Abia am început să folosesc GlobalProtect pentru a mă conecta prin VPN la PC-ul companiei mele. Pare totul în regulă, dar unul dintre colegi a spus că acest lucru poate monitoriza ce site-uri vizitez în fundal și ce fac în fundal. E practic un spyware, dar nu am altă opțiune decât să folosesc GlobalProtect pentru a putea continua să lucrez.
Așadar, sunt aici să întreb inginerii adevărați de la PaloAlto Networks:
Poate GlobalProtect să spioneze pe PC-ul local al utilizatorului când este folosit pentru a stabili o conexiune VPN către PC-ul companiei?
Chiar dacă răspunsul este „de obicei nu”, are capacitatea de a face asta?
Compania mea are o politică BYOD, deci nu am avut de ales decât să instalez asta pe laptopul și PC-ul personal.
Sunt îngrijorat de confidențialitatea mea, așa că tratez dispozitivele mele personale ca și cum ar fi PC-urile companiei, evitând să fac orice personal cu ele. Este foarte incomod și aș vrea să știu dacă temerile mele sunt justificate.
Trebuie spus acest lucru deoarece mulți vorbesc despre detaliile tehnice, dar nu indică clar. Majoritatea acestei situații se aplică doar atunci când ești efectiv conectat la GlobalProtect. Aplicația GlobalProtect nu înregistrează nimic legat de traficul tău. Firewall-ul de la celălalt capăt face acest lucru. Nu este corect să consideri GP ca fiind spyware, pentru că nu este; GP nu te spionează. Când se folosește o implementare standard, tot traficul tău trece prin firewall-ul companiei și, dacă nu sunt ciudați, ei ar trebui să înregistreze tot traficul care trece prin acel firewall. Cât timp ești conectat la GP, trebuie să înțelegi că nu trebuie să te aștepți la mai multă confidențialitate decât dacă ai fi la sediu. Dacă impun politica BYOD pentru munca de la distanță, poți oricând să te deconectezi la sfârșitul zilei.
Ceva de avut în vedere: 1. În timpul programului de lucru, dacă trebuie să fii conectat la GP, nu vizita site-uri nepotrivite. Ești efectiv la muncă și trebuie să tratezi spațiul tău de lucru de acasă ca și cum ai fi la sediu. În timpul programului, dacă nu vizitai anumite site-uri la birou, nu o face acasă. 2. Dacă nu vrei să amesteci munca cu dispozitivul personal, îți sugerez să-ți achiziționezi o altă mașină sau să configurezi o mașină virtuală pe PC-ul tău de acasă pentru a izola munca de personal. VM-urile sunt ușor de configurat acum și există multe software-uri gratuite pentru asta. Partea dificilă va fi obținerea unei licențe Windows, dar cred că poți rula Windows 10 fără să-l plătești. Aceștia fac lucruri precum dezactivarea imaginilor de fundal și apar uneori notificări pop-up despre cumpărarea unei versiuni complete, dar nu cred că restricționează funcționalitatea.
Sunt destul de norocos deoarece, pe lângă faptul că eu trebuie să mă autodenunț, compania mea îmi oferă un dispozitiv pe care îl pot folosi când nu sunt la sediu.
Dacă lucrezi de acasă, poate ar trebui să ai computerul de serviciu în casă, folosit pentru muncă. Iar computerul personal nu ar trebui folosit pentru muncă.
Dacă ți se cere să oferi propriul computer pentru BYOD și BYOD nu este doar o facilitare opțională oferită de angajator, atunci probabil există întrebări legate de calitatea angajării tale.
În cele din urmă, GlobalProtect nu poate „spiona” (fără a intra în tehnicile de split tunnel) atunci când nu este conectat la un gateway. Așadar, poate că în timpul orelor de lucru, când ești conectat cu GP, nu trebuie să faci activități personale online.
Da. Legile privind confidențialitatea din țara ta pot limita ce pot/pot face cu aceste informații, dar trebuie să presupui că pot vedea totul, cu excepția cazului în care folosești TOR sau ceva similar pentru a-ți ascunde activitatea.
Ei pot intercepta doar traficul SSL dacă au instalat un certificat rădăcină pe PC-ul tău. Dacă nu, nu pot intercepta traficul SSL criptat între PC-ul tău și, să zicem, banca ta.
