filtr sieciowy jest wszechobecnym narzędziem do ochrony sieci i zapobiegania pracownikom lub studentom dostępu do nieodpowiednich treści. Szokujący raport dtex z 2019 Insider Threat Intelligence wykazał, że 95% przedsiębiorstw przyłapało swoich pracowników na aktywnym poszukiwaniu sposobów na ominięcie korporacyjnych protokołów bezpieczeństwa.
w tym artykule przedstawię metody, których używają pracownicy, aby ominąć zasady filtrowania treści internetowych i podam wskazówki, aby im zapobiec.
oprogramowanie do filtrowania stron internetowych dla firm
chcesz zablokować pracownikom dostęp do niektórych stron internetowych? Rozpocznij już dziś z bezpłatną wersją próbną BrowseControl, oprogramowania do filtrowania sieci CurrentWare.
„jako” początkujący ” byłem w stanie skonfigurować z pomocą wsparcia w około godzinę. Poprzednie oprogramowanie trwało wieczność i nie działało tak, jak reklamowano; to oprogramowanie działało od razu po wyjęciu z pudełka. Pozwala moim pracownikom korzystać z Internetu i zarabiać pieniądze na praktykę bez rozpraszania / pokusy korzystania z osobistych stron internetowych / e-maili/zakupów.”
– Gerard B., Kierownik Biura
najlepsze praktyki zniechęcania użytkowników do omijania filtrów internetowych
dlaczego omijanie filtrów internetowych jest problemem?
- bezpieczeństwo: Gdy użytkownicy omijają Zasady filtrowania sieci, zwiększają powierzchnię ataku w sieci, zapewniając sobie możliwość natknięcia się na złośliwe strony internetowe.
- Produktywność: administratorzy będą blokować media społecznościowe, witryny z grami i inne rozpraszające strony internetowe, aby poprawić wydajność swojej organizacji. Aktywnie wyłączeni użytkownicy mogą próbować uzyskać dostęp do tych platform, aby marnować czas.
- przyzwoitość: filtry internetowe są używane do blokowania dostępu do treści zorientowanych na dorosłych i innych stron internetowych, które są uważane za nieodpowiednie. Obejmuje to domeny zawierające pornografię, nienawistne lub w inny sposób surowe treści.
- zgodność z CIPA: dla szkół i bibliotek filtr sieciowy jest kluczowym elementem spełniania zgodności z CIPA. Organizacje te muszą zachować zgodność z CIPA, aby otrzymywać e-Rate finansowania dla usług telekomunikacyjnych, dostępu do Internetu i usług szerokopasmowych.
unikaj nadawania użytkownikom uprawnień administratora
zmniejszenie liczby kont administratora jest zdecydowanie zalecaną praktyką bezpieczeństwa. Rozprzestrzenianie się niepotrzebnych uprawnień administratora zwiększa prawdopodobieństwo, że podmioty zagrożone mogą uzyskać dostęp do sieci za pośrednictwem skompromitowanych kont o wysokich uprawnieniach.
z punktu widzenia filtrowania stron internetowych przyznanie użytkownikom ograniczonych uprawnień uniemożliwia im pobieranie niechcianych aplikacji obejściowych (np. proxy) lub wprowadzanie zmian konfiguracyjnych, które mogą zaszkodzić bezpieczeństwu sieci.
ustal Zasady dopuszczalnego użytkowania
twoja polityka firmy musi wyraźnie zabronić prób obejścia środków bezpieczeństwa. Polityka dopuszczalnego użytkowania (AUP) uzupełnia oprogramowanie do filtrowania stron internetowych, zapewniając pracownikom jasne wytyczne dotyczące korzystania z technologii w miejscu pracy.
AUP ustanawia precedens dla działań naprawczych, jeśli użytkownicy próbują ominąć organizacyjne kontrole bezpieczeństwa. Po wykryciu dowodów takich prób należy zwrócić się do odpowiedzialnego użytkownika (- ów) w odpowiednim czasie, aby zniechęcić do przyszłych prób unikania.
