Neem contact op met de Russische ambasade...die moeten je alles kunnen vertellen.

http://www.nederlandse-ambassade.com/Ambassade/16617/Rusland-in-Den-Haag

even naar putin bellen?

"Ik ben systeembeheerder binnen een Nederlands bedrijf met vestigingen over de gehele wereld.
Rusland is van plan om per november VPN te verbieden per wet."

Mag ik vragen waarom je deze vraag op dit forum stelt? als het een Nederlands bedrijf is met meerdere vestigingen over de hele wereld neem ik aan dat jullie een grote ICT dienst hebben.

Los daarvan. en een beetje Oftopic, waarvoor gebruik je de VPN client? en waar word de VPN server gehost?
Internationale bedrijven maken voor meerdere situaties gebruik van een VPN verbinding, en dat heeft niets te maken met het deblokeren van bepaalde sites die in dit geval bij de ISP in Rusland geblokkeert zijn

Lijkt me stug dat een Economie als Rusland het gebruik van VPN verbindingen om contact te krijgen met andere locaties binnen een organisatie gaat verbieden. Als dit wel het geval is zou ik me als organisatie druk gaan maken over de veiligheidswaarborg van een organisatie die zich bevind binnen Rusland. Onbeschermd je automatisering gaan uitvoeren op locaties binnen Rusland zou mij geen fijn gevoel geven als organisatie.

Volgens Nu.nl gaat het alleen om het het gebruik van VPN clients op geblokkeerde sites te bezoeken. Dus voor bedrijfen neem ik aan dat het gebruik van VPN clients nog gewoon mogelijk is. Aangezien je de VPN servers vaak zelf host ipv een derde partij (waarmee je als je vpn een andere geolocatie spoofed een website kan bezoeken als die geblokkeerd is) kan je de VPN nog gewoon gebruiken.

Mag je vragen, ik ben alleen op de IT afdeling. Bedrijf heeft 70 medewerkers waarvan +/- 20 medewerkers in verschillende landen, 5 in Rusland.
Voor RDP en VPN server wordt intern gehost (in Nederland).
Mij ook, maar ook onze Russische medewerkers weten alleen dat alle VPN diensten verboden wordt in november.

Ik hoop(te) dat hier mensen in hetzelfde schuitje zouden zitten en mij hier antwoord op zouden kunnen geven.

Contact opnemen met de Nederlandse ambassade vind ik een leuke, dat ga ik proberen.

Wat ook mogelijk is met de VPN van een bedrijf, dus technisch gezien valt die VPN dan ook onder de blokkade.
Met aannames kun je moeilijk bij het MT aankomen ;)
Dan zouden ze inderdaad alleen de bekende websites/diensten die VPN aanbieden moeten blokkeren. Maar ik kan nergens vinden dat ze dat zo doen..

https://www.security.nl/posting/526128/Russische+overheid+verbiedt+vpn-diensten+en+anonymizers
VPN is ook nog een anonymizer en alle anonymizer technieken zijn ook in de ban gedaan.
Dus ik heb een heel sterk vermoeden dat VPN daar geen business meer is.

Als je iemand kan vinden die vloeiend Russisch kan lezen:
Een link naar die Russische wet staat ook genoemd in het bovenstaande security.nl -artikel.
Als iemand je precies kan vertellen wat daar staat, dan zou het helemaal duidelijk moeten worden.

Voor zakelijke VPN's kan je ontheffing krijgen, mits je de encryption keys deponeert (maar Rusland is niet de enige die dat wil...).
Wat men wil is voorkomen dat dit soort verbindingen gebruikt worden door mensen binnen Rusland die naar "ongewenste" sites willen gaan. Dus een locatie binnen Rusland zal een lokale Internet break-out nodig hebben. Je Russische SAP systeem oid. mag gerust over de VPN met de centrale omgeving praten
Let er dus wel op dat je niet zonder extra maatregelen (bv. FW rules op VPN server) allerlei locaties binnen en buiten Rusland koppelt via een VPN, en dat je er voor zorgt dat Internet verkeer (web surfen) niet via de VPN gaat...

