VPN per evitare il filtro di ipfire

Aperto da umby, Mar 26, 2023, 09:03 AM

Discussione precedente - Discussione successiva

faster

Salve,
gestisco una rete (blue + green) di una scuola utilizzando IPFIRE.
di recente ho scoperto che alcuni utenti, i più tosti, per eludere le impostazioni del filtro, utilizzano VPN gratuite:
lo deduco dal fatto che spesso, facendo scansioni della rete (blu), mi trovo client estranei che hanno nomi di aziende...
La mia rete è attualmente configurata sulla blu con DHCP disabilitato e con associazione mac-address - ip. Di conseguenza, i miei utenti, sono ben definiti segmento 10.0.0.0/20, 10.0.4.0/20, 10.0.5.0/20 e 10.0.7.0/20
...ma mi trovo 10.0.28.130 etc...
che faccio? esiste un modo per evitare che gli utenti che sui loro dispositivi hanno installato ad esempio SUPERVPN o OPENVPN possano eludere le regole del mio filtro? uso nel filtro la lista SHALLA.

umby

ciao
se ho capito bene il problema da te spiegato, credo che i scolari piu bravi attivano un client VPN sul pc dentro la lan della scuola puntando su un server remoto.
se è cosi puoi bloccare le porte che utilizzano i client vpn oppure bloccare la destinazione del server.

Stefano

Buoansera,
Immagino tu stia parlando di URL Filetring

Al netto della VPN il filtro opera correttamente?

Per quanto riguarda VPN il discorso si fa complesso, come dice umby un blocco porte può arginare il fenomeno ma se gli studenti sono sgamati riusciranno comunque ad eludere il tuo blocco.

Credo che un efficienza migliore l'avresti apportando anche dei controlli a livello di client, ad esempio non permettere installazione o esecuzione di software che abbiano accesso alla rete. (oppure puoi limitare l'utilizzo della rete solo a Explorer e ai browser, non al resto delle applicazioni)

Stefano

umby

se il metodo usato dai ragazzi è quello che posso immaginare io, il client per uscire non usa la porta 80 ma una porta dedicata per esempio 4001, basta fare una regola sul firewall che blocchi quella porta.
oppure visto che sono ragazzi e credo che utilizzano servizi freevpn gratuiti, altra soluzione è quello di bloccare le destinazioni, non sono tantissimi quelli che offrono questi servizi gratuitamente, ma lo farei sempre come regola firewall
invece la soluzione di bloccare i client obbligando di usare firefox oppure explorer si può aggirare tranquillamente per cui non è efficace.