Via Mac adres surfgedrag te weten komen

Incognito wil zeggen dat alleen jouw eigen browser niks onthoudt

Geen porno kijken op het werk dus

[ Voor 26% gewijzigd door Borromini op 24-03-2018 09:30 ]

Zodra je met een hotspot verbind kan de hotspot zo'n beetje waar de hotspot zin in heeft.

Er zijn hier echter twee vragen belangrijk:
- Waarom zou je dit willen verbergen?
- Heeft de werkgever dit recht?

Op die tweede vraag is een heel eenvoudig antwoord: Nee, een werkgever mag dit niet tenzij er uitdrukkelijk aangegeven is dat hij dit doet en zelfs dan mag een werkgever er nog geen acties aan verbinden.

Ik verbind mijn mobiel bewust nooit met de wifi van de werkgever/klant. 4G werkt prima, en ik heb er geen behoefte in dat er ook maar een mogelijkheid is voor de werkgever om het internetgebruik op mijn privé apparaat te kunnen loggen.

Incgnito modus van een browser zegt niks over wat er wel/niet leesbaar over de verbinding gaat.

Alsnog zal http://linkje gewoon uit te lezen zijn als de proxy, firewall, whatever daarop is ingericht.

Vraag me een beetje af waarom je de casus niet gewoon voorlegt bij je werkgever? Je hebt ook een verklaring getekend omtrent het gebruik van (onder andere) zijn internet alsmede het niet "misdragen" op de werkvloer.

Als het bij die werkgever al mogelijk is om privé devices direct aan het corporate WiFi netwerk te knopen dan vraag ik me persoonlijk af hoe het daar verder met de "security" geregeld is én of ze überhaupt al iets (kunnen) monitoren.

Is het toevallig niet zo dat er een "publiek" gastennetwerk is voor dit soort devices waarvan je gebruik mág maken na het accepteren van wat voorwaarden (portal) of het verkrijgen van een persoonlijke inlogcode / token (al dan niet tijdelijk)?

Verwijderd schreef op zaterdag 24 maart 2018 @ 10:16:
Beste,

Bedankt voor de reactie. Dus als de werkgever het MAC adres kent, is het dus mogelijk?

Haha nee geen porno, eerder sollicitaties...

Beste....

Ja: ALLES wat over een "eigen" (WiFi) netwerk gaat is in principe te bekijken door de persoon / het bedrijf waarvan dat WiFi netwerk is (en middels SSL Off-Loading zijn ook de meeste HTTPS verbindingen volledig inzichtelijk te krijgen als dat wenselijk is (DPI)).

Verwijderd schreef op zaterdag 24 maart 2018 @ 10:16:
Beste,

Bedankt voor de reactie. Dus als de werkgever het MAC adres kent, is het dus mogelijk?

Haha nee geen porno, eerder sollicitaties...

_-

[ Voor 17% gewijzigd door LopendeVogel op 24-03-2018 11:07 ]

LopendeVogel schreef op zaterdag 24 maart 2018 @ 10:22:
[...]


Dus jij doet met de telefoon van je werkgever sollicitaties richting andere werkgevers?

Aardige knul

Je stelt het wel extreem. Kan natuurlijk zijn dat je een eigen telefoon hebt, 4G/3G ontvangst beroerd is binnen het pand (zoals bij ons), en je dus op het corporate WIFI zit. Dan zit je even op de plee en check je je mail en komt er een antwoord op je sollicitatie binnen.

Niet meteen zo chargeren, er zijn meerdere nuances mogelijk

Overigens, helemaal met die Bring-Your-Own-Device onzin die bedrijven tegenwoordig hebben is het niet heel vreemd dat privé en zakelijk een beetje door elkaar gaan, helemaal als werkgevers het wel doodnormaal vinden te mailen tijdens avonduren. Dan is privé communicatie op de faciliteiten van de werkgever niet heel raar. Geven en nemen.

Afhankelijk van hoe paranoïde de werkgever is zou ik de TS aanraden die dingen niet op het netwerk van zijn werkgever op te volgen. Gemak en privacy zijn zelden met mekaar te verzoenen in het digitale tijdperk, en de wet (wat de werkgever niet mag monitoren) en de praktijk (wat hij toch traceert) durven vaak ver uit elkaar liggen.

je kan altijd een betaalde vpn installeren op je device.

je zou het mac-adres van je baas kunnen spoofen. komt jouw surfgedrag in zijn log te staan.

Als het je eigen smartphone is, en de werkgever heeft er niets op geïnstalleerd, dan kan de werkgever zien welke hosts/IP adressen worden benaderd, en meekijken met de niet-encrypted date. Data die wel encrypted is (https,imaps/smtps) kan niet worden ingezien.

Met je MAC-adres zal minder snel wat te doen zijn dan je IP-adres, overigens.
Wil je echt zekerheid* kun je inderdaad beter 3G/4G gebruiken en/of een VPN-verbinding. Dat laatste kan ook naar je eigen thuisverbinding, mits je thuis een VPN-server plaatst.

* Inderdaad alleen van toepassing als het je eigen telefoon is waar je baas geen software kon installeren of beheer op kan doen.

Verwijderd schreef op zaterdag 24 maart 2018 @ 10:16:
Beste,

Bedankt voor de reactie. Dus als de werkgever het MAC adres kent, is het dus mogelijk?

Haha nee geen porno, eerder sollicitaties...

Zo gauw je internet via hun netwerk kunnen ze dat al. Het MAC-adres gebruiken ze om jou te authenticeren op het netwerk, zodat alleen bekende(re) apparaten toegang hebben tot het netwerk.

Verwijderd schreef op zaterdag 24 maart 2018 @ 10:48:
[...]


Het is mijn eigen device, niks van software van de werkgever. Ben je aan het zeggen dat als ik op 4G zit, dat ze mijn surfgedrag ook kunnen checken?? Kan toch niet?

Nee, volgens mij zeg ik juist dat je op 4G de meeste privacy t.o.v. je werkgever hebt.

Overigens is je verhouding met je werkgever wel heel erg verstoord als hij je niet laat solliciteren. Dat is gewoon een recht dat je hebt.

Verwijderd schreef op zaterdag 24 maart 2018 @ 10:48:
Het is mijn eigen device, niks van software van de werkgever. Ben je aan het zeggen dat als ik op 4G zit, dat ze mijn surfgedrag ook kunnen checken?? Kan toch niet?

Niet direct (of ze mieten toegang hebben tot de 4G mast), een provider kan het dan in principe wel.

Room42 schreef op zaterdag 24 maart 2018 @ 10:50:
Overigens is je verhouding met je werkgever wel heel erg verstoord als hij je niet laat solliciteren. Dat is gewoon een recht dat je hebt.

Is wel heel kort door de bocht natuurlijk. Een werkgever hoeft het niet te pikken, je doet dan immers iets anders dan waarvoor hij je betaald, strict gezien. Het is wel super netjes als een werkgever het toestaat.

Je kan immers ook buiten werktijden solliciteren. Voor gesprekken neem je dan verlof op. Krijg je ontslag, dan heb je zelfs wellicht recht op sollicitatie-verlof, afhankelijk van hoeveel je werkt bij de ontslagende werkgever, van maximaal een dag per twee weken, zo uit mijn hoofd, of een dagdeel per week.

[ Voor 53% gewijzigd door CH4OS op 24-03-2018 10:58 ]

armageddon_2k1 schreef op zaterdag 24 maart 2018 @ 10:25:
[...]


