Оглавление:
Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Ноябрь 2024)
Вы находитесь на совещании о повышении заработной платы ИТ-персонала (хорошо, вероятно, нет); именно тогда вы замечаете, что один из участников тихо улыбается, используя свой ноутбук. Ты случайно смотришь на его экран и замечаешь, что вместо просмотра собрания он смотрит « Пылающие седла» Мела Брукса. С технологиями в вашей компании, вы удивляетесь, как это может происходить?
Конечно, это только один пример проблем, которые исходящее использование VPN может вызвать в сети. Их гораздо больше - на самом деле достаточно, чтобы сенаторы Рон Уиден (D-Oregon) и Марко Рубио (R-Florida) попросили Министерство внутренней безопасности США (DHS) расследовать использование VPN федеральными служащими. Цель исследования - определить, следует ли запретить использование VPN в федеральном правительстве.
В этом случае проблема заключается в угрозе безопасности со стороны иностранных операторов VPN, которые могут перехватывать трафик на своих серверах и хранить копию. Основными поставщиками, с которыми связаны сенаторы, являются компании, базирующиеся в Китае и России, но они также беспокоятся о операторах, серверы которых могут быть скомпрометированы подобными соперничающими странами.
(Изображение предоставлено Statista)
VPN могут быть взломаны
Проблема в том, что эти страны и другие стремятся к гораздо большему, чем просто государственные секреты. Они также ищут обширный массив информации, которую VPN могут нести в наши дни, большую часть которой они могут использовать для различных целей. Сюда входят такие данные, как бизнес-процессы, коммерческие секреты, списки контактов из программного обеспечения для управления взаимоотношениями с клиентами (CRM) и все виды личной информации, которую ваши сотрудники хранят о себе или своих контактах.
Несмотря на то, что VPN является зашифрованным соединением между двумя точками, в которых он настроен, как только он попадает на сервер на другом конце, шифрование может закончиться. Любая информация, проходящая через этот сервер, может быть взломана. Но помимо этого есть и другие угрозы.
Поскольку VPN-подключение логически похоже на простое подключение очень длинного сетевого кабеля, существует также подключение от VPN-сервера обратно к клиентскому устройству в вашей сети. Это соединение может быть использовано для компрометации компьютера на вашем конце и, возможно, вашей сети. Теперь вы можете увидеть природу этой угрозы.
Различные типы VPN
И давайте не будем забывать, что существует более одного вида VPN. Существует исходящий VPN, который используется на клиентских устройствах (например, на ноутбуке вышеупомянутого скрытого сотрудника), который часто используется для обхода региональных ограничений на такие вещи, как фильмы и музыка, для защиты информации, передаваемой из небезопасных мест, и для предотвращения кражи данные во время путешествий. Затем существуют VPN, которые устанавливаются между серверами в двух местах, например, между домашним офисом и филиалом. Мы говорим о первом типе.
В этом типе также есть несколько причин иметь VPN, одна из которых заключается в подключении к службам за пределами вашей сети, таким как сайт кино. Другая причина заключается в создании безопасного соединения при звонке, например, когда единственный доступный Wi-Fi находится в McDonald's. Здесь я сосредотачиваюсь на вызове удаленного VPN-сервера.
При рассмотрении сети вашей организации проблемы, связанные с исходящей связью с сервером VPN, отличаются от тех, которые существуют для отдельного пользователя дома. Во-первых, сеть принадлежит вашей компании, и вы несете ответственность за трафик, который проходит снаружи. Кроме того, вы несете ответственность за снижение производительности, которое может произойти, если несколько человек, скажем, смотрят фильмы в высоком разрешении (HD), пока все остальные пытаются работать.
Обеспечить правильную политику VPN
Несмотря на то, что будут исключения в зависимости от потребностей вашей организации, хорошей политикой является блокировка исходящего трафика VPN, прежде чем он сможет покинуть вашу сеть. Кроме того, вам следует попросить отдел кадров (HR) опубликовать правило, запрещающее использование VPN, если это специально не разрешено для отдельных случаев. Вы хотите, чтобы отдел кадров был вовлечен, чтобы вы могли принять меры, когда кто-то узнает, как обойти ваши блоки VPN.
Затем вам необходимо настроить брандмауэры или маршрутизаторы (или оба) для предотвращения исходящего VPN-доступа. Вот шесть изменений, которые вам нужно сделать:
Создайте черный список известных общедоступных веб-сайтов VPN и обновляйте его, поскольку список может постоянно меняться.
Создайте списки контроля доступа (ACL), которые блокируют связь VPN, например, порт UDP 500, который часто используется.
Используйте возможности проверки состояния вашего брандмауэра для поиска зашифрованных сообщений, особенно тех, которые отправляются за границу. Вы, вероятно, не хотите вмешиваться в банковскую сессию сотрудника, но сеанс, который длится час, не означает, что кто-то ищет баланс своей кредитной карты. И, конечно же, многие веб-сайты в настоящее время используют шифрование Secure Sockets Layer (SSL), поэтому вы не можете просто запретить шифрование.
Ищите общедоступные приложения VPN на принадлежащих компании машинах. Это не то же самое, что приложения для вашей входящей VPN, а скорее приложения для включения исходящих VPN-подключений.
Настройте специальную сеть только для посетителей на своем контроллере Wi-Fi (или маршрутизаторе, если вы небольшая компания), который разрешает подключения только к определенным интернет-ресурсам, обычно тем, которые работают через порт 80 (веб-сайты) или порт 443 (SSL). Вы также можете разрешить порты 25, 465 и 587, которые необходимы для электронной почты. Вы должны отрицать все другие связи.
Помните, что между поставщиками VPN происходит что-то вроде гонки вооружений и попытки заблокировать их использование. Вы должны быть внимательны к попыткам обойти ненадлежащее использование VPN в вашей сети и, при необходимости, предпринять действия, чтобы остановить его, используя правила HR, если это необходимо.
Последние мысли
- Почему я не выбираю лучший VPN для Китая Почему я не выбираю лучший VPN для Китая
- Лучшие VPN-роутеры на 2019 год Лучшие VPN-роутеры на 2019 год
- Предприятия должны понимать риск VPN-сервисов Предприятия должны понимать риск VPN-сервисов
Я знаю, что кажется непоследовательным пересматривать и рекомендовать продукты VPN здесь и затем подвергать сомнению их ценность, но это одна из ситуаций, в которой, несмотря на ценность, которую они имеют для безопасности, VPN не всегда используются надлежащим образом. Вам не нужна открытая сеть между вашей организацией и противником, и вы, вероятно, не хотите, чтобы сотрудники смотрели фильмы (или хуже) на работе.
Хотя вы должны решить, что является подходящим использованием VPN для ваших сотрудников, помните: это не проблема свободы или сетевого нейтралитета. Это ваша частная сеть, и вы несете ответственность за трафик, который проходит по ней. Вы имеете полное право контролировать это.
