Ahoj všichni,
mám problém s používáním VPN služeb pro spotřebitele (Surfshark, Mulvad atd.) na účtech O365.
Někteří uživatelé tyto služby často používají k přihlášení ke svým účtům. V některých případech, například na smartphonech, kde je účet již přihlášen, spouštění těchto VPN služeb spouští upozornění od mého SOC týmu. Toto upozornění je často spojeno s ‘nepřijatelným přesunem’ nebo používáním těchto prostředků, což je běžně spojováno s hackery, kteří se snaží skrýt svůj původ při pokusu o přístup.
Existuje způsob, jak zablokovat tyto typy VPN? Chápu, že je to hra na kočku a myš, ale pokud bych mohl zablokovat nejčastěji používané — možná 60-70 % z nich — výrazně by to snížilo čas, který náš tým tráví vyšetřováním těchto případů.
Musel bys použít podmíněný přístup.
Pokud na Google vyhledáš “blokovat přístup k VPN pro spotřebitele office 365”, dostaneš spoustu výsledků od různých subredditů.
Ale odpověď je, že hraješ nějakou hru na myš a kočku. Pokud chceš zablokovat ty VPN, opravdu musíš povolit důvěryhodná zařízení a použít politiky zařízení k blokování neoprávněného používání VPN.
Přístup by byl takový, že blokujete přístup ke svým službám a zdrojům pocházejícím ze všeho mimo schválený rozsah, než že byste blokovali samotný VPN. Jinými slovy, blokujte všechny a výslovně povolte lokality/rozsahy.
Bohužel, toto je případ řešení symptomů spíše než problému. Není to jen přímočaré, blokování VPN na koncových zařízeních, zejména BYOD, je extrémně obtížné a upřímně zbytečné na operační dluh, který tím neseš.
Musíš vytvořit pravidlo řízení přístupu k cloudovým aplikacím s tagem IP adresa rovná anonymní proxy, botnet, tor IP a akcí blokovat. Pak vytvoř pravidlo podmíněného přístupu s kontrolou aplikace pomocí tohoto pravidla pro cloudové aplikace.
Potřebuješ službu ochrany cloudových aplikací, která ti umožní být upozorněn, když lidé používají určité cloudové a VPN služby.
Důkladně jsem prozkoumal tento problém, ale nenašel jsem jasné řešení.
Bohužel nemohu povolit důvěryhodná zařízení, protože některá, například chytré telefony zaměstnanců, nepoužíváme.
Také jsem zkontroloval odkaz, který jsi poslal dříve, ale problém je v omezeních Microsoftu na počet IP adres, které lze zablokovat ve tvém tenantu přes Group Policy.
Pokud existuje možnost používat externí zdroje pro blokování, bylo by to skvělé. Umožnilo by to snadno spravovat a přidávat rozsahy IP těchto služeb. Například Fortigate používá jednu takovou funkci.
Ve ideálním světě bych souhlasil. Nicméně v mé společnosti mi představenstvo nedovolí takový přístup, a je snadné pochopit proč. I když s tím úplně nesouhlasím, rozumím jejich pohledu.
Vyzkouším to a dám ti zpětnou vazbu později. Díky kamaráde