Impedisci agli utenti della rete di creare una connessione VPN in uscita non autorizzata per evitare i criteri di rete

7

È possibile impedire agli utenti della rete di creare connessioni VPN in uscita non autorizzate per evitare i criteri di rete?

Modifica: qual è il modo migliore per rilevare connessioni VPN in uscita non autorizzate mentre sono in corso o dopo che si sono verificate? Presumo che ci siano soluzioni software?

    
posta Hannibal 27.01.2012 - 16:50
fonte

5 risposte

8

Questa è una cosa di gestione del rischio. Come menzionato da @tylerl, se l'unico parametro è quello di fermare le persone dall'apertura dei tunnel, allora bloccare tutto è la strada da percorrere.

Nel mondo reale, devi valutare i rischi e i benefici.

Preferisco una politica d'uso accettabile ben comunicata + regole firewall + liste nere + statistiche sul traffico. Bloccherà i lavoratori onesti e leggermente disonesti. Per i tecnici disonesti, cerca sessioni aperte a lungo, quantità insolitamente elevate di traffico crittografato o comunicazioni after-hours da / verso le macchine nelle reti degli utenti finali.

Sei ancora esposto al rischio che le persone utilizzino i tunnel per piccole quantità di dati, ma hanno ancora chiavi USB, iPod e telefoni cellulari?

    
risposta data 27.01.2012 - 18:31
fonte
9

No.

Beh, sì, ma probabilmente non nel modo in cui stai pensando. Dovresti bloccare tutto il traffico in uscita per impostazione predefinita e quindi elencare solo gli host esterni (non le porte, non i servizi) che puoi garantire non saranno utilizzabili per rimbalzare il traffico (generalmente perché sono anche limitati allo stesso modo).

Se si desidera bloccare tutti i tipi di traffico per i quali esistono già strumenti per inoltrare il traffico VPN, è necessario bloccare HTTP, HTTPS e DNS tra l'altro, rendendo quasi inutile la tua connessione Internet.

    
risposta data 27.01.2012 - 17:33
fonte
4

Non è possibile bloccare facilmente a un utente tecnico esperto l'accesso a cose tramite il firewall.

Molte reti limitano il traffico esterno solo a http e https, con i propri server DNS e di posta interni che sono esentati da tale politica. Ciò rende più difficile spostarsi, ma non impossibile.

Ad esempio, mi collego spesso al mio server di casa da hotel e post wireless gratuiti usando Putty e ProxyTunnel. Sembra essere solo il normale traffico HTTPS, ma in realtà il traffico SSH in tunnel, che a sua volta crea tutto ciò che voglio. Lo stesso può essere fatto su HTTP normale.

Arrestare gli utenti dall'aggirare il firewall non ha davvero una soluzione tecnologica. È meglio avere una chiara politica di utilizzo accettabile, con pene chiare per la violazione (a seconda della gravità della violazione, qualsiasi cosa da un avvertimento verbale o scritto fino a essere terminato sul posto può essere appropriato) e in realtà l'esecuzione. / p>

Spiegare agli utenti PERCHÉ le cose sono bloccate a volte è anche utile. Se ad esempio blocchi la musica in streaming perché il sito ha una connessione Internet molto limitata e rallenta, informalo agli utenti. Sapere che c'è una ragione reale dietro di esso oltre "semplicemente non vogliamo che tu" faccia molta strada per fermare le persone dal cercare di aggirarle.

Allo stesso tempo, assicurati di non bloccare così tanto che inizia a interferire con il loro lavoro. Ho lavorato in luoghi che bloccavano il sito Web con parole chiave che rendevano off limits i siti web completamente pertinenti e necessari. Quindi, quello che avrebbe dovuto essere 5 minuti di ricerca si trasformava in ore o giorni di tentativi di ottenere un sito sbloccato.

    
risposta data 28.01.2012 - 23:29
fonte
2

Dipende dal tipo di connessione VPN, davvero. Se è un tunnel IPsec, il blocco della porta 500 potrebbe fare il trucco. Questa è la porta predefinita utilizzata da IKE. Se è una VPN SSL, allora probabilmente hai bisogno di un firewall a livello di applicazione che possa fare il filtraggio del traffico basato sulle firme. Dovresti anche effettuare il proxy delle connessioni HTTPS (fondamentalmente una configurazione man-in-the-middle). Altrimenti, non sarai in grado di vedere il traffico crittografato.

    
risposta data 28.01.2012 - 06:07
fonte
-1

bene se si spegne il protocollo 47 (GRE) ciò impedirà alla maggior parte dei vpns di trasferire dati. dato che il 99% di vpn utilizzerà il protocollo precedente

Sui router mikrotik o su Cisco questo dovrebbe essere facile e puoi anche vedere se qualche VPN lo supera. in entrambi i casi è possibile bloccare tutte le porte vpn 4500,500,1723 e 47 (GRE) e dirglielo solo se l'indirizzo dst = 192.168. . / 24 (indirizzo di rete) e protocollo = 47 (gre) rilascia pacchetti

    
risposta data 09.11.2015 - 20:52
fonte

Leggi altre domande sui tag