Как да блокирам неразрешени vpns

Вие сте на среща за повишаване на заплатите на ИТ персонала (добре, вероятно не); тогава забелязвате, че един от присъстващите тихо се усмихва, докато използва лаптопа си. Небрежно поглеждате в екрана му и забелязвате, че той гледа „ Пламтящите седла на Мел Брукс, вместо да участва в срещата. С използваните технологии във вашата компания се чудите как би могло да се случи това?

По-късно през деня, след като се уверите, че въпросният служител е в списъка за освобождаване, проверявате настройките на защитната стена и рутера. Със сигурност: сайтовете за филми са блокирани. Какво става? Отговорът е, че блоковете ви на защитна стена или рутер не успяха да уловят факта, че скоро бившият служител използваше виртуална частна мрежа (VPN), за да прикрие естеството на своя трафик.

Разбира се, това е само един пример за проблемите, които изходящата VPN употреба може да причини в мрежа. Има много повече - всъщност достатъчно, че сенаторите Рон Уайдън (D-Орегон) и Марко Рубио (R-Флорида) поискаха от Министерството на вътрешната сигурност на САЩ (DHS) да проучат използването на VPN от федералните служители. Целта на разследването е да се определи дали използването на VPN трябва да бъде забранено в рамките на федералното правителство.

В този случай безпокойството представлява заплахата за сигурността, която представляват чуждестранните VPN оператори, които биха могли да прехванат трафика на своите сървъри и да запазят копие. Основните доставчици, за които се отнасят сенаторите, са компаниите със седалище в Китай и Русия, но те също се притесняват от оператори, чиито сървъри биха могли да бъдат компрометирани от сходни противникови страни.

(Изображение за кредит: Statista)

VPN мрежите могат да бъдат компрометирани

Проблемът е, че тези нации и други са след много повече от държавна тайна. Те също търсят огромния масив от информация, които VPN могат да носят днес, повечето от които могат да се използват за най-различни цели. Това включва данни като бизнес процеси, търговски тайни, списъци с контакти от софтуера за управление на взаимоотношенията с клиенти (CRM) и всякакъв вид лична информация, която вашите служители съхраняват за себе си или техните контакти.

Въпреки че VPN е криптирана връзка между двете точки, където е настроена, щом стигне до сървъра в другия край, криптирането може да приключи. Всяка информация, която преминава през този сървър, може да бъде компрометирана. Но има и други заплахи освен това.

Тъй като VPN връзката е логично подобна на простото свързване на много дълъг мрежов кабел, има и връзка от VPN сървъра обратно към клиентското устройство във вашата мрежа. Тази връзка може да се използва за компрометиране на компютъра във вашия край, а може би и на вашата мрежа. Сега можете да видите естеството на тази заплаха.

Различните видове VPN

И да не забравяме, че има повече от един вид VPN. Има изходяща VPN, която се използва на клиентски устройства (като например на горепосочения лаптоп на служителите), който често се използва за заобикаляне на регионални ограничения за неща като филми и музика, за защита на предаването на информация от несигурни места и за предотвратяване на кражба на данни по време на пътуване. След това има VPN, които се настройват между сървъри на две места, например между домашен офис и клон. Говорим за първия тип.

При този тип има и множество причини да имате VPN, една от които е да се свържете към услуги извън вашата мрежа, като например сайт за филми. Другата причина е да създадете сигурна връзка при влизане, например когато единственият Wi-Fi, който можете да намерите, е в McDonald's. Тук се фокусирам върху извикване към отдалечен VPN сървър.

Когато разглеждате мрежата на вашата организация, проблемите във връзка с изходящите връзки към VPN сървър са различни от тези за отделен потребител у дома. Като нещо, мрежата принадлежи на вашата компания и вие носите отговорност за трафика, който преминава навън. Освен това вие сте отговорни за хитовете на производителността, които могат да се случат, ако имате няколко души, да речем, гледате филми с висока разделителна способност (HD), докато всички останали се опитват да работят.

Прилагане на добра VPN политика

Въпреки че ще има изключения в зависимост от нуждите на вашата организация, добра политика е да блокирате изходящия VPN трафик, преди да може да напусне вашата мрежа. Освен това трябва да помолите отдела за човешки ресурси (HR) да публикува правило, забраняващо използването на VPN, освен ако това не е разрешено специално за отделни случаи. Искате да участва HR отделът, за да можете да предприемете действия, когато някой измисли как да заобиколи вашите VPN блокове.

След това трябва да конфигурирате вашите защитни стени или рутери (или и двете), за да предотвратите изходящия VPN достъп. Ето шест промени, които трябва да направите:

Създайте черен списък на известни публични уебсайтове за VPN и поддържайте списъка актуализиран, тъй като списъкът може постоянно да се променя.

Създайте списъци за контрол на достъпа (ACL), които блокират VPN комуникации, като UDP порт 500, който често се използва.

Използвайте възможностите за инспекция на вашата защитна стена, за да търсите шифровани комуникации, особено тези, които отиват на чужди места. Вероятно не искате да пречите на банковата сесия на служител, но сесия с продължителност час не е някой, който търси баланса на кредитната си карта. И, разбира се, много от уебсайтовете използват шифроване на Secure Sockets Layer (SSL) в наши дни, така че не можете просто да забраните криптирането.

Потърсете публични VPN приложения на машини, собственост на компанията. Те не са същите като приложенията за вашите входящи VPN, а по-скоро, те са приложения за активиране на изходящи VPN връзки.

Настройте специална мрежа само за посетители на вашия Wi-Fi контролер (или рутер, ако сте малка компания), която позволява връзки само към конкретни интернет ресурси, обикновено тези, работещи на порт 80 (уебсайтове) или порт 443 (SSL). Можете също така да искате да разрешите портове 25, 465 и 587, които са необходими за имейл. Трябва да откажете всички други връзки.

Не забравяйте, че между доставчиците на VPN се случва надпревара с оръжие и опити да се блокира използването им. Трябва да сте внимателни към усилията за заобикаляне на неподходящо използване на VPN във вашата мрежа и ако е необходимо, предприемете действия за спирането му, като използвате HR правилата, ако е необходимо.

Заключителни мисли

• Защо не избирам най-добрата VPN за Китай Защо не избирам най-добрата VPN за Китай
• Най-добрите VPN рутери за 2019 г. Най-добрите VPN рутери за 2019 г.
• Бизнесът трябва да разбере риска от VPN услуги. Бизнесът трябва да разбере риска от VPN услуги

Знам, че звучи несъвместимо с това, че тук и след това съм преглеждал и препоръчал VPN продуктите, които са поставили под въпрос тяхната стойност, но това е една ситуация, при която, въпреки стойността, която имат за сигурност, VPN не винаги се използват по подходящ начин. Не искате отворена мрежа между вашата организация и противник и вероятно не искате служители да гледат филми (или по-лошо) на работа.

Въпреки че трябва да решите какво представлява подходящото използване на VPN за вашите служители, не забравяйте: това не е въпрос на свобода или неутралност на мрежата. Това е вашата частна мрежа и вие сте отговорни за трафика, който пътува по нея. Имате пълно право да го контролирате.