Internet na lokálním PC a firemní VPN

crown

  • ****
  • 390
    • Zobrazit profil
Re:Internet na lokálním PC a firemní VPN
« Odpověď #15 kdy: 27. 04. 2023, 13:06:57 »
Nejjednodussi je, zapnout si dva pocitace - jeden na pracovni veci a druhy na soukromy internet (youtube a podobne).
Ostatne na RDP do prace by melo v pohode stacit i raspberry pi nebo nejaka stara plecka. Jen to zobrazuje vzdalenou plochu a vse se pocita na vzdalenem pocitaci.



jjrsk

  • *****
  • 670
    • Zobrazit profil
Re:Internet na lokalnim pc a firemni VPN
« Odpověď #16 kdy: 27. 04. 2023, 13:56:50 »
Zakladni vec je, komu patri lokalni pc.
Ne tak docela, může mít povoleno dělat z domu na soukromém PC s nainstalovaným VPN klientem.
Prave ze presne tak docela. Zasadni je to totiz v tom, ze na svem PC si muzes delat co chces. Jakekoli zasahy do konfigurace firemniho PC mohou vest v lepsim pripade k okamzite vypovedi, v horsim si muzes privodit i nejake to trestni stihani.

je to muj pc. fungovat by to melo tak, ze se pripojim pres vpn a pote na RDP a pracovat budu na pc, ktery je v office.
je to o routovani/dns ...

Prakticky se pouzivaji dve varianty.
1) veskery traffic se posle pres vpn, coz znamena, ze se na nej aplikuji i vsechna pravidla firmy = ses za firemnim firewallem, pouzivas firemni dns, ... atd. Tohle ale dava smysl vyhradne u stroju, ktere ma firma zcela pod kontrolou, delat neco takovyho na cizim stroji je nesmysl.

2) pres vpn se posle jen a pouze to, co tam patri. Tady muze nastat trosku problem prave s dns, pokud se samozrejme nepouzivaji verejne adresy.

Jinak receno, muzes otestovat (melo by to jit proste z ruky) zmenit routovani tak, ze default, ktery ti pravdepodobne miri do te vpn zmenis tam, kam miri kdyz vpn neni, a pridas si dalsi routu, kterou do te vpn posles komunikaci vyhradne na IP rozsah pouzivany uvnitr firmy. (ip ro je to co hledas v tuxovi, route pokud ve widlich)

Samozrejme to po otestovani muzes zmenit nekde v konfiguraci te vpn, kterou ti nejspis nekdo dal.

Re:Internet na lokálním PC a firemní VPN
« Odpověď #17 kdy: 27. 04. 2023, 15:03:12 »
A nebude jednoduchsie si do kanclu zajst a ten firemny pc/notas si vziat domov a nemusiet riesit taketo blbosti?

Toto je taky kockopes. Firma (celkom logicky) chce aby pocas pracovnej doby tieklo vsetko cez ich siet, pretoze to mozu filtrovat (ci uz zo zakonnych dovodov alebo z bezpecnostnych, mozu tam mat firewall o akom sa tebe doma moze iba snivat). Na druhu stranu, si kvoli tomu vyrazne obmedzovany (co mi hlava moc teda neberie obmedzovat YT v pracovnej sieti ale proti gustu ziaden disputat).

Skusat to rozne ohybat ala upravovat si routovanie pocas aktivnej vpnky moze viest k problemom v praci (ked ti na to pridu, mozes dostat slusne cez prsty). Suhlasil si ze budes pouzivat svoj pc ako pracovny pocas pracovnej doby, holt k tomu patri toto. Ak sa ti to nepaci, bud mat dve PC, alebo si zajst pre pracovny pc a dovliect ho domov (napad s virtualizaciou mi tiez pride ako obchadzanie vpnky, radsej bych to neskusal).

