<div dir="ltr">On 10 May 2018 at 12:18, Martin via Nottingham <span dir="ltr"><<a href="mailto:nottingham@mailman.lug.org.uk" target="_blank">nottingham@mailman.lug.org.uk</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
</span>Do not underestimate the false sense of security of a VPN/tunnel...<br></blockquote><div>Not my call.<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Are your endpoints themselves secure and trustworthy?<br></blockquote><div>The VPN? I have no clue, I don't manage that.<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Do your local machines (lazily) assume the internal LAN to be secure and<br>
trusted?<br></blockquote><div>No. Every personal machine is firewalled with only the specific ports opened (which is, generally speaking, almost none).<br></div><div>The corporate box? Pretty sure it is, but I have little control over that.<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Is your internal LAN still really secure and trusted with a VPN<br>
tunnelling through your firewall from the unclean bad outside?<br></blockquote><div>No VPN inbound, only outbound (that's why I need SSH to get into my LAN)<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Are your systems still secure when they assume all their connections are<br>
"local only" and yet you now have a remote connection from "somewhere<br>
else"...<br></blockquote><div>Mine? Yes, AFAIK.<br></div><div>Corporate? Mine seem to be, I have stories about others. :-)<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
... As demonstrated by the giggle of remote workers working for two<br>
different corporates/call-centres, and using two VPNs that then<br>
inadvertently connect the internal networks of those two remote entities<br>
together for much hilarity...<br></blockquote><div> I have seen that happen.<span class=""><br><br></span><span class=""></span></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
</span>That's the usual lame lazy excuse of the Proprietary world and the old<br>
game of lock-in...<br></blockquote><div>The services are not on the public internet, so some kind of tunnel/proxy is needed.<br></div><div>I guess you could expose them and use SSO or similar, but I am not sure how much better/worse that would be.<br></div><div>It's not my call.<br><br></div>J.<br></div></div></div>