Как запретить пользоваталям в сети использовать VPN? как блокировать соединения?

Question

[Artem]

Есть сервер windows server, фаервол, есть 40 пользователей. Как сделать чтобы никто не смог подключаться по vpn и обходить правила трафика в сети?

Comments

[Valentin Barbolin]

По хорошему необходимо использовать firewall с DPI.
https://habr.com/ru/post/111054/

На костылях можно перейти на использование прокси сервера, но это не 100% решение с кучей ограничений.

[Максим Федоров]

Andrey Barbolin, а если трафик будет обфусцироваться? Поможет DPI?

[Valentin Barbolin]

Максим Федоров, Все зависит от алгоритма DPI.

[Dmitry Bay]

Максим Федоров,
есть vpn, которые обходят DPI в том числе китайский.
К примеру Trojan - мимикрирует под работу вебсайта вообще.

Answer 1

[nApoBo3]

Совсем DPI.
Усложнить, заблокировать все исходящие соединения кроме HTTP/HTTPS/MAIL.
Еще усложнить HTTP и HTTPS пускать через прокси.
Дополнительно групповыми политиками запретить запуск VPN клиентов.

Ну и самое главное. Должно быть распоряжение запрещающее использование таких средств в компании с соответствующей санкцией, дальше анализ трафика по пользователям и применение данного распоряжения.

Comments

[res2001]

Дополню:
- отобрать у пользователей админские права на раб. станциях
- запрет запуска не разрешенных приложений

Answer 2

[Drno]

Нужен нормальный фаервол, а не виндовый. Либо прокси

С виндовым можно разве что разрешить исходящий http\https и DNS запросы. Остальное запретить И всё....
но может быть проблема работы стороннего софта. и думаю что тот же ovpn по 443 порту пролезет

Comments

[CityCat4]

Анализ статистики выявляет наиболее "жручие" адреса, которые передаются в СБ. А обьяснения, что это за адреса, давать уже придется там. Ну или руководству, если СБ нет.

Answer 3

[Vindicar]

Тут нужен DPI, но вообще если есть разрешённые типы трафика во внешнюю сеть, то гипотетически можно провесить туннель. Тот же chisel позволяет заворачивать TCP-трафик в HTTPS-туннель к своему серверу. Так что нужен не просто DPI, а полноценный MitM.

Стоит подойти к задаче комплексно: запретить запуск на рабочих станциях приложений, кроме нужных по работе. Но если у юзеров свои машины...

Answer 4

[CityCat4]

Нормальный файрволл и нормальный прокси
Никакого пропуска трафика в обход прокси
Анализ статистики и проверка всех наиболее обьемных адресов, чтобы вычислить тех, кто пробрасывает туннели, маскирующиеся под https. Впрочем здесь также будет эффективным вызов в СБ и вопрос "Обьясните пожалуйста, что это за адреса и почему на них столько трафика"?

Такая задача не решается чисто техническими средствами - только административно-техническими.