Hoe ongeautoriseerde VPN's te blokkeren

U bent in een vergadering over het verhogen van de salarissen van het IT-personeel (ok, waarschijnlijk niet); dat is wanneer je merkt dat een van de aanwezigen zachtjes glimlacht terwijl hij zijn laptop gebruikt. Je kijkt nonchalant naar zijn scherm en merkt dat hij Mel Brooks ' Blazing Saddles bekijkt in plaats van deel te nemen aan de vergadering. Met de technologie in uw bedrijf, vraagt ​​u zich af hoe dit zou kunnen gebeuren?

Later op de dag, nadat u zich ervan heeft vergewist dat de werknemer in de lijst met ontslagen staat, controleert u uw firewall- en routerinstellingen. En ja hoor: filmsites zijn geblokkeerd. Dus, wat is er aan de hand? Het antwoord is dat uw firewall- of routerblokken er niet achter kwamen dat de aanstaande voormalige werknemer een virtueel particulier netwerk (VPN) gebruikte om de aard van zijn verkeer te verbergen.

Dit is natuurlijk slechts een voorbeeld van de problemen die uitgaand VPN-gebruik op een netwerk kan veroorzaken. Er zijn er nog veel meer - genoeg zelfs dat senatoren Ron Wyden (D-Oregon) en Marco Rubio (R-Florida) het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) hebben gevraagd om VPN-gebruik door federale werknemers te onderzoeken. Het doel van het onderzoek is om te bepalen of VPN-gebruik binnen de federale overheid moet worden verboden.

In dat geval is de zorg de beveiligingsdreiging van buitenlandse VPN-operators die verkeer op hun servers kunnen onderscheppen en een kopie kunnen bewaren. De primaire providers waarbij de senatoren zich zorgen maken, zijn de bedrijven in China en Rusland, maar ze maken zich ook zorgen over operators wiens servers kunnen worden aangetast door soortgelijke naties.

(Afbeelding tegoed: Statista)

VPN's kunnen worden aangetast

Het probleem is dat deze landen en anderen veel meer nastreven dan alleen staatsgeheimen. Ze zijn ook op zoek naar de enorme hoeveelheid informatie die VPN's tegenwoordig kunnen gebruiken, waarvan de meeste voor verschillende doeleinden kunnen worden gebruikt. Dat omvat gegevens zoals bedrijfsprocessen, handelsgeheimen, contactlijsten van CRM-software (Customer Relationship Management) en allerlei persoonlijke informatie die uw werknemers opslaan over zichzelf of hun contacten.

Hoewel een VPN een gecodeerde verbinding is tussen de twee punten waar het is ingesteld, kan de codering eindigen zodra deze de server aan het andere uiteinde bereikt. Alle informatie die door die server gaat, kan worden aangetast. Maar er zijn nog andere bedreigingen.

Omdat een VPN-verbinding logisch vergelijkbaar is met het eenvoudig aansluiten van een zeer lange netwerkkabel, is er ook een verbinding van de VPN-server terug naar het clientapparaat in uw netwerk. Deze verbinding kan worden gebruikt om de computer aan uw kant en misschien ook uw netwerk in gevaar te brengen. Nu kunt u de aard van deze dreiging zien.

De verschillende soorten VPN's

En laten we niet vergeten dat er meer dan één soort VPN is. Er is de uitgaande VPN die wordt gebruikt op client-apparaten (zoals op de laptop van de bovengenoemde benighted medewerker), die vaak wordt gebruikt om regionale limieten voor dingen zoals films en muziek te omzeilen, om informatie te beschermen die wordt verzonden vanaf onveilige locaties en om diefstal van gegevens tijdens het reizen. Dan zijn er VPN's die worden ingesteld tussen servers op twee locaties, zoals tussen een thuiskantoor en een filiaal. We hebben het over het eerste type.

In dit type zijn er ook meerdere redenen om een ​​VPN te hebben, waaronder een koppeling met services buiten uw netwerk, zoals een filmsite. De andere reden is om een ​​veilige verbinding te vormen wanneer u belt, bijvoorbeeld wanneer McDonald's de enige wifi is die u kunt vinden. Hier concentreer ik me op het oproepen van een externe VPN-server.

