web-dev-qa-db-ja.com

リバースプロキシを使用して、企業の利用規定を回避するにはどうすればよいですか?

リバースプロキシを使用して、企業の利用規定を回避する方法を知りたいのですが。

それを防ぐために何ができますか?

networkfirewallsaccess-controlproxy
3
novicePrgrmr

リバースプロキシは、ルールを回避するために実際に使用することはできません。フォワードプロキシについて言及していると思います。違いを知るには、この post を確認してください。 (私が間違っている場合はコメントを投稿してください)

内部で独自のフォワードプロキシサーバーを使用するように強制することで、アクセスを制限できます。これは100%の証拠ではないことを覚えておいてください。より熟練したユーザーは、ssh経由でSOCKSを使用することで簡単にこれを経験できます。

あなたは何ができますか?誰かがルールを破ったときにどうするか:

  • あなたは彼らに警告します
  • あなたは彼らを罰する

あなたが彼らに警告して罰するとき、彼らがAUPが何を述べているか、そしてまたいくつかのものが禁止された理由を知っていることを確認してください。内部ネットワークまたは作業環境に対するセキュリティの脅威が存在する可能性があり、彼らの行動は容認できないことを彼らに知らせます。

3
Lucas Kauffman

検出する

Wiresharkなどのネットワークトラフィックのフォワードプロキシ分析またはリバースプロキシ分析に関係なく、Wiresharkを使用してそれを検出できます。これは、それを防ぐための最初のステップです。

フィルタリングやアクセス制御をバイパスするように設計されたプロキシは、ボットや、一般的にはボットの本来の目的を隠そうとするものに関して、次のタイプの動作を示します。

  • 先頭にhttp://www.google.com.proxy.com/または末尾にhttp://proxy.com/http/www.google.com/のようなWebサイト名が含まれる長いURL
  • SSL/TLSトンネリング
  • DNSホスト名ではなくIPアドレスへの接続
  • HTTPリクエストHost:ヘッダーがホスト名と一致しない場所への接続
  • HTTPポートでの非HTTP接続
  • 1023上のTCP/UDPポートへの接続

これには明らかに大量の正当なトラフィックが含まれる可能性がありますが、現在ネットワークに出入りするトラフィックのタイプを知ることで、異常を検出できます。

それを防ぐ

ネットワークを制御できない状態から始めていると想定して、厳格なコンプライアンスを実施するために以下を構築することを検討します。

  • 企業の管理オペレーティング環境(MOE)を開発する–クライアント/サーバーにインストールされているソフトウェアを把握し、不明または許可されていないソフトウェアの削除を強制します。
  • Edgeネットワークで優れたログ機能とフィルタリング機能を備えたファイアウォールを使用し、チョークポイントを配置して、見なければならない場所を最小限に抑えてください。
    • ファイアウォールルールとログを調整します。
    • 確認できないデータの過負荷を防ぐために必要なものだけをログに記録します。
    • ホワイトリストのアプローチを使用します。つまり、デフォルトで送受信されるすべてのものをブロックし、既知の承認済みトラフィックのみを許可します。
  • 詳細なHTTP/HTTPS制御にはプロキシサーバーを使用します。
    • カテゴリベースのフィルタリングをサポートするものを選択します(これは辞書であり、URLを分類するための他の賢い方法であり、多くの場合、既知の匿名プロキシをブロックするためのカテゴリを持っています)。
    • プロキシサーバーは、トンネリングアプリケーションをブロックするためにSSLインターセプトを実装できます(一部の正規のアプリケーションはこれを使用します)。
    • HTTPポート上の非HTTPトラフィックをブロックします。
    • DNSホスト名ではなくIPアドレスに送信されるHTTP/HTTPSトラフィックをブロックします。
    • Webトラフィックに関するレポートを定期的に確認し、疑わしいホスト名と未分類のWebサイトを探します。
  • 侵入防止システムを実装する

これらのすべてを行うことができない場合がありますが、どれも間違いなく役立ちます。

お役に立てば幸いです。

4
Bernie White

(私がルーカスに同意するので、フォワードプロキシーに答える)。

環境のオープン度によっては、できることは多くありません。正当な目的でネットワークからsshを許可する必要がある場合、トラフィックが通常のssh(正当な目的でファイルを転送するなど)であるか、sshトンネルを介したSOCKSプロキシであるかを判断できません。ユーザーがそれを正しく実装した場合(DNS要求のようなものはプロキシを使用せず、人々がどこに向かっているかを知ることができます)。さらに制限する機能がある場合は、ポート80以外のすべてをブロックすることができます(おそらく、gmailのようないくつかの既知のエンティティに対してポート443を許可します)。

より良い解決策は、違反の明確な結果を伴う明確なよく知られている利用規定です。たとえば、従業員がポルノを見ている、ネットフリックス映画を見る、会社の時間に会社のコンピューターでFacebookを使用していることが明らかにルールに違反している場合は、厳しい罰則が科せられます(給与の厳格なドッキングから解雇まで)。もう1つの方法は、会社のすべてのコンピューターにリモート監視アプリケーションをインストールし、管理者がリモートで任意のデスクトップを確認できるようにすることです。 (それはかなり厳しいと思われ、おそらく敵対的な作業環境を作成するでしょう)。

さらに、心配されているのが限られた帯域幅の共有であり、人々が大量のビデオをストリーミングしていると言われている場合は、何らかのネットワーククォータの実装を検討する価値があります。既知のサーバー(Gmailなど)へのポート80 HTTPまたはHTTPSトラフィックと比較して、暗号化されたトラフィックの方が厳しい可能性があります。

機密データの転送を心配している場合は、別の問題です。従業員が自分のコンピューター上のデータにアクセスできるようになったら、基本的には、従業員がデータを悪用しないように信頼すること(および機密データに最初にアクセスするユーザーを制限および監視すること)に依存する必要があります。プロキシを設定できる場合。彼らはデータをオフサイトにするために他のことをすることができます。ファイルを暗号化してメールで送信するか、リムーバブルストレージ(USBドライブ/書き込み済みCD/DVD /ラップトップ)などに置きます。

3
dr jimbob