VPN klient - zablokovanie traficu

[Medo]

Ahoj.
Ospravedlnujem sa, za mierne nepresny nazov. Googlim, ale nedari sa. (mozno zle volim slova)
Je mozne povedat VPN klientovi (naschval nepisem aky, podla potreby sa vymeni), aby po pripojeni zahodil vsetky ostatne spojenia ?
T.j. pocas jeho aktivnosti nepojde nic von/dnu okrem VPN (pop3/smtp, www, teamviewer....)
Po ukonceni VPN spojenia sa to zase obnovi ...

Primarne potrebujem pocas cinnosti VPN mat neaktivne vsetky mozne remote access (VNC, Teamviewer, atd).
PC je hierarchicky mimo, nema to "pana", a teda su tam dost (uplne) zviazane ruky na administraciu... (v tom je ten hacik). Napriek tomu musi mat pristup do VPN. (no kombinacia poziadaviek jak hovado).

Dakujem za napady.

[Reklama]

[samalama]

napr. v openvpn mozes po pripojeni spustit skript (napr. firewall, ktory vsetko zablokuje)...

[ET]

nevim, jestli se ptas zpresne na tohle, ale ovpn ma volbu "redirect-gateway"

https://openvpn.net/index.php/open-source/documentation/howto.html
push "redirect-gateway local def1"

Pushing the redirect-gateway option to clients will cause all IP network traffic originating on client machines to pass through the OpenVPN server. The server will need to be configured to deal with this traffic somehow, such as by NATing it to the internet, or routing it through the server site's HTTP proxy.

[Medo]

Dakujem za oba napady.
Zrovna sa pohravam s pokusmi, ako alebo vykonat nejaky prikaz po inicializacii VPN (odstranit def. gateway napr. ), resp. vnutit trafic do VPNky. (a tam to poslat do neexistujcej brany, alebo to kludne poslat dalej (linka by tam mala byt dost silna), ale filtrovat to tu)

[Jenda]

Primarne potrebujem pocas cinnosti VPN mat neaktivne vsetky mozne remote access (VNC, Teamviewer, atd).
PC je hierarchicky mimo, nema to "pana", a teda su tam dost (uplne) zviazane ruky na administraciu... (v tom je ten hacik). Napriek tomu musi mat pristup do VPN. (no kombinacia poziadaviek jak hovado).

Jestli jsem to dobře pochopil, tak ti jde o to prosadit to proti „vůli“ toho počítače. Pak je odpověď samozřejmě ne, nejde to (a ani z principu jít nemůže). Nastavení jako "push redirect-gateway" si klient samozřejmě může overridnout.

[Reklama]

[Medo]

Spravne oboje. Je to blba situacia.
Bezna obsluha si to neprepise, to je OK. Do akej miery je schopny "instalater" teamviewra, uz je otazne.
Na druhej strane sa pohravam s myslienkou, ze ked presmerujem cely traffic  na VPN server a odtial dalej do NEtu, mohlo by to byt dost dobre monitorovatelne a preukazatelne (potom sa da robit bububu a perzekucie voci userovi, ktory tam asistoval pri dalsom spusteni TW, ked uz raz bol odstraneny).
Aj ked pravdupovediac, radsej by som bol za nejake systemove a nepriestrelne riesenie, ze proste to nejde a hotovo ... :-)
(nezavisle na pouzitom softe, kedze je toho mraky, a nemozem si byt isty, ze ked nepojde jedno, neskusi ine).

[Jenda]

Aj ked pravdupovediac, radsej by som bol za nejake systemove a nepriestrelne riesenie, ze proste to nejde a hotovo ... :-)

A o co ti vlastně jde? Proč mít na počítači vzdálenou správu během připojení do VPN je horší než ji tam mít jindy? Proč vůbec VPN vadí, že se do ní připojí „zlý“ počítač, neměly by být služby v ní zabezpečené tak, aby to nevadilo? Nestačilo by „zlý“ počítač zafirewallovat?

(nezavisle na pouzitom softe, kedze je toho mraky, a nemozem si byt isty, ze ked nepojde jedno, neskusi ine).

Můžeš mu zkusit pomocí TPM ten počítač backdoornout a doufat, že neobjeví žádnou chybu v systému, aby tam mohl spustit vlastní kód.

[M.]

Nepíšeš ani jakou platformu, ale pokud klient je na operačním systému Windows 2000 a novější, tak to umí všechni vestavění VPN klienti v systému, je to volba "Používat výchozí bránu vzdálené sítě", pak se vše poslílá skrz VPN kanál. Použííváme takto VPN typu IPsec IKEv2 proti linux serveru s strongSwan (nebo L2TP/IPsec a SSTP proti  Mikrotik routerům).

[Medo]

Ano, je to MS platforma. Ale aky klient konkretne, to v tejto chvili este neviem.
O co mi ide ?