Zopper

  • *****
  • 847
    • Zobrazit profil
Re:Internet na lokálním PC a firemní VPN
« Odpověď #18 kdy: 27. 04. 2023, 16:08:51 »
Třeba Cisco AnyConnect si to hlídá dost agresivně a neustále promazává nepovolené routy. Takže jediný způsob, jak to obejít (o kterém vím) je použití nějakého alternativního klienta, ne toho přímo od Cisco, odmítnout autokonfiguraci, a pak si člověk musí všechny ty routy a DNS a další konfigurační věci potřebné k fungování komunikace do VPN pořešit ručně. Což může být víc než hromada práce: aktuálně mi firemní VPN dává nějakých ~400 rout.

Další věc je bezpečnost. U děleného VPN provozu sedí tvůj počítač ve dvou sítích a může posloužit jako most pro útok do firemní sítě. Stačí zákeřný javascript a už může udělat nějaký bordel přes CSRF. Firemní intranetové systémy bývají dost blbě zabezpečené, protože "jsou přece dostupné jen z LAN." Proto se někdy ty VPN konfigurují tak, aby přes ně tekl veškerý provoz, který pak následně projde přes nějakou firemní proxy, co hlídá, kam můžeš a nemůžeš, skenuje to antivirem...

jjrsk

  • *****
  • 670
    • Zobrazit profil
Re:Internet na lokálním PC a firemní VPN
« Odpověď #19 kdy: 27. 04. 2023, 16:57:31 »
Třeba Cisco AnyConnect...

...A ze budu moct vyuzivat jen pripojeni na RemoteDesktop?...
Na tohle se normalne nepouziva vpn, ale ipsec p2p (tzn nikoli tunel). Pricemz pokud jde o to, ze ti lide sedi doma a nejezdi vsude mozne po svete tak i to je ponekud meh, protoze i kdyz je rdp fakt "bezpecny" tak ho povolim z vyjmenovanych IPcek naprimo, a on se svet taky nezbori (specielne kdyz mi nevadi, ze ty stroje nemam pod kontrolou).

Jak sem psal vejs, na soukromym HW nemuzes vubec nic, ten HW patri tem lidem, ty jim nemuzes narizovat jak ho muzou nebo nemuzou pozivat. Pokud resis bezpecnost, nemuzes dopustit pouzivani HW kterej nemas pod kontrolou. To se samozrejme tyce i telefonu, tabletu atd atd. Jinak je to ciste placebo.

To ze aktualne ten stroj nemuze na net primo je uplne jedno. Kdyz budu chtit data, tak proste spustim script, ten nasaje data pres vpn na lokal a jakmile bude net naprimo, data si poslu. Uplne stejne muzu proscanovat dostupnou cast infrastruktury atd atd atd ...

Jednoduse receno soukromy HW ze kteryho se muzes dostat do interni site === nulova bezpecnost.


FKoudelka

Re:Internet na lokálním PC a firemní VPN
« Odpověď #20 kdy: 27. 04. 2023, 19:23:47 »
Třeba Cisco AnyConnect...

...A ze budu moct vyuzivat jen pripojeni na RemoteDesktop?...
Na tohle se normalne nepouziva vpn, ale ipsec p2p (tzn nikoli tunel). Pricemz pokud jde o to, ze ti lide sedi doma a nejezdi vsude mozne po svete tak i to je ponekud meh, protoze i kdyz je rdp fakt "bezpecny" tak ho povolim z vyjmenovanych IPcek naprimo, a on se svet taky nezbori (specielne kdyz mi nevadi, ze ty stroje nemam pod kontrolou).

Jak sem psal vejs, na soukromym HW nemuzes vubec nic, ten HW patri tem lidem, ty jim nemuzes narizovat jak ho muzou nebo nemuzou pozivat. Pokud resis bezpecnost, nemuzes dopustit pouzivani HW kterej nemas pod kontrolou. To se samozrejme tyce i telefonu, tabletu atd atd. Jinak je to ciste placebo.