Je stelt het wel extreem. Kan natuurlijk zijn dat je een eigen telefoon hebt, 4G/3G ontvangst beroerd is binnen het pand (zoals bij ons), en je dus op het corporate WIFI zit. Dan zit je even op de plee en check je je mail en komt er een antwoord op je sollicitatie binnen.

Niet meteen zo chargeren, er zijn meerdere nuances mogelijk

Overigens, helemaal met die Bring-Your-Own-Device onzin die bedrijven tegenwoordig hebben is het niet heel vreemd dat privé en zakelijk een beetje door elkaar gaan, helemaal als werkgevers het wel doodnormaal vinden te mailen tijdens avonduren. Dan is privé communicatie op de faciliteiten van de werkgever niet heel raar. Geven en nemen.

Oh maar ik zeg niks vervelends toch, hoop ik?

CH4OS schreef op zaterdag 24 maart 2018 @ 10:50:

[...]
Is wel heel kort door de bocht natuurlijk. Een werkgever hoeft het niet te pikken, je doet dan immers iets anders dan waarvoor hij je betaalt, strikt gezien. Het is wel super netjes als een werkgever het toestaat.

Eens dat dit niet onder werktijd hoort. In de pauze kan het natuurlijk wel.

LopendeVogel schreef op zaterdag 24 maart 2018 @ 10:52:
Oh maar ik zeg niks vervelends toch, hoop ik?

[ Voor 32% gewijzigd door Room42 op 24-03-2018 11:00 ]

Room42 schreef op zaterdag 24 maart 2018 @ 10:58:
[...]
Eens dat dit niet onder werktijd hoort. In de pauze kan het natuurlijk wel.

[...]

offtopic:
Je geeft een ongefundeerd waardeoordeel over TS, die achteraf dus nog onwaar blijkt ook. Dat is wel vervelend en voegt niks toe aan wat dan ook.

_Oké

Doe nooit iets op het netwerk van iemand als je niet wilt dat ze het kunnen zien.
Ook niet als het https is (DNS leaks).
Als iemand van IT door de log scrolt om een echt probleem op te kunnen lossen kan het opvallen als er heel vaak monsterboard.nl tussenstaat oid.

Dat is waarvoor vpn services bestaan. De meesten krijg je wel buiten op een corporaten netwerk op tcp poort 443. Als je regelmatig op publieke wifi surft sowieso geen slechte investering.

heb je ooit wel eens een proxy log file bekeken ?
valt bij een gemiddeld bedrijf bijna niet meer door heen te worstelen.

Waarschijnlijk moet je het mac adres gewoon doorgeven zodat het als trusted device wordt aangemerkt en dat niet de zwerver die in de steeg naast jullie pand slaapt ook gratis internet heeft.

wimmel_1 schreef op zaterdag 24 maart 2018 @ 10:21:
[...]


Beste....

Ja: ALLES wat over een "eigen" (WiFi) netwerk gaat is in principe te bekijken door de persoon / het bedrijf waarvan dat WiFi netwerk is (en middels SSL Off-Loading zijn ook de meeste HTTPS verbindingen volledig inzichtelijk te krijgen als dat wenselijk is (DPI)).

Voor SSL offloadingproxy dient je toch eerst een certificaat te installeren wil je dit transparant doen. Zou wat zijn als de traffic naar een https site door iedereen mee te lezen zou zijn

Zoals hier al opgemerkt is echter wel te zien waarmee je verbindt (DNS+IP).

[ Voor 6% gewijzigd door base_ op 24-03-2018 12:32 ]

Ja dat kan. En als je een VPN gaat gebruiken en het goed doet (dus niet voor de verbinding compleet is requests maken en DNS ook binnen VPN doen) heb je een ander probleem: je bent dan opeens die rare werknemer die z'n verkeer probeert te verstoppen voor de werkgever.

wimmel_1 schreef op zaterdag 24 maart 2018 @ 10:21:
[...]
Ja: ALLES wat over een "eigen" (WiFi) netwerk gaat is in principe te bekijken door de persoon / het bedrijf waarvan dat WiFi netwerk is (en middels SSL Off-Loading zijn ook de meeste HTTPS verbindingen volledig inzichtelijk te krijgen als dat wenselijk is (DPI)).

Bepaalde browsers tonen op het scherm een secure verbinding met de proxyserver aan de gebruiker alsof het een end-to-end secure verbinding met de bezochte website is (een bewust ingebouwde feature, geen bug).
Is dat waar dit over gaat?

aawe mwan schreef op zaterdag 24 maart 2018 @ 13:06:
[...]


Bepaalde browsers tonen op het scherm een secure verbinding met de proxyserver aan de gebruiker alsof het een end-to-end secure verbinding met de bezochte website is (een bewust ingebouwde feature, geen bug).
Is dat waar dit over gaat?

Heb je een screenshot o.i.d.?
hier een voorbeeld van https sniffen met proxy en certificaat:https://turbofuture.com/i...he-Squid-Proxy-in-pfSense

base_ schreef op zaterdag 24 maart 2018 @ 13:27:
[...]

Heb je een screenshot o.i.d.?
hier een voorbeeld van https sniffen met proxy en certificaat:https://turbofuture.com/i...he-Squid-Proxy-in-pfSense

Squid kan dit inderdaad ook. Ik doe 't op / voor m'n werk met o.a. Citrix Netscalers / Checkpint / F5 / ... . Appliances dus (wat feitelijk ook gewoon een, vaak op *NIX gebaseerd, stukje software op een dedicated device is).

Banken (bijvoorbeeld) vinden 't niet fijn als je met dit soort apparaten in HTTPS tunnels aan 't morrelen bent dus die moet je dan ook met rust laten (tenzij je niet wil hebben dat medewerkers in de baas z'n tijd aan het internetbankieren gaan over de bedrijfsverbinding(en) vanop bedrijfs computers / resources)

Wat mijn ervaring is, is dat een telefoon zichzelf op het WiFi netwerk identificeert met zijn naam. Kijk ik bij ons op het management console, zie ik dingen staan als "iPhone van Fatima/Achmed/Johanna/Karel" en dan is het natuurlijk vrij simpel te herleiden van wie die iPhone is.

Zonder dat, is het een stuk lastiger.

Overigens hebben wij voor privé gebruik een gastnetwerk, maar we geven wel heel duidelijk aan dat we dat netwerk mogen monitoren en de verkeerstromen mogen in zien. Connecten mensen met dat netwerk, gaan ze automatisch akkoord met die voorwaarden.

Met privé apparatuur verbinden met het medewerkersnetwerk is verboden. Komen we daar achter, heeft de persoon een uitdaging.

In alle gevallen is er een gedragscode en mogen we monitoren. Zou iemand porno kijken of op sites komen die ons netwerk direct of indirect in gevaar brengen, mogen we ingrijpen en grijpen we in. (Tunnels zijn dan ook verboden.)

Als je gebruikmaakt van een WiFi access point dan kan de beheerder hiervan in principe loggen met welke host/ips je verbinding maakt. Ten eerste doet je telefoon een DNS request die meestal niet versleuteld zijn. Als je vervolgen pagina's bekijkt met http, wat niet verstandig is, dan is alles mee te lezen. Met HTTPS kan dit niet en kan laat je alleen zien met welke IPs je verbinding maakt.