Darmowy Przykładowy Szablon:
Zasady korzystania z Internetu przez pracowników
Pobierz tę BEZPŁATNĄ politykę dopuszczalnego użytkowania, dostosuj ją
i rozpowszechnij ją wśród swoich pracowników, aby ustanowić precedens dla dopuszczalnego korzystania z Internetu w miejscu pracy.
Użyj mniej restrykcyjnego filtrowania
co jest ważniejsze: produktywność czy bezpieczeństwo?
rozpraszające i nieproduktywne strony internetowe są często blokowane w miejscu pracy. Chodzi o to, że jeśli Twoi pracownicy naprawdę chcą korzystać z Facebooka w pracy, znajdą sposób.
jeśli używasz filtra sieciowego, aby zapobiec rozpraszaniu uwagi, niezadowoleni użytkownicy są bardziej zachęcani do ominięcia filtra sieciowego niż gdyby był on używany wyłącznie ze względów bezpieczeństwa i przyzwoitości.
z punktu widzenia bezpieczeństwa sieci i punktów końcowych umożliwienie użytkownikom dostępu do mediów społecznościowych jest mniejszym problemem niż zachęcanie ich do ominięcia korporacyjnych zasad filtrowania sieci i potencjalnie odwiedzania witryn wysokiego ryzyka.
Alternatywnie możesz zaplanować mniej restrykcyjne zasady filtrowania stron internetowych podczas przerw, aby umożliwić pracownikom lub studentom dostęp do rozpraszających treści w wyznaczonych okresach.
to jednak nie wszystko…
jest inny powód, dla którego Twoi pracownicy lub studenci chcą obejść filtr internetowy. Czasami po prostu chcą uzyskać dostęp do treści, do których nie powinni mieć dostępu, ale nie zawsze tak jest. Twój filtr internetowy może faktycznie blokować dostęp do legalnych badań.
Twoje rozwiązanie do filtrowania stron internetowych musi być łatwe w zarządzaniu. Powinno to umożliwić łatwe odblokowanie stron internetowych, które zostały bezprawnie umieszczone na czarnej liście. Możliwość bezproblemowego zapewnienia dostępu do zablokowanych stron internetowych zmniejszy pokusę użytkowników do poszukiwania ryzykownych technik unikania filtrów.
jak pracownicy omijają filtry sieciowe
1) DNS-Over-HTTPS
Co to jest?
DNS-Over-HTTPS (Doh) to protokół, który szyfruje zapytania DNS, dzięki czemu odwiedzany adres URL jest niewykrywalny dla filtrów na poziomie sieci. Intencją DoH jest zwiększenie prywatności użytkowników poprzez ograniczenie danych dostępnych dla dostawców usług internetowych i innych dostawców, jednak nieumyślnie spowodowało to problemy w środowiskach korporacyjnych, które używają filtrów internetowych opartych na DNS.
jak to jest używane do ominięcia filtrów internetowych
to samo szyfrowanie, które ukrywa ruch DNS przed dostawcami usług internetowych, ukrywa również szczegóły, których potrzebują filtry sieciowe, aby skutecznie blokować witryny.
pracownicy i studenci mogą korzystać z przeglądarek internetowych obsługujących DoH, aby ominąć zasady filtrowania sieci na poziomie sieci. Niektóre przeglądarki internetowe, takie jak Firefox, domyślnie włączają DoH, co prowadzi do obaw związanych z bezpieczeństwem w organizacjach, które używają filtrów internetowych do ochrony sieci przed atakami phishingowymi.
rozwiązanie
- : Użyj filtra sieciowego opartego na agentach, takiego jak BrowseControl, który blokuje witryny na poziomie przeglądarki, a nie za pomocą filtra DNS na poziomie sieci.
- Canary Domain: firmy korzystające z filtrów internetowych opartych na DNS z Firefoksem mogą dodać domenę canary use-application-dns.net do ich filtra DNS, aby zapobiec używaniu Doh domyślnie. Niestety Firefox może nadal honorować ustawienia na poziomie użytkownika; jeśli użytkownik ręcznie włączy DoH, może zachować możliwość ominięcia filtrów internetowych DNS.
