Marketingpraat. Dit is gewoon een VPN. :)

"Ik ben benieuwd vanuit een security oogpunt hoe de security specialisten hierover denken? "

Ik denk dat er een wereld van verschil is met managed devices welke eigendom zijn van de werkgever en unmanaged devices welke eigendom zijn van de werknemer. Het gaat hierbij vooral om een geautomatiseerde VPN oplossing waardoor het systeem, wanneer deze aanstaat, deel uitmaakt van het corporate netwerk.

Wanneer het gaat om een systeem dat eigendom is van de werkgever, dan lijkt mij dat dit niet zo'n probleem is. Op deze wijze is het veel gemakkelijker om t.b.v. asset management, compliancy management en security management systemen op afstand te beheren en voor de werknemer biedt het ook gemak.

Wanneer het gaat om een systeem dat eigendom is van de werkgever, dan vraag ik mij af in hoeverre werknemers dit wenselijk vinden. Zolang je niet bezig bent met werkgerelateerde zaken dan biedt de verbinding geen enkele meerwaarde. Systemen met beveiligingsissues kunnen door middel van network access control buiten worden gesloten; hiervoor is deze DirectAccess oplossing niet nodig.

"Windows 7 zal in combinatie met Windows Server 2008 R2 een van de meest handige functies krijgen voor mensen die buiten de deur werken. DirectAccess geeft namelijk direct toegang tot interne resources (Intranet, fileservers) zonder dat hiervoor een VPN verbinding hoeft te worden opgezet."

Deze uitlating is natuurlijk volstrekte onzin. DirectAccess is een VPN oplossing. Verschil is dat de verbinding niet -handmatig- hoeft te worden opgezet.

"... en na het maken van de VPN verbinding gaat alle verkeer over de VPN verbinding. "

Dit klopt niet. Bij een VPN kan alle traffic via het bedrijfsnetwerk worden gerouteerd. Het is ook mogelijk om alleen traffic bedoelt voor het bedrijfsnetwerk te routeren via het VPN, en overige traffic gewoon via de reguliere provider te laten lopen. Wanneer DirectAccess wordt gebruikt heb je dezelfde keuze.

Verder is het denk ik goed om stil te staan bij de vraag in hoeverre je alle traffic wilt routeren via het bedrijfsnetwerk, zeker wanneer de apparatuur prive eigendom is.

Voor de werknemer betekent dit minder privacy, en eventueel filtering van traffic door de werkgever, en voor de werkgever brengt dit extra juridische risico's met zich mee omdat de werknemer nu thuis gebruik maakt van IP space van de werkgever, waardoor mogelijke klachten bij de werkgever binnenkomen (i.e. een werknemer die thuis op zijn prive PC gebruik maakt van direct access, en vervolgens niet-werkgerelateerde spamberichten verstuurt).

Als werkgever wil je je aansprakelijk maken voor gedrag van werknemers buiten werktijd, wanneer dit geen enkele relatie heeft tot het werk, en mogelijke incidenten zijn opeens te herleiden naar de werkgever in plaats van naar de provider van de werknemer.

In mijn optiek is het niets meer dan een normale VPN welke in dit geval in het OS geïntegreerd is.
Dus hoe ze het ook noemen, het is en blijft een VPN.

Daarnaast speelt idd het "probleem" of de werknemer een systeem van het werk heeft of niet.
Ik wil met mijn thuis pc geen verbinding maken met mijn werk omdat dit een security issue met zich mee brengt.
De prive pc word immers niet beheerd door de beheerders van het werk en dus zou er van alles en nog wat op kunnen zitten wat je niet op je bedrijfsnetwerk hebben wil.

Andersom ook... Ik zou thuis geen pc van de zaak willen, want dat is alleen maar ongemakkelijk. Dan heb ik 2 systemen thuis staan.
Een laptop zou dan idd een optie zijn, maar ook die zal dan beveiligd moeten zijn om ongeautoriseerd gebruik te voorkomen.
Mocht de laptop (onderweg) gestolen worden, dan zou iemand bij wijze van spreken dus ook zo op jou werk netwerk kunnen komen omdat de VPN immers "automatisch" opgezet word.

Daarnaast draaien wij hier op onze clients nog XP en dat zal voorlopig niet veranderen.

Ik denk dat we moeten afwachten op de 1e "ervaringsdeskundige" :-)

Misschien geef je met deze vraag al antwoord. Het is altijd verstandig om niet iedereen volledige toegang te geven. Of dat nu op serverniveau is of op clientniveau.

Een stap vooruit vindt ik het. Alles wat op een makkelijke manier encryptie (inclusief aanmelding) makkelijker maakt is gewoon beter. En ja, dit is gewoon een vpn. Niet de modernste oplossing maar wel een veiligere als bijvoorbeeld ftp (zonder encryptie).

quote:
"VPN-netwerken maken gebruik van geverifieerde koppelingen om ervoor te zorgen dat alleen bevoegde gebruikers verbinding kunnen maken met uw netwerk. Bovendien worden gegevens gecodeerd om te voorkomen dat anderen gegevens onderscheppen en gebruiken die via internet worden verzonden. Voor deze beveiliging gebruikt Windows XP het PPTP-protocol (Point-to-Point Tunneling) of het L2TP-protocol (Layer Two Tunneling Protocol). Een Tunneling Protocol is een technologie waarmee de overdracht van gegevens via internet van de ene computer naar de andere veiliger wordt.

Met VPN-technologie kan een bedrijf ook verbinding maken met filialen of andere bedrijven via een openbaar netwerk (zoals internet) terwijl de communicatie toch beveiligd blijft. De VPN-verbinding via internet werkt als een exclusieve WAN-koppeling (Wide Area Network)."

http://technet.microsoft.com/en-us/network/bb545442.aspx

http://support.microsoft.com/kb/314076/nl

Tot uw dienst;

Het orakel

Slechte zaak, securitytechnisch gezien, vind ik.

Een onwetende gebruiker heeft dus op een gegeven moment totaal niet meer in de gaten dat er nog een verbindinkje openstaat naar de zaak. En belangrijker nog: virussen/malware kan nu dus een tunneltje openzetten zonder dat de gebruiker dat in de gaten heeft dat er een tunneltje openstaat.

Kortom, ik denk wel dat de gebruiker wel "aware" moet zijn dát er een verbinding wordt opgengezet, anders vind ik dit een behoorlijk security risico.

*hoest*

"Een onwetende gebruiker heeft dus op een gegeven moment totaal niet meer in de gaten dat er nog een verbindinkje openstaat naar de zaak. En belangrijker nog: virussen/malware kan nu dus een tunneltje openzetten zonder dat de gebruiker dat in de gaten heeft dat er een tunneltje openstaat."

Er wordt niet voor niets gebruik gemaakt van network access protection, hierdoor zijn er beveiligingseisen aan de PC voordat deze toegang krijgt tot het bedrijfsnetwerk.

"Kortom, ik denk wel dat de gebruiker wel "aware" moet zijn dát er een verbinding wordt opgengezet, anders vind ik dit een behoorlijk security risico."

Met dit soort oplossingen is awareness handig, maar je moet ook een technische blokkade hebben om PC's te weren die security-technisch niet voldoen.

Ik wil iedereen bedanken voor hun reactie met verklaring.