een webfilter is een alomtegenwoordig instrument om netwerken te beschermen en te voorkomen dat werknemers of studenten toegang krijgen tot ongepaste inhoud. Schokkend het 2019 Insider Threat Intelligence rapport van Dtex vond dat 95% van de bedrijven betrapte hun werknemers actief op zoek naar manieren om zakelijke beveiligingsprotocollen te omzeilen.
In dit artikel zal ik de methoden beschrijven die werknemers gebruiken om het filterbeleid voor webcontent te omzeilen en u tips geven om te voorkomen dat dit gebeurt.
Webfiltersoftware voor bedrijven
wilt u uw medewerkers blokkeren van toegang tot bepaalde websites? Ga vandaag nog aan de slag met een gratis proefversie van BrowseControl, de webfiltersoftware van CurrentWare.
“als’ beginner ‘ was ik in staat om met hulp van support in ongeveer een uur op te zetten. Vorige software duurde eeuwig en werkte niet zoals geadverteerd; deze software werkte direct uit de doos. Het stelt mijn werknemers in staat om het internet te gebruiken en geld te verdienen voor de praktijk zonder afleiding/verleiding om persoonlijke websites/e-mail/winkelen te gebruiken.”
– Gerard B., Office Manager
Best Practices voor het ontmoedigen van gebruikers om webfilters
Waarom is het omzeilen van webfilters een probleem?
- veiligheid: Wanneer gebruikers omzeilen web filtering beleid ze verhogen de aanval oppervlak van het netwerk door het verstrekken van zichzelf de mogelijkheid om te struikelen op kwaadaardige websites.
- productiviteit: beheerders blokkeren sociale media, spelsites en andere afleidende websites om de productiviteit van hun organisatie te verbeteren. Actief ontkoppelde gebruikers kunnen proberen om toegang te krijgen tot deze platforms om tijd te verspillen.
- fatsoen: webfilters worden gebruikt om de toegang tot op volwassenen gerichte inhoud en andere websites die als ongepast worden beschouwd, te blokkeren. Dit geldt ook voor domeinen die pornografie, haatdragende of anderszins ruwe inhoud hosten.
- CIPA-Compliance: voor scholen en bibliotheken is een webfilter een essentieel onderdeel van het voldoen aan CIPA-compliance. Deze organisaties moeten CIPA-naleving handhaven om e-Rate-financiering voor telecommunicatie, internettoegang en breedbanddiensten te ontvangen.
vermijd het geven van beheerdersrechten
het verminderen van het aantal beheerderaccounts is een sterk aanbevolen beveiligingspraktijk. De proliferatie van onnodige admin privileges verhoogt de kans dat bedreiging actoren toegang tot het netwerk zou kunnen krijgen via gecompromitteerde high-privilege accounts.
vanuit een webfilterperspectief dat uw gebruikers beperkte rechten geeft, voorkomt dat ze ongewenste bypass-toepassingen downloaden (bijvoorbeeld proxies) of configuratiewijzigingen doorvoeren die de veiligheid van uw netwerk kunnen schaden.
een beleid voor acceptabel gebruik vaststellen
uw bedrijfsbeleid moet pogingen om beveiligingsmaatregelen te omzeilen expliciet verbieden. Een acceptable use policy (AUP) vormt een aanvulling op uw webfiltersoftware door medewerkers duidelijke richtlijnen te geven voor het gebruik van technologie op de werkplek.
een AUP zet een precedent voor corrigerende maatregelen als uw gebruikers proberen organisatorische beveiligingscontroles te omzeilen. Zodra u bewijs van dergelijke pogingen ontdekt, moet u de verantwoordelijke gebruiker(s) tijdig aanspreken om toekomstige ontwijkingspogingen te ontmoedigen.
Gratis Voorbeeld Sjabloon:
Employee Internet Use Policy
Download dit gratis beleid voor acceptabel gebruik, pas het aan,
en distribueer het onder uw werknemers om een precedent te scheppen voor het aanvaardbaar gebruik van internet op de werkplek.
gebruik minder restrictieve Filtering
Wat is belangrijker: productiviteit of veiligheid?
storende en onproductieve websites worden vaak geblokkeerd op de werkplek. Het zit zo: als je werknemers Facebook echt op het werk willen gebruiken, vinden ze wel een manier.
Als u een webfilter gebruikt om afleiding te voorkomen, worden ontevreden gebruikers meer gestimuleerd om uw webfilter te omzeilen dan als het alleen voor veiligheids-en fatsoen-redenen werd gebruikt.
vanuit het oogpunt van netwerk-en endpointbeveiliging is het toestaan van uw gebruikers om toegang te krijgen tot sociale media een minder zorg dan hen te stimuleren om bedrijfsfilterbeleid te omzeilen en mogelijk websites met een hoog risico te bezoeken.
u kunt ook minder restrictief beleid voor webfiltering plannen tijdens pauzes, zodat uw werknemers of studenten toegang hebben tot storende inhoud op bepaalde perioden.
dat is niet alles, hoewel …
er is een andere reden dat uw medewerkers of studenten willen rond uw webfilter. Soms is het gewoon dat ze toegang willen krijgen tot inhoud die ze niet zouden moeten openen, maar dat is niet altijd het geval. Uw webfilter kan eigenlijk de toegang tot legitieme onderzoek blokkeren.
uw webfilteroplossing moet eenvoudig te beheren zijn. Het moet u toelaten om gemakkelijk te deblokkeren websites die ten onrechte op de zwarte lijst zijn geplaatst. In staat zijn om moeiteloos toegang te bieden tot geblokkeerde websites zal de verleiding voor uw gebruikers om te zoeken naar risicovolle filter vermijden technieken te verminderen.
hoe werknemers webfilters omzeilen
1) DNS-Over-HTTPS
Wat is het?
