公司最近有些員工,私下從公司利用VPN或SSH連到公司外部的VPN或SSH服務器上網?
請問各位大大,應該怎樣才能禁止員工這類行為?
<span style="color: red;">公布公司禁止用 SSH tunnel 上網,違反公定開除</span>
你們公司的同事,是利用 SSH tunnel 的技術。
理論上 SSH 的 port 是不禁的。
這個是公司政策面的問題,絕大部分公司都繪禁止利用 SSH tunnel 來進行網路連線,除非是有申請及特殊需求,因為透過 SSH 連出去的通訊,內容是加密的,無法檢驗通訊的內容,到底是看網頁,還是其他。
所以一旦查到,要報到 MIS 資訊安全管理單位,嚴重的話,可以 Fire 人。
這個不是開玩笑,SSH tunnel 講白了,就是加密的跳板,MIS 的罩門,要嚴逞。
會弄 SSH tunnel 的人,對電腦網路都有一定程度的了解,或許只看網路教學。
但是你知道嗎?SSH tunnel 連上去後,沒規定只能連出去,不能連近來,只要公司內部有一台電腦開著,設定正確,只要一個 putty (這個很常見的軟體對不對),就變成跳板了。
raytracy建議把port全禁掉,shunyuan又說理論上 SSH 的 port 是不禁的,身為MIS想問,該進掉嗎??唉!!!現在員工真難管.就算查到,MIS也不知道他在作什麼,拿不出證據fire他怎辦??有更明確的辦法嗎??
我想不出有甚麼理由可以不禁 SSH Port? 除了身分很特殊的用戶或應用軟體之外, 目前絕大部分公司裡有甚麼正當的應用, 是非得用 SSH 連到外面去, 才能完成工作的? 我想不出來....
既然正常的工作用不到 SSH, 禁了 SSH 對用戶並沒有任何影響...
我再說清楚一點好了, 還是一樣所有 Port 全封, 然後:
要發 Email: 一律透過公司的 Email Server. 所有郵件內容都複製以供稽核.
要上網: 一律透過公司的 Proxy Server, Proxy 上設定可以上的網站, 並記錄內容.
IM, Skype 之類的, 一律不准使用. 如果是公司內部因節費要使用, 可以架設微軟的 Office Communication Server (OCS), 內建 SIP 語音電話和 IM 功能 (搭配 Office Communicator 和 IP PBX), 這樣可以控管在只有公司內部使用, 或是只有跟公司結盟認證(Federation)的夥伴公司間使用.
這樣還需要開甚麼其他的 Port 嗎? 應該就足夠平常上班使用了吧....
另外,有員工是用windows/網路連接/帶上VPN連到公司外部VPN服務器,VPN要怎樣封掉呢??
有些人據說是用hotspot-shield或者是openVPN一類的架在公司外面.
或者花錢買聯康的VPN http://www.link886.com/
PPTP TCP src port 1-65535, dst port:1723
IKE UDP src port 1-65535, dst port:500
L2TP UDP src port 1-65535, dst port:1701
看來為了封VPN,SSH也只好想辦法把全部的port封掉了.好像沒更好辦法了.
如果用3G/3.5G連線怎麼禁止?
拿iPhone/Android當MODEM用怎麼禁止?
如果用3G/3.5G連線怎麼禁止?
拿iPhone/Android當MODEM用怎麼禁止?
→停用USB設備 只要抓不到此項設備 如何使用呢
OR
→禁止安裝撥接程式 一般這些網卡或手機都需要撥接程式 沒有撥接程式安裝上去 應該也沒用
luxuryorder提到:
raytracy建議把port全禁掉,shunyuan又說理論上 SSH 的 port 是不禁的,身為MIS想問,該進掉嗎??唉!!!現在員工真難管.就算查到,MIS也不知道他在作什麼,拿不出證據fire他怎辦??有更明確的辦法嗎??
我們公司的 Linux server 都必須用 SSH 登入,這應該已經是很普通的事情,現在還有人用 Telnet 嗎?
沒蓋我?
User 對外的 Port 全封掉, 需要聯外的服務, 一律透過由公司建置控管的 Proxy Server 或 Application Gateway 進行中介傳輸並監控. 再請公司全面導入 BS-7799/ISO-17799 認證, 由總經理室公告資安政策, 違反者一律開除或記過.
防堵不能光靠技術, 必須和管理規章雙管齊下才有效果.