¿Es posible evitar que los usuarios de la red creen conexiones VPN salientes no autorizadas para evitar las políticas de red?
Editar: ¿Cuál es la mejor manera de detectar conexiones VPN salientes no autorizadas mientras están en proceso o después de que hayan ocurrido? Supongo que hay soluciones de software?
Esto es una cosa de gestión de riesgos. Como mencionó @tylerl, si el único parámetro es detener a las personas para que no abran túneles, bloquear todo es el camino a seguir.
En el mundo real, debe sopesar los riesgos y beneficios.
Prefiero una Política de uso aceptable bien comunicada + reglas de firewall + listas negras + estadísticas de tráfico. Bloqueará a los trabajadores honestos y ligeramente deshonestos. Para los técnicos deshonestos, busque largas sesiones abiertas, cantidades inusualmente elevadas de tráfico encriptado o comunicaciones fuera de horario hacia / desde máquinas en las redes de usuarios finales.
Todavía estás abierto al riesgo de que las personas usen túneles para pequeñas cantidades de datos, pero aún tienen llaves USB, iPods y teléfonos celulares, ¿no?
No.
Bueno, sí, pero probablemente no de la forma en que estás pensando. Tendría que bloquear todo el tráfico saliente de forma predeterminada, y luego en la lista blanca solo los hosts externos (no puertos, no servicios) que puede garantizar no serán utilizables para rebotar el tráfico (generalmente porque también están restringidos de manera similar).
Si quisiera bloquear todos los tipos de tráfico para los que ya existen herramientas para transmitir tráfico VPN, tendría que bloquear HTTP, HTTPS y DNS entre otras cosas, haciendo que su conexión a Internet sea casi inútil.
No hay forma de bloquear fácilmente a un usuario técnico cualificado para que acceda a las cosas a través de su firewall.
Muchas redes limitan el tráfico externo a solo http y https, teniendo sus propios servidores de correo electrónico y DNS internos que están exentos de esa política. Esto hace que sea más difícil moverse, pero aún así no es imposible.
Como ejemplo, a menudo me conecto a mi servidor doméstico desde hoteles y lugares inalámbricos gratuitos usando Putty y ProxyTunnel. Parece ser solo el tráfico HTTPS normal, pero en realidad los túneles son tráfico SSH, que a su vez hace que los túneles sean lo que yo quiera. Lo mismo se puede hacer a través de HTTP regular.
La detención de los usuarios para evitar el firewall no tiene realmente una solución tecnológica. Es mejor que tenga una política clara de uso aceptable, con sanciones claras por violarla (dependiendo de la gravedad de la violación, cualquier cosa, desde una advertencia verbal o escrita hasta su finalización en el lugar, puede ser apropiada) y, de hecho, IMPONERLO. / p>
Explicar a los usuarios POR QUÉ las cosas están bloqueadas también es útil a veces. Si, por ejemplo, está bloqueando la transmisión de música porque el sitio tiene una conexión a Internet muy limitada y se ralentiza, informe a los usuarios. Saber que hay una razón real detrás de esto, "no queremos que lo hagas" ayuda mucho a evitar que las personas intenten evitarlo.
Al mismo tiempo, asegúrese de no bloquear tanto que comienza a interferir con su trabajo. He trabajado en lugares que bloquearon el sitio web con palabras clave que hicieron que los sitios web completamente relevantes y necesarios quedaran fuera de los límites. Entonces, lo que deberían haber sido 5 minutos de investigación se convierten en horas o días en intentar desbloquear un sitio.
Depende del tipo de conexión VPN, en realidad. Si es un túnel IPsec, entonces el bloqueo del puerto 500 puede hacer el truco. Este es el puerto predeterminado utilizado por IKE. Si se trata de una VPN SSL, entonces probablemente necesite un firewall de capa de aplicación que pueda realizar un filtrado de tráfico basado en firmas. También necesitaría establecer conexiones HTTPS (básicamente una configuración de man-in-the-middle). De lo contrario, no podrá ver el tráfico cifrado.
bueno, si apaga el protocolo 47 (GRE), esto evitará que la mayoría de las vpns puedan transferir datos. ya que el 99% de vpn utilizará el protocolo anterior
En los enrutadores mikrotik o en cisco, esto debería ser fácil y también puedes ver si alguna de las vpns lo ha logrado. de cualquier manera, podría bloquear todos los puertos vpn 4500,500,1723 y 47 (GRE), simplemente dígale si la dirección dst = 192.168. . / 24 (su dirección de red) y el protocolo = 47 (gre) caer paquetes
Lea otras preguntas en las etiquetas network corporate-policy vpn