Je telefoon bazuint zijn eigen hostnaam op het netwerk in de rondte. Aan de hand van het MAC-adres is de merk en het type netwerkchip te identificeren en daarmee weet je vaak ook min of meer welk type device het betreft. Als alle verbindingen daadwerkelijk HTTPS zijn dan weet je niet welke pagina er bezocht is maar je kun wel min of meer vaststellen welk domein er betreft. Zit je vaak op babushka-gils.ru dan is dat te zien via een reverse DNS lookup op het IP-adres van de bezochte webserver. Met gewone DNS lookups is het al helemaal simpel om te zien welke websites je telefoon opvraagt. Gebruik een goede VPN-tunnel naar huis of gebruik uitsluitend mobiel 4G.

FrankHe schreef op zaterdag 24 maart 2018 @ 23:04:
Je telefoon bazuint zijn eigen hostnaam op het netwerk in de rondte. Aan de hand van het MAC-adres is de merk en het type netwerkchip te identificeren en daarmee weet je vaak ook min of meer welk type device het betreft. Als alle verbindingen daadwerkelijk HTTPS zijn dan weet je niet welke pagina er bezocht is maar je kun wel min of meer vaststellen welk domein er betreft. Zit je vaak op babushka-gils.ru dan is dat te zien via een reverse DNS lookup op het IP-adres van de bezochte webserver. Met gewone DNS lookups is het al helemaal simpel om te zien welke websites je telefoon opvraagt. Gebruik een goede VPN-tunnel naar huis of gebruik uitsluitend mobiel 4G.

Misschien dat je beter éérst 't al oude OSI model eens goed gaat bestuderen en daarna hier nog eens gaat (proberen) uit leggen waarom én HOE dat die telefoon vervolgens z'n (eigen) hostname 't netwerk op kan slingeren?

FrankHe schreef op zaterdag 24 maart 2018 @ 23:04:
Je telefoon bazuint zijn eigen hostnaam op het netwerk in de rondte. Aan de hand van het MAC-adres is de merk en het type netwerkchip te identificeren en daarmee weet je vaak ook min of meer welk type device het betreft. Als alle verbindingen daadwerkelijk HTTPS zijn dan weet je niet welke pagina er bezocht is maar je kun wel min of meer vaststellen welk domein er betreft. Zit je vaak op babushka-gils.ru dan is dat te zien via een reverse DNS lookup op het IP-adres van de bezochte webserver. Met gewone DNS lookups is het al helemaal simpel om te zien welke websites je telefoon opvraagt. Gebruik een goede VPN-tunnel naar huis of gebruik uitsluitend mobiel 4G.

Je kunt niet "min of meer vertellen welke website je telefoon opvraagt", je kunt dat met 100% zekerheid en als de beheerders hun vak een beetje verstaan, worden die gegevens ook voor kortere of langere tijd gelogd. (En waar nodig geanalyseerd. Het is niet voor niets dat wij heel nadrukkelijk aangeven dát we dat doen. Ik heb een netwerk te beschermen. Dat kan alleen door data te analyseren.)

Overigens heeft dat niets met reverse DNS te maken. Op het moment dat jij een lookup doet, of een website bezoekt, kan dat gelogd worden. Heb je de reverse niet voor nodig. Met https voorkom je enkel dat de inhoud ook gelogd kan worden.

@Verwijderd Wat is de reden van je vraag eigenlijk?

[ Voor 9% gewijzigd door unezra op 25-03-2018 08:11 ]

unezra schreef op zondag 25 maart 2018 @ 08:10:
[...]

Je kunt niet "min of meer vertellen welke website je telefoon opvraagt", je kunt dat met 100% zekerheid en als de beheerders hun vak een beetje verstaan, worden die gegevens ook voor kortere of langere tijd gelogd. (En waar nodig geanalyseerd. Het is niet voor niets dat wij heel nadrukkelijk aangeven dát we dat doen. Ik heb een netwerk te beschermen. Dat kan alleen door data te analyseren.)

Overigens heeft dat niets met reverse DNS te maken. Op het moment dat jij een lookup doet, of een website bezoekt, kan dat gelogd worden. Heb je de reverse niet voor nodig. Met https voorkom je enkel dat de inhoud ook gelogd kan worden.

@Verwijderd Wat is de reden van je vraag eigenlijk?

Stel mijn device heeft een actieve DNS cache, ik heb en specifieke website een half uur geleden bezocht via een mobiele 4G verbinding. Het device maakt verbinding met het WIFI netwerk van de zaak. Actie van de gebruiker, er wordt een HTTPS verbinding opgezet naar een domein waarvan de TTL nog niet is verlopen. Dan vindt er geen DNS lookup plaats via het WIFI netwerk waarmee ik op dat moment ben verbonden. Klopt het dat een reverse DNS lookup de enige manier is om te achterhalen welk domein er 'mogelijk' bezocht is?

De pagina's sowieso niet, want https. Maar het ip van de server komt gewoon voorbij in de logs.

Ik zou zeggen: installeer een VPN-client op je telefoon (dan is alles versleuteld, behalve het adres van je vpn-server), of gebruik de WiFi van je werk niet voor zaken waar je zo paranoia bent dat niemand het mag weten.

FrankHe schreef op zondag 25 maart 2018 @ 09:24:
[...]

Stel mijn device heeft een actieve DNS cache, ik heb en specifieke website een half uur geleden bezocht via een mobiele 4G verbinding. Het device maakt verbinding met het WIFI netwerk van de zaak. Actie van de gebruiker, er wordt een HTTPS verbinding opgezet naar een domein waarvan de TTL nog niet is verlopen. Dan vindt er geen DNS lookup plaats via het WIFI netwerk waarmee ik op dat moment ben verbonden. Klopt het dat een reverse DNS lookup de enige manier is om te achterhalen welk domein er 'mogelijk' bezocht is?

Dat je de hostname ziet heeft niets met dns te maken maar als onderdeel van https/ssl wordt de hostname in plain text meegestuurd.

Dus wat zie je als je bv naar monsterboard.nl/search/it gaat?

Https: monsterboard.nl:443
Http: http://monsterboard.nl/search/it

Elk pakketje over de firewall / router van diegene waar jij verbinding maakt met het netwerk is te inspecteren, HTTPS kan dan wel niet in het pakketje gekeken worden, maar wel Source en Destination.

Dus ja @Verwijderd je werkgever kan zien waar jij verbinding naartoe maakt als je via de WiFi internet.

Ga je over 4G internetten, zien ze dit niet, ben je daar klaar mee en je verbind weer naar de WiFi, zal de werkgever dit niet kunnen zien, tenzij je de browserpagina nog open hebt staat of iets in die richting.

Verder raadt ik je aan, als je dus schijnbaar zoekt naar een nieuwe baan, je ongenoegen gaat uiten naar je huidige werkgever (als je dit nog niet gedaan hebt) zodat je werkgever ook nog een kans kan krijgen zich als goed werkgever te gedragen. Op dit moment klinkt het eerder alsof je bij de AH werkt als vakkenvuller en bang bent dat ze ontdekken dat je naar de Jumbo wilt overstappen, in plaats van een volwassen zakelijke relatie te onderhouden met je huidige werkgever.

Monitoren is een ding gedetaileerd bekijken is iets anders, kost ook best tijd of je moet al onderwerp van onderzoek zijn. Met https zien ze nog steeds met wie je connect. Zou het echter als werkgever nooit gebruiken, kans dat de rechter je gelijk geeft is klein.

Verwijderd schreef op zondag 25 maart 2018 @ 11:18:
[...]


