Table des matières:
Les VPN peuvent être compromis- Les différents types de VPN
- Appliquer une bonne politique VPN
- Dernières pensées
Vidéo: Comment bloquer ou autoriser à l'accès internet de vos applications? (Novembre 2024)
Vous êtes en réunion pour augmenter les salaires du personnel informatique (ok, probablement pas); c'est à ce moment-là que vous remarquerez qu'un des participants sourit tout en utilisant son ordinateur portable. Vous regardez son écran avec désinvolture et vous remarquez qu'il regarde les Bladding Saddles de Mel Brooks au lieu de participer à la réunion. Avec la technologie en place dans votre entreprise, vous vous demandez comment cela pourrait se produire?
Bien entendu, ce n’est qu’un exemple des problèmes que l’utilisation du VPN sortant peut causer sur un réseau. Les sénateurs Ron Wyden (D-Oregon) et Marco Rubio (R-Floride) ont demandé au département américain de la Sécurité intérieure (DHS) d’enquêter sur l’utilisation du réseau privé virtuel par des employés fédéraux. L'enquête a pour objectif de déterminer si l'utilisation du VPN devrait être interdite au sein du gouvernement fédéral.
Dans ce cas, le problème est la menace à la sécurité posée par les opérateurs VPN étrangers qui pourraient intercepter le trafic sur leurs serveurs et en conserver une copie. Les principaux fournisseurs avec lesquels les sénateurs sont concernés sont les sociétés basées en Chine et en Russie, mais ils s'inquiètent également pour les opérateurs dont les serveurs pourraient être compromis par des nations aussi contradictoires.
(Crédit image: Statista)
Les VPN peuvent être compromis
Le problème est que ces pays et d'autres cherchent plus que des secrets d'État. Ils exploitent également la vaste gamme d'informations que les VPN peuvent transporter de nos jours, qu'ils peuvent utiliser pour la plupart à diverses fins. Cela inclut des données telles que les processus commerciaux, les secrets commerciaux, les listes de contacts du logiciel de gestion de la relation client (CRM) et toutes sortes d'informations personnelles que vos employés conservent sur eux-mêmes ou sur leurs contacts.
Même si un VPN est une connexion cryptée entre les deux points où il est configuré, le cryptage peut se terminer une fois qu'il parvient au serveur. Toute information transitant par ce serveur peut être compromise. Mais il y a d'autres menaces en plus de cela.
Comme une connexion VPN est logiquement similaire à la simple connexion d'un très long câble réseau, il existe également une connexion du serveur VPN à la machine cliente de votre réseau. Cette connexion peut être utilisée pour compromettre l’ordinateur de votre côté et peut-être aussi votre réseau. Vous pouvez maintenant voir la nature de cette menace.
Les différents types de VPN
Et n'oublions pas qu'il existe plus d'un type de VPN. Il existe le VPN sortant utilisé sur les périphériques clients (comme sur le portable de l'employé susmentionné), fréquemment utilisé pour contourner les limites régionales relatives aux films et à la musique, pour protéger les informations transmises depuis des emplacements non sécurisés et pour empêcher le vol de documents. données en voyage. Il existe ensuite des VPN configurés entre des serveurs situés sur deux sites, par exemple entre un bureau à domicile et une succursale. Nous parlons du premier type.
Dans ce type, il existe également de nombreuses raisons d'avoir un VPN, l'une d'entre elles étant de se connecter à des services extérieurs à votre réseau, tels qu'un site de film. L'autre raison est de former une connexion sécurisée lorsque vous appelez, par exemple lorsque le seul réseau Wi-Fi que vous pouvez trouver est chez McDonald's. Ici, je me concentre sur l'appel à un serveur VPN distant.