Q

het lijkt me toch al een goed idee om op dergelijke VPNs een filter te zetten zodat alleen het verkeer waar de VPN
voor bedoeld is eroverheen kan. als het voor RDP is laat dan alleen RDP door.
het is veel makkelijker om alle netwerk verkeer door te laten, maar dat kan er ook zomaar voor zorgen dat je container
terminal een week uit de lucht is doordat een vestiging in een ander land een of ander maf boekhoudpakket gebruikte.
door dat filter kun je wellicht ook bij de autoriteiten aannemelijk maken dat je VPN ok is.

Dat zou kunnen neerkomen op VPN-routers met ACL gebruiken, en ACL configureren.
VPN kan dan alleen met de noodzakelijke IP's en poorten (services) communiceren die de ACL toestaat,
en in geval van Rusland moet het zodanig worden geconfigureerd dat de Russen bereid zijn om ontheffing te geven.

Nice article on this subject!

http://www.castren.fi/blogandnews/news-2017/what-should-businesses-know-about-russias-new-vpn-law/

@TS: ik zou niet afgaan op wat Nu.nl schrijft maar afgaan op Russische staatspublicaties en/of informeren bij de verantwoordelijke Russische autoriteiten. Als je al persoonlijk contact hebt met collega's van andere bedrijven met vestigingen in Rusland en daarbuiten, wissel dan informatie uit met hen hierover. Als je dat niet hebt, vraag de directie van je bedrijf dan om accountmanagers in te zetten om dergelijke contacten tot stand te brengen. Uiteindelijk is dit ook in hun belang. In dit soort situaties kunnen er door "autoriteiten" allerlei meningen i.p.v. waarheden worden verspreid die, onder enige "financiële druk" al snel vloeibaar worden. Zorg voor een netwerk waarmee je de waarheid achterhaalt!

De opmerking hierboven over alleen RDP toestaan is natuurlijk kansloos, want je kunt prima via RDP elders een webbrowser starten. Het is noodzakelijk dat je precies weet wat wel en niet mag, en als je dat zwart op wit hebt kan je dat later (bij inspectie of zelfs een inval) -hopelijk- ellende besparen.

Als Rusland ook zakelijke VPNs verbiedt of erger, vereist dat deze "afluisterbaar" gemaakt worden (met het risico dat informatie wordt gemanipuleerd of zelfs malware wordt geïnjecteerd - een VPN gebruik je ook voor integriteit), gaat dit veel verder dan ICT. Betrek voortdurend je leidinggevenden en zo mogelijk de directie hierin om te voorkomen dat je achteraf het verwijt krijgt dat je dacht dat je dit zelf wel kon oplossen. Hoe groot de risico's zijn (vertrouwelijke zakelijke informatie gelekt naar (Russische) concurrenten en/of afluistermalware gedistribueerd naar vestigingen buiten Rusland) kan ik niet inschatten, maar ik zou jouw directie erop wijzen daar terdege rekening mee te houden. Medewerkers van geheime diensten hebben ook familie en "vrienden" die hen weten te vinden, al dan niet met een "wederdienst" op zak.

De ultieme vraag is natuurlijk of de voordelen van het handhaven van vestigingen in dit soort landen opwegen tegen de nadelen - risico's voor de hele organisatie in dit geval.

Aanvulling: wellicht kan de Nederlandse KvK (Kamer van Koophandel) jouw organisatie helpen door jullie in contact te brengen met andere organisaties (evt. die geen concurrent van jullie zijn) in relatie tot dit onderwerp, of hebben zij meer info. Dit lijkt mij ook typisch een onderwerp dat Nederlandse handeldelegaties, bij voorkeur in samenwerking met andere landen, bij Putin en consorten aan moeten kaarten. D.w.z. eerst duidelijkheid over wat wel en niet mag, en dan -gemeenschappelijk- proberen de pijn te verzachten.

Off topic: ik hoop dat politici in "normale" landen die rondbazuinen dat encryptie verboden moet worden, zich eindelijk gaan realiseren dat dit A) zinloos is, maar ook B) "minder normale" landen meeliften op het sentiment dat zij creëren.

Met de huidige ict kennis in de politiek? Forget about it. IT is nog steeds het meest bezuinigste onderdeel in o.a. nl. Om je kapot voor te schamen. En bepaalde organisaties hebben grote loby groepen, dus ze houden echt niet op bij het opgeven van encryptie.