Als ik via 4G een website bezoek (incognito browser) ik sluit alles. Als ik daarna verbinding maak op wifi werkgever. Zijn de bezochte pagina's dan zichtbaar voor werkgever?

Als je je hier al zorgen om maakt, kan ik afraden om het te doen.
De kans is altijd aanwezig dat jouw telefoon inderdaad 'restjes' verbindingen opnieuw opzet.

Reptile209 schreef op zondag 25 maart 2018 @ 11:40:
De pagina's sowieso niet, want https. Maar het ip van de server komt gewoon voorbij in de logs.

Ik zou zeggen: installeer een VPN-client op je telefoon (dan is alles versleuteld, behalve het adres van je vpn-server), of gebruik de WiFi van je werk niet voor zaken waar je zo paranoia bent dat niemand het mag weten.

Dat laatste zou ik ook niet doen.
Leuk voor thuis of bij openbare netwerken, niet voor op kantoor.

Het kan zomaar zijn dat beheer op een VPN client vrij stevig reageert omdat monitoring van het verkeer onmogelijk word gemaakt terwijl zij dát nu net doen om te zorgen dat hun netwerk veilig blijft. (Ik ben er 1x per ongeluk tegenaan gelopen bij een routinecontrole van de firewall logs. Ben toen toch maar even met die persoon gaan praten dat dát echt niet de bedoeling is.)

unezra schreef op zaterdag 24 maart 2018 @ 17:23:
Overigens hebben wij voor privé gebruik een gastnetwerk, maar we geven wel heel duidelijk aan dat we dat netwerk mogen monitoren en de verkeerstromen mogen in zien. Connecten mensen met dat netwerk, gaan ze automatisch akkoord met die voorwaarden.

Niet goed genoeg. Je bent privacy gevoelige gegevens aan het verwerken, daar is "automatisch accoord" of "algemene voorwaarden" niet goed genoeg voor. Daarnaast moet je een data plan hebben. En vanaf 1 Juni een nog veel uitgebreider plan. Dit soort dingen mogen niet zomaar. Daar zijn, terecht, behoorlijk strenge regels aan verbonden.

Croga schreef op maandag 26 maart 2018 @ 07:18:
[...]
Niet goed genoeg. Je bent privacy gevoelige gegevens aan het verwerken, daar is "automatisch accoord" of "algemene voorwaarden" niet goed genoeg voor. Daarnaast moet je een data plan hebben. En vanaf 1 Juni een nog veel uitgebreider plan. Dit soort dingen mogen niet zomaar. Daar zijn, terecht, behoorlijk strenge regels aan verbonden.

Voor dat specifieke netwerk staan letterlijk de gebruiksvoorwaarden onder het SSID en de passphrase.
"Wil je gebruik maken van dit netwerk, dan zijn dit de voorwaarden."

Lijkt me voldoende. Het is niet verplicht of noodzakelijk om van dat netwerk gebruik te maken. Als mensen dat niet willen: 4G.

Het is ook niet zo dat je op die manier persoonsgegevens verwerkt. In principe is het zelfs alleen metadata die we op slaan. Los van dat, zolang diegene niet moedwillig persoonsgegevens door dat netwerk stuurt, gáán er niet eens persoonsgegevens doorheen.

unezra schreef op maandag 26 maart 2018 @ 07:22:
Voor dat specifieke netwerk staan letterlijk de gebruiksvoorwaarden onder het SSID en de passphrase.
"Wil je gebruik maken van dit netwerk, dan zijn dit de voorwaarden."
Lijkt me voldoende.

Nope. Jij moet kunnen bewijzen dat de gebruiker de voorwaarden gelezen en geaccepteerd heeft. Daarvoor is dit bij lange na niet genoeg. De enige waterdichte methode is de voorwaarden laten ondertekenen door de gebruiker. Doe je minder dan dat dan houdt het geen stand.

Het is ook niet zo dat je op die manier persoonsgegevens verwerkt. In principe is het zelfs alleen metadata die we op slaan. Los van dat, zolang diegene niet moedwillig persoonsgegevens door dat netwerk stuurt, gáán er niet eens persoonsgegevens doorheen.

IP adres is een persoonsgegeven. MAC adres nog sterker. Zodra jij metadata daar aan koppelt ben je persoonsgegevens aan het verwerken en moet je dus aan alle voorwaarden voldoen.

Croga schreef op maandag 26 maart 2018 @ 07:31:
[...]
Nope. Jij moet kunnen bewijzen dat de gebruiker de voorwaarden gelezen en geaccepteerd heeft. Daarvoor is dit bij lange na niet genoeg. De enige waterdichte methode is de voorwaarden laten ondertekenen door de gebruiker. Doe je minder dan dat dan houdt het geen stand.

Iemand mag 1x zeggen "ja, ik heb er niet voor getekend, dus ik ben er niet mee akkoord gegaan".
3x raden wat er daarna met dat gastnetwerk gebeurt...

Ik maak me daar dus echt geen zorgen om. Het staat echt met koeieletters op dat briefje en ik heb zo het vermoeden dat als ik dat briefje aan een rechter laat zien, dat die gebruiker niet aannemelijk gaat maken die voorwaarden niet gezien te hebben.

[...]
IP adres is een persoonsgegeven. MAC adres nog sterker. Zodra jij metadata daar aan koppelt ben je persoonsgegevens aan het verwerken en moet je dus aan alle voorwaarden voldoen.

Dat word nog leuk. Mogen opeens alle ISP's en álle beheerafdelingen aan die GDPR voldoen.
(Want geen netwerk of firewall beheerder zal zijn netwerk niet monitoren.)

Even wat aan het snuffelen:
https://louwersadvocaten....adres-is-persoonsgegeven/

Je hebt gelijk, maar de crux zit wel in het "zonder diens toestemming" en zolang je dat dus hebt afgedekt, zit je als beheerder of bedrijf goed.

unezra schreef op maandag 26 maart 2018 @ 07:40:
Dat word nog leuk. Mogen opeens alle ISP's en álle beheerafdelingen aan die GDPR voldoen.
(Want geen netwerk of firewall beheerder zal zijn netwerk niet monitoren.)

Dat *mogen* ze niet alleen, dat *moeten* ze.

Even wat aan het snuffelen:
https://louwersadvocaten....adres-is-persoonsgegeven/

Je hebt gelijk, maar de crux zit wel in het "zonder diens toestemming" en zolang je dat dus hebt afgedekt, zit je als beheerder of bedrijf goed.

Koel. En zoals al gezegd; die toestemming moet je expliciet kunnen bewijzen, wat jullie nu niet doen. Daarnaast staat er nog meer; zoals het melden voor welke doeleinden het gebeurt en het melden dat je dit doet, waarom, hoe en wat aan de APG.....

Het vergaand monitoren van een gast-netwerk of zelfs een eigen netwerk is straks aan heel veel regels gebonden. Je moet je als bedrijf dan ook afvragen met welk doel je nog wat doet, en verder je werknemers gewoon vertrouwen dat ze hun werk doen.

Frogmen schreef op maandag 26 maart 2018 @ 16:57:
Het vergaand monitoren van een gast-netwerk of zelfs een eigen netwerk is straks aan heel veel regels gebonden. Je moet je als bedrijf dan ook afvragen met welk doel je nog wat doet, en verder je werknemers gewoon vertrouwen dat ze hun werk doen.

In beide gevallen is het écht heel simpel: Bedrijfsbelang gaat voor.
Dus monitoren we het zo ver als dat wij nodig vinden om de integriteit van het netwerk te kunnen garanderen.

