Зміст:
Відео: ЦВЕТНАЯ ЯИЧНИЦА (ПОЛНАЯ ВЕРСИЯ) И ЖЕЛЕЙНЫЙ МЕДВЕДЬ ВАЛЕРА (Листопад 2024)
Ви на зустрічі з приводу підвищення зарплат ІТ-персоналу (добре, напевно, ні); саме тоді ви помічаєте, що один із присутніх тихо посміхається під час використання свого ноутбука. Ви недбало дивитесь на його екран, і помічаєте, що він переглядає палаючі сідла Мела Брукса замість того, щоб брати участь у зустрічі. Завдяки технології, що існує у вашій компанії, вам цікаво, як це могло статися?
Пізніше того ж дня, переконавшись, що відповідний працівник знаходиться у списку звільнення, ви перевіряєте параметри брандмауера та маршрутизатора. Звичайно: сайти з фільмами заблоковані. Отже, що сталося? Відповідь, ваш брандмауер або блоки маршрутизатора не вловили того факту, що найближчий колишній співробітник використовував віртуальну приватну мережу (VPN), щоб приховати характер свого трафіку.
Звичайно, це лише один приклад проблем, які можуть викликати вихідні VPN в мережі. Є ще багато - насправді достатньо, що сенатори Рон Уайден (D-Орегон) та Марко Рубіо (штат Флорида) попросили Міністерство внутрішньої безпеки США (DHS) розслідувати використання VPN федеральними працівниками. Мета розслідування - визначити, чи слід забороняти використання VPN у межах федерального уряду.
У цьому випадку занепокоєння викликає загроза безпеці іноземних операторів VPN, які могли перехопити трафік на своїх серверах і зберегти копію. Основними постачальниками, щодо яких стосуються сенатори, є компанії, що базуються в Китаї та Росії, але вони також переживають за операторів, чиї сервери можуть бути порушені подібними противниками.
(Кредитна графіка: Statista)
VPN можуть бути компрометовані
Проблема полягає в тому, що ці нації та інші - це набагато більше, ніж просто державна таємниця. Вони також шукають величезний масив інформації, яку VPN можуть переносити в наші дні, більшість з яких вони можуть використовувати для різних цілей. Це включає такі дані, як бізнес-процеси, комерційна таємниця, списки контактів із програмного забезпечення управління відносинами з клієнтами (CRM) та всі види особистої інформації, яку зберігають ваші співробітники про себе чи свої контакти.
Навіть незважаючи на те, що VPN - це зашифроване з'єднання між двома точками, де він встановлений, як тільки він потрапить на сервер на іншому кінці, шифрування може закінчитися. Будь-яка інформація, що проходить через цей сервер, може бути порушена. Але є й інші загрози.
Оскільки VPN-з'єднання логічно подібне до простого підключення дуже довгого мережевого кабелю, існує також з'єднання від VPN-сервера назад до клієнтського пристрою у вашій мережі. Це з'єднання може бути використане для компрометації комп'ютера в кінцевому підсумку, а можливо, і для вашої мережі. Тепер ви можете побачити природу цієї загрози.
Різні типи VPN
І не будемо забувати, що існує більше одного типу VPN. Існує вихідний VPN, який використовується на клієнтських пристроях (наприклад, на згаданому вище ноутбуці з повагою співробітників), який часто використовується для обходу регіональних обмежень на речі, такі як фільми та музика, для захисту інформації, що передається з незахищених місць, і для запобігання крадіжок дані під час подорожі. Потім з’являються VPN, які встановлюються між серверами у двох місцях, наприклад, між домашнім офісом та відділенням. Ми говоримо про перший тип.
У цього типу також існує кілька причин наявності VPN, одна з яких - це посилання на сервіси за межами вашої мережі, такі як веб-сайт із фільмами. Інша причина полягає в тому, щоб встановити захищене з'єднання під час входу, наприклад, коли єдиний Wi-Fi, який ви можете знайти, знаходиться в McDonald's. Тут я зосереджуюся на виклику на віддалений сервер VPN.
