我的公司对可浏览的内容运行过滤器,我必须检查每个人是否都遵守浏览政策。最近我发现一些用户在他们的工作站上激活了 OpenVPN,我发现他们连接到外部服务器的端口 443,然后使用代理来绕过公司过滤器。有什么方法可以监控允许端口上的 VPN 连接或避免连接?
答案1
我们是否可以认为此 OpenVPN 连接不是由您/您的公司设置的,并且最终用户正在连接到他们自己的 OpenVPN 服务器?如果 OpenVPN 使用标准端口,您当然可以阻止它们:丢弃或拒绝到 TCP 和 UDP 端口 1194 的流量,可能是来自特定计算机(相关用户)和特定计算机(OpenVPN 服务器)。由于事实并非如此(抱歉第一次没有提到这一点),那么您的问题就变成了“我如何区分合法的 HTTP-over-SSL-on-TCP-443 和不允许的 OpenVPN-over-SSL-on-TCP-443?”。类似ssldump可能会揭示 HTTPS 和 OpenVPN 之间的一些差异,但将其转变为防火墙规则以拒绝到特定服务器的流量可能会很困难。
OpenVPN 使用 SSL 进行加密,破解它并非易事,因此您无法看到来自防火墙或其他“网关”主机的 VPN 流量中有什么,但是一个不错的数据包嗅探器(wireshark)至少会告诉您工作站 A 和公共互联网地址 B 之间存在 SSL 流量。您可以直接在用户的桌面上安装流量嗅探器(再次说明您没有说是什么平台,但我认为是 Windows),并嗅探“tap”设备(存在隐私方面的考虑,特别是如果允许人们将 VPN 用于轻度个人用途)。
可以说,这既是违反政策/人事问题,也是技术问题,因此让老板/人力资源人员参与进来并不是一个坏主意,即让他们宣布/重申该政策,并采取技术措施来强化该政策。首先要检查用户是否真的使用 OpenVPN 来绕过内容过滤以及他们正在访问的内容 - 即,如果他们这样做是为了访问与工作相关的内容,那么您应该考虑您的过滤政策是否真正对公司有益,或者它只是阻碍了工作,以至于人们不得不花费时间和精力来解决这个问题。
答案2
这似乎是个人问题,而不是技术问题。您的组织应该定期对工作站进行安全审核。应该明确指出,如果发现任何用户使用未经授权的软件(包括 VPN、代理等),他们将受到制裁。
确实,没有一种“简单”的方法可以区分端口 443 上的 HTTPS 和 OpenVPN。这是可行的,但需要付出的努力比它值得的要多。如果您看到异常大量的流量,或者其他提示,也许最好与您的用户进行“教育会议”。