Het gaat me er niet om dat mensen hun werk niet doen, gegevens die we wel op slaan maar absoluut niets mee doen, zijn bijvoorbeeld gegevens over wie welke website wanneer bezoekt ténzij dat een website is die ons bedrijfsnetwerk in gevaar brengt of kan brengen.

Ofwel: Alle normale websites vinden we niets van en we geven de managers (inclusief directie) ook geen toegang tot die informatie. Zou iemand via ons bedrijfsnetwerk (gast of medewerkers) sites bezoeken die een gevaar kunnen vormen voor onze omgeving (of installeert iemand bijvoorbeeld een VPN), dan grijpen we wél in.

Het doel is niet mensen bespioneren, het doel is de integriteit van het netwerk bewaken. (Helaas moet je dus voor beide situaties exact dezelfde gegevens op slaan en analyseren. Het enige grote verschil is hoe je met die gegevens om gaat en wie er direct of indirect, toegang toe krijgt.)

In beide gevallen zijn mensen geïnformeerd. In geval van het gastnetwerk staat het er zo duidelijk onder dat ze niet weg komen met "ik wist het niet" of "ik wist het wel, maar ik ben niet akkoord gegaan". In geval van het bedrijfsnetwerk staat er volgens mij een regel in het personeelshandboek en/of hun contract. (Maar dát is aan het management. Gastnetwerk hebben we zelf op bovengenoemde manier netjes afgedicht, personeelsnetwerk is niet aan ons. Wij monitoren alleen waar nodig.)

unezra schreef op maandag 26 maart 2018 @ 18:50:
[...]


In beide gevallen is het écht heel simpel: Bedrijfsbelang gaat voor.
Dus monitoren we het zo ver als dat wij nodig vinden om de integriteit van het netwerk te kunnen garanderen.

Het gaat me er niet om dat mensen hun werk niet doen, gegevens die we wel op slaan maar absoluut niets mee doen, zijn bijvoorbeeld gegevens over wie welke website wanneer bezoekt ténzij dat een website is die ons bedrijfsnetwerk in gevaar brengt of kan brengen.

Ofwel: Alle normale websites vinden we niets van en we geven de managers (inclusief directie) ook geen toegang tot die informatie. Zou iemand via ons bedrijfsnetwerk (gast of medewerkers) sites bezoeken die een gevaar kunnen vormen voor onze omgeving (of installeert iemand bijvoorbeeld een VPN), dan grijpen we wél in.

Het doel is niet mensen bespioneren, het doel is de integriteit van het netwerk bewaken. (Helaas moet je dus voor beide situaties exact dezelfde gegevens op slaan en analyseren. Het enige grote verschil is hoe je met die gegevens om gaat en wie er direct of indirect, toegang toe krijgt.)

In beide gevallen zijn mensen geïnformeerd. In geval van het gastnetwerk staat het er zo duidelijk onder dat ze niet weg komen met "ik wist het niet" of "ik wist het wel, maar ik ben niet akkoord gegaan". In geval van het bedrijfsnetwerk staat er volgens mij een regel in het personeelshandboek en/of hun contract. (Maar dát is aan het management. Gastnetwerk hebben we zelf op bovengenoemde manier netjes afgedicht, personeelsnetwerk is niet aan ons. Wij monitoren alleen waar nodig.)

MAar is het daarvoor nodig om het verkeer te loggen? Of ga je het met handje door de urls heen om te kijken of er iets slechts tussen zat?

Ik quote even enkele stukken uit Factsheet draadloos internet aanbieden:

Een grote zorg van veel internetaanbieders is of zij aansprakelijk zijn voor illegale handelingen via de door hen geleverde internetverbinding. Gelukkig is daar een wettelijke regeling voor: wie slechts passief toegang tot internet biedt, en niet actief screent of ingrijpt in wat mensen wel of niet mogen doen, is niet aansprakelijk voor hun handelen.

De aanbieder van internettoegang kan alles monitoren en controleren. Dit levert echter een botsing op met de privacywetgeving. Persoonsgericht volgen of monitoren door een aanbieder is namelijk in beginsel een schending van de privacy van gebruikers. Deze privacy is een grondrecht, en mag alleen worden geschonden als daar een gegronde reden voor is. De Wet bescherming persoonsgegevens verbiedt het zomaar volgen of monitoren van personen, ook als ze uw internetverbinding gebruiken.

Wél altijd toegestaan is het geautomatiseerd filteren of blokkeren van websites of diensten. Zolang er geen mens meekijkt, kan er van privacyschending geen sprake zijn. Het is dus prima om bepaalde websites (met erotiek of illegale zaken) te blokkeren, of het versturen van e-mail sterk te beperken om misbruik te voorkomen. Dergelijk blokkeren is overigens geen ‘actief screenen’ zoals in de vorige paragraaf bedoeld. Een organisatie wordt dus niet aansprakelijk voor de niet-geblokkeerde websites.

Samengevat, het lijkt mij een stuk beter qua wetgeving maar ook efficiënter als je het niet meer gaat loggen maar van geautomatiseerde blokkades gebruik gaat maken. Als het goed is bereik je daarmee je doel en kan de logging uit, bespaar je jezelf een hoop GDPR/privacy ellende mee

laurens0619 schreef op maandag 26 maart 2018 @ 19:38:
[...]
Maar is het daarvoor nodig om het verkeer te loggen? Of ga je het met handje door de urls heen om te kijken of er iets slechts tussen zat.

Dan heb je ze toch al gelogd?

De enige andere optie is realtime het verkeer bekijken en dat is in sommige situaties nuttig, maar heb je in dit geval niet zo heel veel aan omdat je dan niet meer geconsolideerde data aan het bekijken bent.

In the end, als we het doen, kijken we in de firewall logs of er rare dingen tussen zitten. (Op het moment niet heel regelmatig maar als we redenen hebben om daar te kijken, doen we dat.)

Ik quote even enkele stukken uit Factsheet draadloos internet aanbieden:


[...]


[...]


[...]

Samengevat, het lijkt mij een stuk beter qua wetgeving maar ook efficiënter als je het niet meer gaat loggen maar van geautomatiseerde blokkades gebruik gaat maken. Als het goed is bereik je daarmee je doel en kan de logging uit, bespaar je jezelf een hoop GDPR/privacy ellende mee

Ben je een aanbieder als het in beginsel gaat om een bedrijfs netwerk dat enkel gebruikt word door collega's en externe bezoekers? :-)

Daarbij, ik kan misschien als ik monitor niet verantwoordelijk zijn voor de data, maar ze knippen wel mijn internet verbinding d'r af als een gebruiker raar doet. Dat is een bedrijfsrisico. (Want zonder internet verbinding hebben we een heel ander probleem.)

Natuurlijk voeden we óók de firewall op, 80% gebeurt geautomatiseerd maar dan zie ik nog steeds wat die firewall heeft tegen gehouden. (En dat word uiteraard gelogd.)

unezra schreef op maandag 26 maart 2018 @ 19:49:
[...]


Dan heb je ze toch al gelogd?

De enige andere optie is realtime het verkeer bekijken en dat is in sommige situaties nuttig, maar heb je in dit geval niet zo heel veel aan omdat je dan niet meer geconsolideerde data aan het bekijken bent.

In the end, als we het doen, kijken we in de firewall logs of er rare dingen tussen zitten. (Op het moment niet heel regelmatig maar als we redenen hebben om daar te kijken, doen we dat.)


[...]


