Come bloccare i VPN non autorizzati

Sei in riunione per aumentare gli stipendi del personale IT (ok, probabilmente no); è allora che noti che uno dei partecipanti sta tranquillamente sorridendo mentre usa il suo laptop. Guardi casualmente il suo schermo e noti che sta guardando Blazing Saddles di Mel Brooks invece di partecipare all'incontro. Con la tecnologia in atto presso la tua azienda, ti chiedi come ciò possa accadere?

Nel corso della giornata, dopo essersi accertato che il dipendente in questione si trovi nell'elenco dei licenziamenti, si controllano le impostazioni del firewall e del router. Abbastanza sicuro: i siti dei film sono bloccati. Allora, come va? La risposta è che i blocchi del tuo firewall o router non hanno colto il fatto che il futuro ex-dipendente stava usando una rete privata virtuale (VPN) per nascondere la natura del suo traffico.

Naturalmente, questo è solo un esempio dei problemi che un utilizzo in uscita della VPN può causare su una rete. Ce ne sono molti di più - abbastanza, infatti, che i senatori Ron Wyden (D-Oregon) e Marco Rubio (R-Florida) hanno chiesto al Dipartimento della Sicurezza Nazionale (DHS) degli Stati Uniti di indagare sull'uso della VPN da parte dei dipendenti federali. L'obiettivo dell'indagine è determinare se l'uso della VPN debba essere vietato all'interno del governo federale.

In tal caso, la preoccupazione è la minaccia alla sicurezza rappresentata dagli operatori VPN stranieri che potrebbero intercettare il traffico sui loro server e conservarne una copia. I principali fornitori di cui sono preoccupati i senatori sono le società con sede in Cina e Russia, ma sono anche preoccupati per gli operatori i cui server potrebbero essere compromessi da nazioni simili.

(Credito immagine: Statista)

Le VPN possono essere compromesse

Il problema è che queste nazioni e altri stanno cercando molto di più di semplici segreti di stato. Stanno anche cercando la vasta gamma di informazioni che le VPN possono trasportare in questi giorni, la maggior parte delle quali possono utilizzare per vari scopi. Ciò include dati come processi aziendali, segreti commerciali, elenchi di contatti dal software CRM (Customer Relationship Management) e tutti i tipi di informazioni personali che i dipendenti archiviano su se stessi o sui propri contatti.

Anche se una VPN è una connessione crittografata tra i due punti in cui è impostata, una volta che arriva al server all'altra estremità, la crittografia potrebbe terminare. Qualsiasi informazione che passa attraverso quel server può essere compromessa. Ma ci sono altre minacce oltre a questo.

Poiché una connessione VPN è logicamente simile alla semplice connessione di un cavo di rete molto lungo, esiste anche una connessione dal server VPN al dispositivo client sulla rete. Questa connessione può essere utilizzata per compromettere il computer alla tua estremità e forse anche la tua rete. Ora puoi vedere la natura di questa minaccia.

I diversi tipi di VPN

E non dimentichiamo che esiste più di un tipo di VPN. Esiste la VPN in uscita che viene utilizzata sui dispositivi client (ad esempio sul laptop del benevolo dipendente sopra menzionato), che viene spesso utilizzata per aggirare i limiti regionali su cose come film e musica, per proteggere le informazioni trasmesse da luoghi non sicuri e per prevenire il furto di dati durante il viaggio. Quindi ci sono VPN che sono impostate tra server in due posizioni, ad esempio tra un ufficio a casa e una filiale. Stiamo parlando del primo tipo.

In questo tipo, esistono anche diversi motivi per disporre di una VPN, uno dei quali è il collegamento a servizi esterni alla rete, come un sito di film. L'altro motivo è creare una connessione sicura quando si effettua la chiamata, ad esempio quando l'unico Wi-Fi che si trova è da McDonald's. Qui mi sto concentrando sulla chiamata a un server VPN remoto.

