a webszűrő mindenütt jelenlévő eszköz a hálózatok védelmére és annak megakadályozására, hogy az alkalmazottak vagy a diákok nem megfelelő tartalmakhoz férjenek hozzá. Megdöbbentő módon a Dtex 2019-es bennfentes fenyegetés-hírszerzési jelentése megállapította, hogy a vállalkozások 95% – a elkapta alkalmazottait, akik aktívan keresik a vállalati biztonsági protokollok megkerülésének módjait.
ebben a cikkben felvázolom azokat a módszereket, amelyeket az alkalmazottak használnak a webes tartalomszűrési Irányelvek megkerülésére, és tippeket adok Önnek, hogy megakadályozzák őket.
webszűrő szoftver üzleti célokra
meg kell akadályoznia az alkalmazottak hozzáférését bizonyos webhelyekhez? Kezdje el ma a BrowseControl, a CurrentWare webszűrő szoftverének ingyenes próbaverziójával.
“mint ‘ kezdő’, körülbelül egy óra alatt tudtam felállítani a támogatás segítségével. A korábbi szoftver örökké tartott, és nem működött a reklámozott módon; ez a szoftver közvetlenül a dobozból működött. Ez lehetővé teszi a munkavállalók számára, hogy használják az internetet, és pénzt keressenek a gyakorlatban anélkül, hogy zavarnák/kísértenék a személyes weboldalak/e-mail/vásárlás használatát.”
– Gerard B., irodavezető
legjobb gyakorlatok a felhasználók Lebeszélésére a webes szűrők Megkerüléséről
miért probléma a Webszűrők megkerülése?
- biztonság: Amikor a felhasználók megkerülik a webszűrési házirendeket, növelik a hálózat támadási felületét azáltal, hogy lehetőséget biztosítanak maguknak a rosszindulatú webhelyek megbotlására.
- termelékenység: a rendszergazdák blokkolják a közösségi médiát, a játékoldalakat és más zavaró weboldalakat, hogy javítsák szervezetük termelékenységét. Az aktívan kikapcsolt felhasználók megpróbálhatnak hozzáférni ezekhez a platformokhoz, hogy időt pazaroljanak.
- tisztesség: a Webszűrőket arra használják, hogy blokkolják a felnőtt-orientált tartalomhoz és más, nem megfelelőnek ítélt webhelyekhez való hozzáférést. Ide tartoznak azok a domainek, amelyek pornográfiát, gyűlöletet vagy más módon nyers tartalmat tárolnak.
- CIPA-megfelelés: az iskolák és könyvtárak számára a webszűrő a CIPA-megfelelés elérésének kritikus eleme. Ezeknek a szervezeteknek fenn kell tartaniuk a CIPA-megfelelést ahhoz, hogy E-tarifás finanszírozást kapjanak a távközlés, az internet-hozzáférés és a szélessávú szolgáltatások számára.
kerülje a felhasználók adminisztrátori jogosultságainak megadását
az adminisztrátori fiókok számának csökkentése erősen ajánlott biztonsági gyakorlat. A felesleges adminisztrátori jogosultságok elterjedése növeli annak valószínűségét, hogy a fenyegetés szereplői hozzáférhetnek a hálózathoz a veszélyeztetett magas jogosultságú fiókok révén.
webszűrési szempontból a felhasználók korlátozott jogosultságainak megadása megakadályozza a nem kívánt megkerülő alkalmazások (pl. proxyk) letöltését vagy a hálózat biztonságát veszélyeztető konfigurációs módosítások végrehajtását.
Elfogadható használatra vonatkozó irányelv létrehozása
a vállalati irányelvnek kifejezetten meg kell tiltania a biztonsági intézkedések megkerülésére irányuló kísérleteket. Az Elfogadható használatra vonatkozó irányelv (AUP) kiegészíti a webszűrő szoftvert azáltal, hogy egyértelmű iránymutatásokat nyújt az alkalmazottaknak a technológia munkahelyi használatához.
az AUP precedenst teremt a korrekciós intézkedésekhez, ha a felhasználók megpróbálják megkerülni a szervezeti biztonsági ellenőrzéseket. Amint bizonyítékot talál az ilyen kísérletekre, időben meg kell szólítania a Felelős felhasználó(k) t, hogy visszatartsa a jövőbeni elkerülési kísérleteket.
