Mijn werkgever blokkeert mijn thuisverbinding omdat ik een TOR relay heb

Een lezer vroeg me:

De dienstverlener van een SaaS administratie-pakket voor de zakelijke markt blokkeert/blacklist de thuisverbinding van een werknemer omdat deze een TOR node draait. De helpdesk weigert dit IP-adres te whitelisten en stelt dat de werknemer zichzelf van de blacklist zal moeten laten verwijderen, wat zou betekenen dat de node offline moet. Mag dit?

Deze manier van werken is me opgevallen bij een aantal SaaS-pakketten. Ik vermoed dat er iemand op security-cursus is geweest en daar leerde dat er met TOR nare dingen gebeuren, zodat het beter is om verkeer vanaf TOR te weren. Dus IP-adressen die óók een TOR node zijn, mogen dan niet inloggen.

Inderdaad gebeuren er rare en strafbare zaken via TOR, maar dat is onvermijdelijk met een netwerk dat opgezet is voor volledig anonieme communicatie. Maar wat je daar verder ook van vindt, ik zie niet hoe het relevant is bij het kunnen inloggen op een SaaS-tool. Ik snap dat je aanvallers wil weren, maar uiteindelijk doe je dat door een adequate authenticatieprocedure.

En oké, als je verkeer vanúit TOR wilt weren dan snap ik dat ergens – dat kan een wachtwoorddief zijn die zijn sporen wil wissen, en welk bedrijf zou standaard willen dat zijn werknemers inloggen via TOR? Maar hier gaat het over IP-adressen die óók een TOR node zijn, maar waarvan de login los staat van TOR.

Tegelijkertijd, wat doe je er aan als klant? Want dit soort dingen zijn -zeker in de zakelijke contractensfeer- prima zo af te spreken dat de dienstverlener het mag. Als die ervoor kiest om alleen als Nederlands bekend staande IP-adressen toe te laten bij de inlog, dan zit je als zakelijke klant op vakantie in Thailand inderdaad met een blokkade. En dan staat men in haar recht. Dit nog los van het punt dat je niet gaat procederen over een dergelijke bagatel, want de kosten zijn hoger dan de baten.

Arbeidsrechtelijk nog wel een interessante: kan ik als werkgever van een werknemer in deze situatie eisen dat zhij stopt met die TOR node? Kennelijk moet zhij thuis kunnen werken (anders is het probleem niet relevant voor het werk) en kennelijk is het contractueel redelijk dat de leverancier hem weert gezien die node. Het hindert het werk, wat die werknemer doet. Daar staat tegenover dat ik als werkgever vrij weinig te maken heb met zo’n privéhobby.

Wat zouden jullie de werkgever adviseren?

Arnoud

21 reacties

  1. Als het in belang van de werknemer is om thuis te kunnen werken: laat de medewerker zelf een VPN-abonnement betalen. Als het in belang van de werkgever is dat de medewerker vanuit huis kan werken: laat de werkgever een VPN-abonnement betalen.

  2. De werkgever zou er goed aan doen om gewoon een VPN naar de kantoorlocatie op te zetten. Naast dat dit veel andere beveiligingsvoordelen heeft, omzeilt het mooi de idiote blokkade.

    Deze blokkade zal ook menig universiteit en en bibliotheek treffen aangezien daar doorgaans veel exit nodes draaien. Sterker nog, TOR raadt particulieren af om exit nodes te draaien. Vanuit huis een bridge draaien heel graag, maar exit nodes liever bij organisaties die juridisch iets weerbaarder zijn.

  3. Zowieso kan hij inloggen in het systeem via de verbinding van je GSM?

    Kijk, ’t ligt natuurlijk heel erg aan een aantal factoren : Is de werknemer erg belangerijk voor het bedrijf. – of is het bedrijf erg belangerijk voor de werknemer? Een bedrijf zal vaak de persoon kunnen overtuigen om geen tor meer te draaien, als de werknemer erg afhankelijk is van zijn baan/inkomstern. Andersom zal vast ook wel gebeuren, alleen minder vaak.

    Of een werkgever zou kunnen eisen om te stoppen met tor? – mja dat denk ik wel als je in de defensie of aivd achtige sector zit. ’t is maar net waar de werknemer meer waarde aan hecht.

