Com bloquejar vpns no autoritzats

Esteu a una reunió per augmentar els sous del personal d’informàtica (d’acord, probablement no); és llavors quan es nota que un dels assistents somriu tranquil mentre fa servir el seu ordinador portàtil. Mireu casualment la pantalla i observeu que està veient Blazing Saddles de Mel Brooks en lloc de participar a la reunió. Amb la tecnologia a la vostra empresa, us pregunteu com podria passar això?

Al llarg del dia, després d’assegurar-vos que l’empleat en qüestió es troba a la llista d’acomiadament, comproveu la configuració del tallafoc i del router. Prou segur: els llocs de pel·lícules estan bloquejats. Llavors, que hi ha de nou? La resposta és que el vostre tallafoc o blocs d’encaminador no van copsar el fet que el que abans va ser antiga empleat utilitzava una xarxa privada virtual (VPN) per ocultar la naturalesa del seu trànsit.

Per descomptat, aquest és només un exemple dels problemes que l’ús de VPN sortint pot causar en una xarxa. De fet, n'hi ha prou, que els senadors Ron Wyden (D-Oregon) i Marco Rubio (R-Florida) han demanat al Departament de Seguretat Nacional dels EUA (DHS) que investigui l'ús de VPN per part dels empleats federals. L’objectiu de la investigació és determinar si s’ha de prohibir l’ús de VPN dins del govern federal.

En aquest cas, la preocupació és l’amenaça de seguretat que representen els operadors VPN estrangers que podrien interceptar el trànsit als seus servidors i en conservar una còpia. Els proveïdors principals amb els quals els senadors tenen a veure són les empreses amb seu a la Xina i Rússia, però també es preocupen pels operadors els servidors dels quals es puguin veure compromesos per part de països contrariadament similars.

(Crèdit imatge: Statista)

Les VPN es poden comprometre

El problema és que aquestes nacions i d’altres són després molt més que secrets d’estat. També estan després de la gran informació que poden aportar els VPN en aquests dies, la majoria dels quals poden utilitzar-los amb diversos propòsits. Inclou dades com ara processos comercials, secrets comercials, llistes de contactes del programa de gestió de relacions amb els clients (CRM) i tota mena d’informació personal que els vostres empleats emmagatzemen sobre ells o sobre els seus contactes.

Tot i que una VPN és una connexió xifrada entre els dos punts en què es configura, un cop arriba al servidor a l'altre extrem, el xifrat pot acabar. Qualsevol informació que passi per aquest servidor es pot veure compromesa. Però hi ha altres amenaces a part.

Com que una connexió VPN és lògicament similar a la connexió d’un cable de xarxa molt llarg, també hi ha una connexió del servidor VPN de nou al dispositiu client de la vostra xarxa. Aquesta connexió es pot utilitzar per comprometre l’ordinador al final i potser també per la vostra xarxa. Ara podeu veure la naturalesa d’aquesta amenaça.

Els diferents tipus de VPN

I no oblidem que hi ha més d’un tipus de VPN. Hi ha una VPN sortint que s’utilitza en els dispositius client (com per exemple en l’ordinari portàtil del treballador abans esmentat), que s’utilitza freqüentment per evitar límits regionals de coses com pel·lícules i música, per protegir la informació que es transmet de llocs insegurs i per evitar el robatori de dades mentre es viatja. A continuació, hi ha VPNs que s’estableixen entre servidors a dues ubicacions, com ara entre una oficina domèstica i una sucursal. Estem parlant del primer tipus.

En aquest tipus, també hi ha diverses raons per tenir una VPN, una de les quals és vincular-se a serveis fora de la vostra xarxa, com ara un lloc de pel·lícules. L’altre motiu és formar una connexió segura quan truqueu, com quan l’única connexió Wi-Fi que podeu trobar és a McDonald’s. Aquí em dedico a cridar a un servidor VPN remot.

Quan es planteja la xarxa de la vostra organització, els problemes relatius a l'enllaç sortint a un servidor VPN són diferents del que es tracta d'un usuari individual a casa. Per una banda, la xarxa pertany a la vostra empresa i sou responsables del trànsit que passa a l'exterior. A més, sou responsables dels èxits de rendiment que es poden produir si teniu diverses persones, per exemple, mirant pel·lícules en alta definició (HD) mentre que tots els altres intenten treballar.

Aplica una bona política de VPN

Si bé hi haurà excepcions en funció de les necessitats de la vostra organització, una bona política és bloquejar el trànsit VPN sortint abans que pugui sortir de la vostra xarxa. A més, heu de demanar al departament de recursos humans (HR) que publiqui una norma que prohibeixi l'ús de VPN a menys que estigui expressament permesa per a casos individuals. Voleu que el departament de recursos humans estigui implicat perquè pugueu prendre mesures quan algú esbrini com es pot evitar els vostres blocs VPN.

A continuació, cal configurar els tallafocs o encaminadors (o els dos) per evitar l'accés VPN sortint. Aquí hi ha sis canvis que heu de fer:

Creeu una llista negra de llocs web de VPN públics coneguts i manteniu la llista actualitzada ja que la llista pot canviar constantment.

Creeu llistes de control d'accés (ACL) que bloquegin les comunicacions VPN, com el port UDP 500, que s'utilitza freqüentment.

Utilitzeu les funcions d’inspecció d’estat del vostre tallafoc per cercar comunicacions encriptades, especialment les que es dirigeixen a llocs externs. Probablement no vulgueu interferir en la sessió bancària d’un empleat, però una sessió d’una durada d’una hora no algú busca el saldo de la vostra targeta de crèdit. I, per descomptat, molts llocs web utilitzen el xifrat de Secure Sockets Layer (SSL) en aquests dies, de manera que no podeu simplement prohibir el xifrat.

Cerqueu aplicacions VPN públiques en màquines de propietat de l'empresa No són les mateixes que les aplicacions per a la vostra VPN entrant, sinó que són aplicacions per habilitar les connexions VPN sortints.

Configureu una xarxa especial només per a visitants al controlador Wi-Fi (o encaminador si sou una empresa petita) que només permet connexions a recursos específics d’internet, normalment els que s’executen al port 80 (llocs web) o al port 443 (SSL). També potser voldreu permetre els ports 25, 465 i 587, que són necessaris per a correu electrònic. Haureu de denegar totes les altres connexions.

Recordeu que hi ha alguna cursa d'armes entre venedors VPN i intents de bloquejar-ne l'ús. Heu d’estar atents als esforços per evitar l’ús inadequat de VPN a la vostra xarxa i, si cal, prendre mesures per aturar-lo, fent servir les regles de recursos humans si cal.

Pensaments finals

• Per què no elegeixo la millor VPN per a Xina Per què no escull la millor VPN per a Xina
• Els millors routers VPN per al 2019 Els millors routers VPN per al 2019
• Les empreses han d’entendre el risc dels serveis VPN Les empreses han d’entendre el risc dels serveis VPN

Sé que sembla inconsistent haver revisat i recomanat productes VPN aquí i després haver qüestionat el seu valor, però es tracta d’una situació en la qual, malgrat el valor que tenen per a la seguretat, les VPN no sempre s’utilitzen adequadament. No voleu una xarxa oberta entre la vostra organització i l'adversari, i probablement no voleu que els empleats vegin pel·lícules (o pitjor) a la feina.

Tot i que heu de decidir què constitueix l’ús adequat de VPN per als vostres empleats, recordeu: no és un problema de llibertat ni de neutralitat de la xarxa. És la vostra xarxa privada i ets responsable del trànsit que hi viatja. Tens el dret de controlar-lo.