Come accennato, dovresti assolutamente impostare VPN "split tunnel", in cui il traffico attraversa la VPN solo quando è necessario: l'altro traffico passa su Internet. Questa è probabilmente la soluzione più semplice al tuo problema. Tuttavia, l'avvertenza è che questi computer infetti possono ancora essere utilizzati come punto di partenza per accedere alle risorse sulla VPN; quindi puoi avere un problema di sicurezza e non essere a conoscenza di quella soluzione.
Esistono molti altri modi più complessi per affrontare il problema. Ovviamente, non solo consigliare ma richiede che gli utenti VPN siano attivi, fino ad oggi AntiVirus è importante. Molti concentratori di VPN (Cisco, Juniper, ecc.) Dispongono di funzionalità nei loro client VPN che consentono di verificare la conformità a un profilo host, ad es. vedere se gli aggiornamenti sono installati, l'antivirus è aggiornato, ecc.
Salire di un ordine di grandezza, un sistema IPS (Intrusion Prevention System) è la soluzione ideale a questo problema; se il budget lo consente, poiché questi sistemi sono proibitivi e spesso richiedono risorse significative per l'installazione. Un IPS configurato correttamente revocherà immediatamente l'accesso alla VPN se viene rilevata un'attività seriamente anomala - un attacco DDOS lo farà quasi certamente.
In questo caso, puoi comunque utilizzare una VPN "full tunnel" con tutto il traffico Internet utilizzando la VPN come gateway predefinito, se preferisci. Mentre la velocità potrebbe risentire di una connessione VPN tunnel completa, sarà più sicura in quanto tutto il traffico dovrà attraversare il sistema IPS.