Ben je een aanbieder als het in beginsel gaat om een bedrijfs netwerk dat enkel gebruikt word door collega's en externe bezoekers? :-)

Daarbij, ik kan misschien als ik monitor niet verantwoordelijk zijn voor de data, maar ze knippen wel mijn internet verbinding d'r af als een gebruiker raar doet. Dat is een bedrijfsrisico. (Want zonder internet verbinding hebben we een heel ander probleem.)

Natuurlijk voeden we óók de firewall op, 80% gebeurt geautomatiseerd maar dan zie ik nog steeds wat die firewall heeft tegen gehouden. (En dat word uiteraard gelogd.)

Realtime lijkt mij inderdaad niet erg praktisch, tegelijk maakt het ook geen verschil voor de wetgeving.

Ik begrijp echter nog steeds niet waarom de logging nodig is Wat kun jij met de hand zien in de logs wat niet tegengehouden had kunnen worden controls als (smtp) rate limiter, web category blocklist, ips, threatintel etc..?

Dat je logging doet op je bedrijfsnetwerk snap ik wel, je bent namelijk verantwoordelijk voor de assets die er gebruik van maken dus als daar malware op zit wil je dit kunnen opsporen of het verkeer gebruiken voor forensisch onderzoek. De assets op je gasten wifi heb je als het goed is niets mee doen.

Wanneer slechts passief toegang tot internet wordt gegeven, en niet actief wordt gescreend of wordt ingegrepen wat er wel of niet mag, dan is de aanbieder niet aansprakelijk voor hun handelen

Ik ben geen jurist dus weet niet of je nu goed/slecht zit maar als ik jou was zou ik het niet opzoeken als het niet nodig is. Door te loggen lijk je juist aansprakelijk als mensen narigheid via je gasten wifi veroorzaken.

Daarbij, ik kan misschien als ik monitor niet verantwoordelijk zijn voor de data, maar ze knippen wel mijn internet verbinding d'r af als een gebruiker raar doet. Dat is een bedrijfsrisico. (Want zonder internet verbinding hebben we een heel ander probleem.)

Ik neem aan dat je gasten wifi via een apart ip adres (of aparte verbinding) naar buiten gaat en je duidelijke afspraken met je ISP hebt dat ze niet zomaar je hoofdverbinding/ip adres gaan afsluiten?

[ Voor 19% gewijzigd door laurens0619 op 26-03-2018 20:23 ]

laurens0619 schreef op maandag 26 maart 2018 @ 20:13:
[...]

Realtime lijkt mij inderdaad niet erg praktisch, tegelijk maakt het ook geen verschil voor de wetgeving.

Ik begrijp echter nog steeds niet waarom de logging nodig is Wat kun jij met de hand zien in de logs wat niet tegengehouden had kunnen worden controls als (smtp) rate limiter, web category blocklist, ips, threatintel etc..?

Of daadwerkelijk zulke rules worden gehit en door wie. Maar sowieso, als er issues zijn en we verdenken iets op de firewall, zijn de firewall logs toch datgene dat we door gaan pluizen. Soms heb je dan bijvangst. (We zijn letterlijk een keer tegen proxy-evasion software aangelopen toen we op zoek waren naar heel iets anders. Toch maar wat mee gedaan, bijvangst of niet.)

Ook zijn er zat situaties waar je even in je logfiles wil kijken om te zien wat er gebeurt ("Website X doet het niet.") en ook dan heb je soms bijvangst maar "Website X doet het niet" is exact dezelfde informatie als "Persoon X is op website Y geweest". Kortom, je logt het tóch wel.

Dat je logging doet op je bedrijfsnetwerk snap ik wel, je bent namelijk verantwoordelijk voor de assets die er gebruik van maken dus als daar malware op zit wil je dit kunnen opsporen of het verkeer gebruiken voor forensisch onderzoek. De assets op je gasten wifi heb je als het goed is niets mee doen.

Dat gastennetwerk is net zo goed onderdeel van ons bedrijfsnetwerk als het medewerkers netwerk. Stel er gebeurt rottigheid op dat netwerk en onze ISP knipt om die reden die lijn er uit... Hebben we toch wat uit te leggen.

Loggen en analyseren we niét, kunnen we niet achterhalen wie er verantwoordelijk voor is geweest.

unezra schreef op maandag 26 maart 2018 @ 20:27:
[...]


Of daadwerkelijk zulke rules worden gehit en door wie. Maar sowieso, als er issues zijn en we verdenken iets op de firewall, zijn de firewall logs toch datgene dat we door gaan pluizen. Soms heb je dan bijvangst. (We zijn letterlijk een keer tegen proxy-evasion software aangelopen toen we op zoek waren naar heel iets anders. Toch maar wat mee gedaan, bijvangst of niet.)

Ook zijn er zat situaties waar je even in je logfiles wil kijken om te zien wat er gebeurt ("Website X doet het niet.") en ook dan heb je soms bijvangst maar "Website X doet het niet" is exact dezelfde informatie als "Persoon X is op website Y geweest". Kortom, je logt het tóch wel.


[...]


Dat gastennetwerk is net zo goed onderdeel van ons bedrijfsnetwerk als het medewerkers netwerk. Stel er gebeurt rottigheid op dat netwerk en onze ISP knipt om die reden die lijn er uit... Hebben we toch wat uit te leggen.

Loggen en analyseren we niét, kunnen we niet achterhalen wie er verantwoordelijk voor is geweest.

Sorry ik begrijp het nog steeds niet Proxy (en tor en vpn en bekende C&c urls) kun je prima geautomatiseerd tegenhouden en troubleshooten waarom een website niet werkt zou ik op een medewerkers doen, niet op een gastenwifi (en daarbij, komt het wel eens voor?)

Begrijp ik overigens goed dat je met het gastwifi direct op het medewerkers netwerk uitkomt? Dat lijkt mij ook niet bepaald veilig of bedoel je dat hij met hetzelfde adres het internet op gaat?

Indien het laatste: Pas daarmee op, ITers/developers hebben er vaak een handje van om authenticatie slechts op basis van een ip whitelist op te stellen. Iedereen van het gastenwifi kan dan dus ook bij die services. Ik begrijp dat niet iedere organisatie het geld heeft voor een multi-ip internet verbinding of een aparte gasten verbinding, maar maak dan gebruik van een vpn tunnel om de mensen vanaf een apart ip het internet op te laten gaan.

Dat gastennetwerk is net zo goed onderdeel van ons bedrijfsnetwerk als het medewerkers netwerk. Stel er gebeurt rottigheid op dat netwerk en onze ISP knipt om die reden die lijn er uit... Hebben we toch wat uit te leggen.

Loggen en analyseren we niét, kunnen we niet achterhalen wie er verantwoordelijk voor is geweest.

Misschien kom je na logging/analyseren er achteraf achter welk mac adres er verantwoordelijk voor was. Wat ga je ermee bereiken? Heeft de ISP nog steeds de lijn afgesloten en mag je waarschijnlijk uitleggen waarom je het misbruik niet had kunnen voorkomen

In je huidige netwerk setup snap ik dat je logging nodig hebt, ik ben alleen van mening door het anders/beter in te richten dat de noodzaakt vervalt.

Mrja we gaan zo wel erg offtopic Het is voor de TS denk ik inmiddels wel duidelijk wat er gelogd kan worden

[ Voor 14% gewijzigd door laurens0619 op 26-03-2018 20:44 ]

laurens0619 schreef op maandag 26 maart 2018 @ 20:35:
[...]
Sorry ik begrijp het nog steeds niet Proxy (en tor en vpn en bekende C&c urls) kun je prima geautomatiseerd tegenhouden en troubleshooten waarom een website niet werkt zou ik op een medewerkers doen, niet op een gastenwifi (en daarbij, komt het wel eens voor?)