To ze aktualne ten stroj nemuze na net primo je uplne jedno. Kdyz budu chtit data, tak proste spustim script, ten nasaje data pres vpn na lokal a jakmile bude net naprimo, data si poslu. Uplne stejne muzu proscanovat dostupnou cast infrastruktury atd atd atd ...

Jednoduse receno soukromy HW ze kteryho se muzes dostat do interni site === nulova bezpecnost.
Dovolím si oponovat <no flameware intended>
1) I na soukromém počítači lze přes VPN klienta zkontrolovat zda má update, antivir, pokud ne, nepustit do firmy a pokud ano, pustit ho jen na RDP  Za mne tedy nenulová bezpečnost.
2) Já osobně vidím HO jako benefit , tak bych se necukal.
3) Pravidla pro vzdálené připojení určuje firma, pokud se to dotyčnému nelíbí, ať laskavě přijede do práce a sedne za firemní PC. Bez VPN, které tehdy nebyly, jsem dělal support asi 15 let, max. jsem si mohl zapískat přes modem. (ale 5000 km za měsíc průměrně :-()
« Poslední změna: 27. 04. 2023, 19:30:49 od FKoudelka »

FKoudelka

Re:Internet na lokálním PC a firemní VPN
« Odpověď #21 kdy: 27. 04. 2023, 19:34:58 »
Třeba Cisco AnyConnect...

...A ze budu moct vyuzivat jen pripojeni na RemoteDesktop?...
Na tohle se normalne nepouziva vpn, ale ipsec p2p (tzn nikoli tunel). Pricemz pokud jde o to, ze ti lide sedi doma a nejezdi vsude mozne po svete tak i to je ponekud meh, protoze i kdyz je rdp fakt "bezpecny" tak ho povolim z vyjmenovanych IPcek naprimo, a on se svet taky nezbori (specielne kdyz mi nevadi, ze ty stroje nemam pod kontrolou).

Jak sem psal vejs, na soukromym HW nemuzes vubec nic, ten HW patri tem lidem, ty jim nemuzes narizovat jak ho muzou nebo nemuzou pozivat. Pokud resis bezpecnost, nemuzes dopustit pouzivani HW kterej nemas pod kontrolou. To se samozrejme tyce i telefonu, tabletu atd atd. Jinak je to ciste placebo.

To ze aktualne ten stroj nemuze na net primo je uplne jedno. Kdyz budu chtit data, tak proste spustim script, ten nasaje data pres vpn na lokal a jakmile bude net naprimo, data si poslu. Uplne stejne muzu proscanovat dostupnou cast infrastruktury atd atd atd ...

Jednoduse receno soukromy HW ze kteryho se muzes dostat do interni site === nulova bezpecnost.
* edit
Dovolím si oponovat no flamewars intended
1) I na soukromém počítači lze přes VPN klienta zkontrolovat zda má update, antivir, pokud ne, nepustit do firmy a pokud ano, pustit ho jen na RDP  Za mne tedy nenulová bezpečnost.
2) Já osobně vidím HO jako benefit , tak bych se necukal.
3) Způsob a pravidla  vzdáleného připojení určuje firma, pokud se to dotyčnému nelíbí, má možnost přijet do práce a sednout za firemní PC.
Bez VPN (které tehdy nebyly), jsem dělal support asi 15 let, max. jsem si mohl zapískat přes modem. (ale 5000 km za měsíc průměrně :-( )

« Poslední změna: 27. 04. 2023, 19:41:20 od FKoudelka »

Jigdo

  • *****
  • 509
    • Zobrazit profil
Re:Internet na lokálním PC a firemní VPN
« Odpověď #22 kdy: 27. 04. 2023, 22:17:17 »
Nejjednodussi je, zapnout si dva pocitace - jeden na pracovni veci a druhy na soukromy internet (youtube a podobne).
Ostatne na RDP do prace by melo v pohode stacit i raspberry pi nebo nejaka stara plecka. Jen to zobrazuje vzdalenou plochu a vse se pocita na vzdalenem pocitaci.



