Моя компания использует фильтры для содержимого, доступного для просмотра, и я должен проверить, все ли соблюдают политику просмотра. Недавно я заметил, что некоторые пользователи активируют OpenVPN на своих рабочих станциях, и я обнаружил, что они подключаются к порту 443 внешнего сервера, а затем используют прокси, чтобы обойти фильтры компании. Есть ли способ контролировать VPN-соединения на разрешенных портах или избегать соединений?
Считаем ли мы, что это соединение OpenVPN не установлено вами / вашей компанией, и что конечные пользователи подключаются к своему собственному серверу OpenVPN? Если OpenVPN использует стандартные порты, вы, безусловно, можете заблокировать их: отбросить или отклонить трафик на порты TCP и UDP 1194, возможно, с определенных машин (соответствующих пользователей) и на определенные машины (сервер OpenVPN). Поскольку это не так (извините за то, что пропустил этот первый раз), тогда ваш вопрос будет следующим: «Как я могу отличить законный HTTP-over-SSL-on-TCP-443 от запрещенного OpenVPN-over-SSL-on-TCP-443?». Инструмент вроде ssldump может выявить некоторую разницу между HTTPS и OpenVPN, но превратить это в правило брандмауэра для отклонения трафика к определенному серверу может быть сложно.
OpenVPN использует SSL для шифрования, и взломать это нетривиально, поэтому вы не можете видеть, что находится в трафике VPN от брандмауэра или другого хост-шлюза, однако приличный сниффер пакетов (wirehark) по крайней мере скажет вам, что есть трафик SSL. между рабочей станцией A и общедоступным интернет-адресом B. Вы можете установить снифферы трафика на рабочие столы пользователей (опять же, вы не сказали, на какой платформе, но я предполагаю, что Windows) напрямую, и обнюхивайте устройство с «краном» (есть соображения конфиденциальности, особенно если людям разрешено использовать VPN в личных целях).
Возможно, это в равной степени нарушение политики / кадровая проблема, а также техническая проблема, поэтому вовлечение руководителей / сотрудников отдела кадров не будет плохой идеей, т.е. заставить их объявить / повторить политику и, действительно, будут приняты технические меры, чтобы усилить эту политику. Сначала убедитесь, что пользователи действительно используют OpenVPN для обхода фильтрации контента и к чему они получают доступ - то есть, если они делают это для доступа к материалам, связанным с работой, вам следует подумать, действительно ли ваша политика фильтрации приносит пользу компании. или это просто препятствие для выполнения работы, так что людям приходится тратить время и силы, чтобы обойти это.
Это похоже на кадровый вопрос, а не на технический. Ваша организация должна проводить регулярные аудиты безопасности ваших рабочих станций. Следует четко указать, что если какой-либо пользователь будет пойман с использованием неавторизованного программного обеспечения, включая VPN, прокси и т. Д., К нему будут применены санкции.
На самом деле, не существует «простого» способа определить разницу между HTTPS через порт 443 и OpenVPN. Это выполнимо, но требует больше усилий, чем того стоит. Если вы видите необычайно большой объем трафика или что-то еще подсказывает вам, может быть, лучше провести «учебную сессию» с вашими пользователями.