Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Pulse secure

25-05-2023, 12:05 door Anoniem, 13 reacties
Wij maken gebruik van BYOD (bring your own device) maar om gebruik te maken van de kantoorautomatesering moeten wij via pulse secure verbinden met de VPN van het bedrijf en inloggen met onze persoonlijke credentails. Kan mijn werkgever volgen waar ik naar surf en wat ik op internet doe?
Reacties (13)
25-05-2023, 12:25 door Anoniem
Door Anoniem: Wij maken gebruik van BYOD (bring your own device) maar om gebruik te maken van de kantoorautomatesering moeten wij via pulse secure verbinden met de VPN van het bedrijf en inloggen met onze persoonlijke credentails. Kan mijn werkgever volgen waar ik naar surf en wat ik op internet doe?

"hangt ervan af" (namelijk of al je verkeer via de infrastructuur van je werkgever loopt) , of dat je internet verkeer "rechtstreeks" gaat en alleen bedrijfsverkeer via het VPN .

Maar desondanks - ga er maar vanuit dat in deze situatie je werkgever - in elk geval zolang je VPN verbinding actief staat - al je verkeer kan zien .

Ze mogen niet "zomaar" kijken/onderzoeken, maar als je alarmen laat afgaan (vanwege bezoek van sites die op de een of andere filter/alarm lijst staan ) zal daar wel naar gekeken worden.

Kortom - doe geen rare/prive dingen terwijl je aan je werk-VPN hangt.

En ook al is het YOD - vernaggel het niet met rare meuk wanneer je het óók gebruikt voor je werk.
Ik zou echt niet blij zijn als ik moet invallen/overnemen voor een lul van een collega die weer z'n "werk" device onbruikbaar gemaakt heeft met gehannes, rare shit software, of dat schattige kindje dat overal op klikte bij een spelletje terwijl papa niet keek. Sommige pech kun je echt wel voorkomen.
25-05-2023, 13:29 door Anoniem
Door Anoniem:
En ook al is het YOD - vernaggel het niet met rare meuk wanneer je het óók gebruikt voor je werk.
Ik zou echt niet blij zijn als ik moet invallen/overnemen voor een lul van een collega die weer z'n "werk" device onbruikbaar gemaakt heeft met gehannes, rare shit software, of dat schattige kindje dat overal op klikte bij een spelletje terwijl papa niet keek. Sommige pech kun je echt wel voorkomen.

Je zou toch hopen dat als een werkgever met BYOD werkt, hij zorgt dat ie niet zo afhankelijk is van wat er op YOD
gebeurt. BIjvoorbeeld door gebruik van Citrix of Terminal Server voor het runnen van de applicaties.
25-05-2023, 15:56 door Anoniem
Voor de werkgever zelf zelden het geval maar wel via aangesteld personeel onder de werkgever.
Een IT afdeling die het in beheer genomen netwerk niet monitored doet simpel weg zijn werk niet.

Hoever die controle gaat ligt aan hoe geavanceerd de infrastructuur is hoe waardevol de data is waar mee gewerkt wordt en meestal de bedrijfs groote. Een IT afdeling binnen een MKB zal over het algemeen veel minder middelen en tijd hebben om op bepaalde zaken te scannen nog belangrijk te vinden maar een enterprise omgeving is het niet raar om een 24/7 Security Operations Center (SOC) met Security Information and Event Management (SIEM) te hebben waar live verkeer gemonitored wordt en er een zerotolerancebeleid in effect is.

Je hebt recht op privacy maar die is niet absoluut als jij of enig door jou in bezit middel een gevaar vormt voor de bedrijfs infrastructuur de gebruikers en de continuiteit kun je tijdelijk je privacy gedag zeggen.

Bottomline houd je aan de afspraken tijdens werktijd, op bedrijfsgrond en tijdens connectie met bedrijfs infra. Log uit van enige bedrijfs applicatie na je werkdag erop zit.
25-05-2023, 16:36 door Anoniem
Door Anoniem:
Door Anoniem:
En ook al is het YOD - vernaggel het niet met rare meuk wanneer je het óók gebruikt voor je werk.
Ik zou echt niet blij zijn als ik moet invallen/overnemen voor een lul van een collega die weer z'n "werk" device onbruikbaar gemaakt heeft met gehannes, rare shit software, of dat schattige kindje dat overal op klikte bij een spelletje terwijl papa niet keek. Sommige pech kun je echt wel voorkomen.

Je zou toch hopen dat als een werkgever met BYOD werkt, hij zorgt dat ie niet zo afhankelijk is van wat er op YOD
gebeurt. BIjvoorbeeld door gebruik van Citrix of Terminal Server voor het runnen van de applicaties.