Okee, ik begin het te begrijpen.
Rusland heeft een internet/telecom-censuur systeem.
Alle ISP's zijn daarmee verbonden zodat gebruikers geen toegang kunnen krijgen tot illegale content.
VPNs kunnen de censuur omzeilen.
En dus moet het verkeer bij VPNs eerst door het censuursysteem bekeken worden of men niet illegale content probeert te bezoeken, en dan pas gaat het verkeer de VPN in.

Er is een uitzondering mogelijk, maar dan moet men aan twee voorwaarden voldoen:
1. De gebruikers van de VPN (die dan dus ook evt. toegang biedt tot illegale content) moeten van te voren bekend zijn
en
2. De VPN mag alleen gebruikt worden voor technische doeleinden om service aan systemen te verrichten

(het is dus wel mogelijk om via zo'n VPN illegale content te bereiken, maar het mag nog steeds niet.
Je moet voor het gebruik van de VPN voldoen aan voorwaarde 2.

En hoe had je gedacht dat in te richten? Dat gaat niet werken.

@2: Als ik de bovenstaande link goed lees betreft het niet 'service aan systemen', maar dat 'de VPN de gebruiker ondersteund bij zijn werkzaamheden'. I.c.m beleid wat privegebruik van, en/of over de VPN verbied.

Zakelijke e-mail over VPN lijkt te voldoen:

Als het zo'n groot bedrijf is: Vraag de bedrijfsjurist en/of P&O-er om te helpen.

Dat moet je aan de Russen vragen, maar als je het aan mij vraagt lijkt het me niet zo moeilijk.

ISP's kunnen je toegang geven tot het Russische deel van het internet.
Je kunt ook een VPN-verbinding bij ze krijgen.
Maar alle ISP's zijn nu verplicht om alle internetverzoeken te filteren aan de hand van een censuursyteem.

De ISP legt dus al jouw requests (website(IP)/webpagina) voor aan het censuursysteem.
Het censuursysteem geeft zoiets terug als "doorlaten" of "blokkeren".
Bij "doorlaten" gaat de request de VPN in.
Bij blokkeren krijg je bijv. een pagina terug van de ISP dat de opgevraagde website of webpagina gecensureerd is.

Ondertussen is er tussen jouw systeem en de filterunit bij de ISP bijv. sprake van eigenlijk twee VPN's:
eentje tussen jouw computer en de ISP, en eentje tussen de ISP en jouw target.

"VPN must be used for technological purposes of supporting operations of the person using it."
Het staat er wat krom, maar gezien de hele doelstelling van de maatregelen lijkt me het meest logisch:

De persoon die de VPN gebruikt, mag deze alleen inzetten voor supportverlening aan technische doelen.
Deze uitzondering lijkt nl. bedoeld om met de censuurmaatregel niet de veiligheid van "technologie" te raken.

Valt e-mail er ook onder? Alleen als de email een technologisch doel dient.
Een e-mailtje van een systeem naar de operator als waarschuwing dat er iets in de soep loopt, zou kunnen.

Maar hee, wie ben ik, ik probeer er ook maar iets uit op te maken dat een beetje logisch klinkt in dit kader.

Dus ga absoluut ook vragen bij officiële instanties die het zouden moeten weten.

Eigenaren van netwerken moeten volgens de nieuwe Russische VPN-wet er voor zorgen dat toegang tot gecensureerde content wordt geblokkeerd. Een VPN-provider is de eigenaar van zijn VPN netwerk, en moet daar dus ook voor zorgen.
Tussen de VPN-gebruiker en de VPN-provider ligt dan gewoon een VPN verbinding.
Bij de VPN-provider kan weer worden gezien welke website of zelfs webpagina iemand wil bezoeken.
De VPN-provider is verantwoordelijk om ervoor te zorgen dat er geen gecensureerde website of webpagina kan worden bezocht. Er wordt een russisch systeem of database onderhouden (dus het verandert steeds) welke content niet mag worden bezocht. Daar zal de VPN-provider dus actief contact mee moeten houden om te weten wat gecensureerde content is. Hoe dat precies technisch gaat weet ik niet.

