gdyby ktoś założył tunel ssh do / z pracy lub do domu, czy istnieje sposób, aby zapobiec przyszłemu tunelowaniu SSH?
Rozumiem, że websense może blokować ruch, ale użytkownicy korzystający z tunelowania ssh mogą ominąć websense lub inne podobne produkty, ponieważ nie mogą odszyfrować ani szukać dalej w pakiecie, aby odróżnić ruch legalny od nielegalnego.
z niektórych lektur i badań wynika, że niektóre rzeczy, które możesz zrobić, to: - całkowicie wyłączyć SSH; w ogóle niedozwolone - ogranicz dostęp ssh tylko do użytkowników, którzy go potrzebują, i odmów wszystkim dostępu ssh - utwórz niestandardowy protokół do czarnej listy lub białej listy ruchu ssh według miejsca docelowego (zakładając, że listy można zarządzać) - przeglądaj dzienniki ruchu ssh, przeglądaj docelowe adresy IP i sprawdź, czy odpowiadają one legalnym lub dopuszczalnym urządzeniom, czy też nie, lub sprawdź, czy jest większy ruch internetowy niż ruch tunelowy i możesz odmówić / umieścić na czarnej liście ten adres IP
Zastanawiałem się jednak, oprócz tych opcji, czy byłoby możliwe obejście powyższych opcji poprzez atak typu man-in-the-middle?
A może istnieje inna opcja blokowania ruchu tunelującego ssh lub nawet jakieś urządzenie sieciowe, które może filtrować / blokować ten ruch?
dzięki za pomoc.
Odpowiedzi:
Zapobieganie wychodzącym połączeniom ssh, a tym samym wszelkim tunelom, wymagałoby całkowitej blokady połączeń wychodzących poprzez głęboką kontrolę pakietów. Patrzenie na porty będzie w 100% bezużyteczne. Musisz spojrzeć na rzeczywisty ładunek pakietu, aby wiedzieć, że jest to SSH. (właśnie to robi websense).
Jedyną inną opcją jest skonfigurowanie hosta „proxy”. Zablokuj konfigurację, aby klient i serwer ssh nie zezwalali na tunelowanie, a następnie zezwalaj tylko tej maszynie na wychodzące połączenia ssh - oczywiście obejmuje to również zabezpieczenie systemu, w przeciwnym razie ludzie będą mogli uruchomić dowolne oprogramowanie ssh.
źródło
Jest jeszcze jedna metoda, jeśli chcesz tylko powstrzymać ludzi od używania SSH jako obejścia proxy, dlaczego nie ograniczyć prędkości do około 20 kB / s, co może być dość bolesne dla sieci, ale niewidoczne dla konsoli.
Jeśli jednak chcesz zezwolić na przesyłanie plików z normalną prędkością, nie byłaby to opcja.
źródło
Jeśli kontrolujesz serwer SSH i zaporę, możesz kontrolować dostęp, blokując dostęp do dowolnego portu, z którego korzysta serwer SSH (domyślnie 22). O ile port nie został wcześniej otwarty, połączenia przychodzące i tak będą prawdopodobnie blokowane, chociaż prawdopodobnie okaże się, że połączenia wychodzące będą dozwolone. Dzięki właściwemu projektowi i planowaniu możesz kontrolować dostęp tak dokładnie, jak chcesz.
Jeśli nie kontrolujesz serwera SSH, nie możesz zagwarantować, że używa on portu, więc filtrowanie na podstawie samego portu będzie znacznie trudniejsze.
Jeśli chcesz zezwolić wszystkim na dostęp do serwera SSH, gdy są oni w twojej sieci, ale tylko nieliczni, gdy są poza nim, pukanie portów to czysty odczyt.
źródło