Monitorando usuários de VPN na minha rede

Navegue suas respostas
1

Minha empresa executa filtros no conteúdo disponível para navegação e tenho que verificar se todos estão respeitando as políticas de navegação. Recentemente, vi alguns usuários ativarem o OpenVPN em suas estações de trabalho e descobri que eles se conectam à porta 443 de um servidor externo e usam um proxy para contornar os filtros da empresa. Existe algum método para monitorar conexões VPN em portas permitidas ou para evitar as conexões?

    
por Federico Fenara 10.06.2010 / 10:34

2 respostas

1

Entendemos que esta conexão OpenVPN não está configurada por você / sua empresa e que os usuários finais estão se conectando ao seu próprio servidor OpenVPN? Se o OpenVPN estiver usando as portas padrão, você pode certamente bloqueá-las: descartar ou rejeitar o tráfego para as portas TCP e UDP 1194, talvez de máquinas específicas (os usuários em questão) e para máquinas específicas (o servidor OpenVPN). Como não é (desculpe por perder essa primeira vez), sua pergunta então se torna "Como posso distinguir entre o HTTP-sobre-SSL-no-TCP-443 legítimo e o OpenVPN-over-SSL-on-TCP-443 não permitido?". Uma ferramenta como ssldump pode revelar alguma diferença entre HTTPS e OpenVPN, mas transformá-la em uma regra de firewall para rejeitar o tráfego para um servidor específico pode ser difícil.

O OpenVPN usa SSL para criptografia, e isso não é trivial, então você não pode ver o que está no tráfego VPN do firewall ou outro host 'gateway', no entanto um decifrador de pacotes decente (wireshark) irá pelo menos dizer lá é o tráfego SSL entre a estação de trabalho A e o endereço público B. Você pode instalar sniffers de tráfego nos desktops do usuário (mais uma vez, não disse qual plataforma, mas assumirei o Windows) diretamente e farejar o dispositivo 'tap' considerações, especialmente se as pessoas estão autorizadas a usar VPNs para uso pessoal leve).

Provavelmente isso é tanto um problema de violação de política / pessoal quanto um problema técnico, então fazer com que chefes / pessoas de recursos humanos envolvidos não seja uma má ideia, isto é, fazer com que eles anunciem / reiterem a política e de fato que medidas técnicas para reforçar essa política. Verifique primeiro se os usuários estão realmente usando o OpenVPN para ignorar a filtragem de conteúdo e o que estão acessando - ou seja, se estão fazendo isso para acessar informações relacionadas ao trabalho, considere se sua política de filtragem é de benefício real para a empresa. ou é simplesmente um impedimento para fazer o trabalho de tal forma que as pessoas estão tendo que gastar tempo e esforço para contornar isso.

    
por 10.06.2010 / 10:50
0

Isso parece uma questão pessoal, e não técnica. Sua organização deve realizar auditorias regulares de segurança de suas estações de trabalho. Deve ficar claro que se qualquer usuário for pego usando software não autorizado, incluindo VPN, proxies, etc, eles serão sancionados.

Realmente, não há uma maneira "fácil" de diferenciar HTTPS entre a porta 443 e o OpenVPN. É factível, mas requer mais esforço do que vale a pena. Se você vir uma quantidade extraordinária de tráfego ou algo mais lhe der dicas, talvez seja melhor ter uma "sessão educacional" com seus usuários.

    
por 10.06.2010 / 16:48

Tags

Ubuntu Linux - cria uma imagem de DVD gravável / inicializável? O proxy Socks5 “Dante” deixa muitos processos filhos presos no estado FIN_WAIT2 / CLOSE_WAIT