VPN

No. Místo normálního http připojení na www.seznam.cz budeš mít šifrované VPN spojení na nějaký pofiderní server kdovíkde. To určitě bude lepší, to nikomu nikde nebude divné, toho si určitě nevšimnou.

Jen pratelske rypnuti - kdys mel naposledy "normalni http" spojeni na seznam.cz misto sifrovaneho?

Vsechny solidni firewally samozrejme provadeji smirovani, inspekci a statistiku HTTPS pripojeni. Takze ze je pripojeni sifrovane, jeste neznamena, ze neni sledovane. Samozrejme prumerne paranoidni uzivatel zjisti dle certifikatu .... ale ruku na srdce: kdo z beznych uzivaku to dela?!MP

"Vsechny solidni firewally samozrejme provadeji smirovani, inspekci a statistiku HTTPS pripojeni".To je trochu silne tvrzeni. Jednak tohle neni zalezitost firewallu, ale obvykle nejake "sikovnejsi proxy"/bezpecnostni appliance (uz jsem dokonce zazil, ze tohle reseni bylo kompletne odsunute do cloudu).Na firmu to pak klade dalsi naroky souvisejici s nutnosti instalace korenovych certifikatu na vsechny hlidane koncove body (coz nemusi byt jen PC a notebooky).Troufnu si tvrdit, ze inspekce SSL je o pomerne velky krok dal nez "vsichni musime pres firemni proxy a ta nas obcas nekam nepusti". Nehlede na to, ze v nekterych zemich je inspekce SSL/TLS nelegalni bud plosne, nebo pro nektere kategorie stranek (typicky zdravotne a financne zamerene).Ale vzhledem k tomu, ze se puvodni tazatel uz/jeste neozval a nevime jakeho typu je jeho zamestnavatel, tak tady jenom soutezime kdo toho vic zna a kdo docura vys

Inspekce SSL jsou jen 2 kroky: instalace trusted CA do monitorovanych pocitacu (centralizovatelne) a pak proxy/firewall (vzhledem k trivialnosti nasazeni transparentniho proxy serveru / kooperace s routrem/firewallem bych to ani nerozdeloval), ktery dokaze dosstatecne rychle generovat ad-hoc certifikaty. Stary dobry "debugging" proxy Fiddler to umi leta, dtto Fortinet, Checkpoint ...MP

Ja souhlasim - pokud se omezime pouze na technickou stranku veci, tak to za splneni jistych podminek takhle jednoduche opravdu je.

Proste jsem chtel upozornit, ze "HTTPS://" samo o sobe znamena prd soukromi a ze je potreba kontrolovat chain certifikatu a certificate store vubec. Lenovo Superfish uz ma nejakych 5 let, WPBT tomu dava korunu ...MP

Jojo. Ja jsem jen narazel na uplne puvodni prispevek, kde zaznelo "normalni http" na seznam.cz - to uz samozrejme normalni par let neni.

Obvykle takovou vec potom na pohovoru s osobnim odelenim (HR) a/nebo bezpecnostnim oddelenim uslysis jako "obchazeni bezpecnostnich prostredku zamestnavatele". Nez to zkusis, podivej se do sve pracovni smlouvy a pripadne jeste firemni politiky pro zachazeni s firemnimi IT prostredky a zamysli se nad tim, jak moc tu praci potrebujes.Realne - muze se stat, ze si toho nikdo nevsimne a budes takhle fungovat leta. Taky se muze stat, ze si takhle zavirujes pracovni pocitac navstivenim stranek, na ktere by te firemni proxy nepustila. A dojde k hodne zajimave diskusi o tom, jak se tvuj pocitac mohl stat zdrojem nakazy ve firme. Jestli ti to za to riziko stoji, si rozhodni sam.

Pokud je ten zaměstnavatel dost paranoidní a skutečně sleduje, kdy a kdo se připojí k nějakému serveru se zprávami nebo počasím, tak naprosto jistě sleduje i to, kdo si vytvoří VPN spojení. Takže s tím, že si toho nevšimnou, bych rozhodně nepočítal. To by mělo okamžitě vyvolat nějakou odezvu, někde se spustí poplach a budou o tom vědět v řádu sekund - a bude zle.

Jiste - muze. Ale casto se to resi nejakou proxy ktera dela whitelisting a greylisting podle kategorii (treba BlueCoat). A tam jsou zakazane pristupy na stranky podle kategorii, ale neni zadny alert pro pripojeni k neznamemu serveru nebo dokonce analyza provozu podle klienta.Samozrejme tezko hadat, pro jakou firmu tazatel dela. Muze jit o cokoli od autodilny kde sef na routeru zakazal Facebook az po nemocnici/banku/armadu, kde se dba trochu vetsi duraz na bezpecnost az na uroven stanic.

Já dělám bezpečnost, včetně kritických systémů, tak to znám z praxe. A pokud nějaká organizace už má nějak nastavené interní bezpečnostní politiky a nějak to monitoruje, audituje, má log management s analýzou chování systémů, tak většinou jde od větších rizik k nižším. Vytvoření VPN spojení z klientské stanice má z logiky věci větší nebezpečnost, než že si Franta otevře iDnes nebo facebook. Pokud tedy vedení zaúkolovalo IT, aby dokonce i sledovalo uživatele, je těžko si představit, že by neměli i nastavený monitoring takových věcí, jako je vytvoření neznámého VPN tunelu zevnitř firmy. Možné to samozřejmě je, určitě se najde někdo, kdo zvyšuje ostnatý plot kolem domu, ale přitom nechává dokořán vrata. Nicméně nespoléhal bych se na to, ale právě naopak.

Ja se nehadam a souhlasm s tebou. Jenom z praxe vim, ze "mame sledovany provoz a surfovani na webu" casto znamena "nas provoz jde pres firemni proxy, ktera nas na spoustu stranek nepusti". A o zadne pokrocilejsi monitorovani nejde. A oba vime, jak to casto vypada s analyzou logu....

Admin by musel byt blbec, aby tohle slo. A blbci by museli byt i na personalnim, aby to proslo.Neprivolavejte na sebe nestesti!

A vytvořit virtuální mašinu si můžeš, jo?

cožpak vytvořit VM, ale připojit jí do LAN, to by mělo začít okamžitě někde řvát...

I když jsi dokázal několikařádkový dotaz vměstnat do jedné věty, jediné, na co by ses měl zaměřit, je opravdu "abys zaměstnavatele zbytečně neprudil".

A co ti brání se na pocasi zpravy atd.. v pauze na oběd podívat na vlastním mobilu?

By si musel platit data

A nebo maji zakazane i mobilni telefony - v nekterych organizacich je to bezna praxe - at uz kvuli bezpecnosti nebo treba kvuli ochrane pred prumyslovou spionazi.