit je boven de pet gaat?

Als ik jou was zou ik gewoon je werkgever vragen: "Ik gebruik nu jullie apparatuur op mijn privé-netwerk. Dat zit me niet lekker. Wat loggen jullie van mijn verkeer en hoe voorkomen jullie dat er privégegevens opgeslagen worden? En wat kunnen jullie doen om mijn privécomputers af te splitsen van het zakelijke netwerk?"

[ Voor 4% gewijzigd door Room42 op 06-01-2018 13:54 ]

Verwijderd schreef op zaterdag 6 januari 2018 @ 13:24:
Als de Unifi AC-AP Pro is geconfigureerd (door de werkgever) wil dat zeggen dat deze gekoppeld is aan een (cloud) contrioller.
Ik zou direct de boel resetten en zelf een controller (desnoods in de cloud, maar liever op het LAN) in de lucht gooien en de boel zelf gaan beheren. Dit zou op je eigen pc kunnen, of bijvoorbeeld op een rpi.
Overigens, het ubiquity forum is een dikke aanrader als je ergens niet uitkomt. Goede hulp van mede gebruikers.

Enigzins offtopic, maar je hebt geen controller nodig om een enkele AC Pro te configgen.

Je kan toch probleemloos twee netwerken maken met een tweede eigen router.
Al wat je prive doet op je eigen PC, tablet en tel loopt dan nooit door de router van je werkgever.

Nu lijkt het me onwaarschijnlijk dat een werkgever echt interesse heeft in de websites die je bezoekt. Met GDPR is het ook illegaal om data op te slaan waarvan je het nut niet kan aantonen.

Room42 schreef op zaterdag 6 januari 2018 @ 13:52:
[...]


Als ik jou was zou ik gewoon je werkgever vragen: "Ik gebruik nu jullie apparatuur op mijn privé-netwerk. Dat zit me niet lekker. Wat loggen jullie van mijn verkeer en hoe voorkomen jullie dat er privégegevens opgeslagen worden? En wat kunnen jullie doen om mijn privécomputers af te splitsen van het zakelijke netwerk?"

Dat dus

Wel even voor de duidelijkheid:
Het is dan wel technisch mogelijk dat ze het verkeer zien, het is tegelijk wel erg onwaarschijnlijk. Het is niet dat het standaard verzameld wordt.

Onwaarschijnlijk? Daar zou ik zelf niet direct van uitgaan.
Ik zou een werkgever niet op zijn blauwe ogen geloven.

Illy27 schreef op vrijdag 5 januari 2018 @ 16:37:
Ik heb een Unifi AP AC Pro van het werk, welke via kabel op mijn router thuis is aangesloten.
Apparaat is geconfigureerd door werkgever. Apart SSID. kunnen zij zien welk verkeer er over het netwerk gaat? m.a.w. kunnen zij zien wat ik doe?
...

Kan/mag je hem ook prive gebruiken of is hij ingesteld met een VPN naar jullie bedrijfsnetwerk ?
En waarom vraag je dit hier en niet gewoon eerlijk aan je werkgever/it afdeling ?
Hier kunnen we alleen maar gokken wat er allemaal mogelijk is en als jij normaal je werk doet thuis via dat accesspoint is er toch niks aan de hand,
ik maak me meer zorgen dat je deze vraag stelt dan heb je naar mijn gevoel al iets te verbergen

Verwijderd schreef op zaterdag 6 januari 2018 @ 17:34:
Onwaarschijnlijk? Daar zou ik zelf niet direct van uitgaan.
Ik zou een werkgever niet op zijn blauwe ogen geloven.

Default verzameld de controller deze info niet he, je moet handmatig via ssh/controller een shell op het accessppint openzetten en daar tcpdump starten (en een manier vinden de data weg te krijgen)

Ik wil de ts waarschuwen dat het technisch kan maar ik verwacht het niet. Had hij een usg met dpi waar dit default functionaliteit is, dan was het heel anders geweest

En anders block e toch al het verkeer van je ap ip naar internet? Dan weet je het zeker.

Vreemde constructie waar ik zeker problemen mee zou hebben.
Is het niet een optie om de werkgever een tweede internet aansluiting te laten aanleggen anders?

Vraag me ook af of jij nu verantwoordlijk bent voor het hebben van een stabiele internet verbinding. Ze nemen nu alleen verantwoording over je wifi aansluiting, sowieso vreemd want een ethernet kabel bij noodgevallen is toch ook zo moeilijk niet. Wat winnen ze door een AP te verstrekken?

laurens0619 schreef op zaterdag 6 januari 2018 @ 19:46:
[...]

Default verzameld de controller deze info niet he, je moet handmatig via ssh/controller een shell op het accessppint openzetten en daar tcpdump starten (en een manier vinden de data weg te krijgen)

Ik wil de ts waarschuwen dat het technisch kan maar ik verwacht het niet. Had hij een usg met dpi waar dit default functionaliteit is, dan was het heel anders geweest

En anders block e toch al het verkeer van je ap ip naar internet? Dan weet je het zeker.

Dat niet, maar stel je zet die AP-AC op je lokale LAN, dan is wel te bekijken welke devices er een WiFi verbinding maken met de AP-AC, hoeveel data ze verstoken, hoe laat ze actief zijn. Allemaal zaken die een werkgever helemaal niets aangaan. Leuk dat er een AP ter beschikking gesteld wordt door de werkgever, maar als deze niet volledig buiten het eigen LAN geplaatst kan worden, of volledig in eigen beheer gegeven wordt, dan zou ik daar zelf erg veel problemen mee hebben.

Illy27 schreef op dinsdag 9 januari 2018 @ 17:25:
[...]
kabel kan niet, omdat laptop te nieuw is, en alleen draadloos kan verbinden :-)
[...]

Nu niet nodig, maar er zijn ook USB-netwerkkaarten, dus de kabel is nog niet uitgesloten als er geen in de laptop zit