Beste allemaal,

TS hier.
Iedereen vriendelijk bedankt tot de reacties tot zover, daarvoor mijn dank.

Ik heb al flink rondgebeld, maar nog niets wijzer geworden helaas.
Zelfs bij de internationale desk van Rijksdienst voor Ondernemend nederland (RvO), hadden ze dit nog niet eerder vernomen.

Ik blijf dus zoeken naar mensen die me hier meer over kunnen vertellen :)

Mocht ik een duidelijk antwoord krijgen, zal ik dat hier vermelden.

Je kan gewoon VPN technologie blijven gebruiken in Rusland, zie onder.....

The Russia VPN ban doesn’t forbid personal or business use of VPNs at all
https://www.privateinternetaccess.com/blog/2017/07/russia-vpn-ban-doesnt-forbid-personal-business-use-vpns/

Mijn ervaring met werken met en in rusland:

Houdt er rekening mee dat de russische overheid het met opzet vaag houdt, Wees waakzaam voor mensen die zeggen het helemaal te snappen en je vertellen wat je wel en neit mag.
Door het vaag te houden kan de overheid het wanner het hun uitkomt zo inkleuren dat het voor hun gunstig is. Wanneer je weet of je het goed gedaan hebt? nooit, je weet het alleen als je het fout gedaan hebt en in de problemen komt.

Mijn advies, koppel de VPN los van de VPN die je voor andere landen gebruikt, accepteer dat de russische overheid meekijkt als ze dat willen, maar zorg dat je op een of andere manier kunt nagaan of het verkeer ook werkelijk van de afzender afkomt.

Dankjewel hiervoor!

Tot 1 november ja.

Als toeschouwer vind ik zo'n vraag -zonder intonatie- een beetje onvriendelijk klinken.
Wellicht omdat de gemiddelde advocaat of waarschijnlijk jurist minder ervaring heeft in landen met agenten in allerlei soorten die de wet voorschrijven i.p.v. handhaven. Daarnaast de wet moet nog ingaan, dus duidelijkheid ontbreekt.
De nog meer omstreden anti-homo wet was en is ook niet helemaal vlekkeloos vertaald.

Vreemde aanname. Maar stel dat dat zo is, dan kunnen die tesamen minder know-how kunnen hebben dat 1 bezoeker van dit forum. Los daarvan, twee bronnen weten wellicht meer dan een.

Ik weet niet of het lukt om met Google Translate de wet waar het om gaat voor ons leesbaarder te maken?

https://translate.google.com/translate?sl=ru&tl=nl&js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fpublication.pravo.gov.ru%2FDocument%2FView%2F0001201707300002&edit-text=

Een uitstekende plek voor dit soort vragen. Vergeet daarbij niet dat veel IT Security professionals ook bezig zijn met compliancy. Daarbij horen ook vraagstukken zoals deze wetgeving, en hoe je binnen de grenzen van deze wet kan handelen, indien je in Rusland VPN technologie gebruikt.

Mag ik vragen waarom je deze reactie plaatste ?


Een vrij irrelevante aanname. Of mag de vraagsteller geen vraag stellen, indien de aanname juist zou zijn ?

Het gebruik van VPN wordt *niet* verboden in Rusland. Wat verplicht wordt, is het blokkeren van 'verboden' websites door VPN aanbieders, zodat je deze met je VPN oplossing niet langer kunt bereiken. Verder worden zakelijke VPN verbindingen, onder voorwaarden, uitgesloten van deze verplichting, zoals je hieronder kunt lezen.

---
How does the Russian VPN ban work?

It’s simple really. The owners of anonymizers and VPN services are now forced to restrict the access to websites that are blocked in Russia. So basically, using a VPN is not illegal as long as the VPN does not grant its users access to websites that the government banned under the Law on Information Protection.

Also, the Roskomnadzor now has the right to restrict the access to sites where Internet users can find information about bypassing the bans. The new amendments to the Law on Information Protection also include instructions for search engines, which should no longer issue links to sources of information about bypassing the blocks.

The effects of the Russian VPN ban will be closely monitored by the Ministry of Internal Affairs and FSB. The owners of services, networks or softwares which allow users to bypass restrictions imposed after the Russian VPN ban will be first notified by the Roskomnadzor. If they fail to fulfill the requirements within 30 days, their servers will be blocked.

