Контроль пользователей VPN в моей сети
Я сделал это, но это может быть опасно! У меня был VirtualBox VM, что я убежал своего основного жесткого диска. После того как мне случайно не удалось сказать личинке загружать Windows вовремя. Это загрузило Linux, который быстро пытался работать на e2fsck мой / и / домашние разделы, которые были уже смонтированы невиртуальной OS. После часов работы с testdisk Я смог восстановить все свои данные, но это было прошлым разом, когда я попробовал что-то как этот.
Если бы у меня был отдельный физический диск для проигрывания с ним, то вероятно, был бы прекрасен. О, хорошо.
Мы берем его, что это соединение OpenVPN не настраивается Вами/Вашими компания, и что конечные пользователи соединяются со своим собственным сервером OpenVPN? Если OpenVPN использует стандартные порты, можно, конечно, заблокировать их: отбрасывание или трафик отклонения к портам TCP и UDP 1194, возможно, от определенных машин (рассматриваемые пользователи) и к определенным машинам (сервер OpenVPN). Поскольку это не (извините для пропавших без вести в тот первый раз), Ваш вопрос затем становится, "Как я могу различать законный HTTP-over-SSL-on-TCP-443 и запрещенный OpenVPN-over-SSL-on-TCP-443?". Инструмент как ssldump мог бы показать некоторое различие между HTTPS и OpenVPN, но превращение, которое в правило брандмауэра отклонить трафик к конкретному серверу могло бы быть трудно.
OpenVPN использует SSL для шифрования и повреждения, которое нетривиально, таким образом, Вы не видите то, что находится в трафике VPN от брандмауэра или другого хоста 'шлюза', однако достойный анализатор пакетов (wireshark), по крайней мере, скажет Вам, что существует трафик SSL между рабочей станцией A и общедоступным интернет-адресом B. Вы могли установить транспортных снифферов на рабочих столах пользователя (снова, Вы не сказали, какая платформа, но я приму Windows), непосредственно, и осуществите сниффинг устройства 'касания' (существуют соображения конфиденциальности, особенно если людям разрешают использовать VPNs для легкого персонального использования).
Возможно это - так же проблема нарушения/персонала политики так же, как технический вопрос, так получая людей боссов/человеческих ресурсов включил привычку быть плохой идеей, т.е. заставить их объявлять/повторять о политике и действительно что технические меры будут приняты для укрепления этой политики. Действительно проверьте сначала, что пользователи действительно используют OpenVPN для обхода фильтрации контента и к чему они получают доступ - т.е. если они делают его для доступа к связанному с работой материалу затем, необходимо рассмотреть, имеет ли политика фильтрации подлинную выгоду для компании, или это - просто препятствие для получения работы, сделанной таким образом, что люди должны израсходовать время и усилие работать вокруг этого.
-
1Как я сказал, несанкционированные соединения VPN сделаны на разрешенных портах, которые я не могу закрыть (443 - https) и не по стандарту openvpn порты (1194). Вопрос состоит в том, если сниффер (как Wireshark) может отличить от позволенного трафика (как безопасная веб-страница) соединение VPN на том же порте. I' m, не обсуждая этические или моральные вопросы: моя компания говорит мне делать так, и я делаю это. – Federico Fenara 10 June 2010 в 12:35
-
2@Fen0x: возможно распознать некоторые типы трафика при помощи " глубокий пакет inspection" методы, хотя обнаружение, вероятно, won' t быть на полностью 100% точным. Законно ли это, или не... это может быть или нет, который зависит от многих вещей - но that' s вопрос для Вашего company' s легальный отдел, не для SF :) – Piskvor 10 June 2010 в 12:41
-
3@Piskvor: Wireshark способен к глубокой проверке пакетов? Действительно ли возможно иметь автоматическое предупреждение для контролируемых портов? Я соглашаюсь с с Вами для юридических вопросов в Италии there' s много законов о конфиденциальности, но I' m технический специалист не адвокат. Единственная вещь I' m уверенный то, что я не могу установить сниффера на каждой рабочей станции моего сайта компании (5000 + ПК). – Federico Fenara 10 June 2010 в 12:47
-
4@Fen0x - Wireshark попытается разделить каждый пакет, а также он может; it' s интерактивный инструмент однако и isn' t практичный для такого крупномасштабного анализа. Не уверенный, что инструменты использовать для автоматического контроля всех данных, извините. – Piskvor 10 June 2010 в 13:55
-
5@Piskvor: don' t беспокойство, у меня есть свой " железо pants" на. У меня есть документы, указывающие, что компания принимает на себя его ответственность на моей работе. Я хочу указать что я don' t должны осмотреть контент всех соединений, но просто определить, какие соединения VPN сделаны на открытом порте. Таким образом, я думаю, что не должно быть никакого нарушения неприкосновенности частной жизни сотрудников. – Federico Fenara 10 June 2010 в 14:43
Это походит на проблему персонала и не техническую. Ваша организация должна выполнять регулярные проверки защиты Ваших рабочих станций. Нужно ясно дать понять, что, если какой-либо пользователь пойман с помощью несанкционированного программного обеспечения включая VPN, прокси, и т.д., они будут санкционированы.
Действительно, нет 'легкого' способа сказать различие между HTTPS по порту 443 и OpenVPN. Это выполнимо, но требует большего усилия, чем это стоит. Если Вы видите экстраординарный объем трафика, или что-то еще информирует Вас, возможно, лучше иметь 'образовательную встречу' с Вашими пользователями.
-
1you' право ре. I' ve уже отправил копию по почте политики безопасности, указывающей, что это запрещается использовать несанкционированные соединения VPN для всех почтовых ящиков компании. Проблема состоит в том, что у нас есть также много внешних консультантов, с помощью их собственных ноутбуков в нашей сети, что Вы не можете проверить на программное обеспечение VPN. Я пытался получить некоторую статистику по amunt трафика в разрешенных портах, но it' s не легкий сказать, делает ли кто-то " legal" трафик или нет. И я должен быть уверен прежде, чем сказать кому-то это he' s нарушение политики компании. – Federico Fenara 10 June 2010 в 18:24