So blockieren Sie nicht autorisierte VPNs

Sie sind in einer Besprechung über die Anhebung der Gehälter des IT-Personals (ok, wahrscheinlich nicht); Dann bemerken Sie, dass einer der Teilnehmer leise lächelt, während er seinen Laptop benutzt. Sie sehen beiläufig auf seinen Bildschirm und bemerken, dass er Mel Brooks ' Blazing Saddles beobachtet, anstatt an der Besprechung teilzunehmen. Sie fragen sich, wie dies angesichts der Technologie in Ihrem Unternehmen geschehen könnte?

Später am Tag überprüfen Sie Ihre Firewall- und Router-Einstellungen, nachdem Sie sichergestellt haben, dass der betreffende Mitarbeiter auf der Entlassungsliste steht. Klar genug: Filmseiten sind gesperrt. Na, was is los? Die Antwort ist, dass Ihre Firewall- oder Router-Blöcke nicht die Tatsache erkannt haben, dass der zukünftige Mitarbeiter ein virtuelles privates Netzwerk (VPN) verwendet, um die Art seines Datenverkehrs zu verbergen.

Dies ist natürlich nur ein Beispiel für die Probleme, die ausgehende VPN-Nutzung in einem Netzwerk verursachen kann. Es gibt noch viel mehr - genug, dass die Senatoren Ron Wyden (D-Oregon) und Marco Rubio (R-Florida) das US-Department of Homeland Security (DHS) gebeten haben, die VPN-Nutzung durch Bundesangestellte zu untersuchen. Ziel der Untersuchung ist es festzustellen, ob die VPN-Nutzung innerhalb der Bundesregierung verboten werden soll.

In diesem Fall besteht die Sorge in der Sicherheitsbedrohung durch ausländische VPN-Betreiber, die den Datenverkehr auf ihren Servern abfangen und eine Kopie aufbewahren könnten. Die primären Anbieter, mit denen die Senatoren zu tun haben, sind Unternehmen mit Sitz in China und Russland, aber auch Betreiber, deren Server von ähnlich kontroversen Nationen kompromittiert werden könnten.

(Bildnachweis: Statista)

VPNs können kompromittiert werden

Das Problem ist, dass diese Nationen und andere mehr wollen als nur Staatsgeheimnisse. Sie sind auch auf die Fülle von Informationen angewiesen, die VPNs heutzutage transportieren können und die sie größtenteils für eine Vielzahl von Zwecken verwenden können. Dazu gehören Daten wie Geschäftsprozesse, Geschäftsgeheimnisse, Kontaktlisten aus der CRM-Software (Customer Relationship Management) und alle Arten von persönlichen Informationen, die Ihre Mitarbeiter über sich selbst oder ihre Kontakte speichern.

Obwohl ein VPN eine verschlüsselte Verbindung zwischen den beiden Punkten ist, an denen es eingerichtet ist, endet die Verschlüsselung möglicherweise, sobald sie beim Server am anderen Ende ankommt. Alle Informationen, die diesen Server passieren, können kompromittiert werden. Aber es gibt noch andere Bedrohungen.

Da eine VPN-Verbindung dem einfachen Anschließen eines sehr langen Netzwerkkabels logisch ähnlich ist, besteht auch eine Verbindung vom VPN-Server zurück zum Client-Gerät in Ihrem Netzwerk. Diese Verbindung kann verwendet werden, um den Computer an Ihrem Ende und möglicherweise auch Ihr Netzwerk zu gefährden. Jetzt können Sie die Art dieser Bedrohung erkennen.

Die verschiedenen Arten von VPNs

Und vergessen wir nicht, dass es mehr als eine Art von VPN gibt. Es gibt das ausgehende VPN, das auf Clientgeräten verwendet wird (z. B. auf dem Laptop des oben genannten gut gelaunten Mitarbeiters), das häufig verwendet wird, um regionale Beschränkungen für Dinge wie Filme und Musik zu umgehen, Informationen zu schützen, die von unsicheren Standorten übertragen werden, und Diebstahl zu verhindern Daten während der Reise. Dann gibt es VPNs, die zwischen Servern an zwei Standorten eingerichtet werden, z. B. zwischen einem Heimbüro und einer Zweigstelle. Wir sprechen über den ersten Typ.

Bei diesem Typ gibt es auch mehrere Gründe für ein VPN. Einer davon ist die Verknüpfung mit Diensten außerhalb Ihres Netzwerks, z. B. einer Filmwebsite. Der andere Grund ist, beim Anrufen eine sichere Verbindung herzustellen, z. B. wenn das einzige Wi-Fi, das Sie finden können, bei McDonald's ist. Hier konzentriere ich mich darauf, einen Remote-VPN-Server anzurufen.

