Ein Webfilter ist ein allgegenwärtiges Tool zum Schutz von Netzwerken und zum Verhindern, dass Mitarbeiter oder Schüler auf unangemessene Inhalte zugreifen. Der Insider Threat Intelligence Report 2019 von Dtex ergab, dass 95% der Unternehmen ihre Mitarbeiter dabei erwischt haben, wie sie aktiv nach Möglichkeiten suchten, die Sicherheitsprotokolle von Unternehmen zu umgehen.
In diesem Artikel werde ich die Methoden skizzieren, mit denen Mitarbeiter Richtlinien zur Filterung von Webinhalten umgehen, und Ihnen Tipps geben, wie Sie dies verhindern können.
Webfiltersoftware für Unternehmen
Müssen Sie Ihren Mitarbeitern den Zugriff auf bestimmte Websites verbieten? Starten Sie noch heute mit einer kostenlosen Testversion von BrowseControl, der Webfiltersoftware von CurrentWare.
“ Als ‚Anfänger‘ konnte ich mich mit Hilfe des Supports in etwa einer Stunde einrichten. Vorherige Software dauerte ewig und funktionierte nicht wie angekündigt; Diese Software funktionierte sofort. Es ermöglicht meinen Mitarbeitern, das Internet zu nutzen und Geld für die Praxis zu verdienen, ohne Ablenkung / Versuchung, persönliche Websites / E-Mails / Einkäufe zu nutzen.“
– Gerard B., Büroleiter
Best Practices, um Benutzer davon abzuhalten, Webfilter zu umgehen
Warum ist das Umgehen von Webfiltern ein Problem?
- Sicherheit: Wenn Benutzer Webfilterrichtlinien umgehen, erhöhen sie die Angriffsfläche des Netzwerks, indem sie sich die Möglichkeit geben, über schädliche Websites zu stolpern.
- Produktivität: Administratoren blockieren soziale Medien, Spieleseiten und andere ablenkende Websites, um die Produktivität ihrer Organisation zu verbessern. Aktiv deaktivierte Benutzer können versuchen, Zugang zu diesen Plattformen zu erhalten, um Zeit zu verschwenden.
- Anstand: Webfilter werden verwendet, um den Zugriff auf nicht jugendfreie Inhalte und andere Websites zu blockieren, die als unangemessen gelten. Dazu gehören Domains, die pornografische, hasserfüllte oder anderweitig grobe Inhalte hosten.
- CIPA-Konformität: Für Schulen und Bibliotheken ist ein Webfilter eine wichtige Komponente zur Einhaltung der CIPA-Konformität. Diese Organisationen müssen die CIPA-Konformität aufrechterhalten, um E-Rate-Mittel für Telekommunikation, Internetzugang und Breitbanddienste zu erhalten.
Geben Sie Benutzern keine Administratorrechte
Es wird dringend empfohlen, die Anzahl der Administratorkonten zu reduzieren. Die Verbreitung unnötiger Administratorrechte erhöht die Wahrscheinlichkeit, dass Bedrohungsakteure über kompromittierte Konten mit hohen Berechtigungen Zugriff auf das Netzwerk erhalten.
Wenn Sie Ihren Benutzern aus Sicht der Webfilterung eingeschränkte Berechtigungen erteilen, können sie keine unerwünschten Bypass-Anwendungen (z. B. Proxys) herunterladen oder Konfigurationsänderungen vornehmen, die die Sicherheit Ihres Netzwerks beeinträchtigen können.
Einrichten einer Richtlinie zur akzeptablen Nutzung
Ihre Unternehmensrichtlinie muss Versuche, Sicherheitsmaßnahmen zu umgehen, explizit verbieten. Eine Acceptable Use Policy (AUP) ergänzt Ihre Webfiltersoftware, indem sie Mitarbeitern klare Richtlinien für den Einsatz von Technologie am Arbeitsplatz bietet.
Eine AUP stellt einen Präzedenzfall für Korrekturmaßnahmen dar, falls Ihre Benutzer versuchen, organisatorische Sicherheitskontrollen zu umgehen. Sobald Sie Hinweise auf solche Versuche finden, müssen Sie sich rechtzeitig an den/die verantwortlichen Benutzer wenden, um zukünftige Vermeidungsversuche zu verhindern.
Kostenlose Mustervorlage:
Richtlinie zur Internetnutzung von Mitarbeitern
Laden Sie diese KOSTENLOSE Richtlinie zur akzeptablen Nutzung herunter, passen Sie sie an
und verteilen Sie sie an Ihre Mitarbeiter, um einen Präzedenzfall für die akzeptable Nutzung des Internets am Arbeitsplatz zu schaffen.
Weniger restriktive Filterung verwenden
Was ist wichtiger: Produktivität oder Sicherheit?
Ablenkende und unproduktive Websites werden am Arbeitsplatz häufig blockiert. Hier ist die Sache: Wenn Ihre Mitarbeiter Facebook wirklich bei der Arbeit nutzen möchten, werden sie einen Weg finden.
Wenn Sie einen Webfilter verwenden, um Ablenkungen zu vermeiden, haben verärgerte Benutzer mehr Anreize, Ihren Webfilter zu umgehen, als wenn er ausschließlich aus Sicherheits- und Anstandsgründen verwendet würde.
Aus Sicht der Netzwerk- und Endpunktsicherheit ist es weniger wichtig, Ihren Benutzern den Zugriff auf soziale Medien zu ermöglichen, als sie dazu anzuregen, die Richtlinien zur Webfilterung von Unternehmen zu umgehen und möglicherweise Websites mit hohem Risiko zu besuchen.
Alternativ können Sie in den Pausen weniger restriktive Webfilterrichtlinien festlegen, damit Ihre Mitarbeiter oder Schüler zu bestimmten Zeiten auf störende Inhalte zugreifen können.
Das ist aber noch nicht alles…
Es gibt noch einen weiteren Grund, warum Ihre Mitarbeiter oder Studenten Ihren Webfilter umgehen möchten. Manchmal ist es einfach so, dass sie Zugriff auf Inhalte erhalten möchten, auf die sie nicht zugreifen sollten, aber das ist nicht immer der Fall. Ihr Webfilter blockiert möglicherweise den Zugriff auf legitime Recherchen.
Ihre Webfilterlösung muss einfach zu verwalten sein. Es sollte Ihnen ermöglichen, Websites, die zu Unrecht auf die schwarze Liste gesetzt wurden, problemlos zu entsperren. Wenn Sie mühelos Zugriff auf blockierte Websites gewähren können, verringern Sie die Versuchung für Ihre Benutzer, riskante Filtervermeidungstechniken zu suchen.
Wie Mitarbeiter Webfilter umgehen
1) DNS-Over-HTTPS
Was ist das?
DNS-Over-HTTPS (DoH) ist ein Protokoll, das DNS-Abfragen verschlüsselt und die besuchte URL für Filter auf Netzwerkebene nicht nachweisbar macht. Die Absicht von DoH ist es, die Privatsphäre der Benutzer zu erhöhen, indem die für ISPs und andere Anbieter verfügbaren Daten reduziert werden.
So umgehen Sie Webfilter
Dieselbe Verschlüsselung, die DNS-Datenverkehr vor ISPs verbirgt, verbirgt auch die Details, die Webfilter auf Netzwerkebene benötigen, um Websites effektiv zu blockieren.
Mitarbeiter und Studenten können Webbrowser verwenden, die DoH unterstützen, um Webfilterrichtlinien auf Netzwerkebene zu umgehen. Einige Webbrowser wie Firefox aktivieren DoH standardmäßig, was zu Sicherheitsbedenken in Organisationen führt, die Webfilter verwenden, um ihr Netzwerk vor Phishing-Angriffen zu schützen.
Die Lösung
- Agentenbasierter Filter: Verwenden Sie einen agentenbasierten Webfilter wie BrowseControl, der Websites auf Browserebene blockiert, anstatt einen DNS-Filter auf Netzwerkebene zu verwenden.
- Canary Domain: Unternehmen, die DNS-basierte Webfilter mit Firefox verwenden, können die Canary Domain hinzufügen use-application-dns.net zu ihrem DNS-Filter, um zu verhindern, dass DoH standardmäßig verwendet wird. Leider kann Firefox immer noch Einstellungen auf Benutzerebene berücksichtigen; Wenn Ihr Benutzer DoH manuell aktiviert, behalten sie möglicherweise die Möglichkeit, DNS-Webfilter zu umgehen.
- Webbrowser blockieren: Verwenden Sie einen Anwendungsblocker, um zu verhindern, dass Benutzer Browser starten, die DoH unterstützen. Die Liste der Browser, die DoH unterstützen, wächst stetig, so dass dies auf lange Sicht wahrscheinlich nicht machbar ist.
- Active Directory: Verwenden eines Gruppenrichtlinienobjekts in Active Directory zum Deaktivieren von DoH
2) Web- und Anwendungs-Proxies
Was ist das?
Proxys sind Websites und Anwendungen, die als Gateway zwischen dem Benutzer und dem Internet fungieren. Unternehmen verwenden häufig ihre eigenen speziell entwickelten Proxyserver, die als Firewall und Webfilter fungieren, aber Mitarbeiter können auch Proxys von Drittanbietern verwenden, um interne Inhaltsfiltermaßnahmen zu umgehen.
Wie es verwendet wird, um Webfilter zu umgehen
Es gibt drei wichtige Möglichkeiten, wie Proxys verwendet werden können, um Unternehmenswebfilter zu durchbrechen:
- Ihre Benutzer können Proxys von Drittanbietern verwenden, um ihren Datenverkehr vor Ihrem Webfilter zu verbergen und frei im Internet zu surfen. Auf diese Proxys kann über eine von vielen dedizierten Proxy-Sites zugegriffen werden.
- Ihre Benutzer können die Einstellungen in ihrem Webbrowser ändern, um Datenverkehr an einen Proxyserver weiterzuleiten, der nicht von Ihrem Unternehmen verwaltet wird.
- Sie konnten zu Hause speziell entwickelte Proxy-Programme auf USB-Laufwerke herunterladen und diese Geräte zur Schule oder zur Arbeit bringen.
Die Lösung
Die effektive Verhinderung der Verwendung von Proxys erfordert einen mehrgleisigen Ansatz. Sie müssen Webfilterung, Benutzerberechtigungsbeschränkung, USB-Zugriffskontrolle und Anwendungsblockierung kombinieren, um alle möglichen Methoden zu adressieren.
- Webfilterung: Fügen Sie die Proxy-Kategorie zu Ihrer Kategoriefilterliste hinzu, um alle bekannten Proxy-Sites proaktiv zu blockieren. Das manuelle Hinzufügen bekannter Proxy-Websites und -Anwendungen zu Ihrem Inhaltsfilter ist ein verlorener Kampf, da regelmäßig neue Websites erstellt werden.
- Mitarbeiterüberwachung: Überwachen Sie die Suchmaschinenaktivität von Mitarbeitern auf Abfragen, die darauf hinweisen, dass sie versuchen, nicht blockierte Proxy-Sites zu finden. Sie können auch die in Ihrem Netzwerk verwendeten Anwendungen und besuchten URLs verfolgen und überprüfen, ob Mitarbeiter nicht blockierte Proxy-Sites und -Anwendungen verwenden.
- Richtlinienbeschränkungen: Verwenden Sie ein Gruppenrichtlinienobjekt in Active Directory Prevent, um zu verhindern, dass Benutzer Änderungen an den Browsereinstellungen vornehmen. Wenn dies für Ihre Organisation zu restriktiv ist, können Sie vom Unternehmen bereitgestellte Geräte auf die Whitelist setzen und von Ihren Benutzern vor Ort aufbewahren lassen.
3) Virtuelle private Netzwerke
Was ist das?
Ein virtuelles privates Netzwerk (VPN) erstellt ein privates verschlüsseltes Netzwerk zwischen zwei Netzwerken. Diese Tools werden häufig verwendet, um Remote-Mitarbeitern Zugriff auf Softwareanwendungen zu gewähren, die im Netzwerk ihres Arbeitgebers gehostet werden.
Wie es verwendet wird, um Webfilter zu umgehen
Ein VPN umgeht Webfilter und tunnelt durch Firewalls, indem es den Netzwerkverkehr des Benutzers maskiert. Dies macht es schwierig, die besuchten Websites zu erkennen oder zu entschlüsseln, und zwingt Systemadministratoren, die VPN-Verbindung vollständig zu blockieren, wenn sie verhindern möchten, dass sie ihre Filterrichtlinien umgeht.
Die Lösung
- VPN-Ports blockieren: Wenn Sie in Ihrem Unternehmen keine VPNs benötigen, können Sie diese einfach ganz blockieren. Blockieren Sie dazu alle Netzwerkports, die VPN-Verbindungen unterstützen. Die genauen verwendeten Ports variieren je nach VPN, wobei die häufigsten Ports 443 (TCP), 500 (UDP), 1194 (TCP / UDP),1701 (TCP), 1723 (TCP), 4500 (UDP) und 10000 (TCP / UDP) sind.
- VPN-Erweiterungen blockieren: Verhindern Sie, dass Ihre Benutzer VPN-Browser-Plugins installieren.
- Apps blockieren: Verwenden Sie einen Anwendungsblocker, um Ihre Benutzer daran zu hindern, App-basierte VPNs zu verwenden. Sie können auch die Berechtigungen für Mitarbeiter- / Studentenkonten einschränken, um zu verhindern, dass Software ohne Administratorkennwort installiert wird.
4) Verwenden von Mobilfunkdaten als Wi-Fi-Hotspot für ihre Laptops
Was ist das?
Smartphones verfügen über eine Funktion namens „Tethering“, mit der Sie die mobilen Daten Ihres Telefons verwenden können, um einen privaten WLAN-Hotspot zu erstellen. Dieser Hotspot kann verwendet werden, um ein anderes Telefon, Tablet oder Computer mit dem Internet zu verbinden.
So umgehen Sie Webfilter
Wenn Sie Websites auf Netzwerkebene mit einem DNS-Filter oder einer Firewall filtern, können Ihre Mitarbeiter Ihren Webfilter umgehen, indem Sie ihren Arbeitslaptop von Ihrem gefilterten Netzwerk trennen und eine Verbindung zum privaten WLAN-Hotspot ihres Mobiltelefons herstellen.
Die Lösung
Ein agentenbasierter Webfilter, der Websites auf Geräteebene blockiert, kann mit dieser Methode nicht umgangen werden. Der Software-Agent speichert Webfilterrichtlinien lokal zwischen, sodass die letzte bekannte Blacklist auch dann erzwungen werden kann, wenn Ihre Mitarbeiter eine Verbindung zu einem externen Netzwerk herstellen.
5) Starten eines Webbrowsers von USB
Was ist das?
Ihre Benutzer können Dienste wie PortableApps.com so installieren Sie tragbare Webbrowser auf einem USB-Flash-Laufwerk. Diese Methode ist schwieriger zu erkennen als die anderen Methoden, da die Browser direkt vom Wechselmediumgerät gestartet werden können, ohne dass eine Website besucht oder ein Programm auf ihrem Computer installiert werden muss.
Verwendung zum Umgehen von Webfiltern
Diese USB-basierten Webbrowser sind so konfiguriert, dass sie ihren Internetverkehr über eine Proxyadresse leiten, die die Internetfilterrichtlinien Ihres Netzwerks umgeht.
Die Lösung
- BrowseControl: Die Webfilterfunktionen von BrowseControl blockieren das Laden von Webseiten in tragbaren Webbrowsern
- USBs blockieren: Blockieren Sie USB-Geräte oder erteilen Sie Benutzern schreibgeschützte Berechtigungen. Wenn USB-Geräte kritisch sind, kann ein Administrator eine überschaubare Auswahl genehmigter Geräte auf die Whitelist setzen.
- Apps blockieren: Mit einer Software zum Blockieren von Anwendungen wie BrowseControl können Sie Mitarbeiter daran hindern, tragbare Apps auf ihren Computern zu starten
Benötigen Sie eine Lösung zum Blockieren unerwünschter USB-Geräte? Starten Sie noch heute mit einer kostenlosen Testversion von AccessPatrol, der USB-Gerätesteuerungssoftware von CurrentWare.
Fazit
Webfilter sind hervorragende Werkzeuge, um zu verhindern, dass Mitarbeiter und Studenten auf risikoreiche und unangemessene Websites zugreifen. Im Laufe der Zeit haben technisch versierte Benutzer immer komplexere und kreativere Möglichkeiten entdeckt, lokale Sicherheitsrichtlinien zu umgehen.
Um sich vor diesem Trend zu schützen, müssen restriktionsbasierte Richtlinien mit Computerüberwachung und administrativen Sicherheitsvorkehrungen kombiniert werden. Netzwerkadministratoren können die Integrität ihrer Filterrichtlinien weiter stärken, indem sie agentenbasierte Webfilter verwenden, die Website-Blacklists erzwingen, wenn sich Benutzer außerhalb des Hauptnetzwerks befinden.