Lorsque vous examinez le réseau de votre entreprise, les problèmes liés à la liaison sortante vers un serveur VPN diffèrent de ceux qu’ils rencontrent pour un utilisateur individuel à domicile. D'une part, le réseau appartient à votre entreprise et vous êtes responsable du trafic qui passe vers l'extérieur. En outre, vous êtes responsable des succès de performance pouvant survenir si plusieurs personnes regardent des films en haute définition (HD) pendant que tout le monde essaie de travailler.
Appliquer une bonne politique VPN
Bien qu'il y ait des exceptions en fonction des besoins de votre organisation, une bonne politique consiste à bloquer le trafic VPN sortant avant qu'il ne puisse quitter votre réseau. En outre, vous devez demander au service des ressources humaines de publier une règle interdisant l'utilisation de VPN, à moins que cela ne soit spécifiquement autorisé pour des cas individuels. Vous souhaitez que le service des ressources humaines soit impliqué afin que vous puissiez agir lorsque quelqu'un découvre comment contourner vos blocs VPN.
Ensuite, vous devez configurer vos pare-feu ou vos routeurs (ou les deux) pour empêcher tout accès VPN sortant. Voici six modifications à apporter:
Créez une liste noire de sites Web VPN publics connus et maintenez-la à jour car la liste peut changer constamment.
Créez des listes de contrôle d'accès (ACL) qui bloquent les communications VPN, telles que le port UDP 500, fréquemment utilisé.
Utilisez les fonctionnalités d’inspection dynamique de votre pare-feu pour rechercher des communications cryptées, en particulier celles s’adressant à des emplacements étrangers. Vous ne voulez probablement pas interférer avec la session bancaire d'un employé, mais une session d'une heure ne permet pas de consulter le solde de sa carte de crédit. Et, bien sûr, de nombreux sites Web utilisent le cryptage SSL (Secure Sockets Layer) ces jours-ci, vous ne pouvez donc pas simplement interdire le cryptage.
Recherchez des applications VPN publiques sur des machines appartenant à l'entreprise. Ce ne sont pas les mêmes que les applications pour votre VPN entrant, mais plutôt, ils sont des applications pour permettre des connexions VPN sortantes.
Configurez un réseau spécial réservé aux visiteurs sur votre contrôleur Wi-Fi (ou votre routeur si vous êtes une petite entreprise) et n'autorisant que les connexions à des ressources Internet spécifiques, généralement celles utilisant le port 80 (sites Web) ou le port 443 (SSL). Vous pouvez également autoriser les ports 25, 465 et 587, requis pour l'envoi de courrier électronique. Vous devriez nier toutes les autres connexions.
Rappelez-vous qu’il existe une sorte de course aux armements entre les fournisseurs de VPN et d’essayer de bloquer leur utilisation. Vous devez être attentif aux efforts visant à contourner l'utilisation inappropriée des réseaux privés virtuels sur votre réseau et, si nécessaire, prendre des mesures pour y mettre fin, en utilisant les règles de ressources humaines si nécessaire.
Dernières pensées
- Pourquoi je ne choisis pas le meilleur VPN pour la Chine Pourquoi je ne choisis pas le meilleur VPN pour la Chine
- Les meilleurs routeurs VPN pour 2019 Les meilleurs routeurs VPN pour 2019
- Les entreprises doivent comprendre le risque des services VPN Les entreprises doivent comprendre le risque des services VPN
Je sais qu'il semble incohérent d'avoir examiné et recommandé les produits VPN ici et après, de s'interroger sur leur valeur, mais il s'agit d'une situation dans laquelle, malgré la valeur qu'ils ont pour la sécurité, les VPN ne sont pas toujours utilisés de manière appropriée. Vous ne voulez pas d'un réseau ouvert entre votre organisation et un adversaire et vous ne voulez probablement pas que les employés regardent des films (ou pire) au travail.
Bien que vous deviez décider de ce qui constitue une utilisation appropriée du réseau VPN pour vos employés, rappelez-vous: ce n'est pas une question de liberté ou de neutralité du net. C'est votre réseau privé et vous êtes responsable du trafic qui le traverse. Vous avez parfaitement le droit de le contrôler.