Wenn Sie das Netzwerk Ihres Unternehmens berücksichtigen, unterscheiden sich die Probleme bei der ausgehenden Verbindung mit einem VPN-Server von denen, die für einen einzelnen Benutzer zu Hause auftreten. Zum einen gehört das Netzwerk Ihrem Unternehmen und Sie sind für den Datenverkehr nach außen verantwortlich. Darüber hinaus sind Sie für Leistungseinbußen verantwortlich, die auftreten können, wenn mehrere Personen beispielsweise Filme in High Definition (HD) ansehen, während alle anderen versuchen, zu arbeiten.

Erzwingen Sie eine gute VPN-Richtlinie

Es gibt zwar Ausnahmen, die von den Anforderungen Ihres Unternehmens abhängen. Es empfiehlt sich jedoch, ausgehenden VPN-Verkehr zu blockieren, bevor er Ihr Netzwerk verlässt. Darüber hinaus sollten Sie die Personalabteilung bitten, eine Regel zu veröffentlichen, die die VPN-Nutzung verbietet, es sei denn, dies ist im Einzelfall ausdrücklich gestattet. Sie möchten, dass die Personalabteilung einbezogen wird, damit Sie Maßnahmen ergreifen können, wenn jemand herausfindet, wie Sie Ihre VPN-Blöcke umgehen können.

Als Nächstes müssen Sie Ihre Firewalls oder Router (oder beide) konfigurieren, um ausgehenden VPN-Zugriff zu verhindern. Hier sind sechs Änderungen, die Sie vornehmen müssen:

Erstellen Sie eine schwarze Liste bekannter öffentlicher VPN-Websites und halten Sie die Liste auf dem neuesten Stand, da sich die Liste ständig ändern kann.

Erstellen Sie Zugriffssteuerungslisten (Access Control Lists, ACLs), die die VPN-Kommunikation blockieren, z. B. den häufig verwendeten UDP-Port 500.

Verwenden Sie die Stateful Inspection-Funktionen Ihrer Firewall, um nach verschlüsselten Nachrichten zu suchen, insbesondere nach Nachrichten, die an fremde Standorte gesendet werden. Wahrscheinlich möchten Sie die Bankensitzung eines Mitarbeiters nicht stören, aber in einer einstündigen Sitzung wird das Kreditkartenguthaben nicht abgefragt. Und natürlich verwenden heutzutage viele Websites SSL-Verschlüsselung (Secure Sockets Layer), sodass Sie die Verschlüsselung nicht einfach verbieten können.

Suchen Sie nach öffentlichen VPN-Anwendungen auf firmeneigenen Computern. Dies sind nicht die Apps für Ihr eingehendes VPN, sondern Apps zum Aktivieren ausgehender VPN-Verbindungen.

Richten Sie auf Ihrem Wi-Fi-Controller (oder Router, wenn Sie ein kleines Unternehmen sind) ein spezielles Netzwerk nur für Besucher ein, das nur Verbindungen zu bestimmten Internetressourcen zulässt, die normalerweise auf Port 80 (Websites) oder Port 443 (SSL) ausgeführt werden. Möglicherweise möchten Sie auch die Ports 25, 465 und 587 zulassen, die für E-Mails erforderlich sind. Sie sollten alle anderen Verbindungen ablehnen.

Denken Sie daran, dass zwischen VPN-Anbietern und dem Versuch, deren Verwendung zu blockieren, ein Wettrüsten stattfindet. Sie müssen sich der Bemühungen bewusst sein, die unangemessene VPN-Nutzung in Ihrem Netzwerk zu umgehen, und erforderlichenfalls Maßnahmen ergreifen, um sie zu stoppen, und gegebenenfalls die HR-Regeln anwenden.

Abschließende Gedanken

• Warum ich nicht das beste VPN für China wähle Warum ich nicht das beste VPN für China wähle
• Die besten VPN-Router für 2019 Die besten VPN-Router für 2019
• Unternehmen müssen das Risiko von VPN-Diensten verstehen Unternehmen müssen das Risiko von VPN-Diensten verstehen

Ich weiß, dass es uneinheitlich klingt, VPN-Produkte hier zu überprüfen und zu empfehlen und dann ihren Wert in Frage zu stellen, aber dies ist eine Situation, in der VPNs trotz ihres Werts für die Sicherheit nicht immer angemessen eingesetzt werden. Sie möchten kein offenes Netzwerk zwischen Ihrer Organisation und einem Gegner, und Sie möchten wahrscheinlich nicht, dass Mitarbeiter Filme (oder noch schlimmer) bei der Arbeit ansehen.

Sie müssen sich zwar entscheiden, was eine angemessene VPN-Nutzung für Ihre Mitarbeiter darstellt, aber denken Sie daran: Es geht nicht um Freiheit oder Netzneutralität. Es ist Ihr privates Netzwerk und Sie sind für den Datenverkehr verantwortlich, der über das Netzwerk geleitet wird. Sie haben jedes Recht, es zu kontrollieren.