Nu poți instala VirtualBox și rula o VM ca „Mașină de muncă” pentru a evita orice teamă de spionaj? Ar păstra lucrurile separate, chiar și atunci când rulează simultan, nu?
Regula nr. 1 în BYOD este să nu. Nu voi înțelege niciodată de ce oamenii vor să plătească propriile dispozitive pentru a lucra pentru o companie. Folosește computerul de muncă sau VPN-ul SSL bazat pe browser dacă este oferit. Chiar și cu precauție, vei avea momente jenante.
Dacă și numai dacă GlobalProtect este configurat să nu folosească split tunnel, atunci tot traficul tău, inclusiv internetul, va trece prin Palo Alto și atunci știu ce ai accesat ieri
Dacă folosești Windows, mergi la CMD și introdu comanda route print, dacă ruta implicită indică către interfața tunelului GlobalProtect în loc de routerul tău, atunci ești norocos.
Da, compania ta va monitoriza traficul tău când ești conectat la rețeaua lor. Și dacă ți se dă un computer de serviciu, există o șansă destul de bună ca ei să poată monitoriza toată activitatea de pe acel dispozitiv, indiferent dacă ești conectat sau nu la VPN.
Foloseste calculatorul pentru activități de muncă în timpul programului. Oprește-l pentru activități personale. Am VPN pentru anumite sarcini, îl pornesc când trebuie să accesez o resursă, dacă nu am nevoie, îl opresc și continui să lucrez.
Dacă munca ta nu necesită constant resurse de rețea, oprește-l și folosește-l doar când ai nevoie.
Da, pot spiona traficul tău de rețea, nu doar atât, ci și documentele locale, inclusiv Poze și Video-uri. De aceea primești un mesaj (în mod special pe Mac) că GlobalProtect vrea să acceseze Desktop, Documents, Pictures și Music Folder. Apasă pe „nu permite” pentru această chestiune, sperând că chiar dacă nu ești conectat, nu vei trimite date către Palo Alto Networks pentru a fi vândute NSA sau companiilor străine.
Presupunând că utilizăm tunel complet și numai dispozitive corporative sunt permise, majoritatea site-urilor sunt blocate de firewall-ul companiei, ceea ce face mai ușor să separi navigarea pe muncă și personală.
Mi-e milă de tine având asta pe un dispozitiv BYOD.
Eu rulez o VM pe dispozitivul BYOD când trebuie să folosesc GPVPN ca o conexiune de rezervă pentru depanare pe un portal vechi, dar sunt sysadmin, deci probabil nu vei ajunge acolo. Și dezinstalarea este problematică, deci nu vreau să o corup.
Salut tuturor, am o întrebare despre asta. Sunt de acord cu toate comentariile legate de „lucrează în timpul orelor de muncă, joacă după încheierea programului”. Dar preocuparea mea este dacă, în timp ce sunt conectat la GP și lucrez, firewall-urile companiei și alte politici pot monitoriza fișierele și folderele care deja se află pe calculatorul meu personal?
Nu voi face nimic dubios, dar dacă, ipotetic, există astfel de conținut pe calculatorul OP, care este probabilitatea ca acesta să fie scanat și raportat.
Problema este că compania ta cel mai probabil nu va folosi GP pentru a te spiona, dar există o mulțime de alte instrumente, precum keylogger etc., care nu mai sunt un secret.
Compania mea folosește GlobalProtect. Deci, dacă înțeleg corect, compania poate vedea ce fac pe celelalte dispozitive personale pe care le folosesc acasă? Telefonul meu personal și calculatorul personal? Serios? Ei bine… dacă sunt atât de intruzivi, nu-mi mai pasă dacă sunt concediat pentru că, să spunem, în pauza de masă, folosesc telefonul meu personal pentru a accesa un canal pe care nu-l agreează. Nu fac niciodată nimic pe laptopul de muncă, ci totul doar pentru muncă. E prea mult, de fapt.
Și dacă folosesc split tunnel, atunci probabil toate interogările DNS sunt înregistrate. Ei poate nu vor obține URL-urile specifice, dar pot obține cu siguranță numele gazdelor.
