¿Me pregunto cómo se pueden usar los proxies inversos para eludir las políticas de uso aceptable de la empresa?
¿Qué se puede hacer para prevenirlo?
¿Me pregunto cómo se pueden usar los proxies inversos para eludir las políticas de uso aceptable de la empresa?
¿Qué se puede hacer para prevenirlo?
Los proxies inversos realmente no pueden usarse para eludir las reglas, creo que te estás refiriendo a proxies hacia adelante. Consulte esta publicación para conocer la diferencia. (Si me equivoco, por favor publica un comentario)
Puede restringir el acceso forzándolos a usar su propio servidor proxy de reenvío interno. Tenga en cuenta que esto no es una prueba del 100%, un usuario más capacitado lo superará con facilidad mediante el uso de SOCKS sobre ssh.
¿Qué puedes hacer? Lo que haces cuando alguien rompe las reglas:
Solo asegúrate de advertirles y castigarlos, ya que saben lo que indica la AUP y también por qué se prohibieron algunas cosas. Hágales saber que puede haber amenazas de seguridad para la red interna o para el entorno de trabajo y que su comportamiento no es aceptable.
Independientemente de que un análisis de proxy de red o reenvío del tráfico de red con algo como Wireshark le permita detectarlo, que es el primer paso para evitarlo.
Los proxies diseñados para omitir el filtrado o el control de acceso mostrarán este tipo de comportamiento en cuanto a los bots y, en general, cualquier cosa que intente ocultar su verdadero propósito:
http://www.google.com.proxy.com/
o en una cola como http://proxy.com/http/www.google.com/
Host:
header no coincide con el nombre del host Obviamente, esto podría incluir una gran cantidad de tráfico legítimo, sin embargo, saber qué tipo de tráfico ingresa y sale actualmente de su red le permitirá detectar cualquier anomalía.
Suponiendo que no está comenzando a controlar su red, buscaría desarrollar lo siguiente para imponer el estricto cumplimiento:
Si bien puedes encontrar que no puedes hacer todo esto, definitivamente te ayudará.
Espero que ayude.
(Respondiendo por un proxy de reenvío como estoy de acuerdo con Lucas).
Dependiendo de cómo abra el entorno, no hay mucho que pueda hacer. Si tiene que permitir ssh fuera de la red para fines legítimos, no puede averiguar si el tráfico es normal ssh (por ejemplo, transferir archivos con fines legítimos) o un proxy SOCKS a través de un túnel ssh; si el usuario lo implementó correctamente (a veces, cosas como las solicitudes de DNS no usan el proxy y puedes decir a dónde va la gente). Si tiene la capacidad de ser más restrictivo, puede bloquear todo excepto el puerto 80 (tal vez permitiendo el puerto 443 para algunas entidades conocidas como gmail).
Una solución mejor es claramente las Políticas de Uso Aceptable bien conocidas con claras consecuencias por las violaciones. Por ejemplo, si un empleado es sorprendido mirando pornografía / viendo películas de Netflix / usando Facebook en las computadoras de la compañía a tiempo de la compañía en clara violación de las reglas, tiene multas severas (que van desde el pago severo de acoplamiento hasta el despido). Otra alternativa es instalar la aplicación de monitoreo remoto en todas las computadoras de la compañía y dejar que un administrador busque remotamente en cualquier computadora de escritorio. (Aunque eso parece bastante draconiano y probablemente crearía un entorno de trabajo hostil).
Además, si lo que le preocupa es compartir un ancho de banda limitado y la gente dice que transmite gran cantidad de video, puede valer la pena pensar en implementar algún tipo de cuota de red; posiblemente más estricto para el tráfico cifrado en comparación con el puerto HTTP HTTP o HTTPS para los servidores conocidos (por ejemplo, gmail).
Si le preocupa que las personas transfieran datos confidenciales, ese es otro problema. Una vez que un empleado tiene acceso a los datos en su computadora, básicamente necesita confiar en que el empleado no usará mal los datos (así como restringir y monitorear quién está accediendo inicialmente a los datos confidenciales). Si pueden configurar un proxy; Pueden hacer otras cosas para llevar los datos fuera del sitio. Cifre los archivos y envíelos por correo electrónico o guárdelos en un almacenamiento extraíble (unidad USB / cd / dvd / portátil grabados), etc.
Lea otras preguntas en las etiquetas firewalls network access-control proxy