皆さんこんにちは。
現在、学校のシスアドを務めているのですが、Hotspot Shieldをブロックするのに苦労しています。いくつかの方法を試みましたが、うまくいきません。Fortigateのインラインを使用しており、そのシグネチャも試しましたが効果はありませんでした。誰か、Hotspot Shieldを確実に停止させる製品やサービス、またはアプライアンスをご存知ですか?
実は解決策を探していて、特にFortinetのフォーラムでも検索したことがあります。私が最初に見つけた4つの結果は、まさにあなたの抱える問題と同じもので、今年投稿されたものでした!
Googleでこの検索語を試してください:fortigate "Hotspot shield " site:forum.fortinet.com
/r/k12sysadminに投稿してみてください。
ここには教育に関わる人はあまりいませんし、教育管理者もこのサブレディットについてあまり知りません。
L2TPやPPTPがシグネチャベースのルールでブロックされていることを確認してください。
彼らがどうやってクライアントをインストールしているのか興味がありますね… AppLockerを設定してブラックリストを作るのも良いでしょう。さらに良いのはホワイトリストを作成し、他の実行可能ファイルすべてを停止することです。
なぜユーザーがソフトウェアをダウンロードしたりインストールしたりできるのですか?AppLockerは使っていませんか?プロキシルールは?これは悪夢のような話ですね
名前やIPでブロックできませんか?それほど多くはないはずです。
少なくとも学生がこれらのVPNにアクセスするのを検知できるはずです。可能であれば、実際に結果を伴うポリシーを適用できます(例:デバイスを15分間ブロックする、または拘留など)。これは、学生が自身のデバイスをBYODとして持ち込み、それを事前に登録している場合にのみ有効です(誰が誰かを把握できるため)。あるいは、BYODを許可しつつアプリのインストールを求める方法もあります(オンプレミスでの制御を保証するため)。
確かにいくつかの検索を行い、こちらや他の類似のリンクも見つけましたが、残念ながらこれらを使った後でも、Hotspot Shieldを直接通過できてしまうことがわかりました。
そちらにも連絡を取りましたが、皆答えを持っていないようで、いくつかの場所で質問しようと思いました。
UltrasurfとHotspot Shieldだけが問題です。他のVPNはほぼすべてブロックしています。両方とも443を使っており、Ultrasurfはランダムに生成されたドメインを使用し、Hotspot ShieldはPapal.comやAdobe.com、Facebook.com、Cloudfrontドメインなどの正当なサイトのSNIパラメータを送信していますが、宛先のIPアドレスはこれらのサービスと関係ありません。彼らが通り抜ける方法を見るのはとてもクレイジーです。
追記:忘れていましたが、私たちはかなり重いBYODの学校で、もちろんデバイスのコントロールは皆無です。
政府が後援しているため、学校はかなりBYODが多いです。
これはまさに悪夢ですね(笑)。その通りです。
あなたも驚くかもしれませんが、使用しているIPの数は非常に多いです。さらに、「paypal.com」や「adobe.com」へのトラフィックも、実際には熱スポットシールドのIPに向かっているのを見かけます。
ユーザーがVPNを使っているかどうかを判断するのは少し難しいです。トラフィックが完全に正当なように見えるからです。
ログを確認して、使用しているポリシーやルールが正しく適用されているか確認しましたか?
もしかしたら、原始的な方法を試してみてください…このトラフィックを送信しているIPアドレスをファイアウォールのログから特定します。PSKの場合は、無線コントローラーでMACアドレスを見つけ、LDAPやキャプティブポータルの場合はユーザーアカウントを特定し、ブラックリストに登録します。サポートに問い合わせるときは、これがネットワークポリシーの違反であることを伝え、次回は百科事典から手書きで課題をコピーすることになると警告しましょう。