ネットワークユーザーがネットワークポリシーを回避するために許可されていない発信VPN接続を作成できないようにする

Question

ネットワークポリシーを回避するために、ネットワークユーザーが不正な発信VPN接続を作成するのを防ぐことは可能ですか？

編集-許可されていない発信VPN接続の処理中または発生後に検出するための最良の方法は何ですか？ソフトウェアソリューションがあると思いますか？

mgjk · Accepted Answer

これはリスク管理です。 @tylerlが述べたように、唯一のパラメーターがstopへのものである場合、人々がトンネルを開けないようにするには、すべてをブロックするのが先です。

現実の世界では、リスクとメリットを比較検討する必要があります。

私は、十分に伝達されたAcceptable Use Policy +ファイアウォールルール+ブラックリスト+トラフィック統計を好みます。それは正直で少し不正直な労働者をブロックします。不正な技術者については、長いオープンセッション、異常に大量の暗号化されたトラフィック、またはエンドユーザーネットワーク内のマシンとの時間外通信を探してください。

あなたはまだ少量のデータのためにトンネルを使用する人々の危険にさらされていますが、彼らはまだUSBキー、iPod、携帯電話を持っていますか？

tylerl · Answer

番号。

ええ、そうですが、おそらくあなたの考えている方法ではありません。デフォルトですべての送信トラフィックをブロックし、外部ホスト（ポートではなく、サービスではない）のみをホワイトリストに登録する必要があります。トラフィックのバウンスには使用できません（通常、同様に制限されているため）。

VPNトラフィックをリレーするためのツールがすでに存在するすべてのトラフィックタイプをブロックする場合は、HTTPをブロックする必要があります [〜＃〜] https [〜＃〜] 、および [〜＃〜] dns [〜＃〜] を使用すると、インターネット接続がほとんど役に立たなくなります。

Grant · Answer

熟練した技術ユーザーがファイアウォールを介して物事にアクセスするのを簡単にブロックする方法はありません。

多くのネットワークでは、外部トラフィックをhttpとhttpsのみに制限しており、そのポリシーから除外される独自の内部DNSサーバーと電子メールサーバーがあります。これは移動をより困難にしますが、それでも不可能ではありません。

例として、PuTTYとProxyTunnelを使用してホテルや無料の無線の場所からホームサーバーに接続することがよくあります。それは通常のHTTPSトラフィックのように見えますが、実際にはSSHトラフィックをトンネリングします。通常のHTTPでも同じことができます。

ユーザーがファイアウォールを回避できないようにすることは、実際には技術的な解決策ではありません。違反の重大なペナルティ（違反の重大度によっては、口頭または書面による警告からその場で終了するまでのすべてが適切である場合があります）を含む明確な許容可能な使用ポリシーを持ち、実際にそれを強制することをお勧めします。

ブロックされている理由をユーザーに説明すると役立つ場合もあります。たとえば、サイトのインターネット接続が非常に制限されており、処理速度が低下しているためにストリーミング音楽をブロックしている場合は、ユーザーにそのことを伝えます。その背後には、「私たちがあなたに欲しくない」以外にも実際の理由があることを知ることは、人々がそれを回避しようとするのを阻止するのに大いに役立ちます。

同時に、仕事を邪魔し始めるほどブロックしないようにしてください。私は完全に関連性があり必要なウェブサイトを立ち入り禁止にするキーワードによってウェブサイトをブロックした場所で働いてきました。つまり、5分の調査であったはずのものが、サイトのブロックを解除しようとする数時間または数日になります。

Jason Huebel · Answer

実際には、VPN接続の種類によって異なります。 IPsecトンネルの場合、ポート500をブロックすることでうまくいく場合があります。これは、IKEが使用するデフォルトのポートです。 SSL VPNの場合は、おそらく署名ベースのトラフィックフィルタリングを実行できるアプリケーションレイヤーファイアウォールが必要です。また、HTTPS接続をプロキシする必要があります（基本的には中間者セットアップ）。そうしないと、暗号化されたトラフィックを表示できません。