In che modo è possibile utilizzare i proxy inversi per aggirare le politiche di utilizzo accettabile di un'azienda?

I proxy inversi non possono essere realmente usati per eludere le regole, credo che tu ti stia riferendo a forward proxy. Controlla questo post per scoprire la differenza. (Se ho torto, per favore, postare un commento)

È possibile limitare l'accesso forzandoli a utilizzare internamente il proprio server proxy diretto. Fai attenzione che questa non è una prova al 100%, un utente più esperto riuscirà a farlo facilmente usando SOCKS su ssh.

Che cosa puoi fare? Cosa fai quando qualcuno infrange le regole:

• li avvisi
• li punisci

Assicurati solo che quando li avvisi e li punisci sono consapevoli di ciò che afferma l'AUP e anche del perché alcune cose sono state vietate. Rendili consapevoli che potrebbero esserci minacce alla sicurezza per la rete interna o per l'ambiente di lavoro e che il loro comportamento non è accettabile.

Rileva

Indipendentemente dall'analisi del proxy di inoltro o inversione del traffico di rete con qualcosa come Wireshark, ti consentirai di rilevarlo, che è il primo passo per prevenirlo.

I proxy progettati per aggirare il filtraggio o il controllo degli accessi esibiranno questo tipo di comportamenti come per i bot e in generale qualsiasi tentativo di nascondere il vero scopo:

• URL lunghi con nomi di siti Web in primo piano http://www.google.com.proxy.com/ o finali come http://proxy.com/http/www.google.com/
• SSL / TLS tunneling
• Connessioni a indirizzi IP anziché nomi host DNS
• Le connessioni a cui l'intestazione% request Host: HTTP non corrisponde al nome host
• Connessioni non HTTP su porte HTTP
• Connessioni alla porta TCP / UDP su 1023

Ovviamente questo potrebbe includere un sacco di traffico legittimo, ma sapere quale tipo di traffico attualmente entra e uscire dalla rete ti consentirà di rilevare eventuali anomalie.

Preventelo

Supponendo che tu stia cominciando da nessun controllo sulla tua rete, cercherò di creare quanto segue per rafforzare la conformità:

• Sviluppo di un ambiente operativo gestito aziendale (MOE): sapere quale software è installato sui client / server, imporre la rimozione di software sconosciuto o non consentito.
• Utilizzare un firewall con buone capacità di registrazione e filtraggio sulla rete di bordo e provare a mettere i punti di strozzatura in modo da ridurre al minimo dove si deve guardare.
  • Ottimizza le regole del firewall e la registrazione.
  • registra solo ciò di cui hai bisogno per evitare un sovraccarico di dati che non puoi riesaminare.
  • Utilizza un approccio whitelist. Ad esempio, blocca tutto in entrata e in uscita per impostazione predefinita e consenti solo il traffico approvato noto.
• Utilizza server proxy per il controllo granulare HTTP / HTTPS.
  • Scegli uno che supporti il filtraggio in base alle categorie (che è un dizionario e, a volte, altre intelligenze per categorizzare gli URL, spesso hanno una categoria solo per bloccare il riconoscimento di proxy anonimi).
  • I server proxy possono implementare l'intercettazione SSL per bloccare le applicazioni di tunneling (alcune applicazioni legittime usano questo).
  • Blocca il traffico non HTTP sulle porte HTTP.
  • Blocca il traffico HTTP / HTTPS diretto agli indirizzi IP invece dei nomi host DNS.
  • Esamina regolarmente i rapporti sul traffico web, cerca nomi di host sospetti e siti Web non classificati.
• Implementa un sistema di prevenzione delle intrusioni

Anche se potresti non essere in grado di fare tutto ciò, sicuramente ti sarà di grande aiuto.

Spero che ti aiuti.

(Risposta a un proxy avanzato come concordo con Lucas).

A seconda di come si apre l'ambiente, non c'è molto che puoi fare. Se si deve consentire l'accesso ssh alla rete per scopi legittimi, non è possibile capire se il traffico è normale ssh (ad esempio, il trasferimento di file per scopi legittimi) o un proxy SOCKS su un tunnel ssh; se l'utente lo ha implementato correttamente (a volte roba simile alle richieste DNS non utilizzerà il proxy e puoi dire dove stanno andando le persone). Se hai la capacità di essere più restrittivo, puoi semplicemente bloccare tutto tranne la porta 80 (forse permettendo la porta 443 per alcune entità conosciute come gmail).

Una soluzione migliore è chiari e ben noti politiche d'uso accettabili con chiare conseguenze per le violazioni. Ad esempio, se un dipendente viene sorpreso a guardare il porno / guardare i film di Netflix / utilizzare Facebook sui computer dell'azienda in orario aziendale in chiara violazione delle regole, ha pene severe (che vanno dal pagamento in blocco della multa al licenziamento). Un'altra alternativa consiste nell'installare l'applicazione di monitoraggio remoto su tutti i computer aziendali e consentire a un amministratore di visualizzare in remoto su qualsiasi desktop. (Anche se sembra abbastanza draconiano e probabilmente creerebbe un ambiente di lavoro ostile).

Inoltre, se ciò che ti preoccupa è la condivisione di larghezza di banda limitata e la gente dice di fare streaming di molti video, può valere la pena di pensare a implementare una sorta di quota di rete; probabilmente più rigoroso per il traffico crittografato rispetto al traffico HTTP o HTTPS della porta 80 verso server noti (ad esempio, gmail).

Se sei preoccupato per le persone che trasferiscono dati riservati è un altro problema. Una volta che un dipendente ha accesso ai dati sul proprio computer, è fondamentalmente necessario fare affidamento sulla fiducia del dipendente per non abusare dei dati (oltre a limitare e monitorare chi accede inizialmente ai dati sensibili). Se possono impostare un proxy; possono fare altre cose per portare i dati fuori sede. Criptare i file e inviarli via e-mail o metterli su un archivio rimovibile (unità USB / cd / dvd / laptop masterizzati), ecc.