- Blokuj Przeglądarki Internetowe: Użyj blokera aplikacji, aby uniemożliwić użytkownikom uruchamianie przeglądarek obsługujących DoH. Lista przeglądarek obsługujących DoH stale rośnie, więc prawdopodobnie nie będzie to możliwe w dłuższej perspektywie.
- Active Directory: Użyj obiektu zasad grupy w Active Directory, aby wyłączyć DoH
2) serwery proxy WWW i aplikacji
o co chodzi?
Proxy to strony internetowe i aplikacje, które działają jako brama między Użytkownikiem a Internetem. Firmy często używają własnych serwerów proxy, które działają jako zapora sieciowa i filtr sieciowy, ale pracownicy mogą również korzystać z serwerów proxy innych firm, aby ominąć wewnętrzne środki filtrowania treści.
jak to jest używane do ominięcia filtrów internetowych
istnieją trzy kluczowe sposoby, w jakie proxy mogą być używane do przebijania się przez korporacyjne filtry internetowe:
- użytkownicy mogą korzystać z serwerów proxy innych firm, aby ukryć swój ruch z filtrem internetowym i swobodnie przeglądać internet. Te serwery proxy można uzyskać za pośrednictwem jednej z wielu dedykowanych witryn proxy.
- użytkownicy mogą modyfikować ustawienia w swojej przeglądarce internetowej, aby przesyłać ruch do serwera proxy, który nie jest zarządzany przez Twoją firmę.
- mogli pobierać specjalnie zbudowane programy proxy na dyski USB w domu i przynosić te urządzenia do szkoły lub pracy.
rozwiązanie
skuteczne zapobieganie używaniu proxy wymaga podejścia wielowątkowego. Będziesz musiał połączyć filtrowanie sieci, ograniczenie uprawnień użytkownika, kontrolę dostępu USB i Blokowanie aplikacji, aby rozwiązać wszystkie możliwe metody.
- Filtrowanie Stron Www: Dodaj kategorię Proxy do listy filtrowania kategorii, aby aktywnie blokować wszystkie znane witryny proxy. Ręczne dodawanie znanych witryn i aplikacji proxy do filtra treści jest przegraną bitwą, ponieważ nowe witryny są regularnie tworzone.
- Monitorowanie pracowników: Monitoruj aktywność wyszukiwarek pracowników pod kątem zapytań wskazujących, że próbują znaleźć odblokowane witryny proxy. Możesz także śledzić używane aplikacje i adresy URL odwiedzane w sieci i sprawdzać, czy pracownicy korzystają z odblokowanych witryn i aplikacji proxy.
- Ograniczenia Polityki: Użyj obiektu zasad grupy w usłudze Active Directory Prevent, aby uniemożliwić użytkownikom wprowadzanie zmian w ustawieniach przeglądarki. Należy również zablokować pracownikom korzystanie z urządzeń USB-jeśli jest to zbyt restrykcyjne dla Twojej organizacji, możesz dodać do białej listy urządzenia dostarczane przez firmę i poprosić użytkowników o przechowywanie ich na miejscu.
3) Wirtualne Sieci Prywatne
o co chodzi?
wirtualna sieć prywatna (VPN) tworzy prywatną szyfrowaną sieć między dwiema sieciami. Narzędzia te są często używane do zapewnienia pracownikom zdalnym dostępu do aplikacji hostowanych w sieci ich pracodawcy.
jak to jest używane do ominięcia filtrów internetowych
VPN omija filtry internetowe i tunele przez zapory sieciowe, maskując ruch sieciowy użytkownika. Utrudnia to wykrycie lub rozszyfrowanie odwiedzanych witryn, co zmusza administratorów systemu do całkowitego zablokowania połączenia VPN, jeśli chcą zapobiec obejściu ich zasad filtrowania.
rozwiązanie
- Blokuj porty VPN: Jeśli nie potrzebujesz sieci VPN w swojej organizacji, możesz je całkowicie zablokować. Aby to zrobić, zablokuj wszystkie porty sieciowe obsługujące połączenia VPN. Najbardziej popularne porty to 443 (TCP), 500 (UDP), 1194 (TCP/UDP),1701 (TCP), 1723 (TCP), 4500 (UDP) i 10000 (TCP/UDP).
