Облачные сервисы сделали его легким для пользователей, чтобы развернуть свои собственные виртуальные частные сети (VPN), которые могут иметь последствия для безопасности и производительности сети. Вот как контролировать несанкционированное использование VPN.
Вы на совещании о повышении заработной платы сотрудникам (ОК, наверное, нет); вот когда вы заметили, что один из посетителей спокойно улыбается, используя свой ноутбук. Вы невнимательно смотрите на его экран, и вы заметили, что он смотрит на Мэла Брукса «Сверкающие седла» вместо участия в заседании. С технологии в вашей компании, вы удивитесь, как это могло случиться?
Позже в тот же день, убедившись в том, что работник находится в списке на увольнение, вас проверьте настройки брандмауэра и маршрутизатора. Достаточно точно: кино сайты будут заблокированы. Итак, что случилось? Ответ: ваш брандмауэр или маршрутизатор блокирует и не уловила тот факт, что скоро-к-Быть-экс-сотрудник посредством виртуальной частной сети (VPN), чтобы скрыть характер его движения.
Конечно, это только один пример проблем, с которыми исходящие использование VPN может вызвать в сети. Есть еще много—хватит, в самом деле, что сенаторы Рон Уайден (D-Орегон) и Марко Рубио (R-Флорида) просил Департамент внутренней безопасности США (DHS) с целью расследовать использовать VPN на федеральных служащих. Цель исследования-определить, является ли использование VPN должны быть запрещены на уровне федерального правительства.
В этом случае, концерн угрозе безопасности, операторы иностранных сетей VPN, которые могли бы перехватывать трафик на их сервера и сохранить копию. Этот первичный поставщиков, с которыми озабочены сенаторы являются компании, расположенные в Китае и России, но они также обеспокоены операторы сервера которых может быть нарушена только враждебные народы.
Они Могут Быть Скомпрометированы
Проблема в том, что эти страны и другие намного больше, чем просто государственную тайну. Они также после огромного массива информации, которую они могут носить в эти дни, большинство из которых они могут использовать для различных целей. Что включает в себя такие данные, как бизнес-процессы, торговые секреты, списки контактов из управления взаимоотношениями с клиентами (CRM) программного обеспечения, и все виды личной информации, которую сотрудникам магазина о себе или свои контакты.
Даже если VPN-это зашифрованное соединение между двумя точками, где он настроен, как только он попадает на сервер с другого конца, шифрования может закончиться. Любая информация, которая проходит через этот сервер может быть скомпрометирован. Но есть и другие угрозы, кроме того.
Поскольку VPN-соединение логически похожа на просто подключив очень длинный сетевой кабель, есть также соединения с VPN-сервера обратно на клиентское устройство в сети. Это соединение может быть использовано для компрометации компьютера в свой конец и, возможно, в вашей сети, а также. Теперь вы можете увидеть природу этой угрозы.
Различные типы сетей VPN
И давайте не забывать, что есть больше чем один тип VPN. Есть исходящий VPN, который используется на клиентских устройствах (например, на вышеупомянутых темных сотрудника ноутбук), который часто используется, чтобы обойти региональные ограничения на такие вещи, как фильмы и музыку, для защиты передаваемой информации от небезопасных местах, и для предотвращения кражи данных во время путешествия. То есть виртуальные частные сети, которые настроены между серверами в двух местах, например, между офисом и филиалом. Мы говорим о первом типе.
В этого типа, есть также несколько причин для VPN-соединения, одним из которых является ссылка на услуги за пределами сети, например на сайте Кино. Другой причиной является формирование защищенного соединения при вызове, например, когда только Wi-Fi вы можете найти в Макдональдс. Здесь я сосредоточусь на вызов к удаленному VPN-серверу.
При рассмотрении сети организации, вопросы, касающиеся исходящих ссылок на VPN-сервере, отличается от того, что они являются для отдельного пользователя дома. С одной стороны, сети принадлежит ваша компания, и вы несете ответственность за трафик, который проходит наружу. Кроме того, вы несете ответственность за исполнение хитов, что может произойти, если у вас есть несколько людей, скажем, просмотра фильмов в формате высокой четкости (HD), а все остальные пытаются работать.
Обеспечить хороший политик VPN
Хотя могут быть и исключения в зависимости от потребностей вашей организации, хорошая политика-блокировать исходящие VPN-трафика, прежде чем он может оставить свои сети. Кроме того, вам следует обратиться в отдел кадров (HR) и опубликовать правила, запрещающего использовать VPN, если это специально разрешено для отдельных случаев. Вам нужно в отдел кадров, так что вы можете принять меры, когда кто-то догадается, как обойти ваш VPN блоков.
Далее необходимо настроить ваш брандмауэр или маршрутизатор (или оба), чтобы предотвратить исходящие VPN-доступ. Вот шесть изменения нужно сделать:
-
Создайте список известных веб-сайтов публичных VPN и обновления перечня, поскольку список может постоянно меняться.
-
Создать списки контроля доступа (ACL), которые блокируют VPN для связи, такие как UDP-порт 500, который часто используется.
-
Использовать возможности проверки состояния вашего брандмауэра искать зашифрованные сообщения, особенно те, кто собирается за границу. Вы, наверное, не хочу вмешиваться в банковской сессии сотрудника, но сеанс продолжительностью час не кто-то смотрит их с баланса кредитной карты. И, конечно, много веб-сайтов использование защищенных сокетов (SSL-шифрование), поэтому вы не можете просто запретить шифрование.
-
Ищите публичных VPN приложения на принадлежащих компании машин. Это не те же приложения для входящих VPN, но, скорее, они приложения для включения исходящих подключений VPN.
-
Создана специальная посетителя-только сеть на Wi-Fi и контроллер (или маршрутизатор, если вы небольшая компания), что позволяет только подключения к определенным интернет-ресурсам, как правило, тех, кто работает на порту 80 (веб-сайты) или порт 443 (SSL). Возможно, вы также хотите разрешить порты 25, 465 и 587, которые необходимы для электронной почты. Вы должны отрицать все другие соединения.
-
Помните, что есть что-то вроде гонки вооружений между поставщиками VPN и попытки блокировать их использование. Вы должны быть начеку, чтобы усилия для обхода блокировки нецелевого использования VPN на сети, и при необходимости, принять меры, чтобы остановить его, используя правила работы с персоналом в случае необходимости.
Заключительные Мысли
Я знаю, что это звучит нелогично рассмотрено и рекомендовано здесь средства VPN и потом уже ставит под сомнение их значение, но это одна ситуация, в которой, несмотря на их значение для безопасности, виртуальные частные сети не всегда используется должным образом. Вы не хотите открыть сеть между вашей организацией и враг, и вы, вероятно, не хочет человек смотреть фильмы (или хуже) на работе.
В то время как вы должны решить, что представляет собой надлежащее использование VPN для ваших сотрудников, помните: это не вопрос свободы и сетевого нейтралитета. Это ваша частная сеть и вы ответственны за транспорт, который едет за ним. Вы имеете полное право контролировать его.