Wanneer u het netwerk van uw organisatie overweegt, zijn de problemen met betrekking tot uitgaande links naar een VPN-server anders dan die voor een individuele gebruiker thuis. Ten eerste is het netwerk van uw bedrijf en bent u verantwoordelijk voor het verkeer dat naar buiten komt. Bovendien ben je verantwoordelijk voor prestatiehits die kunnen optreden als je meerdere mensen hebt, bijvoorbeeld films in high definition (HD) kijkt terwijl iedereen probeert te werken.

Handhaving van een goed VPN-beleid

Hoewel er uitzonderingen zijn, afhankelijk van de behoeften van uw organisatie, is een goed beleid om uitgaand VPN-verkeer te blokkeren voordat het uw netwerk kan verlaten. Daarnaast moet u de personeelsafdeling (HR) vragen een regel te publiceren die het gebruik van VPN verbiedt, tenzij dit specifiek is toegestaan ​​voor individuele gevallen. U wilt de betrokken HR-afdeling zodat u actie kunt ondernemen wanneer iemand erachter komt hoe u uw VPN-blokken kunt omzeilen.

Vervolgens moet u uw firewalls of routers (of beide) configureren om uitgaande VPN-toegang te voorkomen. Hier zijn zes wijzigingen die u moet aanbrengen:

Maak een zwarte lijst met bekende openbare VPN-websites en houd de lijst bijgewerkt, omdat de lijst voortdurend kan worden gewijzigd.

Maak toegangscontrolelijsten (ACL's) die VPN-communicatie blokkeren, zoals UDP-poort 500, die vaak wordt gebruikt.

Gebruik de stateful inspectiemogelijkheden van uw firewall om gecodeerde communicatie te zoeken, vooral die naar buitenlandse locaties gaan. U wilt waarschijnlijk de bankweersessie van een medewerker niet verstoren, maar een sessie van een uur is niet iemand die zijn creditcardsaldo opzoekt. En natuurlijk gebruiken veel websites tegenwoordig SSL-codering (Secure Sockets Layer), dus u kunt codering niet zomaar verbieden.

Zoek naar openbare VPN-toepassingen op machines van het bedrijf. Dit zijn niet dezelfde als de apps voor uw inkomende VPN, maar eerder apps om uitgaande VPN-verbindingen in te schakelen.

Stel een speciaal bezoekersnetwerk in op uw wifi-controller (of router als u een klein bedrijf bent) dat alleen verbindingen toestaat met specifieke internetbronnen, meestal die op poort 80 (websites) of poort 443 (SSL). Mogelijk wilt u ook poorten 25, 465 en 587 toestaan, die vereist zijn voor e-mail. Je zou alle andere verbindingen moeten weigeren.

Vergeet niet dat er iets is van een wapenwedloop tussen VPN-leveranciers en pogingen om hun gebruik te blokkeren. U moet alert zijn op pogingen om ongepast VPN-gebruik op uw netwerk te omzeilen, en indien nodig actie ondernemen om het te stoppen, met behulp van de HR-regels indien nodig.

Laatste gedachten

• Waarom ik niet de beste VPN voor China kies Waarom ik niet de beste VPN voor China kies
• De beste VPN-routers voor 2019 De beste VPN-routers voor 2019
• Bedrijven moeten het risico van VPN-services begrijpen Bedrijven moeten het risico van VPN-services begrijpen

Ik weet dat het niet consistent klinkt om VPN-producten hier en daar te hebben beoordeeld en aanbevolen om hun waarde in twijfel te trekken, maar dit is een situatie waarin VPN's, ondanks de waarde die ze hebben voor beveiliging, niet altijd op de juiste manier worden gebruikt. U wilt geen open netwerk tussen uw organisatie en een tegenstander en u wilt waarschijnlijk niet dat werknemers films kijken (of erger) op het werk.

Hoewel u moet beslissen wat geschikt VPN-gebruik voor uw werknemers is, moet u niet vergeten dat het geen kwestie van vrijheid of netneutraliteit is. Het is uw privé-netwerk en u bent verantwoordelijk voor het verkeer dat eroverheen reist. Je hebt het recht om het te controleren.