Ingyenes Minta Sablon:
munkavállalói internethasználati Szabályzat
töltse le ezt az ingyenes Elfogadható használatra vonatkozó szabályzatot, testreszabhatja,
és terjessze az alkalmazottai között, hogy precedenst teremtsen az internet elfogadható munkahelyi használatára.
kevésbé korlátozó szűrés használata
mi a fontosabb: termelékenység vagy biztonság?
a zavaró és nem produktív weboldalakat gyakran blokkolják a munkahelyen. Itt van a dolog: ha az alkalmazottak valóban használni akarják a Facebook-ot a munkahelyükön, megtalálják a módját.
ha webes szűrőt használ a zavaró tényezők megelőzésére, az elégedetlen felhasználókat jobban ösztönzik arra, hogy megkerüljék a webes szűrőt, mint ha kizárólag biztonsági és tisztességi okokból használnák.
hálózati és végpontbiztonsági szempontból a felhasználók közösségi médiához való hozzáférésének lehetővé tétele kevésbé aggodalomra ad okot, mint arra ösztönözni őket, hogy megkerüljék a vállalati webszűrési irányelveket, és potenciálisan magas kockázatú webhelyeket látogassanak meg.
Alternatív megoldásként a szünetekben kevésbé korlátozó webszűrési házirendeket is ütemezhet, hogy alkalmazottai vagy hallgatói hozzáférhessenek a zavaró tartalmakhoz a kijelölt időszakokban.
ez még nem minden, bár…
van egy másik oka annak, hogy az alkalmazottak vagy a diákok szeretnék megkerülni a webes szűrőt. Néha egyszerűen csak olyan tartalomhoz akarnak hozzáférni, amelyhez nem kellene hozzáférniük, de ez nem mindig így van. Lehet, hogy a webszűrő valóban blokkolja a legitim kutatásokhoz való hozzáférést.
a webes szűrési megoldásnak könnyen kezelhetőnek kell lennie. Lehetővé kell tennie, hogy könnyedén feloldja a tévesen feketelistára került webhelyeket. Az, hogy könnyedén hozzáférést biztosít a blokkolt webhelyekhez, csökkenti a felhasználók kísértését, hogy kockázatos szűrőelkerülési technikákat keressenek.
hogyan kerülik meg az alkalmazottak a webes szűrőket
1) DNS-over-HTTPS
mi ez?
a DNS-over-HTTPS (DoH) egy protokoll, amely titkosítja a DNS-lekérdezéseket, így a meglátogatott URL nem látható a hálózati szintű szűrők számára. A DoH célja, hogy növelje a felhasználók magánéletét azáltal, hogy csökkenti az internetszolgáltatók és más szolgáltatók rendelkezésére álló adatokat, azonban véletlenül problémákat okozott a DNS-alapú webszűrőket használó vállalati környezetekben.
hogyan használják a webszűrők megkerülésére
ugyanaz a titkosítás, amely elrejti az internetszolgáltatók DNS-forgalmát, elrejti azokat a részleteket is, amelyekre a hálózati szintű webszűrőknek szükségük van a webhelyek hatékony blokkolásához.
az alkalmazottak és a diákok használhatják a DoH-t támogató webböngészőket a hálózati szintű webszűrési Irányelvek megkerülésére. Egyes webböngészők, például a Firefox alapértelmezés szerint engedélyezik a DoH-t, ami biztonsági aggályokat vet fel azokban a szervezetekben, amelyek webszűrőket használnak hálózatuk adathalász támadások elleni védelmére.
a megoldás
- ügynök alapú szűrő: Használjon olyan ügynökalapú webszűrőt, mint például a BrowseControl, amely hálózati szintű DNS-szűrő használata helyett böngésző szinten blokkolja a webhelyeket.
- Canary Domain: a Firefox segítségével DNS-alapú webes szűrőket használó vállalkozások hozzáadhatják a canary domaint use-application-dns.net a DNS-szűrőjükhöz, hogy megakadályozzák a DoH alapértelmezett használatát. Sajnos a Firefox továbbra is tiszteletben tarthatja a felhasználói szintű beállításokat; ha a felhasználó manuálisan engedélyezi a DoH-t, megtarthatja a DNS webszűrők megkerülésének képességét.