Quando si considera la rete della propria organizzazione, i problemi relativi al collegamento in uscita a un server VPN sono diversi da quelli per un singolo utente a casa. Per prima cosa, la rete appartiene alla tua azienda e sei responsabile per il traffico che passa verso l'esterno. Inoltre, sei responsabile dei successi che possono verificarsi se hai diverse persone, diciamo, guardando film in alta definizione (HD) mentre tutti gli altri stanno cercando di lavorare.

Applicare una buona politica VPN

Mentre ci saranno eccezioni a seconda delle esigenze della tua organizzazione, una buona politica è quella di bloccare il traffico VPN in uscita prima che possa lasciare la tua rete. Inoltre, dovresti chiedere al dipartimento delle risorse umane (HR) di pubblicare una regola che vieti l'uso della VPN a meno che non sia specificamente consentito per singoli casi. Desideri coinvolgere il reparto risorse umane in modo da poter agire quando qualcuno scopre come aggirare i blocchi VPN.

Successivamente, è necessario configurare i firewall o i router (o entrambi) per impedire l'accesso VPN in uscita. Ecco sei modifiche che devi apportare:

Creare una lista nera di siti Web VPN pubblici noti e mantenere l'elenco aggiornato poiché l'elenco può cambiare costantemente.

Crea elenchi di controllo di accesso (ACL) che bloccano le comunicazioni VPN, come la porta UDP 500, che viene frequentemente utilizzata.

Usa le capacità di ispezione stateful del tuo firewall per cercare comunicazioni crittografate, in particolare quelle che vanno verso località straniere. Probabilmente non vuoi interferire con la sessione bancaria di un dipendente, ma una sessione della durata di un'ora non è qualcuno che cerca il saldo della sua carta di credito. E, naturalmente, molti siti Web usano la crittografia Secure Sockets Layer (SSL) in questi giorni, quindi non puoi semplicemente vietare la crittografia.

Cerca applicazioni VPN pubbliche su macchine di proprietà dell'azienda. Queste non sono le stesse delle app per la tua VPN in entrata, ma piuttosto sono app per abilitare le connessioni VPN in uscita.

Imposta una rete speciale per soli visitatori sul tuo controller Wi-Fi (o router se sei una piccola azienda) che consenta solo connessioni a risorse Internet specifiche, in genere quelle in esecuzione sulla porta 80 (siti Web) o sulla porta 443 (SSL). È inoltre possibile consentire le porte 25, 465 e 587, necessarie per la posta elettronica. Dovresti negare tutte le altre connessioni.

Ricorda che c'è una specie di corsa agli armamenti tra i fornitori di VPN e i tentativi di bloccarne l'utilizzo. Devi essere attento agli sforzi per aggirare l'uso inappropriato della VPN sulla tua rete e, se necessario, agire per fermarlo, usando le regole delle risorse umane se necessario.

Pensieri finali

• Perché non sto scegliendo la migliore VPN per la Cina Perché non sto scegliendo la migliore VPN per la Cina
• I migliori router VPN per il 2019 I migliori router VPN per il 2019
• Le aziende devono comprendere il rischio dei servizi VPN Le aziende devono comprendere il rischio dei servizi VPN

So che sembra incoerente aver rivisto e consigliato prodotti VPN qui e poi aver messo in dubbio il loro valore, ma questa è una situazione in cui, nonostante il valore che hanno per la sicurezza, le VPN non vengono sempre utilizzate in modo appropriato. Non vuoi una rete aperta tra la tua organizzazione e un avversario, e probabilmente non vuoi che i dipendenti guardino film (o peggio) al lavoro.

Mentre devi decidere cosa costituisce l'uso appropriato della VPN per i tuoi dipendenti, ricorda: non è un problema di libertà o neutralità della rete. È la tua rete privata e sei responsabile per il traffico che la percorre. Hai tutto il diritto di controllarlo.