Zulke hoop wordt nog wel eens teleurgesteld .
Hier is in elk geval sprake van een Pulse Secure VPN - niet van "Citrix client" , dus dat suggereert dat het een thick client is.
25-05-2023, 18:38 door Anoniem
Door Anoniem:
Door Anoniem:
Je zou toch hopen dat als een werkgever met BYOD werkt, hij zorgt dat ie niet zo afhankelijk is van wat er op YOD
gebeurt. BIjvoorbeeld door gebruik van Citrix of Terminal Server voor het runnen van de applicaties.

Zulke hoop wordt nog wel eens teleurgesteld .
Hier is in elk geval sprake van een Pulse Secure VPN - niet van "Citrix client" , dus dat suggereert dat het een thick client is.

Nouja je zou nog kunnen hopen dat die Pulse Secure VPN er neergezet is als beveiliging voor de Citrix of Terminal Server
tegen loginpogingen vanaf het wilde internet. Zeg maar als alternatief voor Citrix Gateway of RD Connection Broker.

Een BYOD Windows omgeving zonder zo iets lijkt me een nachtmerrie zonder einde... al die thuisgebruikers die zelf
software moeten installeren, uptodate houden, configureren, etc. Hoe moet dat werken in een omgeving zoals zoveel
mensen die hier schetsen: "ik kan niet van Windows af want al die specifieke software is er niet voor Linux"? Ok dat
zou kunnen maar daar hoort dan wel het installeren van al die specifieke software op elk Windows device bij, behalve
als je iets als Citrix, Remote Desktop, of Azure Virtual Desktop gebruikt... en die laatste is het kennelijk niet want dan
zou Pulse Secure vast niet in de picture zijn (kan vast wel, maar wie doet dat?)...
25-05-2023, 20:47 door Anoniem
Even met de aanname dat het geen "split tunnel" is, en je dus in je browser ook ineens op het intranet kunt; het ligt er heel erg aan of jij nog iets in de browser hebt aangepast.

Bekijk het certificaat van websites eens (bij banken staan de fingerprints vaak op de site, die kun je dan makkelijk vergelijken): is die fingerprint echt dezelfde als die je ziet in jouw browser? En is het 'root' certificaat van grote partijen (dus niet van iets wat met je werk te doen heeft)*? Dan ziet je werkgever het verkeer wel, maar kan niet de inhoud zien. Ze zien wel dat je dus naar deze site gaat, maar niet wat je hier doet (zolang het over HTTPS verloopt).

*) lees verder op https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-tls-interceptie
26-05-2023, 03:54 door Anoniem
Door Anoniem: Even met de aanname dat het geen "split tunnel" is, en je dus in je browser ook ineens op het intranet kunt; het ligt er heel erg aan of jij nog iets in de browser hebt aangepast.

Bekijk het certificaat van websites eens (bij banken staan de fingerprints vaak op de site, die kun je dan makkelijk vergelijken): is die fingerprint echt dezelfde als die je ziet in jouw browser? En is het 'root' certificaat van grote partijen (dus niet van iets wat met je werk te doen heeft)*? Dan ziet je werkgever het verkeer wel, maar kan niet de inhoud zien. Ze zien wel dat je dus naar deze site gaat, maar niet wat je hier doet (zolang het over HTTPS verloopt).

*) lees verder op https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-tls-interceptie
Hou er rekening mee dat ze naast de VPN ook mogelijk een Endpoint protection hebben kunnen geimplementeerd voor er connectie gelegd uberhaubt mag worden en in dat geval is het mogelijk dat er ingehaakt wordt op de local system event logs. Als het enkel de VPN client is dan is de exacte inhoud inderdaad niet in te zien maar als er een agent script op de achtergrond runt is die garantie niet te geven.

Dat ze het kunnen wil natuurlijk niet zeggen dat ze het ook echt bekijken. Om even een voorbeeld te geven onze Endpoint protection kan software installaties en updates afdwingen voor er connectie gelegd mag worden naar ons bedrijfs netwerk door clients.

Daarvoor haakt het dus ook in als een remote admin acccount op BYOD apparatuur en technisch zouden we alles kunnen doen maar in de praktijk zit er een policy bij de uitvoer kant op om bijvoorbeeld remote access niet te kunnen starten zonder dat dit appart gelogd weer wordt naar een supervisor. En zo zijn er hele secties afgeschermd. Dat houdt in dat je als beheerder aansprakelijk bent voor de acties die je uitvoert op andermans apparatuur daarnaast zijn we verplicht de gebruiker hiervan op de hoogte te stellen en enige toestemming om connectie te maken wordt ook telefonisch vastgelegd en gekoppeld als audio bestand bij de incident rapportage.