- Webböngészők Blokkolása: Használjon alkalmazásblokkolót, hogy megakadályozza a felhasználókat a DoH-t támogató böngészők elindításában. A DoH-t támogató böngészők listája folyamatosan növekszik, így ez valószínűleg hosszú távon nem lesz megvalósítható.
- Active Directory: csoportházirend-objektum használata az Active Directory-ban a DoH letiltásához
2) Web és alkalmazás proxyk
mi az?
a proxyk olyan webhelyek és alkalmazások, amelyek átjáróként működnek a felhasználó és az internet között. A vállalatok gyakran saját célra épített proxykiszolgálóikat használják, amelyek tűzfalként és webes szűrőként működnek, de az alkalmazottak harmadik féltől származó proxykat is használhatnak a belső tartalomszűrési intézkedések megkerülésére.
hogyan használják a webszűrők megkerülésére
három fő módja van annak, hogy a proxyk áttörjenek a vállalati webszűrőkön:
- a felhasználók harmadik féltől származó proxykat használhatnak, hogy elrejtsék forgalmukat a webszűrő elől, és szabadon böngészhessenek az interneten. Ezek a proxyk a sok dedikált proxy webhely egyikén keresztül érhetők el.
- a felhasználók módosíthatják a webböngésző beállításait, hogy a forgalmat olyan proxykiszolgálóra továbbítsák, amelyet nem a vállalat kezel.
- erre a célra épített proxy programokat tölthettek le otthoni USB-meghajtókra, és ezeket az eszközöket iskolába vagy munkahelyre vitték.
a megoldás
a proxyk használatának hatékony megakadályozása többirányú megközelítést igényel. Az összes lehetséges módszer kezeléséhez kombinálnia kell a webszűrést, a felhasználói engedélyek korlátozását, az USB hozzáférés-vezérlést és az alkalmazások blokkolását.
- Webszűrés: Adja hozzá a Proxy kategóriát a Kategóriaszűrési listához, hogy proaktív módon blokkolja az összes ismert proxy webhelyet. Az ismert proxy webhelyek és alkalmazások manuális hozzáadása a tartalomszűrőhöz vesztes csata, mivel rendszeresen új webhelyeket hoznak létre.
- Employee Monitoring: figyelje az alkalmazottak keresőmotorjának tevékenységét olyan lekérdezések esetén, amelyek azt jelzik, hogy blokkolatlan proxy webhelyeket próbálnak megtalálni. Nyomon követheti a használt alkalmazásokat és a hálózatban meglátogatott URL-eket, és ellenőrizheti, hogy az alkalmazottak nem blokkolt proxy webhelyeket és alkalmazásokat használnak-e.
- Politikai Korlátozások: Csoportházirend-objektum használata az Active Directory Prevent alkalmazásban annak megakadályozása, hogy a felhasználók módosítsák a böngésző beállításait. Azt is meg kell tiltania az alkalmazottaknak az USB – eszközök használatát-ha ez túl korlátozó a szervezet számára, engedélyezheti a vállalat által biztosított eszközök listáját, és a felhasználókat a helyszínen tarthatja.
3) virtuális magánhálózatok
mi az?
a virtuális magánhálózat (VPN) privát titkosított hálózatot hoz létre két hálózat között. Ezeket az eszközöket gyakran használják arra, hogy a távoli munkavállalók számára hozzáférést biztosítsanak a munkáltatójuk hálózatán tárolt szoftveralkalmazásokhoz.
hogyan használják a webszűrők megkerülésére
a VPN a felhasználó hálózati forgalmának elfedésével megkerüli a webszűrőket és alagutakat a tűzfalakon keresztül. Ez megnehezíti a meglátogatott webhelyek észlelését vagy megfejtését, arra kényszerítve a rendszergazdákat, hogy teljesen blokkolják a VPN-kapcsolatot, ha meg akarják akadályozni, hogy megkerüljék szűrési irányelveiket.
a megoldás
- blokkolja a VPN portokat: Ha nincs szüksége VPN-ekre a szervezetében, egyszerűen blokkolhatja őket. Ehhez blokkolja a VPN-kapcsolatokat támogató hálózati portokat. A pontos portok VPN-enként változnak, a leggyakoribb portok a 443 (TCP), 500 (UDP), 1194 (TCP/UDP),1701 (TCP), 1723 (TCP), 4500 (UDP) és 10000 (TCP/UDP).