All VPN providers and anonymizers owners will be given a list of prohibited online resources so they can start blocking them from November 2017 onwards, if the law also gets signed by Vladimir Putin.

Tor users could also be affected by the bill, as public servers to which users are connected can be easily blocked.

Companies in Russia, which use VPN services because of the nature of their business are included in an exception of this Russian VPN ban under two conditions. They need a predetermined list of users who can view blocked content online and also, the VPN service should be used within the object of activity of the company.
---

Een VPN die wordt gecensureerd, heet bij mij een VCN. "Virtual Censored Network".

Verder wil ik niet teveel speculeren. Dat heeft weinig nut.
De nieuwe Russische wet/amendement is voor meedere interpretaties vatbaar volgens mij.

Interpreteer het hoe je wilt, en negeer de eerder gegeven uitleg indien je deze niet wenst te accepteren. Het is simpelweg een feitelijke beschrijving van de wijzigingen die men in Rusland per 1/11 door gaat voeren.


Mooie term, verder voegt het niets toe aan deze discussie. Dat het censuur betreft is immers iedereen duidelijk ?

Ik wens geen enkele uitleg voor absolute waarheid te accepteren. Dat is me nog te vroeg.
Wel vind ik het aannemelijk dat het zo zal gaan (voor zakelijke VPNs dan)
En als een VPN niet een echte volwaardige VPN meer is in Rusland, dan moet je je afvragen of VPN nog wel bestaat in Rusland en of je nog wel over VPN mag spreken.

Wat veel mensen hier "verstaan onder een VPN" is helemaal niet wat een VPN van oorsprong was en waar bedrijven
dit normaal gesproken voor gebruiken. Een VPN was ooit een veilige verbinding tussen twee (bedrijfs)netwerken via
een publiek netwerk zoals het internet. Bedoeld als goedkope vervanging voor een huurlijn. Je maakt het daarmee
mogelijk om op de ene vestiging de netwerkapparatuur, servers in de praktijk, die bij een andere vestiging staan te
benaderen.

Echter, deze betekenis is verwaterd door het gebruik van een VPN tussen een eigen netwerk en het internet, bedoeld
om bepalingen op het gebied van internet toegang te omzeilen. Dit kunnen zowel lokale bepalingen zijn (zoals
beperkingen in het soort sites wat je mag bezoeken) als bepalingen bij internetdiensten (zoals het land waar vandaan
je een service mag bezoeken).

Het is die 2e, "nieuwe", vorm van VPN die men in Rusland wil verbieden. Niet die eerste vorm.
Als je het hebt over "volwaardige VPN": dat zijn die anonymizer/wetontduiker VPN's toch al niet, want ze zijn een
verbinding tussen je prive netwerk en een publiek netwerk, geen verbinding tussen prive netwerken.

DANKJEWEL, wat zal de TS blij zijn met dit statement, eindelijk iemand die precies weet hoe het zit!

Bij een arrestatie kan hij (of z'n Russische collega) meteen vertellen dat Anoniem op security.nl exact heeft beschreven wat wel en niet mag, waarna hij ogenblikkelijk vrij gelaten zal worden!

Ja, dat is waar. In de "verwaterde" VPN is de VPN aanwezig tussen gebruiker en VPN-provider, maar daar houdt het op
en kan er gefilterd worden als men wil, nog voordat de VPN-provider het verkeer doorstuurt naar het uiteindelijke doel.
Daaraan is dus eigenlijk niets veranderd in de nieuwe situatie. xcuus.

Ik bedoelde met "volwaardig" in die context eigenlijk een VPN-service (om mee te internetten) die filterloos en anoniem is.

Verbieden of filteren blijft een beetje de vraag. Ik ken geen russisch en kan dus die wet van 15 pagina's niet doorlezen.
Dat zou je eigenlijk moeten doen om wat meer zekerheid te krijgen over wat het inhoudt.
Maar de publicatie van de wet is in afbeeldingen verwerkt, en dan werkt Google Translate op internet niet.
Maar op een smartphone met de Google Translate app erop kan je het mogelijk wel vertalen,
door van elk van de 15 wetspagina's een foto te maken en deze te laten vertalen door de Google Translate app.
Dus wie er een groot belang bij heeft, of alleen maar supernieuwsgierig is, weet wat te doen.

