Chặn người dùng đầu cuối sử dụng VPN Cloudflare truy cập Internet

1. Tổng quan.

VPN Cloudflare được gọi là “WARP” và đây là một ứng dụng VPN (Mạng riêng ảo) do Cloudflare, một công ty chuyên về dịch vụ bảo mật và tăng cường hiệu suất trang web, phát triển. Mục tiêu của WARP là cung cấp một kết nối Internet an toàn và riêng tư cho người dùng bằng cách định tuyến dữ liệu qua các máy chủ của Cloudflare. Điều này giúp che giấu địa chỉ IP của người dùng, bảo vệ khỏi các mối đe dọa an ninh trực tuyến và kiểm soát quyền riêng tư trực tuyến.

Tuy nhiên, trong môi trường công doanh nghiệp, có một số lý do mà bạn có thể muốn chặn hoặc kiểm soát việc sử dụng VPN Cloudflare (WARP):

Bảo mật hệ thống: Sử dụng VPN có thể giúp người dùng tránh các cơ chế bảo mật và kiểm soát mạng do tổ chức áp dụng. Điều này có thể dẫn đến các vấn đề về bảo mật, ví dụ như việc truy cập vào các tài liệu nhạy cảm hoặc dữ liệu doanh nghiệp từ xa mà không thông qua cơ chế bảo mật của tổ chức.
Kiểm soát nội dung: Khi sử dụng VPN, người dùng có thể truy cập vào nội dung mạng mà không bị hạn chế bởi các giới hạn địa lý hoặc chính sách nội dung của công ty. Điều này có thể gây rủi ro cho việc sử dụng tài nguyên mạng của công ty để truy cập vào nội dung không liên quan đến công việc.
Quản lý băng thông: Sử dụng VPN có thể tiêu tốn băng thông mạng và ảnh hưởng đến hiệu suất mạng cho các ứng dụng và dịch vụ quan trọng của công ty.
Thám tử việc làm: Trong một số trường hợp, tổ chức có thể muốn theo dõi và kiểm tra hoạt động trực tuyến của nhân viên để đảm bảo rằng họ không vi phạm chính sách nội dung hoặc không thực hiện các hoạt động không phù hợp.

Việc chặn VPN Cloudflare cần phải được thực hiện cẩn thận và phù hợp với chính sách và quy định của tổ chức. Cân nhắc cẩn trọng về các vấn đề bảo mật, quản lý nguồn tài nguyên mạng và quyền riêng tư của người dùng là quan trọng khi xem xét việc thực hiện các biện pháp kiểm soát như vậy.

2. Các xử lý như sau.

Để giải thích chi tiết hơn về cách chặn ứng dụng Cloudflare.1.1.1.1.VPN bạn có thể thực hiện theo các bước sau:

Tạo firewall address group: Đầu tiên, bạn cần tạo một group với range IP của Cloudflare là 162.159.0.0/16. Group này sẽ được sử dụng để xác định đích của luồng dữ liệu mà bạn muốn chặn.
Tạo một group service: Tiếp theo, tạo một group chứa các cổng UDP 2408, 500, 1701, 4500. Các cổng này là những cổng mà ứng dụng Cloudflare.1.1.1.1.VPN sử dụng để giao tiếp.
Cấu hình firewall policy: Bạn cần cấu hình một policy để chặn luồng dữ liệu từ máy tính đến dải địa chỉ IP 162.159.0.0/16 và sử dụng group service bạn đã tạo ở bước trước đó. Đặt group service được tạo ở trường Destination và các cổng UDP của group service ở trường Service.
Đặt action firewall policy: Đặt action firewall policy thành Deny. Điều này sẽ khiến tường lửa từ chối tất cả các luồng dữ liệu đến từ máy tính và có địa chỉ IP thuộc dải 162.159.0.0/16 và sử dụng các cổng UDP đã chỉ định.

Như vậy, với cấu hình này, dù ứng dụng Cloudflare.1.1.1.1.VPN đã được cài đặt và đăng ký với ID Thiết bị, nó vẫn sẽ bị chặn khi cố gắng giao tiếp thông qua dải địa chỉ IP 162.159.0.0/16 và các cổng UDP 2408, 500, 1701, 4500.

Lưu ý rằng việc chặn ứng dụng như vậy có thể ảnh hưởng đến các dịch vụ khác mà có thể sử dụng cùng các cổng UDP này. Do đó, hãy đảm bảo bạn đã xem xét cẩn thận trước khi thực hiện các thay đổi này.

3. Thực hành.

Mình sử dụng Firewall mềm OPNSense để demo, các bạn sử dụng Firewall khác có thể làm tương tự. Nếu không có Firewall thì sử dụng Access List trên Switch cũng được.

Đây là hình ảnh khi kết nối thành công VPN Cloudflare.