DNS-over-HTTPS (DoH) is een protocol dat DNS-query ‘ s versleutelt, waardoor de bezochte URL niet op te sporen is voor netwerkfilters. De bedoeling van DoH is om de privacy van gebruikers te verhogen door het verminderen van de gegevens beschikbaar voor ISP ‘ s en andere providers, maar het heeft per ongeluk veroorzaakt problemen in zakelijke omgevingen die DNS-gebaseerde webfilters gebruiken.
hoe het wordt gebruikt om webfilters
te omzeilen dezelfde versleuteling die DNS-verkeer van internetproviders verbergt, verbergt ook de details die webfilters op netwerkniveau nodig hebben om websites effectief te blokkeren.
werknemers en studenten kunnen webbrowsers gebruiken die DoH ondersteunen om beleid voor webfiltering op netwerkniveau te omzeilen. Sommige webbrowsers zoals Firefox inschakelen DoH standaard, wat leidt tot beveiligingsproblemen in organisaties die webfilters gebruiken om hun netwerk te beschermen tegen phishing-aanvallen.
de oplossing
- agens-gebaseerde Filter: Gebruik een op agenten gebaseerde webfilter zoals BrowseControl die websites blokkeert op browserniveau in plaats van een DNS-filter op netwerkniveau te gebruiken.
- Canary Domain: bedrijven die DNS-gebaseerde webfilters gebruiken met Firefox kunnen het canary domain toevoegen use-application-dns.net naar hun DNS-filter om te voorkomen dat DoH standaard wordt gebruikt. Helaas Firefox kan nog steeds honor user-level instellingen; als uw gebruiker handmatig inschakelt DoH ze kunnen behouden de mogelijkheid om te omzeilen DNS web filters.
- Webbrowsers Blokkeren: Gebruik een applicatie blocker om te voorkomen dat gebruikers van de lancering van browsers die DoH ondersteunen. De lijst van browsers die DoH ondersteunen groeit gestaag, dus dit is waarschijnlijk niet haalbaar voor de lange termijn.
- Active Directory: gebruik een groepsbeleidsobject in Active Directory om DoH uit te schakelen
2) Web-en toepassingsproxy ‘ s
Wat is er?
Proxies zijn websites en applicaties die fungeren als een gateway tussen de gebruiker en het internet. Bedrijven maken vaak gebruik van hun eigen speciaal gebouwde proxy servers die fungeren als een firewall en webfilter, maar werknemers kunnen ook gebruik maken van derden proxy ‘ s om interne content filtering maatregelen te omzeilen.
Hoe wordt het gebruikt om webfilters te omzeilen
er zijn drie belangrijke manieren waarop proxy ‘ s kunnen worden gebruikt om door bedrijfswebfilters te breken:
- uw gebruikers kunnen gebruik maken van derden proxies om hun verkeer te verbergen van uw webfilter en surfen op het internet vrij. Deze proxy ‘ s zijn toegankelijk via een van de vele speciale proxy sites.
- uw gebruikers kunnen instellingen in hun webbrowser wijzigen om verkeer door te sturen naar een proxyserver die niet door uw bedrijf wordt beheerd.
- ze konden speciaal gebouwde proxy-programma ‘ s thuis downloaden op USB-drives en deze apparaten naar school of op het werk brengen.
de oplossing
het effectief voorkomen van het gebruik van proxies vereist een multi-proxed aanpak. U moet web filtering combineren, gebruiker toestemming beperking, USB-toegangscontrole, en toepassing blokkeren om alle mogelijke methoden aan te pakken.
- Webfiltering: Voeg de Proxy-categorie toe aan uw lijst met Categoriefilters om alle bekende proxy-Sites proactief te blokkeren. Het handmatig toevoegen van bekende proxy websites en applicaties aan uw inhoud filter is een verloren strijd als nieuwe sites worden gemaakt op een regelmatige basis.
- Employee Monitoring: Volg de zoekmachineactiviteit van werknemers op zoekopdrachten die aangeven dat ze niet-geblokkeerde proxy-sites proberen te vinden. U kunt ook de gebruikte toepassingen en URL ‘ s in uw netwerk bijhouden en controleren of werknemers niet-geblokkeerde proxy-Sites en-toepassingen gebruiken.