Op het gastnetwerk kan het óók voorkomen. Daar is wat dat betreft niet echt onderscheid in.
Daarbij, als een medewerker op welk netwerk dan ook, tor, vpn of wat dan ook gebruikt of probeert te gebruiken wil ik dat weten. (Dus moet je het loggen.)

Begrijp ik overigens goed dat je met het gastwifi direct op het medewerkers netwerk uitkomt? Dat lijkt mij ook niet bepaald veilig of bedoel je dat hij met hetzelfde adres het internet op gaat?

Hij gaat via dezelfde lijn naar buiten als een ander netwerk.
Uiteraard zit dat hele gastnetwerk op een apart vlan en heeft het enkel via de firewall op heel specifieke poorten verbinding met ons netwerk. In principe is het een directe lijn naar buiten met een paar uitzonderingen.

Indien het laatste: Pas daarmee op, ITers/developers hebben er vaak een handje van om authenticatie slechts op basis van een ip whitelist op te stellen. Iedereen van het gastenwifi kan dan dus ook bij die services. Ik begrijp dat niet iedere organisatie het geld heeft voor een multi-ip internet verbinding of een aparte gasten verbinding, maar maak dan gebruik van een vpn tunnel om de mensen vanaf een apart ip het internet op te laten gaan.

Dat is bij ons wel goed geregeld. We hebben meerdere verbindingen en kunnen als het moet, verkeer over een andere verbinding sturen. Wil niet zeggen dat ik niet zuinig ben op de verbindingen die er liggen.

[...]
Misschien kom je na logging/analyseren er achteraf achter welk mac adres er verantwoordelijk voor was. Wat ga je ermee bereiken? Heeft de ISP nog steeds de lijn afgesloten en mag je waarschijnlijk uitleggen waarom je het misbruik niet had kunnen voorkomen

Klopt, maar dan kan ik ook de gebruiker er op aanspreken.
(En meteen van de gelegenheid gebruik maken de organisatie te vertellen wat er gebeurt is, zonder uiteraard de naam van de persoon te noemen. Daar gaat dan weer een preventieve werking van uit.)

In je huidige netwerk setup snap ik dat je logging nodig hebt, ik ben alleen van mening door het anders/beter in te richten dat de noodzaakt vervalt.

Dat denk ik dus niet. Je hebt altijd logging nodig, soms voor langere tijd, soms voor kortere tijd. Bottom line is dat er momenten zijn dat je als beheerder bij data kunt van je medewerkers. (Dat is dus ook waarom ik vind dat beheer een vertrouwenspositie is. Je hebt als beheerder te maken met privacy en bedrijfsgevoelige informatie. Dat is inherent aan je vak. Dus moet je daar op een fatsoenlijke manier mee om kunnen gaan. Afhankelijk van de grootte van de organisatie kun je óveral bij, of bij een deel, in any case heb je te maken met informatie die niet bij iedereen terecht hoeft te komen.)

Mrja we gaan zo wel erg offtopic Het is voor de TS denk ik inmiddels wel duidelijk wat er gelogd kan worden

Yep.
TS heeft hopelijk geleerd "ICT kan alles zien" maar ook "Daar komt de nodige ethiek, wet- en regelgeving bij kijken."

Helaas heeft TS niet verteld waarom 'ie dit wil weten...

...maar TS weet nu ook dat een mac-adres geen vast gegeven is en makkelijk gespoofed kan worden. Zodoende is de bewijslast dat een bepaald mac-adres op het bedrijfsnetwerk is geweest of bezocht geen sluitend bewijs.

[ Voor 9% gewijzigd door vj_slof op 26-03-2018 21:04 ]

unezra schreef op maandag 26 maart 2018 @ 20:54:
[...]


Dat denk ik dus niet. Je hebt altijd logging nodig, soms voor langere tijd, soms voor kortere tijd. Bottom line is dat er momenten zijn dat je als beheerder bij data kunt van je medewerkers. (Dat is dus ook waarom ik vind dat beheer een vertrouwenspositie is. Je hebt als beheerder te maken met privacy en bedrijfsgevoelige informatie. Dat is inherent aan je vak. Dus moet je daar op een fatsoenlijke manier mee om kunnen gaan. Afhankelijk van de grootte van de organisatie kun je óveral bij, of bij een deel, in any case heb je te maken met informatie die niet bij iedereen terecht hoeft te komen.)


[...]


Yep.
TS heeft hopelijk geleerd "ICT kan alles zien" maar ook "Daar komt de nodige ethiek, wet- en regelgeving bij kijken."

Nou als het dus met een aparte verbinding naar buiten gaat dan zou het vreemd zijn als de ISP je hoofd verbinding gaat dichtzetten
Je spreekt hier over medewerkers, als het goed is hebben die niets te zoeken op je gastenwifi.
Nja Agree to Disagree dan maar Ik ben altijd meer van de preventive controls en zet detective alleen in als het nodig is (legal/functioneel)

Helaas heeft TS niet verteld waarom 'ie dit wil weten...

Wat ik las is dat hij een nieuwe baan aan het zoeken is vanaf het gastenwifi van zijn huidige werkgever

laurens0619 schreef op maandag 26 maart 2018 @ 21:04:
[...]

Nou als het dus met een aparte verbinding naar buiten gaat dan zou het vreemd zijn als de ISP je hoofd verbinding gaat dichtzetten
Je spreekt hier over medewerkers, als het goed is hebben die niets te zoeken op je gastenwifi.
Nja Agree to Disagree dan maar Ik ben altijd meer van de preventive controls en zet detective alleen in als het nodig is (legal/functioneel)

Medewerkers mogen met hun privé spullen expliciet niet op het medewerkers netwerk. Om te voorkomen dat mensen dat tóch doen, hebben we een apart gastennetwerk waar medewerkers met hun privé spullen op mogen én dat gebruikt mag worden door bezoekers.

Natuurlijk zet die ISP de hoofdverbinding voor ons niet dicht, maar het is wel een verbinding waar meer overheen gaat dan alleen ons reguliere internet verkeer. Zonder details: Ik heb een uitdaging als die verbinding op slot gaat.

Qua hoe dit op te lossen, ik combineer graag voorlichting, preventive controls én detectie. Voorlichting is nummer 1, daarnaast zet je de boel op slot, maar als laatste controleer ik wel graag of de boel wel goed op slot zit en wie probeert alsnog dat slot open te breken.

[...]
Wat ik las is dat hij een nieuwe baan aan het zoeken is vanaf het gastenwifi van zijn huidige werkgever

Ah.
Nja, dan is het heel simpel. Ze kunnen het waarschijnlijk zien, maar de kans is klein dat ze net dát zien in alle verkeersstromen (of het moet bijvangst zijn) en een béétje beheerder doet met zulke informatie niets.

