我的公司在可供浏览的内容上运行filter,我必须检查每个人是否都尊重浏览策略。 最近我发现一些用户在他们的工作站上激活了OpenVPN,我发现他们连接到外部服务器的端口443,然后使用代理绕过公司的filter。 有没有任何方法来监视允许的端口上的VPN连接或避免连接?
我们是否认为这个OpenVPN连接不是由您/您的公司设置的,而且最终用户正在连接到他们自己的OpenVPN服务器? 如果OpenVPN使用的是标准端口,你当然可以阻止它们:丢弃或拒绝stream量到TCP和UDP端口1194,也许从特定的机器(有问题的用户)和特定的机器(OpenVPN服务器)。 因为它不是(对于第一次错过抱歉),那么你的问题就变成了“我怎样才能区分合法的HTTP-over-SSL-on-TCP-443和不允许的基于SSL的OpenVPN-on-TCP-443? 像ssldump这样的工具可能会揭示HTTPS和OpenVPN之间的一些区别,但将其转化为防火墙规则来拒绝到特定服务器的stream量可能会很困难。
OpenVPN使用SSL进行encryption,而且破坏不重要,所以你不能看到来自防火墙或其他“网关”主机的VPNstream量是什么,然而一个体面的数据包嗅探器(wireshark)至less会告诉你有SSLstream量在工作站A和公共互联网地址B之间。您可以直接在用户的桌面上安装stream量监听器(您还没有说什么平台,但我会承担Windows),并嗅探“水龙头”设备(有隐私的考虑,特别是如果人们被允许使用私人使用的VPN)。
可以说,这是一个技术性问题,甚至是一个政策违规/人事问题,所以让老板/人力资源人员参与不会是一个坏主意,也就是让他们宣布/重申这个政策,而且确实会采取技术措施强化这一政策。 首先检查用户是否真正使用OpenVPN来绕过内容过滤和他们正在访问的内容 – 即如果他们正在访问与工作有关的东西,那么您应该考虑您的过滤策略是否对公司有利,或者是完成工作的一个障碍,使得人们不得不花费时间和精力来解决这个问题。
这似乎是一个人事问题,而不是技术问题。 您的组织应该对您的工作站进行定期的安全审计。 应该清楚的是,如果任何用户被使用未经授权的软件,包括VPN,代理等,他们将被制裁。
真的,没有一种“简单的”方法来说明通过端口443和OpenVPN的HTTPS之间的区别。 这是可行的,但需要更多的努力,而不是价值。 如果您看到非常多的stream量,或者有其他的东西可以提醒您,也许最好是与您的用户进行一次“教育会话”。