Beveiliging internet via werklijn

Zeer magere post, kun je hardwarematig een schets maken?
Wat voor apparatuur gebruik jij?
Mag je dit überhaupt wel doen volgens de bedrijfspolicies?

In principe kun je het verkeer routeren door een VPN welke een exitpoint heeft buiten het bedrijfsnetwerk, dan weet je redelijk zeker.
Maar als IT'er zouden mijn nekharen overeind gaan staan als iemand dit in 'mijn' werknetwerk zou willen of proberen.

borgoe72 schreef op maandag 27 augustus 2018 @ 14:55:
Ik heb een hele basale vraag.

Pfff, ik heb wel meer hele basale vragen:
- Waarom zou je het in godesnaam willen scheiden, wat verdraagt het daglicht niet?
- Wat zei IT / netwerkbeheer toen je met die vraag naar hen toe ging? Met een goed onderbouwd antwoord op de eerste vraag hierboven zullen ze je een antwoord geven

Ik heb een beetje de indruk dat je niet zo goed weet wat je wil en waarom je dat wilt. *En* dat je niet zoveel kennis van IT hebt, anders zou je de vraag hier niet zo stellen. Klinkt mij als een redelijk gevaarlijke combinatie. Maar goed, ook mijn haren staan overeind, samen met die van @True

Bedoel je dat je een stuk ruimte huurt in een groot bedrijfspand waar jij met je afdeling zit?
Je zou dan een router/firewall kunnen plaatsen of iets dergelijks.

PAT router met VPN naar VPN provider, niets meer niets minder

borgoe72 schreef op maandag 27 augustus 2018 @ 14:55:
Mijn vraag

Ik heb een hele basale vraag.
Binnen een grotere werkomgeving run ik een eigen afdeling. Internet wordt aangeboden vanuit de geotere omgeving middels een signaal op een pachpoort. Dit signaal wil ik verdelen binnen mijn eigen afdeling maar wel zoveel mogelijk afschermen.

Dus liefst dat aanbieder van internet uit grotere omgeving niet mee kan lezen en meekrijgt wat er achter de kabel met internetsignaal gebeurd. Dus ook gebruikers en mac ed afschermen.

Ben in al voldoende geholpen door er een router tussen te zetten?


Relevante software en hardware die ik gebruik
...

Wat ik al gevonden of geprobeerd heb
...

Ik zou dit verzoek gewoon eens bij jullie bedrijf neer leggen. Als jij hier requirements voor hebt moet hiervoor wel iets te regelen zijn. Wat mede in de security guidelines valt van het het bedrijf.

Ik zou zeker niet zelf maar even iets gaan doen. Wordt bij bedrijven niet gewaardeerd kan je zeggen.

Daarom nee... Ik zou niet zomaar even een router plaatsten. Ik zou gewoon eens met de IT afdeling gaan praten.

SniperGuy schreef op maandag 27 augustus 2018 @ 15:08:
PAT router met VPN naar VPN provider, niets meer niets minder

En daarna meteen even langs HRM lopen om spullen in te leveren?

[ Voor 9% gewijzigd door Rolfie op 27-08-2018 15:13 ]

Ligt eraan wat er in de netwerk policy staat
Aangezien er over een dergelijke policy hier niet over gerept wordt en slechts wordt gesproken over "internet wordt aangeboden" gaan we er totdat hier duidelijkheid over is even vanuit dat er geen regels zijn

[ Voor 69% gewijzigd door SniperGuy op 27-08-2018 15:22 ]

Dus je managed een eigen afdeling binnen een grote werkgever en je wilt niet dat IT (?) meekijkt op het netwerk... Wat denk je zelf? Leg je verhaal (sterk beargumenteerd) voor aan de IT afdeling en waarschijnlijk krijg je alsnog nee.

Mogelijk dat dan zelfs verbindingen richting een server die je nodig hebt naar bestanden / applicaties enz. niet eens meer werken als je eigen apparatuur neerzet.

borgoe72 schreef op maandag 27 augustus 2018 @ 15:37:
Dank voor de reacties.
Het is allemaal veel minder schimmig dan ik blijkbaar heb doen voorkomen. Het enige wat ik wil is herverdeling van jet internetsignaal naar een aantal clients binnen mijn afdeling. Deze bedrijfsinfo wil ik wat afschermen om te voorkomen dat derden er mee aan de haal gaan (commercieel belang). En idd ik ben geen it’er wat ik ook niet pretendeer. Hoop alleen te leren van andere kennis.

