Ahoj všichni,
mám problém s používáním VPN služeb pro spotřebitele (Surfshark, Mulvad atd.) na účtech O365.
Někteří uživatelé tyto služby často používají k přihlášení ke svým účtům. V některých případech, například na chytrých telefonech, kde je účet již přihlášen, spuštění těchto VPN služeb spustí alert od mého SOC týmu. Tento alert, často označovaný jako ‘nepřirozená cesta’ nebo použití těchto zdrojů, je běžně spojován s hackery, kteří se snaží skrýt svůj původ a získat přístup.
Existuje způsob, jak tyto typy VPN zablokovat? Chápu, že je to hra kočka a myš. Ale pokud bych mohl zablokovat ty nejčastěji používané – možná 60-70 % z nich – výrazně by se snížil čas, který náš tým stráví vyšetřováním těchto případů.
Museli byste použít podmíněný přístup.
Pokud si na Google vyhledáte „blokovat přístup spotřebitelských VPN do Office 365“, najdete spoustu výsledků, které odkazují na různé subreddity.
Ale odpověď je, že hrajete hračky na myši a krtka. Pokud chcete zablokovat ty VPN, skutečně byste měli povolit důvěryhodná zařízení a použít zásady zařízení k blokování neoprávněného užívání VPN.
Přístup by byl o zablokování přístupu ke službám a zdrojům pocházejícím odkudkoli mimo schválené rozsahy, spíše než o blokování samotné VPN služby. Jinými slovy, blokujte vše a výslovně povolte lokality/rozsahy.
Bohužel jde o řešení příznaku, nikoli příčiny. Není to jen složité blokovat VPN na koncových zařízeních, obzvlášť na BYOD, a upřímně, není to ani stojí za operativní dluh, který tak přinášíte.
Je třeba vytvořit zásadu přístupu ke cloudovým aplikacím s označením IP adresa jako anonymní proxy, botnet, tor IP a akce blok. Pak vytvořit zásadu podmíněného přístupu s kontrolou aplikace pomocí zásady cloudových aplikací.
Potřebujete službu ochrany cloudových aplikací, která vás upozorní, když lidé používají určité cloudové nebo VPN služby.
Důkladně jsem prozkoumal tento problém, ale nenašel jsem konkrční řešení.
Bohužel nemohu povolit důvěryhodná zařízení, protože některá z nich, například telefony zaměstnanců, nejsou pod naší správou.
Také jsem zkontroloval odkaz, který jste poslal dříve, ale problém je v omezeních Microsoftu na počet IP adres, které lze zablokovat ve vašem tenantovi pomocí skupinové politiky.
Pokud existuje možnost použití externího zdroje ke blokování, bylo by to skvělé. Mohl byste snadno spravovat a přidávat IP rozsahy těchto služeb. Například Fortigate používá jednu takovou funkci.
V ideálním světě bych s vámi souhlasil. Nicméně v mé firmě mi správní rada nedovolí takový přístup a je snadné pochopit proč. I když s tím úplně nesouhlasím, rozumím jejich pohledu.
To vyzkouším a dám vám zpětnou vazbu později. Díky, kamaráde.
Hej, to funguje, ale pouze pokud služby pocházejí ze „šedých“ služeb. Spotřebitelské VPN nejsou blokovány těmi „tagy“, o kterých se výše mluvilo. Bohužel.
Opravdu nechápu, proč by proti tomu měli být. Ale ano, někdy jsou tyto věci těžké překonat.
Spotřebitelské VPN by měly být detekovány jako anonymní proxy, ale je jich tak široký rozsah adres, že to nebude 100 %.
Otázka… Když jste tuto funkcionalitu nasadili, dostali se uživatelé vyzvání k opětovnému ověření? Nasadil jsem to a měly jsme s tím problémy v celém orgánu…
Máte pravdu. Z nějakého důvodu, když spojím řízení aplikací s podmíněnou politikou přístupu, tak řízení aplikací blokuje přístup pouze z odkazů TOR a ne z „soukromých IP“. To teď funguje. Díky za vaši pomoc u/Taikatohtori.