Matka, dcera. (nepresne, ale postacuje na vysvetelnie). Musia kooperovat v oblasti vymeny dat.
Dcera chodi do Inf.Systemu matky.
Zamestnanec dcery (Sediaci za vpn klientom) by isiel vynesenim infa sam proti sebe. (z dcery to vidi to len on).
Takze nam tu ostava externy ITckar. (asi tak, ze uz sa to potvrdilo).

Matka vie robit na dceru len obmedzene tlaky. (V blizkej dobe z toho mozno budem mudrejsi)
Takze alebo zrusit datove toky u klienta okrem VPN pocas jej aktivacie, alebo vsetko nahnat do tunela, a pripadne filtrovat u matky na vystupe. (tam by to bolo aj preukazatelne, ze sa ten ktory soft pouziva, aj ked neviem ukazat priamo na jeho zdroj, resp. ako u coho). Osobne nemienim nikoho dohladavat (pripadnu public IP za pomoci policie, atd), radsej by som to tipol, a neriesil.

[M.]

Kapánek zmatené. :-)
A co je na  místě VPN serveru? Pokud třeba Windows server 2012+ a klient je windows 7+, tak můžeš použít funkci direct access, pak klientský počítač jde nastavit že pouze jen komunikuje s určeným serverem a nikdy nebude komunikovat přímo jinam, když je odnesen ven z firemní LAN, tak si vytváří automaticky VPN do firmy a nikam jinou komunikaci neposílá, než do tunelu.
Jiná varianta je ten klasický VPN klient, kde dovolím uživatlei ho pustit/zastavit dle potřeby s tím nastavením, že vše má posílat do VPN tunelu, v tomto případě to funguje i proti Linux serveru (direct acces funguje jen mezi windows klient a serverem). Jenom to chce, pokud to nemá uživatel snadno obechcat, že k tomu počítači nemá admin práva, aby to v nastavení VPN zrušil.
A další krok je, že klient si u sebe musí pustit nějakou aplikaci pro vzdálený přístup a vše dělá vzdáleně v centrále, takže data neopouští firmu, vyjma zobrazované informace na toho klienta pro vzdálený přístup. A firewall u VPN serveru  nastaven tak, že tím VPN jde jen navázat spojení tím klientem pro vzdálenou plochu/aplikaci (pak už je jen otázka, co použiteš, zda RDP, Citrix, NX, ...).

[Jenda]

Medo: zmatené a už bylo řečeno: openvpn redirect-gateway, stejně jako u dalších typů VPN (IPSec a spol.) si může klient po navázání VPN nastavit specifičtější routu někudy bokem a nic s tím nenaděláš. Pokud ti jde o vynesení dat, nemusí to přece dělat hned během spojení, může tam mít nachystaný skript, který to stáhne, a pošle mu to, až se od VPN odpojí. A pokud je to ajťák, tak si tu VPN upravit umí.

[Jenda]

Jenom to chce, pokud to nemá uživatel snadno obechcat, že k tomu počítači nemá admin práva, aby to v nastavení VPN zrušil.

Uživatel má fyzický přístup, takže pokud to není chráněné nějakým brutálním TPM, tak má i admina. (a i pokud je, no, stačí si počkat, až se ve Windows objeví další bezpečnostní díra)

[j]

...

Pokud nejsi administrator toho stroje a dotycnej neni pouze uzivatel, tak zapomen, to proste neprustrene neudelas. A viz Jenda, problem to je i v pripade, ze je to user, proste proto, ze existuje milion a jeden zpusob, a vsechny stejne nepojmes. Uz vubec nemluve o tom, ze si proste data postahuje na lokal, odpoji se a posle si je kam chce/odnese na usb/... .

Tzn, lidem musis bud duverovat nebo je propustit, zadny jiny moznosti nemas.

[Medo]

Ahoj
Mal som debat s jednym implementatorom, polozil som mu otazku, odpovedal z voleja, ze napr. Kerio vie nahnat cely traffic do vpn gatewaye, a to priamo z pozicie servera. Na podotazku, ci to vie klient overridnut, sa zasmial, ze nie, dokial server tvrdi, nieco ine.
(hovorime o nativnom klientovi, nebol si isty s MS klientami, ale vraj to ide asi aj tam).
Na vpn serveri zase vieme zablokovat to co treba, takze v globale by bol asi problem aj riesitelny.
(platene vs open-source riesenie teraz nechajme bokom).
Tolko pre informaciu, ak tato tema niekoho v buducnosti zaujme.

[Jenda]

Mal som debat s jednym implementatorom, polozil som mu otazku, odpovedal z voleja, ze napr. Kerio vie nahnat cely traffic do vpn gatewaye, a to priamo z pozicie servera. Na podotazku, ci to vie klient overridnut, sa zasmial, ze nie, dokial server tvrdi, nieco ine.

To je jenom o tom jak moc umíš s windowsama a kolik času strávíš přesvědčováním toho blobu.