Ony ty firmy ted zacaly zamestnance v HO docela spehovat, jestli ten HO nesidi ....
Nasli se takovi, co pod HO mneli nekolik zamestani najednou :)

Takze asi bych se podival jak to Vase firma hlida/jestli a co je presne v podminkach HO aby se clovek nedostal do problemu.

Ja bych se priklonil k Virtualu pro HO/VPN.
A jestli provozujete na soukromem PC qubes-os.org/intro/ tak mate vyhrano :)
A jeste se neco zajimaveho naucite :)

Re:Internet na lokálním PC a firemní VPN
« Odpověď #23 kdy: 06. 06. 2023, 15:44:42 »
zkousim zmenit routovaci tabulku, ale bud to delam blbe, nebo to proste tak nefunguje. vpn klient je anyconnect od cisca. vyzkousim virtualku, to bude asi jedine reseni

FKoudelka

Re:Internet na lokálním PC a firemní VPN
« Odpověď #24 kdy: 06. 06. 2023, 16:22:57 »
zkousim zmenit routovaci tabulku, ale bud to delam blbe, nebo to proste tak nefunguje. vpn klient je anyconnect od cisca. vyzkousim virtualku, to bude asi jedine reseni
Virtualka vám taky nemusí fungovat, pokud to není povoleno v profilu :-) Anyconnectu

FKoudelka

Re:Internet na lokálním PC a firemní VPN
« Odpověď #25 kdy: 06. 06. 2023, 16:29:37 »
zkousim zmenit routovaci tabulku, ale bud to delam blbe, nebo to proste tak nefunguje. vpn klient je anyconnect od cisca. vyzkousim virtualku, to bude asi jedine reseni
Virtualka vám taky nemusí fungovat, pokud to není povoleno v profilu :-) Anyconnectu
ale je na to hack

Re:Internet na lokálním PC a firemní VPN
« Odpověď #26 kdy: 06. 06. 2023, 21:50:36 »
tak virtualka funguje.

jjrsk

  • *****
  • 670
    • Zobrazit profil
Re:Internet na lokálním PC a firemní VPN
« Odpověď #27 kdy: 07. 06. 2023, 16:41:55 »
1) I na soukromém počítači lze přes VPN klienta zkontrolovat zda má update, antivir, pokud ne, nepustit do firmy a pokud ano, pustit ho jen na RDP  Za mne tedy nenulová bezpečnost.
To chci videt, jak budes na soukromem pocitaci, ke kteremu nemas zadny pristup, kontrolovat zda ma antivir a predevsim, k cemu ti to je, kdyz ten stroj pustis do site, zafunguje proste jako dira do sveta.

Re:Internet na lokálním PC a firemní VPN
« Odpověď #28 kdy: 09. 06. 2023, 09:04:17 »
zkousim zmenit routovaci tabulku, ale bud to delam blbe, nebo to proste tak nefunguje. vpn klient je anyconnect od cisca. vyzkousim virtualku, to bude asi jedine reseni
Cisco si hlídá routovací tabulku a když ji změníš, tak to zase hned hodí zpátky - je to vidět v logu. Ale hlídá jen tabulku main, takže to když to hodíš jinam, nevšimne si toho ;-)

vfko

Re:Internet na lokálním PC a firemní VPN
« Odpověď #29 kdy: 09. 06. 2023, 16:14:43 »
Další teorie může být, že ajťákovi prostě jen nedocvaklo, že by měl na firewallu povolit forward z VPN na WAN. Zkusit se ho na to zeptat. Přijde mi zvláštní, že by nějaká firma záměrně zakázala někomu na HO komplet internet.

Jak už tu někdo psal, VPN si stáhne pod sebe defaultní routu, takže v takovém případě není přístup do internetu. Podle mé zkušenosti nepomůže ani nastavit metriky pro defaultní routy (0.0.0.0/0) ve Windows routovací tabulce.

Takže buď bude IT souhlasit s forwardem VPN -> WAN nebo jiný PC resp. virtuál.