Розглядаючи мережу вашої організації, проблеми, пов'язані із вихідним посиланням на VPN-сервер, відрізняються від проблем, які стосуються окремого користувача вдома. З одного боку, мережа належить вашій компанії, і ви відповідаєте за трафік, який проходить назовні. Крім того, ви відповідаєте за ефективність хітів, які можуть статися, якщо у вас є кілька людей, скажімо, перегляд фільмів у високій чіткості (HD), а всі інші намагаються працювати.
Забезпечення хорошої політики VPN
Хоча існуватимуть винятки залежно від потреб вашої організації, хорошою політикою є блокування вихідного трафіку VPN, перш ніж він може покинути вашу мережу. Крім того, слід попросити відділ кадрів (HR) опублікувати правило, що забороняє використання VPN, якщо це спеціально не дозволено для окремих випадків. Ви хочете залучити відділ кадрів, щоб ви могли вжити заходів, коли хтось з'ясує, як обійти ваші блоки VPN.
Далі вам потрібно налаштувати брандмауери або маршрутизатори (або обидва) для запобігання вихідному VPN-доступу. Ось шість змін, які потрібно внести:
Створіть чорний список відомих загальнодоступних веб-сайтів VPN та оновлюйте список, оскільки список може постійно змінюватися.
Створіть списки контролю доступу (ACL), які блокують VPN-зв’язки, наприклад UDP-порт 500, який часто використовується.
Використовуйте надзвичайні можливості перевірки вашого брандмауера, щоб шукати зашифровані комунікації, особливо ті, які перебувають у інших місцях. Напевно, ви не хочете втручатися у банківську сесію працівника, але сесія тривалістю години не є тим, хто шукає баланс своєї кредитної картки. І, звичайно, багато веб-сайтів використовують шифрування шару захищених сокетів (SSL) в наші дні, тому ви не можете просто заборонити шифрування.
Шукайте публічні додатки VPN на машинах, що належать компанії. Це не те саме, що програми для вхідного VPN, а скоріше, це програми для ввімкнення вихідних VPN-з'єднань.
Налаштуйте спеціальну мережу для відвідувачів на своєму контролері Wi-Fi (або маршрутизаторі, якщо ви невелика компанія), яка дозволяє підключати лише конкретні Інтернет-ресурси, як правило, ті, що працюють на порт 80 (веб-сайти) або порт 443 (SSL). Ви також можете дозволити порти 25, 465 та 587, необхідні для електронної пошти. Вам слід відмовити в усіх інших з'єднаннях.
Пам’ятайте, що між постачальниками VPN відбувається щось з гонки озброєнь та спроб заблокувати їх використання. Вам потрібно бути обережними щодо зусиль, щоб обійти невідповідне використання VPN у вашій мережі, і, якщо необхідно, вжити заходів для його припинення, використовуючи правила HR.
Фінальні думки
- Чому я не вибираю кращу VPN для Китаю? Чому я не вибираю найкращу VPN для Китаю
- Найкращі маршрутизатори VPN на 2019 рік. Найкращі маршрутизатори VPN на 2019 рік
- Компанії повинні розуміти ризик послуг VPN. Компанії повинні розуміти ризик послуг VPN
Я знаю, що тут і далі переглядаються та рекомендуються VPN-продукти, як це було, суперечливим є питання, але це одна ситуація, коли, незважаючи на цінність, яку вони мають для безпеки, VPN не завжди використовуються належним чином. Ви не хочете, щоб відкрита мережа між вашою організацією та супротивником була, і ви, мабуть, не хочете, щоб працівники дивилися фільми (або ще гірше) на роботі.
Хоча вам належить вирішити, що є відповідним VPN для ваших співробітників, пам’ятайте: це не питання свободи чи нейтральності мережі. Це ваша приватна мережа, і ви відповідаєте за трафік, який подорожує по ній. Ви маєте повне право контролювати це.