- Blokuj rozszerzenia VPN: Uniemożliwiaj użytkownikom instalowanie wtyczek przeglądarki VPN.
- Blokuj aplikacje: Użyj narzędzia blokującego aplikacje, aby zablokować użytkownikom korzystanie z sieci VPN opartych na aplikacjach. Możesz także ograniczyć uprawnienia na kontach pracowników/studentów, aby uniemożliwić im instalowanie oprogramowania bez hasła administratora.
4) Używanie danych komórkowych jako hotspotu Wi-Fi dla laptopów
o co chodzi?
smartfony zawierają funkcję znaną jako” tethering”, która umożliwia korzystanie z danych mobilnych telefonu do tworzenia prywatnego hotspotu Wi-Fi. Ten hotspot może być używany do podłączenia innego telefonu, tabletu lub komputera do Internetu.
jak to jest używane do ominięcia filtrów internetowych
jeśli filtrujesz strony internetowe na poziomie sieci za pomocą filtra DNS lub zapory sieciowej, Twoi pracownicy mogą ominąć filtr sieciowy, odłączając swój laptop roboczy od przefiltrowanej sieci i łącząc się z prywatnym hotspotem Wi-Fi w telefonie komórkowym.
rozwiązanie
za pomocą tej metody nie można ominąć filtra internetowego opartego na agencie, który blokuje strony internetowe na poziomie urządzenia. Agent oprogramowania buforuje lokalne zasady filtrowania sieci, umożliwiając egzekwowanie ostatniej znanej czarnej listy nawet wtedy, gdy pracownicy łączą się z siecią zewnętrzną.
5) uruchamianie przeglądarki internetowej z USB
o co chodzi?
użytkownicy mogą korzystać z takich usług jak PortableApps.com aby zainstalować przenośne przeglądarki internetowe na dysku flash USB. Metoda ta jest trudniejsza do wykrycia niż inne metody, ponieważ przeglądarki mogą być uruchamiane bezpośrednio z wymiennego urządzenia multimedialnego bez konieczności odwiedzania strony internetowej lub instalowania programu na komputerze.
jak to jest używane do ominięcia filtrów internetowych
te przeglądarki internetowe oparte na USB są skonfigurowane do kierowania ich ruchu internetowego przez adres proxy, który omija Zasady filtrowania Internetu w sieci.
rozwiązanie
- BrowseControl: Funkcje filtrowania stron internetowych BrowseControl blokują ładowanie stron internetowych w przenośnych przeglądarkach
- Blokuj USB: Blokuj urządzenia USB lub zapewniaj użytkownikom uprawnienia tylko do odczytu. Jeśli urządzenia USB są krytyczne, administrator może dodać do białej listy zarządzalny wybór zatwierdzonych urządzeń.
- Blokowanie aplikacji: możesz zablokować pracownikom uruchamianie aplikacji przenośnych na ich komputerach za pomocą oprogramowania blokującego aplikacje, takiego jak BrowseControl
potrzebujesz rozwiązania do blokowania niechcianych urządzeń USB? Rozpocznij już dziś z bezpłatną wersją próbną AccessPatrol, oprogramowania do sterowania urządzeniami USB firmy CurrentWare.
wniosek
filtry internetowe są doskonałymi narzędziami do zapobiegania pracownikom i studentom dostępu do ryzykownych i nieodpowiednich stron internetowych. Z czasem doświadczeni technologicznie użytkownicy odkryli coraz bardziej złożone i kreatywne sposoby na ominięcie lokalnych zasad bezpieczeństwa.
aby uchronić się przed tym trendem, polityki oparte na ograniczeniach muszą być połączone z monitoringiem komputerowym i zabezpieczeniami administracyjnymi. Administratorzy sieci mogą dodatkowo wzmocnić integralność swoich zasad filtrowania, włączając w to użycie filtrów internetowych opartych na agentach, które wymuszają czarne listy witryn, gdy użytkownicy są poza główną siecią.