- VPN-Bővítmények blokkolása: megakadályozza, hogy a felhasználók VPN-böngészőbővítményeket telepítsenek.
- alkalmazások blokkolása: alkalmazásblokkolóval blokkolhatja a felhasználókat az alkalmazásalapú VPN-ek használatától. Korlátozhatja a munkavállalói/hallgatói fiókok jogosultságait is, hogy megakadályozza őket abban, hogy rendszergazdai jelszó nélkül telepítsenek szoftvert.
4) a mobil adatok használata Wi-Fi hotspotként Laptopjaikhoz
mi az?
az okostelefonok tartalmazzák a “tethering” néven ismert funkciót, amely lehetővé teszi a telefon mobiladatainak használatát privát Wi-Fi hotspot létrehozásához. Ez a hotspot használható egy másik telefon, táblagép vagy számítógép csatlakoztatására az internethez.
hogyan használják a webszűrők megkerülésére
ha hálózati szintű webhelyeket szűr egy DNS-szűrővel vagy tűzfallal, az alkalmazottak megkerülhetik a webszűrőt azáltal, hogy leválasztják a munkahelyi laptopjukat a szűrt hálózatról, és csatlakoznak a mobiltelefon privát Wi-Fi hotspotjához.
a megoldás
ezzel a módszerrel nem lehet megkerülni egy ügynökalapú webszűrőt, amely eszközszinten blokkolja a webhelyeket. A szoftverügynök helyileg gyorsítótárazza a webszűrési házirendeket, lehetővé téve az utolsó ismert feketelista érvényesítését akkor is, ha alkalmazottai külső hálózathoz csatlakoznak.
5) webböngésző indítása USB-ről
mi az?
a felhasználók olyan szolgáltatásokat használhatnak, mint PortableApps.com hordozható webböngészők telepítése USB flash meghajtóra. Ezt a módszert nehezebb felismerni, mint a többi módszert, mivel a böngészők közvetlenül a cserélhető adathordozóról indíthatók anélkül, hogy meg kellene látogatniuk egy weboldalt vagy programot kellene telepíteniük a számítógépükre.
hogyan használják a webszűrők megkerülésére
ezek az USB-alapú böngészők úgy vannak konfigurálva, hogy internetes forgalmukat egy proxycímen keresztül irányítsák, amely megkerüli a hálózat internetszűrési irányelveit.
a megoldás
- BrowseControl: A BrowseControl webszűrési funkciói blokkolják a weboldalak betöltését a hordozható webböngészőkön
- blokk USB-k: blokkolja az USB-eszközöket, vagy csak olvasható jogosultságokat biztosít a felhasználóknak. Ha az USB-eszközök kritikusak, az adminisztrátor engedélyezheti a jóváhagyott eszközök kezelhető választékát.
- alkalmazások blokkolása: letilthatja az alkalmazottakat abban, hogy hordozható alkalmazásokat indítsanak a számítógépükön olyan alkalmazásblokkoló szoftverekkel, mint a BrowseControl
megoldásra van szüksége a nem kívánt USB-eszközök blokkolásához? Kezdje el ma az AccessPatrol, a CurrentWare USB eszközvezérlő szoftverének ingyenes próbaverziójával.
következtetés
a Webszűrők kiváló eszközök arra, hogy megakadályozzák az alkalmazottak és a diákok számára a magas kockázatú és nem megfelelő webhelyek elérését. Idővel a tech-hozzáértő felhasználók egyre összetettebb és kreatívabb módszereket fedeztek fel a helyi biztonsági irányelvek megkerülésére.
e tendencia elleni védelem érdekében a korlátozáson alapuló politikákat számítógépes megfigyeléssel és adminisztratív biztosítékokkal kell kombinálni. A hálózati rendszergazdák tovább erősíthetik szűrési házirendjeik integritását azáltal, hogy ügynökalapú webszűrőket használnak, amelyek érvényesítik a webhely feketelistáit, amikor a felhasználók a fő hálózaton kívül vannak.