    In de praktijk is 20 euro uitgeven voor een extra verbinding de meest gangbare oplossing. ( waarvan 10 euro misschien wel zijn te declareren.)

  4. net als met elke thuiswerkplek, alle arbo regels en een pc van de zaak, en als het echt belangrijk is betaald de werkgever ook de verbinding waar de wergever dan uiteraard wel enige zeggenschap over heeft.

    Ik zie geen problemen

  5. Als je zo nodig een TOR-node wilt draaien, dan neem je toch een goedkoop VPS-je dat je als zodanig inricht? Sommige mensen maken zichzelf en anderen het leven zo moeilijk met hun principes. Ik ben zelf een groot voorstander van TOR, maar ik doneer gewoon zo nu en dan. Dan help je ook mensen censuur te omzeilen.

    1. Sommige mensen maken zichzelf en anderen het leven zo moeilijk met hun principes.

      Ja, helemaal met je eens. En als ik gewoon een mailserver wil draaien op mijn thuis-IP dan blijkt mijn netwerkblock in allerlei blacklists te zijn opgenomen omdat mijn buur-IP-adressen zo nodig hun consumenten-abonnementje moeten gebruiken om half Iran van internet te voorzien. Nobel hoor, maar doe dat niet op je consumenten-account.

      Ik snap dan ook volledig wanneer zowel werkgever als SaaS-aanbieder besluiten hier niet al te veel woorden aan vuil te maken en een standpunt “our way or the highway” innemen. En als je als werknemer zonodig principieel wil doen dan zou ik als werkgever ook principieel doen: als je wil werken hebben we een werkplek hier op kantoor voor je. Als je liever thuis wil werken dan prima, dat mag, maar onder (onze) voorwaarden.

      1. Nou nou, hard hoor.

        Ik begrijp best dat je gestoord wordt door mensen die dingen doen die ze eigenlijk niet moeten doen.

        Maar daar moet je niet deze werknemer de dupe van laten worden. Als de werknemers thuis mogen werken, mag deze dat ook. Als hij een goede internetaansluiting heeft, maar de SAAS leverancier wil die om verkeerde of principiele redenen niet accepteren, dan zijn er maar twee mogelijkheden, beide de verantwoordelijkheid van de werkgever: Een andere SAAS leverancier nemen, of een aparte internetaansluiting thuis bij de werknemer alleen voor het werk.

        De rest is allemaal met een kanon op een mug schieten, of grote mistwolken creeeren.

        1. Zeker, hard geworden. Wordt zo’n werknemer “de dupe” of moet die zich ook gewoon eens als een “goed werknemer” gedragen? Suggereer je nu serieus dat een bedrijf van SaaS leverancier moet switchen (met minimaal € xxx.xxx migratiekosten) omdat iemand vindt dat ie zo nodig het recht heeft om een Tor node te draaien? Of werkgever een internetverbinding moet betalen omdat iemand zijn eigen internetverbinding onbruikbaar maakt?

          Inmiddels probeer ik mensen die dit soort prinsessengedrag vertonen er al tijdens de sollicitatieprocedure uit te filteren.

          Enige voorbeelden uit mijn carriere als leidinggevende:

          • thuiswerken gaat niet want de medewerker kan niet tegen verandering en blijkt thuis Ubuntu 10 met een browser die een obscure Firefox 30-fork is te draaien, die geen enkele hedendaagse website ondersteunt;
          • firewall beheren gaat niet want medewerker wil de Cisco Java Webstart applet niet op zijn pc hebben (dat kan ik nog een beetje begrijpen) maar weigert ook de door ons aangeboden Windows VM te gebruiken want ja Micro$oft;
          • op eigen initiatief besluiten om voortaan een station eerder uit de trein te stappen en te eisen dat we niet alleen het treinabonnement vergoeden maar ook een fiets; hier twee jaar lang met elke HR-medewerker die voor je voeten komt een discussie over aangaan; oh ja, het treinabo moet wel tot het oorspronkelijke station blijven gaan want stel dat het een keertje regent;
          • je eigen self hosted DNS relay willen gebruiken op je werkplek;
          • de bedrijfstelefoon weigeren want sinds Steve Jobs geen hippie meer is is Apple ook evil maar intussen de 2FA app niet kunnen draaien op je weet-ik-wat-voor-obscuur-ding.