(Als hier zoiets zou gebeuren zou ik werkelijk helemaal NIETS met die informatie doen. Vind dat ik dat ook niet mag. Het brengt ons netwerk niet in gevaar, dus heb ik de informatie verder te negeren. Als een manager d'r naar zou vragen zou ik ook antwoorden dat dat geen informatie is waar de manager recht op heeft en dat diegene maar aan die persoon zelf moet vragen of 'ie op zoek is naar ander werk of niet. Dat is een stukje ethiek waar ik enorm veel waarde aan hecht en die voor mij nog boven welke wet dan ook staat. Als ik het niet ethisch vind doe ik het niet, ook al zou een wet het toe staan. Vaak is een wet alleen wel handig om op een bepaalde manier met data om te gaan. "Het mag niet volgens de wet." doet het vaak wat beter bij het management dan "Ik vind het niet ethisch.")

Zijn we toch weer een beetje terug bij de TS.

unezra schreef op maandag 26 maart 2018 @ 21:12:


Qua hoe dit op te lossen, ik combineer graag voorlichting, preventive controls én detectie. Voorlichting is nummer 1, daarnaast zet je de boel op slot, maar als laatste controleer ik wel graag of de boel wel goed op slot zit en wie probeert alsnog dat slot open te breken.

Het liefste installeer ik bij iedereen een root certificaat + proxy agent + authenticatie voordat ze op het netwerk mogen. Ik chargeer natuurlijk maar IT/security is maar 1 element, privacy wetgeving is er ook 1 (naast vele andere). Met logging op een gastenwifi loop je een verhoogd risico op aansprakelijkheid als bv een gast van kinderporno gebruik maakt, heb je management ook daarvan op de hoogte gebracht? Als je dat goed uitlegt van tevoren dan komen ze waarsch ook niet met het vingertje bij een storing.

Daarbij om te testen of je preventive controls goed werken kun je beter een external security bedrijf vragen betalen om een red teaming/pentest opdracht uit te voeren, levert erg veel nuttige inzichten op kan ik je zeggen

[ Voor 4% gewijzigd door laurens0619 op 26-03-2018 21:50 ]

laurens0619 schreef op maandag 26 maart 2018 @ 21:49:
[...]
Het liefste installeer ik bij iedereen een root certificaat + proxy agent + authenticatie voordat ze op het netwerk mogen. Ik chargeer natuurlijk maar IT/security is maar 1 element, privacy wetgeving is er ook 1 (naast vele andere). Met logging op een gastenwifi loop je een verhoogd risico op aansprakelijkheid als bv een gast van kinderporno gebruik maakt, heb je management ook daarvan op de hoogte gebracht? Als je dat goed uitlegt van tevoren dan komen ze waarsch ook niet met het vingertje bij een storing.

Ik ken mijn werkgever inmiddels een beetje.
We houden het voorlopig bij dat briefje en de manier waarop wij hebben bedacht hoe we het beste met logging om kunnen gaan.

Daarbij om te testen of je preventive controls goed werken kun je beter een external security bedrijf vragen betalen om een red teaming/pentest opdracht uit te voeren, levert erg veel nuttige inzichten op kan ik je zeggen

Staat al 2, 3 jaar op het verlanglijstje maar iets met budget...

unezra schreef op maandag 26 maart 2018 @ 18:50:
[...]


In beide gevallen is het écht heel simpel: Bedrijfsbelang gaat voor.
Dus monitoren we het zo ver als dat wij nodig vinden om de integriteit van het netwerk te kunnen garanderen.

Het gaat me er niet om dat mensen hun werk niet doen, gegevens die we wel op slaan maar absoluut niets mee doen, zijn bijvoorbeeld gegevens over wie welke website wanneer bezoekt ténzij dat een website is die ons bedrijfsnetwerk in gevaar brengt of kan brengen.

Ofwel: Alle normale websites vinden we niets van en we geven de managers (inclusief directie) ook geen toegang tot die informatie. Zou iemand via ons bedrijfsnetwerk (gast of medewerkers) sites bezoeken die een gevaar kunnen vormen voor onze omgeving (of installeert iemand bijvoorbeeld een VPN), dan grijpen we wél in.

Het doel is niet mensen bespioneren, het doel is de integriteit van het netwerk bewaken. (Helaas moet je dus voor beide situaties exact dezelfde gegevens op slaan en analyseren. Het enige grote verschil is hoe je met die gegevens om gaat en wie er direct of indirect, toegang toe krijgt.)

In beide gevallen zijn mensen geïnformeerd. In geval van het gastnetwerk staat het er zo duidelijk onder dat ze niet weg komen met "ik wist het niet" of "ik wist het wel, maar ik ben niet akkoord gegaan". In geval van het bedrijfsnetwerk staat er volgens mij een regel in het personeelshandboek en/of hun contract. (Maar dát is aan het management. Gastnetwerk hebben we zelf op bovengenoemde manier netjes afgedicht, personeelsnetwerk is niet aan ons. Wij monitoren alleen waar nodig.)

Dat je het doet is een ding waar jen vooral hoe je het gebruikt is iets anders en dat is waar het om gaat. In de logs van de meeste webservers zie je ook alle IP adressen. Zolang die voor incident bestrijding en controlle worden gebruikt hoor je er niemand over. Als je die logs inzet voor marketing wordt het een ander verhaal. In het verleden was ik verantwoordelijk voor toegangscontrole kreeg wel eens de vraag voor een uitdraai ter controlle van werktijden. Die mocht ik niet geven, waren afspraken over met de OR. Ik keek dan wel altijd even en gaf dan aan of een vermoeden gegrond of ongegrond was.

Frogmen schreef op dinsdag 27 maart 2018 @ 08:11:
[...]
Dat je het doet is een ding waar jen vooral hoe je het gebruikt is iets anders en dat is waar het om gaat. In de logs van de meeste webservers zie je ook alle IP adressen. Zolang die voor incident bestrijding en controlle worden gebruikt hoor je er niemand over. Als je die logs inzet voor marketing wordt het een ander verhaal. In het verleden was ik verantwoordelijk voor toegangscontrole kreeg wel eens de vraag voor een uitdraai ter controlle van werktijden. Die mocht ik niet geven, waren afspraken over met de OR. Ik keek dan wel altijd even en gaf dan aan of een vermoeden gegrond of ongegrond was.

Precies dat, maar het is wel zo dat dus de wet haaks kan staan op andere verantwoordelijkheden.
Ik ben verantwoordelijk voor mijn netwerk. Om dat goed te doen, moet ik bepaalde gegevens loggen, analyseren, etc. (Dus ook wie welke website bezoekt.) Aan de andere kant: Privacy. Ik heb er niets van te vinden als iemand de hele dag op YouTube zit *tenzij* dat negatieve invloed heeft op de infra.

Zolang iets geen negatieve technische invloed heeft / gevaar oplevert / keihard tegen de bedrijfspolicies is, doe ik niets met die gegevens. Wat ik ook zie. Ook richting managers en directie is het antwoord dan "ja, ik heb die gegevens, ja, ik kan het inzien, nee, ik zeg er ook tegen jou helemaal niets over". We gaan daarin denk ik heel ver en zijn daarin heel streng. Het is zelfs een van de selectievragen geweest in mijn sollicitatieprocedures. (Ik heb 2x een collega mogen aannemen, in beide gevallen gingen een aantal vragen over hoe ze om zouden gaan met een boze manager of directeur die per-sé specifieke gegevens wilde inzien.)

Met toegangscontrole doen we het vergelijkbaar met hoe jij het deed én we geven aan dat omdat mensen kunnen en mogen tailgaten (we hebben geen sluis), er een mate van onzekerheid is.

Gegevens gebruiken voor iets anders dan je systeem- en netwerk integriteit of bedrijfsbeleid is uiteraard een absolute NOGO. Een sysadmin die die regels buigt, zou van mij direct naar huis mogen.