Normaal gesproken, is het netwerk verkeer binnen je bedrijf vertrouwd. Binnen de IT zijn ook diverse afdelingen. Zo heeft een werkplekbeheerder en helpdesk medewerkers maar alleen rechten die zij echt nodig hebben. Ook is het zo dat sales afdeling andere rechten hebben dan de comunicatie en marketing afdeling.

Al zouden deze 2 afdelingen wel gemeenschapelijke rechten hebben ze zullen vaak wel van elkaar afgeschermd worden.

Daarnaast zijn er vaak geheimhoudings verklaringen, waardoor het angstig afschermen van alles niet noodzakelijk is. Andere gebruikers dan jouw afdelling kunnen immers niet bij jouw aparte shares.

Ja System Admins zouden daar wel bij kunnen, echter zie geheimhoudings verklaringen.

Hier vallen wij als (fysieke) beveiliging onder een grotere organisatie.
Ons werk bestaat uit 80% 'internet' communicatie ( mail, offertes, risicoassesments en planning )
In het ergste geval zou het moederbedrijf kunnen 'meelezen'
Maar omdat daar een AVG tussenzit ( wat deel je met wie ) is dat afgeschermd.

Het is de vraag hoe 'fout' het bedrijf wil zijn om aan die data te komen.

Wij hebben hier 2 aparte (internet) netwerken, beiden geregeld door het moederbedrijf, één zakelijk, waar alle bedrijfsprocessen over lopen, en een vrij toegankelijk (passworded ) wifi, welke via een glasverbinding over alle vestigingen dezelfde is.
Ik kan devices 'zien' die 200km verderop delen, wat ik op het andere niet kan inzien ( zonder adminrechten )

Ik mag hier op de zakelijke verbinding dan ook geen VPN opzetten naar buiten, op de public heb ik daar niets van teruggezien, al zijn de gangbare poorten wel afgeschermd.
Met wat moeite kan ik het wel, maar ik denk dat mijn collega's hier al stranden.
Dus eerder lastig gemaakt, dan verboden.

borgoe72 schreef op maandag 27 augustus 2018 @ 15:37:
Het enige wat ik wil is herverdeling van jet internetsignaal naar een aantal clients binnen mijn afdeling. Deze bedrijfsinfo wil ik wat afschermen om te voorkomen dat derden er mee aan de haal gaan.

Ik zou daar dan professionele hulp bij halen. Hoe goed bedoeld alle adviezen zijn, zonder een compleet plaatje is daar gewoon geen goed antwoord op te geven.

Ik kan wel een heel basaal antwoord geven: je kunt er gewoon een switch achter plaatsen.
Als jouw medewerkers privacy- of bedrijfsgevoelige informatie versturen of ontvangen, moeten ze dat sowieso ge-encrypt doen ongeacht of je de partij die de aansluiting regelt, nou wel of niet vertrouwt

Brahiewahiewa schreef op maandag 27 augustus 2018 @ 19:30:
Ik kan wel een heel basaal antwoord geven: je kunt er gewoon een switch achter plaatsen.
Als jouw medewerkers privacy- of bedrijfsgevoelige informatie versturen of ontvangen, moeten ze dat sowieso ge-encrypt doen ongeacht of je de partij die de aansluiting regelt, nou wel of niet vertrouwt

Dat zal ook niet altijd gaan. Switches die wij plaatsen. Worden voorzien van port Security. Als op de ARP meerdere Mac adressen worden gezien op het oortje klapt bij mij gewoon de port dicht.

Ik zou gewoon in overleg gaan met je Security afdeling en iT afdeling. Zij kunnen je helpen een juiste configuratie te plaatsen. 1 die zowel secure is als supporter en gegarandeerd werkt.

To_Tall schreef op dinsdag 28 augustus 2018 @ 12:53:
[...]

Dat zal ook niet altijd gaan...

't Ging niet zozeer om de vraag of het technisch mogelijk is om überhaupt iets aan te sluiten.
Het gaat er om dat als er een werkend iets is aangesloten, de eindgebruikers verantwoordelijk zijn voor afdoende geheimhouding. In het traject van de eindgebruiker naar een willekeurige server zijn er - naast de partij die de poort aanbiedt - veel meer partijen die "inzicht" kunnen hebben