          Dus ja, ik ben wel hard geworden.

          1. Of werkgever een internetverbinding moet betalen omdat iemand zijn eigen internetverbinding onbruikbaar maakt?

            Wat is dit nu voor een onzin? Als de werkgever wil dat ik mijn thuis internetverbinding en/of (mobiele) telefoon gebruik voor werk dan betaalt hij die. Dat was bij al mijn werkgevers normale gang van zaken. Voor thuiswerken kreeg ik een laptop, dat doe je niet op privé computers, ook niet op VM’s. Dat iemand geen Java op zijn privé pc wil is volkomen logische en daar gaat de werkgever simpelweg niet over.

            Je enige terechte punten zijn die fietsvergoeding en weigeren bedrijfstelefoon, de rest is gewoon een werkgever die zichzelf rechten op het eigendom van werknemer en de gebruik van door medewerker betaalde diensten toeschrijft, onbestaanbaar! En wat die bedrijfstelefoon betreft, die gaat buiten werktijd natuurlijk uit, tenzij er een vergoeding is voor 24 uur per dag bereikbaar zijn.

            Ik kan je vertellen dat ik met die eisen heel snel bij je weg zou zijn geweest als werknemer.

            1. Even wat verduidelijking:

              Java Webstart: dat ging over de door werkgever ter beschikking gestelde laptop. En zoals ik zei, daar kon ik me zelfs nog wel in vinden. Vervolgens stellen we als werkgever een VM ter beschikking (dus bovenop de laptop) en dat was ook niet goed.

              De Ubuntu 10 draaiende werknemer had ook een laptop maar besloot dat het zoveel gedoe was die mee te nemen naar huis en dat hij wel op zijn Ubuntu 10 PC ging werken – en komt vervolgens een paar cruciale applicaties niet in – en maakt daar een halszaak van.

              De medewerker met de geweigerde bedrijfstelefoon kreeg een vrij riante wachtdienstvergoeding.

              We stellen vanuit WKR vergoedingen ter beschikking. Maar een tweede internetverbinding omdat je je eigen internetverbinding verziekt (met vervolgens vast ook nog een hoop gedoe omdat je geen zin hebt steeds te wisselen), dat vind ik belachelijke geldverspilling. Dan is een cloud VPS voor je Tor node tien keer zo goedkoop.

              Als je alle beroep op redelijkheid en je te gedragen als goed werknemer als “eisen” vertaalt dan was ik waarschijnlijk heel erg blij geworden wanneer je inderdaad opsodemieterde.

              1. Richard,

                Jouw probleem is dwarsliggende werknemers.

                Ik heb alle begrip voor je standpunt (hoewel dat misschien uit eerdere posts ander leek), maar de oorzaak van jouw probleem is niet een bepaald iets dat de werknemer doet of niet doet (zoals een TOR node draaien), maar het feit dat hij niet redelijk wil meewerken aan een oplossing.

          2. Hij heeft het recht een TOR-node te draaien, net zoals hij het recht heeft drie-dagen-ongewassen thuis te werken en daar scheten te laten. Dat zou je op kantoor niet accepteren, maar dat is het nu juist…. thuis werken. Thuis, weet je wel, op je eigen plek.

            Of is een geschikte werknemer voor jou er alleen een die zijn internetverbinding alleen voor het werk gebruikt, en een snel genoege computer met de laatste windows versie, en die ook nog allemaal gratis en voor niks aan de werkgever ter beschikking wil stellen?

            Kom nou toch! Geeft ze gewoon een bruikbaar dedicated apparaat en verbinding. Kost maximaal 20% van EEEEEEN maandsalaris, waar zeur je over?

            Natuurlijk heb je werknemers die de kantjes eraf lopen, en die iedere euro die ze uit de werkgever kunnen naaien met een glimlach accepteren, maar dat staat los van deze casus. Dat treinabbonnement heeft hier niets mee te maken, een rookgordijn.