Ja daar was ik al bang voor.
Het zou beter zijn als we de naam VPN niet zouden gebruiken voor zo'n soort dienst.
Dan zou er ook niet zo veel verwarring zijn over wat men niet wil (om begrijpelijke redenen) en wat er geen probleem is.
Zou een goede zaak zijn om hier in Nederland vast te beginnen met een terminologie herdefinitie zodat we hier niet
ook in die problemen komen als er zo'n soort regelgeving zou komen.

(en dat zou me niet verbazen hoor, ik heb altijd al gevonden dat de claims dat "het internet vrij is" van hetzelfde kaliber
zijn als de situatie die je wel eens ziet rond woonwagenkampen als zelf-uitgeroepen vrijstaat: het wordt een tijdje
getolereerd maar als de overlast te groot wordt grijpt de overheid echt wel in en gaat regels stellen. het saboteren
van die regels door middel van wat jij een VPN noemt en wat anderen met TOR doen kan dan niet onbestreden blijven)

Beste Allemaal,

Ik heb contact gezocht met de Nederlandse ambassade in Rusland en heb het volgende antwoord ontvangen.
Ik wil iedereen bedanken voor de input en wellicht dat iemand die met dezelfde issue's rondloopt hier wat aan heeft:


Hartelijk dank voor uw e-mail. Met dank aan onze lokale medewerkers Zhenja en Alexey, de volgende informatie over de nieuwe wet.

De Russische overheid verbiedt toegang tot een aantal internetsites in Rusland. Door middel van VPN kunnen de geblokkeerde internetsites toch worden bezocht. Dit was een doorn in het oog voor de Russische overheid en aanleiding voor deze nieuwe wet. De nieuwe wet is gericht op VPN-providers en bedrijven die hun toegang faciliteren zoals Yandex of Google (als je op VPN aanbieder zoekt). De Russische veiligheidsdiensten gaan internet monitoren en informatie over VPN-providers, die tot de verboden websites toch blijven toegang aan te bieden, aan toezichthouder Roskomnadzor doorgeven. Roskomnadzor wil VPN-diensten blokkeren die de restricties van Roskomnadzor (geen toegang tot geblokkeerde sites) niet doorvoeren. Verwacht wordt dat de druk komt te liggen op Yandex, Google en AppleStore om die VPN diensten niet aan te bieden.

De wet lijkt niet gericht op VPN gebruikt binnen bedrijfsactiviteiten. Hierbij wordt gerefereerd naar de volgende zin in de wet: ‘This article does not cover state information systems operators, government agencies and local authorities, and cases of use of anonymizers provided users of such anonymizers are in advance defined by their owners and use of these anonymizers is carried out with the technological aims to ensure activities of the person/entity making use of them.’ (Officiële tekst van de wetgeving (in het Russisch)
http://publication.pravo.gov.ru/Document/View/0001201707300002?index=1&rangeSize=1). Hoe de autoriteiten verschil gaan maken tussen VPN voor bedrijfsactiviteiten en VPN gebruik voor het omzeilen van geblokkeerde sites is nog niet duidelijk. In de wet staat geen vermelding van de strafmaatregelen tegen gebruikers van VPN-diensten.
We hebben contact opgenomen met de telecom toezichtshouder Roskomnadzor voor toelichting op de wet (bedrijfsgebruik VPN), maar daar wordt geen informatie verstrekt. We hebben contact met de IT-Telecom Committee van de Association of European Businesses (AEB). Hun juristen kijken ook nog naar de wetgeving en hebben medio September overleg over deze nieuwe wetgeving. De wet treedt per 1 november 2017 en dan zal volgens experts naar aanleiding van de eerste concrete gevallen meer duidelijk worden.

We hopen dat bovenstaande informatie meer inzicht geeft. In de aanloop naar de ingang van de wet verwachten we dat er meer informatie beschikbaar komt.

Top Anoniem 14:39!
Inderdaad nog even afwachten dus. ; )

Dit gedeelte is lastig:

Even mijn talenknobbel erbij halen:

M.a.w. i.g.v. VPN:

Yes! In die conclusie geloof ik alvast een beetje in.