- Beleidsbeperkingen: Gebruik een groepsbeleidsobject in Active Directory voorkomen om te voorkomen dat gebruikers wijzigingen aanbrengen in browserinstellingen. U moet ook werknemers blokkeren van het gebruik van USB-apparaten-als dit te restrictief is voor uw organisatie kunt u whitelist bedrijf-verstrekte apparaten en uw gebruikers houden ze op de site.
3) virtuele particuliere netwerken
Wat is er?
een virtueel privénetwerk (VPN) creëert een privé versleuteld netwerk tussen twee netwerken. Deze tools worden vaak gebruikt om werknemers op afstand toegang te bieden tot softwaretoepassingen die op het netwerk van hun werkgever worden gehost.
hoe het wordt gebruikt om webfilters
te omzeilen een VPN omzeilt webfilters en tunnels door firewalls door het netwerkverkeer van de gebruiker te maskeren. Dit maakt het moeilijk om de websites die ze bezoeken te detecteren of te ontcijferen, waardoor systeembeheerders de VPN-verbinding volledig moeten blokkeren als ze willen voorkomen dat deze hun filterbeleid omzeilt.
de oplossing
- VPN-poorten blokkeren: Als je geen VPN ‘ s nodig hebt in je organisatie, kun je ze gewoon helemaal blokkeren. Om dit te doen, blokkeert u alle netwerkpoorten die VPN-verbindingen ondersteunen. De meest gebruikte poorten zijn 443 (TCP), 500 (UDP), 1194 (TCP/UDP),1701 (TCP), 1723 (TCP), 4500 (UDP) en 10000 (TCP/UDP).
- VPN-extensies blokkeren: voorkom dat uw gebruikers VPN-browserplug-ins installeren.
- apps blokkeren: gebruik een applicatieblokker om gebruikers te blokkeren van het gebruik van App-gebaseerde VPN ‘ s. U kunt ook privileges op werknemers – /studentenaccounts beperken om te voorkomen dat ze software installeren zonder een beheerderswachtwoord.
4) mobiele Data gebruiken als Wi-Fi-Hotspot voor hun Laptops
Wat is er?
Smartphones hebben een functie die bekend staat als “tethering”, waarmee u de mobiele gegevens van uw telefoon kunt gebruiken om een privé-Wi-Fi-hotspot te maken. Deze hotspot kan worden gebruikt om een andere telefoon, tablet of computer aan te sluiten op het internet.
hoe wordt het gebruikt om webfilters
te omzeilen als u websites filtert op netwerkniveau met een DNS-filter of firewall, kunnen uw werknemers uw webfilter omzeilen door hun werklaptop los te koppelen van uw gefilterde netwerk en verbinding te maken met de privé-Wi-Fi-hotspot van hun mobiele telefoon.
de oplossing
een agentgebaseerd webfilter dat websites op apparaatniveau blokkeert, kan met deze methode niet worden omzeild. De software agent zal web filtering beleid lokaal cache, waardoor de laatst bekende zwarte lijst worden afgedwongen, zelfs wanneer uw medewerkers verbinding maken met een extern netwerk.
5) een webbrowser starten vanaf USB
Wat is er?
uw gebruikers kunnen services gebruiken zoals PortableApps.com draagbare webbrowsers installeren op een USB-flashstation. Deze methode is moeilijker te detecteren dan de andere methoden als de browsers direct vanaf het verwisselbare media-apparaat kan worden gestart zonder de noodzaak om een website te bezoeken of een programma op hun computer te installeren.
hoe wordt het gebruikt om webfilters te omzeilen
deze op USB gebaseerde webbrowsers zijn geconfigureerd om hun internetverkeer te routeren via een proxy-adres dat het internetfilterbeleid van uw netwerk omzeilt.
de oplossing
- BrowseControl: De webfilterfuncties van BrowseControl blokkeren het laden van webpagina ’s op draagbare webbrowsers
- blokkeer USB’ s: blokkeer USB-apparaten of geef gebruikers alleen-lezen machtigingen. Als USB-apparaten van cruciaal belang zijn, kan een beheerder een beheersbare selectie van goedgekeurde apparaten op de witte lijst zetten.
- apps blokkeren: U kunt werknemers verhinderen draagbare apps op hun computers te lanceren met behulp van software voor het blokkeren van toepassingen zoals BrowseControl
een oplossing nodig voor het blokkeren van ongewenste USB-apparaten? Ga vandaag nog aan de slag met een gratis proefversie van AccessPatrol, CurrentWare ‘ s USB device control software.
conclusie
webfilters zijn uitstekende hulpmiddelen om te voorkomen dat werknemers en studenten toegang krijgen tot risicovolle en ongepaste websites. Na verloop van tijd tech-savvy gebruikers hebben ontdekt steeds complexere en creatieve manieren om lokale beveiligingsbeleid te omzeilen.
om tegen deze trend te beschermen, moet op beperkingen gebaseerd beleid worden gecombineerd met computermonitoring en administratieve waarborgen. Netwerkbeheerders kunnen de integriteit van hun filterbeleid verder versterken door het gebruik van op agenten gebaseerde webfilters op te nemen die zwarte lijsten van websites afdwingen wanneer gebruikers niet in het hoofdnetwerk zitten.