            1. cg, betreffende medewerkers hadden allebei een laptop van de zaak. Zei ik hierboven?

              En als we als bedrijf gekozen hebben voor Microsoft Windows dan mag je er zelfs nog op dual booten als je dat graag wilt, maar je moet niet gaan zeuren dat je voor die ene applicatie waar je Windows voor nodig hebt, dat niet wil gebruiken. En ik heb geen behoefte aan een rage over “Micro$oft”.

              Het gaat me niet eens zozeer om de kosten van zo’n internetverbinding (al vind ik het geldverspilling en dat irriteert me), het gaat om de houding dat iemand een Tor exit node draait op zijn consumenten-ADSL en vervolgens zich op het standpunt stelt dat de rest van de wereld zich aan moet passen, met alle kosten en gedoe van dien. Iemand die weigert te snappen dat er dienstverleners zijn die daar moeite mee hebben – of ze nou gelijk hebben of niet want natuurlijk vindt werknemer zichzelf technisch geniaal en zij hebben zich volledig gediskwalificeerd ondanks het feit dat ze een top of the bill SaaS pakket zijn en deze maatregel waarschijnlijk eens noodgedwongen genomen hebben omdat ze daadwerkelijk vanuit een Tor exit node (poging tot) gehackt werden.

              En intussen hebben we het niet over onze eigen diensten en producten maar zijn we bezig met kinderachtig gesteggel. Tegen zo iemand zeg ik met liefde: Ga eens aan het werk joh.

  6. Best veel werkgevers regelen voor thuiswerkers een VPN verbinding naar het bedrijfsnetwerk. Deze maakt het mogelijk om dat gewoon via de firewall van de werkgever het internet op te gaan. Hierdoor kun je ook naar de interne systemen van de werkgever toe, wat best vaak ook nodig is. Dat is afhankelijk van de ICT infrastructuur van de werkgever misschien best te regelen.

    Betreffende de tor-node is het ook interessant om te weten of het een exit-node is of niet. Als het geen daadwerkelijke exit-node is, dan is ook niet echt een probleem voor de SaaS-provider, want er komt dan geen echt tor-verkeer het internet op via dat IP adres. Er zal dan alleen tor-verkeer van en naar andere tor-nodes gaan via die node. Als het wel een tor-exit-node is, dan snap ik soms best wel dat de SaaS daar mogelijk maatregelen tegen neemt. Dat hoeft natuurlijk niet te betekenen dat je volledig alles blokkeert, maar bijvoorbeeld een extra captcha op plekken plaatsen is dan zeker niet ongehoord.

    1. Veel werkgevers regelen een verbinding naar hun bedrijfsnetwerk via hun IT clouddiensten provider. En die provider koopt ergens anders een VPN in. Als werkgever kun je mensen naar kantoor laten komen, of via die VPN in laten loggen, meer smaken zijn er niet echt.

    1. Die lijstjes zijn bovendien publiek beschikbaar (met dank aan het Tor project). Deze ezels blokkeren gewoonweg willekeurig, niet ter zake doende IP adressen. Wanneer ze er op worden gewezen, doen ze niets. Wanprestatie.

    1. Het SAAS bedrijf weet toch welk account die gebruiker heeft; alleen die login met die specifieke usernaam hoeven ze maar te accepteren vanaf dat IP adres. Nee, met een goedkope layer3 firewall die alles weggooit voordat het account wordt gecheckt gaat dat niet werken, maar dat is hun keuze.

      Trouwens, heeft een beetje provider niet gewoon een proxyserver die je kunt gebruiken (zoals proxy.xs4all.nl)

      1. alleen die login met die specifieke usernaam hoeven ze maar te accepteren vanaf dat IP adres

        Tuurlijk, bouwen ze even in. Oh, is het een dynamisch IP? Bouwen ze ook even wat voor. Wat zal dat kosten, inclusief (regressie)testen ? Paar duizend euro minimaal?

        Trouwens, heeft een beetje provider niet gewoon een proxyserver die je kunt gebruiken (zoals proxy.xs4all.nl)
        Bestaat dat nog? Wel een goede oplossing! Desnoods zelf even op een VPS-je. Of mogen we dat niet van betreffende medewerker verlangen te doen?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.