Ik adviseer om gewoon de IT afdeling bij je bedrijf te vragen wat het doet wat voor privacy je kan verwachten met de connectie. Dat is een doodnormale vraag om te ontvangen van een eindgebruiker als ze een beetje voorbereid zijn hebben ze er een KB item van om te delen. En zo niet dan vinden ze het vast geen punt om een samenvatting te geven.
26-05-2023, 11:35 door Anoniem
Door Anoniem: .....verbinden met de VPN van het bedrijf en inloggen met onze persoonlijke credentails....

Sorry? Met je persoonlijke credentials????? Ik mag hopen dat je 'zakelijke credentials' bedoeld.
26-05-2023, 13:15 door Anoniem
Door Anoniem:
Door Anoniem: .....verbinden met de VPN van het bedrijf en inloggen met onze persoonlijke credentails....

Sorry? Met je persoonlijke credentials????? Ik mag hopen dat je 'zakelijke credentials' bedoeld.

Hij bedoelt denk ik "niet met shared credentials" als contrast , ipv prive-zakelijk contrast.
29-05-2023, 11:23 door Anoniem
Gewoon dual boot maken. Perfect om zakelijk en prive gescheiden te houden. Tenzij je natuurlijk iemand bent die in de baas zijn tijd prive dingen doet.
30-05-2023, 10:21 door Anoniem
Door Anoniem: Gewoon dual boot maken. Perfect om zakelijk en prive gescheiden te houden. Tenzij je natuurlijk iemand bent die in de baas zijn tijd prive dingen doet.
Ik vraag me af of dat tegenwoordig nog werkt, heeft iemand daar ervaring mee?
Ik bedoel dan niet dual boot tussen Windows en Linux, dat werkt wel ja.
Maar wat gebeurt er op een Windows 11 systeem met alle toeters en bellen ingeschakeld (Bitlocker, TPM) als je dat
dual-boot maakt? Kun je dan twee onafhankelijke Windows 11 instances hebben die mekaar niet in de weg zitten, en
snapt de TPM chip dat? (dwz houdt ie de keys van die twee versies keurig apart terwijl ze onderling niet weten van
elkaars bestaan)
Zou best kunnen dat het allemaal gewoon werkt hoor, ik ben gewoon benieuwd...
(maar niet benieuwd genoeg om het zelf te gaan testen)
31-05-2023, 13:39 door Anoniem
Het ligt volledig aan de inrichting van de VPN instelling van je werkgever.
In vele gevallen bij een BYOD-Implementatie, worden alleen de applicaties die over een beveiligde /afgeschermde verbinding moeten lopen over de VPN 'getrokken'.
Al het andere 'Consumenten' verkeer gaat vrij-uit het internet op via jou Telecom of internet provider.

Als je werkgever het 'vreemd' heeft ingericht, krijgt hij al het verkeer van je telefoon langs in het datacenter maar moet er veel gebeuren voordat hij dat 'zomaar' kan lezen. Technisch wil je dat ook niet. Daarvoor zijn slimmere oplossingen.
31-05-2023, 20:45 door Anoniem
Door Anoniem: Het ligt volledig aan de inrichting van de VPN instelling van je werkgever.
In vele gevallen bij een BYOD-Implementatie, worden alleen de applicaties die over een beveiligde /afgeschermde verbinding moeten lopen over de VPN 'getrokken'.
Al het andere 'Consumenten' verkeer gaat vrij-uit het internet op via jou Telecom of internet provider.

Als je werkgever het 'vreemd' heeft ingericht, krijgt hij al het verkeer van je telefoon langs in het datacenter maar moet er veel gebeuren voordat hij dat 'zomaar' kan lezen. Technisch wil je dat ook niet. Daarvoor zijn slimmere oplossingen.

Wat jij ‘vreemd’ noemt is best practice en staat in ongeveer alle standaarden gedefinieerd. Split tunnels zijn een security risico.

Dual boot gaat ook wel ver je kan gewoon een VM maken en de Pulse Client daarbinnen installeren.

Als je wil zien of je verkeer via de VPN loopt moet je een trace uitvoeren naar een publiek domein. Dus bv nu.nl.
Via de command prompt / terminal.
Windows: tracert nu.nl
MacOs: traceroute nu.nl

Als het eerste IP in de lijst 10.200.200.200 is loopt je internet verkeer via de Pulse VPN.
Als je alleen het IP van je router ziet en dan allemaal publieke IP adressen staat split tunnel geconfigureerd en loopt je internet verkeer niet via je werkgever.

Waarschijnlijk krijg je in dat laatste geval nog wel steeds een DNS server van het bedrijfsnetwerk. Je DNS verzoeken zijn dat wel bekend.

Beste dus Virtuele Machine instaleren en daarin je pulse client en kantoor werk doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.