Мониторинг пользователей VPN в моей сети

Question

Мониторинг пользователей VPN в моей сети

Моя компания использует фильтры для содержимого, доступного для просмотра, и я должен проверить, все ли соблюдают правила просмотра. Недавно я заметил, что некоторые пользователи активируют OpenVPN на своих рабочих станциях, и я обнаружил, что они подключаются к порту 443 внешнего сервера, а затем используют прокси-сервер для обхода фильтров компании. Есть ли способ контролировать VPN-соединения на разрешенных портах или избегать соединений?

1

proxy openvpn filtering

Источник

Federico Fenara 10 июн '10 в 08:34

2 ответа

Другие вопросы по тегам proxy openvpn filtering

Norky 10 июн '10 в 08:50 2010-06-10 08:50 · Answer 1 · 2010-06-10 08:50

Предполагаем ли мы, что это соединение OpenVPN не установлено вами / вашей компанией и что конечные пользователи подключаются к своему собственному серверу OpenVPN? Если OpenVPN использует стандартные порты, вы, безусловно, можете заблокировать их: отбросить или отклонить трафик на порты TCP и UDP 1194, возможно, с определенных машин (рассматриваемых пользователей) и на конкретные машины (сервер OpenVPN). Поскольку это не так (извините за отсутствие в первый раз), ваш вопрос становится следующим: "Как я могу отличить законный HTTP-over-SSL-on-TCP-443 от запрещенного OpenVPN-over-SSL-on-TCP-443?". Такой инструмент, как ssldump, может выявить некоторые различия между HTTPS и OpenVPN, но преобразование этого в правило брандмауэра для отклонения трафика на конкретный сервер может быть затруднено.

OpenVPN использует SSL для шифрования, и взлом не является тривиальным, поэтому вы не можете видеть, что находится в трафике VPN от брандмауэра или другого хоста "шлюза", однако приличный анализатор пакетов (wireshark) по крайней мере скажет вам, что есть трафик SSL между рабочей станцией A и общедоступным интернет-адресом B. Вы можете установить анализаторы трафика на рабочие столы пользователей (опять же, вы не сказали, какая платформа, но я возьму Windows) напрямую, и прослушать устройство "tap" (есть соображения конфиденциальности, особенно если людям разрешено использовать VPN для легкого личного использования).

Можно утверждать, что это как нарушение политики / кадровой проблемы, так и техническая проблема, поэтому привлечение боссов / сотрудников не будет плохой идеей, то есть заставит их объявить / повторить политику, и, действительно, технические меры будут приняты для усилить эту политику. Сначала убедитесь, что пользователи действительно используют OpenVPN для обхода фильтрации контента и того, к чему у них есть доступ - то есть, если они делают это для доступа к материалам, связанным с работой, то вам следует подумать, действительно ли ваша политика фильтрации приносит пользу компании, или это просто препятствие выполнению работы, так что людям приходится тратить время и силы, чтобы ее обойти.

cwawak 10 июн '10 в 14:48 2010-06-10 14:48 · Answer 2 · 2010-06-10 14:48

Это похоже на кадровый вопрос, а не на технический. Ваша организация должна регулярно проводить проверки безопасности ваших рабочих станций. Следует четко указать, что если какой-либо пользователь будет пойман с использованием несанкционированного программного обеспечения, включая VPN, прокси-серверы и т. Д., Они будут наказаны.

На самом деле, не существует "простого" способа определить разницу между HTTPS через порт 443 и OpenVPN. Это выполнимо, но требует больше усилий, чем оно того стоит. Если вы видите необычайный объем трафика или что-то другое, вас это устраивает, возможно, лучше всего провести "образовательную сессию" со своими пользователями.