¿Cómo se pueden usar los proxies inversos para eludir las políticas de uso aceptable de una empresa?

Los proxies inversos realmente no pueden usarse para eludir las reglas, creo que te estás refiriendo a proxies hacia adelante. Consulte esta publicación para conocer la diferencia. (Si me equivoco, por favor publica un comentario)

Puede restringir el acceso forzándolos a usar su propio servidor proxy de reenvío interno. Tenga en cuenta que esto no es una prueba del 100%, un usuario más capacitado lo superará con facilidad mediante el uso de SOCKS sobre ssh.

¿Qué puedes hacer? Lo que haces cuando alguien rompe las reglas:

• les adviertes
• los castigas

Solo asegúrate de advertirles y castigarlos, ya que saben lo que indica la AUP y también por qué se prohibieron algunas cosas. Hágales saber que puede haber amenazas de seguridad para la red interna o para el entorno de trabajo y que su comportamiento no es aceptable.

Detectelo

Independientemente de que un análisis de proxy de red o reenvío del tráfico de red con algo como Wireshark le permita detectarlo, que es el primer paso para evitarlo.

Los proxies diseñados para omitir el filtrado o el control de acceso mostrarán este tipo de comportamiento en cuanto a los bots y, en general, cualquier cosa que intente ocultar su verdadero propósito:

• Las URL largas con nombres de sitios web en ellas, ya sea en la parte frontal http://www.google.com.proxy.com/ o en una cola como http://proxy.com/http/www.google.com/
• túnel SSL / TLS
• Conexiones a direcciones IP en lugar de nombres de host DNS
• Las conexiones donde la solicitud HTTP Host: header no coincide con el nombre del host
• Conexiones fuera de HTTP en puertos HTTP
• Conexiones al puerto TCP / UDP sobre 1023

Obviamente, esto podría incluir una gran cantidad de tráfico legítimo, sin embargo, saber qué tipo de tráfico ingresa y sale actualmente de su red le permitirá detectar cualquier anomalía.

Prevenirlo

Suponiendo que no está comenzando a controlar su red, buscaría desarrollar lo siguiente para imponer el estricto cumplimiento:

• Desarrolle un Entorno Operativo Administrado (MOE) corporativo: sepa qué software está instalado en sus clientes / servidores, aplique la eliminación de software desconocido o no permitido.
• Use un servidor de seguridad con buena capacidad de registro y filtrado en la red perimetral e intente colocar puntos de estrangulamiento para minimizar el lugar donde debe mirar.
  • Ajusta las reglas del firewall y el registro.
  • Solo registre lo que necesita para evitar la sobrecarga de datos que posiblemente no pueda revisar.
  • Utilice un enfoque de lista blanca. es decir, bloquear todo lo que entra y sale de manera predeterminada y permite solo el tráfico aprobado conocido
• Utilice servidores proxy para el control granular de HTTP / HTTPS.
  • Elija uno que admita el filtrado basado en categorías (que es un diccionario y, a veces, otros expertos para clasificar las URL, a menudo tienen una categoría solo para bloquear proxies anónimos).
  • Los servidores proxy pueden implementar la intercepción SSL para bloquear aplicaciones de túneles (algunas aplicaciones legítimas usan esto).
  • Bloquee el tráfico no HTTP a través de los puertos HTTP.
  • Bloquee el tráfico HTTP / HTTPS dirigido a direcciones IP en lugar de nombres de host DNS.
  • Revise periódicamente los informes sobre el tráfico web, busque nombres de host sospechosos y sitios web no categorizados.
• Implementar un sistema de prevención de intrusiones

Si bien puedes encontrar que no puedes hacer todo esto, definitivamente te ayudará.

Espero que ayude.

(Respondiendo por un proxy de reenvío como estoy de acuerdo con Lucas).

Dependiendo de cómo abra el entorno, no hay mucho que pueda hacer. Si tiene que permitir ssh fuera de la red para fines legítimos, no puede averiguar si el tráfico es normal ssh (por ejemplo, transferir archivos con fines legítimos) o un proxy SOCKS a través de un túnel ssh; si el usuario lo implementó correctamente (a veces, cosas como las solicitudes de DNS no usan el proxy y puedes decir a dónde va la gente). Si tiene la capacidad de ser más restrictivo, puede bloquear todo excepto el puerto 80 (tal vez permitiendo el puerto 443 para algunas entidades conocidas como gmail).

Una solución mejor es claramente las Políticas de Uso Aceptable bien conocidas con claras consecuencias por las violaciones. Por ejemplo, si un empleado es sorprendido mirando pornografía / viendo películas de Netflix / usando Facebook en las computadoras de la compañía a tiempo de la compañía en clara violación de las reglas, tiene multas severas (que van desde el pago severo de acoplamiento hasta el despido). Otra alternativa es instalar la aplicación de monitoreo remoto en todas las computadoras de la compañía y dejar que un administrador busque remotamente en cualquier computadora de escritorio. (Aunque eso parece bastante draconiano y probablemente crearía un entorno de trabajo hostil).

Además, si lo que le preocupa es compartir un ancho de banda limitado y la gente dice que transmite gran cantidad de video, puede valer la pena pensar en implementar algún tipo de cuota de red; posiblemente más estricto para el tráfico cifrado en comparación con el puerto HTTP HTTP o HTTPS para los servidores conocidos (por ejemplo, gmail).

Si le preocupa que las personas transfieran datos confidenciales, ese es otro problema. Una vez que un empleado tiene acceso a los datos en su computadora, básicamente necesita confiar en que el empleado no usará mal los datos (así como restringir y monitorear quién está accediendo inicialmente a los datos confidenciales). Si pueden configurar un proxy; Pueden hacer otras cosas para llevar los datos fuera del sitio. Cifre los archivos y envíelos por correo electrónico o guárdelos en un almacenamiento extraíble (unidad USB / cd / dvd / portátil grabados), etc.