VPN - имитация работы с другого IP

[Flash-04]

Все решается через баланс прибыль-убыток, то есть по решению вашего менеджера.

[Helmsman]

От паранойи отдельно взятой конторы зависит. Плюс, есть законы о data security, типа, федеральные данные не могут быть доступны персоналу за бугром.
У нас есть список "опасных" стран, где можно работать только на специально сконфигурированном компе. В этом году в список добавили и Россию, но 3 года назад я спокойно работал оттуда на стандартном лаптопе, используя конторский VPN

Речь я так понял шла все-таки о работе из США? Из России или другой заокеанской страны работать очень проблематично, хотя бы из-за разницы во времени.

Из США всё малость проще, как в policy запишут, так и будет. Ну, или по договорённости с начальством.
Разница во времени - дело третье, индусов же как-то терпят. В России я работал с 4-х до 12-ти ночи (6-14 местного), народ отнёсся с пониманием, заседания специально планировали на это время. Но это, очевидно, вопрос отношений в конторе.

[None of the above]

Спасибо Nostradamus.

По теме топика: а что только с корпоративного лаптопа можно работать? Я обычно работаю через Citrix. Это клиент который можно установить на любом компе. У меня даже с Chromebox работал. Ну а дальше ставите Teamviewer на свой личный комп, запускаете удаленно там Citrix и дело в шляпе. Ни одна собака не догадается откуда вы работаете.

Да, только с корпоративного лаптопа, политика компании.
Спасибо за совет, отвезти лаптоп в Ванкувер и работать с дачи прокатит. Есть только ряд недостатков, основной из них - включенный 24х7 лаптоп и прочее. Я уже писал на предыдущей странице. Но если выхода не будет...

[zVlad]

Спасибо Nostradamus.

По теме топика: а что только с корпоративного лаптопа можно работать? Я обычно работаю через Citrix. Это клиент который можно установить на любом компе. У меня даже с Chromebox работал. Ну а дальше ставите Teamviewer на свой личный комп, запускаете удаленно там Citrix и дело в шляпе. Ни одна собака не догадается откуда вы работаете.

Да, только с корпоративного лаптопа, политика компании.
Спасибо за совет, отвезти лаптоп в Ванкувер и работать с дачи прокатит. Есть только ряд недостатков, основной из них - включенный 24х7 лаптоп и прочее. Я уже писал на предыдущей странице. Но если выхода не будет...

А чем этот "только лаптоп" знаменит и так уж важен для удаленной работы? Кроме может быть шифрованием всех данных на диске.

[Flash-04]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

[zVlad]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?

[zVlad]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

Что такое ненастоящий тунель?

[Flash-04]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

Что такое ненастоящий тунель?

нет network connectivity. сервисы доступны только через браузер.

[Flash-04]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?

>>Мой личный сертификат заменял пароль.

You are in trouble. Серьезно. Есть уже немало подтверденных случаев кражи таких сертификатов через malware. Более надежно через 2FA, но сейчас есть тенденция переходить на "виртуальные" токены, что с моей точки зрения фуфло полное. Тоже крадутся.
Формально сертификат лучше пароля, его нельзя подобрать перебором или через словарь.

[zVlad]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

Что такое ненастоящий тунель?

нет network connectivity. сервисы доступны только через браузер.

Или через Citrix? Да есть у нас такое. Но, наши оставили секьюрити end-point для VPN client который дает network connectivity.

[Flash-04]

Был Citrix, теперь убрали. У сервера Citrix нашли очень интересные уязвимости

[zVlad]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?

>>Мой личный сертификат заменял пароль.

You are in trouble. Серьезно. Есть уже немало подтверденных случаев кражи таких сертификатов через malware. Более надежно через 2FA, но сейчас есть тенденция переходить на "виртуальные" токены, что с моей точки зрения фуфло полное. Тоже крадутся.
Формально сертификат лучше пароля, его нельзя подобрать перебором или через словарь.

Malware еще надо проникнуть на комп. У меня кроме сертификата еще и "токены" использовались. С теми сертификатами я уже давно не хожу - они пропали с сдохшим хардом, а на другие компы с которых я работаю (их три), я поленился их устанавливать.
Да, еще вспомнил для верификации входа также использовался IP address того моего офисного компа, статический адрес. Так что сворованный сертификат не сработал бы.

[Flash-04]

>>Malware еще надо проникнуть на комп.

Почитайте новости. На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.

[Flash-04]

Да, еще вспомнил для верификации входа также использовался IP address того моего офисного компа, статический адрес. Так что сворованный сертификат не сработал бы.

Ага, на который вы заходите удалённо. Смешно
zVlad, опыт показывает, что какие меры безопасности ни ставить, найдётся болт с хитрой резьбой. Вопрос только в стоимости атаки и времени.

[null]

На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.

Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд