Un filtro web es una herramienta ubicua para proteger las redes y evitar que los empleados o estudiantes accedan a contenido inapropiado. Sorprendentemente, el Informe de Inteligencia de Amenazas Internas de 2019 de Dtex encontró que el 95% de las empresas atraparon a sus empleados buscando formas de eludir los protocolos de seguridad corporativos.
En este artículo describiré los métodos que utilizan los empleados para eludir las políticas de filtrado de contenido web y le proporcionaré consejos para evitar que ocurran.
Software de Filtrado Web para Empresas
¿Necesita bloquear el acceso de sus empleados a ciertos sitios web? Comience hoy con una prueba gratuita de BrowseControl, el software de filtrado web de CurrentWare.
«Como un ‘novato’ yo era capaz de establecer con la ayuda de apoyo en aproximadamente una hora. El software anterior tomó una eternidad y no funcionó como se anunciaba; este software funcionó de inmediato. Permite a mis trabajadores usar Internet y ganar dinero para la práctica sin distracción / tentación de usar sitios web personales / correo electrónico / compras.»
– Gerard B., Gerente de Oficina
Mejores Prácticas Para Disuadir a Los Usuarios De Eludir los Filtros Web
¿Por Qué El Omitir los Filtros Web es un Problema?
- Seguridad: Cuando los usuarios omiten las políticas de filtrado web, aumentan la superficie de ataque de la red al darse a sí mismos la oportunidad de toparse con sitios web maliciosos.
- Productividad: Los administradores bloquearán las redes sociales, los sitios de juegos y otros sitios web que distraen para mejorar la productividad de su organización. Los usuarios activamente desconectados pueden intentar obtener acceso a estas plataformas para perder tiempo.
- Decencia: Los filtros web se utilizan para bloquear el acceso a contenido orientado a adultos y otros sitios web que se consideran inapropiados. Esto incluye dominios que albergan contenido pornográfico, de odio o crudo.
- Cumplimiento de CIPA: Para escuelas y bibliotecas, un filtro web es un componente crítico para cumplir con el cumplimiento de CIPA. Estas organizaciones deben mantener el cumplimiento de CIPA para recibir fondos de E-Rate para telecomunicaciones, acceso a Internet y servicios de banda ancha.
Evite dar privilegios de administrador a los usuarios
Reducir la cantidad de cuentas de administrador es una práctica de seguridad muy recomendable. La proliferación de privilegios de administrador innecesarios aumenta la probabilidad de que los actores de la amenaza obtengan acceso a la red a través de cuentas de alto privilegio comprometidas.
Desde una perspectiva de filtrado web, dar privilegios limitados a los usuarios les impide descargar aplicaciones de derivación no deseadas (por ejemplo, proxies) o realizar cambios de configuración que pueden dañar la seguridad de su red.
Establezca una Política de uso aceptable
La política de su empresa debe prohibir explícitamente los intentos de eludir las medidas de seguridad. Una política de uso aceptable (PUA) complementa su software de filtrado web al proporcionar a los empleados directrices claras para el uso de la tecnología en el lugar de trabajo.
Una PUA sienta un precedente para la acción correctiva en caso de que los usuarios intenten eludir los controles de seguridad de la organización. Una vez que descubra evidencia de tales intentos, debe dirigirse al(a los) usuario (s) responsable (s) de manera oportuna para disuadir futuros intentos de evitación.
Plantilla De Muestra Gratuita:
Política de Uso de Internet para empleados
Descargue esta política de uso aceptable GRATUITA, personalícela,
y distribúyala a sus empleados para sentar un precedente para el uso aceptable de Internet en el lugar de trabajo.
Utilice filtros menos restrictivos
¿Qué es más importante: productividad o seguridad?
Los sitios web que distraen e improductivos a menudo se bloquean en el lugar de trabajo. Esta es la cuestión: si tus empleados realmente quieren usar Facebook en el trabajo, encontrarán una manera.
Si está utilizando un filtro web para evitar distracciones, los usuarios descontentos están más incentivados a omitir su filtro web de lo que lo harían si se usara únicamente por razones de seguridad y decencia.
Desde la perspectiva de la seguridad de redes y terminales, permitir que los usuarios accedan a las redes sociales es una preocupación menor que incentivarlos a eludir las políticas de filtrado web corporativo y visitar sitios web de alto riesgo potencialmente.
Alternativamente, puede programar políticas de filtrado web menos restrictivas durante los descansos para permitir que sus empleados o estudiantes accedan a contenido que distraiga en períodos designados.
Eso no es todo, aunque
Hay otra razón por la que sus empleados o estudiantes quieren sortear su filtro web. A veces es simplemente que quieren obtener acceso a contenido al que no deberían estar accediendo, pero no siempre es el caso. Su filtro web puede estar bloqueando el acceso a la investigación legítima.
Su solución de filtrado web debe ser fácil de administrar. Debería permitirle desbloquear fácilmente sitios web que han sido incluidos erróneamente en la lista negra. Ser capaz de proporcionar acceso sin esfuerzo a sitios web bloqueados reducirá la tentación de sus usuarios de buscar técnicas de evasión de filtros riesgosas.
Cómo los empleados omiten los filtros web
1) DNS sobre HTTPS
¿Qué es?
DNS sobre HTTPS (DoH) es un protocolo que encripta las consultas DNS, haciendo que la URL visitada sea indetectable para los filtros de nivel de red. La intención de DoH es aumentar la privacidad de los usuarios al reducir los datos disponibles para los ISP y otros proveedores, sin embargo, ha causado problemas inadvertidamente en entornos corporativos que utilizan filtros web basados en DNS.
Cómo se usa para omitir filtros web
El mismo cifrado que oculta el tráfico DNS de los ISP también oculta los detalles que los filtros web a nivel de red necesitan para bloquear sitios web de manera efectiva.
Los empleados y estudiantes pueden usar navegadores web compatibles con DoH para eludir las directivas de filtrado web a nivel de red. Algunos navegadores web, como Firefox, habilitan DoH de forma predeterminada, lo que genera problemas de seguridad en las organizaciones que utilizan filtros web para proteger su red contra ataques de phishing.
La solución
- Filtro basado en agentes: Utilice un filtro web basado en agentes, como BrowseControl, que bloquea los sitios web a nivel de navegador en lugar de utilizar un filtro DNS a nivel de red.
- Dominio Canario: Las empresas que utilizan filtros web basados en DNS con Firefox pueden agregar el dominio canario use-application-dns.net a su filtro DNS para evitar que DoH se use de forma predeterminada. Desafortunadamente, Firefox aún puede cumplir con la configuración de nivel de usuario; si su usuario habilita manualmente DoH, puede que conserve la capacidad de omitir los filtros web DNS.
- Bloquear navegadores web: Utilice un bloqueador de aplicaciones para evitar que los usuarios inicien navegadores compatibles con DoH. La lista de navegadores que admiten DoH está creciendo constantemente, por lo que es probable que esto no sea factible a largo plazo.
- Active Directory: Utilice un objeto de directiva de grupo en Active Directory para deshabilitar DoH
2) Proxies Web y de Aplicaciones
¿Qué es?
Los proxies son sitios web y aplicaciones que actúan como pasarela entre el usuario e Internet. Las empresas a menudo usan sus propios servidores proxy diseñados específicamente que actúan como cortafuegos y filtro web, pero los empleados también pueden usar proxies de terceros para eludir las medidas de filtrado de contenido interno.
Cómo se usa para eludir los filtros web
Hay tres formas clave de usar proxies para romper los filtros web corporativos:
- Los usuarios pueden usar proxies de terceros para ocultar su tráfico de su filtro web y navegar por Internet libremente. Se puede acceder a estos proxies a través de uno de los muchos sitios proxy dedicados.
- Los usuarios pueden modificar la configuración de su navegador web para reenviar el tráfico a un servidor proxy que no es administrado por su empresa.
- Podían descargar programas proxy especialmente diseñados en unidades USB en casa y llevar estos dispositivos a la escuela o al trabajo.
La solución
Prevenir eficazmente el uso de proxies requiere un enfoque múltiple. Deberá combinar el filtrado web, la restricción de permisos de usuario, el control de acceso USB y el bloqueo de aplicaciones para abordar todos los métodos posibles.
- Filtrado web: Agregue la categoría Proxy a su lista de filtrado de categorías para bloquear proactivamente todos los sitios proxy conocidos. Agregar manualmente sitios web y aplicaciones proxy conocidos a su filtro de contenido es una batalla perdida, ya que se crean nuevos sitios de forma regular.
- Monitoreo de empleados: Monitoree la actividad del motor de búsqueda de empleados en busca de consultas que indiquen que están tratando de encontrar sitios proxy desbloqueados. También puede realizar un seguimiento de las aplicaciones utilizadas y las URL visitadas en su red y comprobar si los empleados utilizan sitios y aplicaciones proxy desbloqueados.
- Restricciones de la política: Utilice un objeto de directiva de grupo en Active Directory Prevent para evitar que los usuarios realicen cambios en la configuración del navegador. También debe impedir que los empleados usen dispositivos USB – si esto es demasiado restrictivo para su organización, puede incluir en la lista blanca los dispositivos proporcionados por la empresa y hacer que los usuarios los mantengan en el sitio.
3) las Redes Privadas Virtuales
¿Qué es?
Una Red Privada Virtual (VPN) crea una red privada cifrada entre dos redes. Estas herramientas se utilizan a menudo para proporcionar a los trabajadores remotos acceso a aplicaciones de software alojadas en la red de su empleador.
Cómo se usa para omitir los filtros web
Una VPN omite los filtros web y túneles a través de firewalls enmascarando el tráfico de red del usuario. Esto hace que sea difícil detectar o descifrar los sitios web que están visitando, lo que obliga a los administradores del sistema a bloquear la conexión VPN por completo si desean evitar que eludan sus políticas de filtrado.
La solución
- Bloquear puertos VPN: Si no necesita VPN en su organización, simplemente puede bloquearlas por completo. Para hacer esto, bloquee cualquier puerto de red que admita conexiones VPN. Los puertos exactos utilizados varían según la VPN, siendo los puertos más comunes 443 (TCP), 500 (UDP), 1194 (TCP/UDP),1701 (TCP), 1723 (TCP), 4500 (UDP) y 10000 (TCP/UDP).
- Bloquear extensiones VPN: Evite que sus usuarios instalen complementos de navegador VPN.
- Bloquear aplicaciones: Use un bloqueador de aplicaciones para impedir que sus usuarios usen VPN basadas en aplicaciones. También puede restringir los privilegios en las cuentas de empleados / estudiantes para evitar que instalen software sin una contraseña de administrador.
4) Uso de Datos Móviles como punto de acceso Wi-Fi para Sus Portátiles
¿Qué es?
Los smartphones incluyen una función conocida como» tethering», que te permite usar los datos móviles de tu teléfono para crear un hotspot Wi-Fi privado. Este hotspot se puede usar para conectar otro teléfono, tableta o computadora a Internet.
Cómo se usa para omitir los filtros web
Si filtra sitios web a nivel de red con un filtro DNS o un firewall, sus empleados pueden omitir el filtro web desconectando su computadora portátil de trabajo de su red filtrada y conectándose al hotspot Wi-Fi privado de su teléfono celular.
La solución
Un filtro web basado en agentes que bloquea sitios web a nivel de dispositivo no se puede omitir con este método. El agente de software almacenará en caché las políticas de filtrado web localmente, lo que permitirá que se aplique la última lista negra conocida incluso cuando sus empleados se conecten a una red externa.
5) Iniciar un navegador Web desde USB
¿Qué es?
Sus usuarios pueden usar servicios como PortableApps.com para instalar navegadores web portátiles en una unidad flash USB. Este método es más difícil de detectar que los otros métodos, ya que los navegadores se pueden iniciar directamente desde el dispositivo de medios extraíbles sin la necesidad de visitar un sitio web o instalar un programa en su computadora.
Cómo se usa para omitir filtros web
Estos navegadores web basados en USB están configurados para enrutar su tráfico de Internet a través de una dirección proxy que omite las directivas de filtrado de Internet de su red.
La solución
- BrowseControl: Las funciones de filtrado web de BrowseControl bloquean la carga de páginas web en navegadores web portátiles
- Bloquear USB: Bloquear dispositivos USB o proporcionar a los usuarios permisos de solo lectura. Si los dispositivos USB son críticos, un administrador puede incluir en la lista blanca una selección manejable de dispositivos aprobados.
- Bloquear aplicaciones: Puede impedir que los empleados inicien aplicaciones portátiles en sus computadoras utilizando software de bloqueo de aplicaciones como BrowseControl
¿Necesita una solución para bloquear dispositivos USB no deseados? Comience hoy con una prueba gratuita de AccessPatrol, el software de control de dispositivos USB de CurrentWare.
Conclusión
Los filtros web son excelentes herramientas para evitar que empleados y estudiantes accedan a sitios web inapropiados y de alto riesgo. Con el tiempo, los usuarios expertos en tecnología han descubierto formas cada vez más complejas y creativas de eludir las políticas de seguridad locales.
Para protegerse contra esta tendencia, las políticas basadas en restricciones deben combinarse con control informático y salvaguardias administrativas. Los administradores de red pueden reforzar aún más la integridad de sus políticas de filtrado al incluir el uso de filtros web basados en agentes que imponen listas negras de sitios web cuando los usuarios están fuera de la red principal.