监控我网络上的 VPN 用户

Question 1

我们是否可以认为此 OpenVPN 连接不是由您/您的公司设置的，并且最终用户正在连接到他们自己的 OpenVPN 服务器？如果 OpenVPN 使用标准端口，您当然可以阻止它们：丢弃或拒绝到 TCP 和 UDP 端口 1194 的流量，可能是来自特定计算机（相关用户）和特定计算机（OpenVPN 服务器）。由于事实并非如此（抱歉第一次没有提到这一点），那么您的问题就变成了“我如何区分合法的 HTTP-over-SSL-on-TCP-443 和不允许的 OpenVPN-over-SSL-on-TCP-443？”。类似ssldump可能会揭示 HTTPS 和 OpenVPN 之间的一些差异，但将其转变为防火墙规则以拒绝到特定服务器的流量可能会很困难。

OpenVPN 使用 SSL 进行加密，破解它并非易事，因此您无法看到来自防火墙或其他“网关”主机的 VPN 流量中有什么，但是一个不错的数据包嗅探器（wireshark）至少会告诉您工作站 A 和公共互联网地址 B 之间存在 SSL 流量。您可以直接在用户的桌面上安装流量嗅探器（再次说明您没有说是什么平台，但我认为是 Windows），并嗅探“tap”设备（存在隐私方面的考虑，特别是如果允许人们将 VPN 用于轻度个人用途）。

可以说，这既是违反政策/人事问题，也是技术问题，因此让老板/人力资源人员参与进来并不是一个坏主意，即让他们宣布/重申该政策，并采取技术措施来强化该政策。首先要检查用户是否真的使用 OpenVPN 来绕过内容过滤以及他们正在访问的内容 - 即，如果他们这样做是为了访问与工作相关的内容，那么您应该考虑您的过滤政策是否真正对公司有益，或者它只是阻碍了工作，以至于人们不得不花费时间和精力来解决这个问题。

Answer

我们是否可以认为此 OpenVPN 连接不是由您/您的公司设置的，并且最终用户正在连接到他们自己的 OpenVPN 服务器？如果 OpenVPN 使用标准端口，您当然可以阻止它们：丢弃或拒绝到 TCP 和 UDP 端口 1194 的流量，可能是来自特定计算机（相关用户）和特定计算机（OpenVPN 服务器）。由于事实并非如此（抱歉第一次没有提到这一点），那么您的问题就变成了“我如何区分合法的 HTTP-over-SSL-on-TCP-443 和不允许的 OpenVPN-over-SSL-on-TCP-443？”。类似ssldump可能会揭示 HTTPS 和 OpenVPN 之间的一些差异，但将其转变为防火墙规则以拒绝到特定服务器的流量可能会很困难。

OpenVPN 使用 SSL 进行加密，破解它并非易事，因此您无法看到来自防火墙或其他“网关”主机的 VPN 流量中有什么，但是一个不错的数据包嗅探器（wireshark）至少会告诉您工作站 A 和公共互联网地址 B 之间存在 SSL 流量。您可以直接在用户的桌面上安装流量嗅探器（再次说明您没有说是什么平台，但我认为是 Windows），并嗅探“tap”设备（存在隐私方面的考虑，特别是如果允许人们将 VPN 用于轻度个人用途）。

可以说，这既是违反政策/人事问题，也是技术问题，因此让老板/人力资源人员参与进来并不是一个坏主意，即让他们宣布/重申该政策，并采取技术措施来强化该政策。首先要检查用户是否真的使用 OpenVPN 来绕过内容过滤以及他们正在访问的内容 - 即，如果他们这样做是为了访问与工作相关的内容，那么您应该考虑您的过滤政策是否真正对公司有益，或者它只是阻碍了工作，以至于人们不得不花费时间和精力来解决这个问题。

Question 2

这似乎是个人问题，而不是技术问题。您的组织应该定期对工作站进行安全审核。应该明确指出，如果发现任何用户使用未经授权的软件（包括 VPN、代理等），他们将受到制裁。

确实，没有一种“简单”的方法可以区分端口 443 上的 HTTPS 和 OpenVPN。这是可行的，但需要付出的努力比它值得的要多。如果您看到异常大量的流量，或者其他提示，也许最好与您的用户进行“教育会议”。

Answer

这似乎是个人问题，而不是技术问题。您的组织应该定期对工作站进行安全审核。应该明确指出，如果发现任何用户使用未经授权的软件（包括 VPN、代理等），他们将受到制裁。

确实，没有一种“简单”的方法可以区分端口 443 上的 HTTPS 和 OpenVPN。这是可行的，但需要付出的努力比它值得的要多。如果您看到异常大量的流量，或者其他提示，也许最好与您的用户进行“教育会议”。

监控我网络上的 VPN 用户

答案1

答案2

相关内容