как заблокировать ssh туннелирование трафика?

14

Если кто-то должен был установить ssh-туннель на работу или домой, есть ли способ предотвратить трафик SSH в будущем?

Я понимаю, что websense может блокировать трафик, но пользователи, использующие ssh-туннелирование, могут обойти websense или другие подобные продукты, потому что он не может расшифровать или посмотреть дальше в пакете, чтобы определить разницу между легитимным и нелегитимным трафиком.

по результатам некоторых исследований и исследований я обнаружил, что вы можете сделать следующее: - полностью отключить SSH; вообще не разрешено - ограничить доступ по ssh только тем пользователям, которым они нужны для доступа, и запретить всем доступ по ssh - создать собственный протокол для добавления в черный или черный список трафика ssh по месту назначения (при условии, что списки могут быть управляемыми) - просмотреть журналы для трафика ssh, просмотреть IP-адреса назначения и проверьте, разрешают ли они разрешенные или разрешенные устройства или нет, или проверьте, существует ли более обычный интернет-трафик, чем туннельный, и вы можете запретить / занести этот IP-адрес в черный список

Но мне было интересно, кроме этих вариантов, можно ли обойти вышеупомянутые варианты с помощью атаки «человек посередине»?

Или есть другой вариант, чтобы заблокировать трафик туннелирования SSH или даже какое-то сетевое устройство, которое может фильтровать / блокировать этот трафик?

Спасибо за помощь.

user1609
источник
Кстати, вот несколько ссылок, которые помогают объяснить туннелирование ssh: chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu /… и некоторые, которые объясняют невозможность блокировать туннелирование ssh, за исключением указанных выше параметров: community.websense.com/forums/p/11004/28405.aspx
user1609

Ответы:

13

Предотвращение исходящих ssh-соединений и, следовательно, любых туннелей, потребует полной блокировки исходящих соединений посредством глубокой проверки пакетов. Смотреть на порты будет на 100% бесполезно. Вы должны посмотреть на фактическую полезную нагрузку пакета, чтобы знать, что это SSH. (это то, что делает WebSense.)

Единственный другой вариант - это настройка прокси-хоста. Заблокируйте конфигурацию, чтобы ssh-клиент и сервер не разрешали туннелирование, а затем позволяли только этой машине устанавливать исходящие ssh-соединения - конечно, это включает и защиту системы, иначе люди могут запускать любое программное обеспечение ssh, которое они хотят.

Рики Бим
источник
Спасибо за комментарий. так что из всех вариантов это звучит как лучший подход. ценим помощь.
user1609
9

Есть другой метод, если вы просто пытаетесь не позволить людям использовать SSH в качестве обходного пути для прокси-сервера, почему бы не ограничить скорость до 20 КБ / с или около того, что в конечном итоге оказывается достаточно болезненным для сети, но незаметным для использования консоли.

Если вы хотите разрешить передачу файлов с нормальной скоростью, это не вариант.

LapTop006
источник
Интересный момент и хорошо подумать. спасибо, что поделились этим.
user1609 10.06.13
1
Это также ограничило бы скорость любого трафика "scp", который может не проходить слишком хорошо в зависимости от того, как часто людям нужно копировать файлы.
Рикки Бим
6

Если вы управляете SSH-сервером и брандмауэром, вы можете контролировать доступ, блокируя доступ к любому порту, который использует SSH-сервер (по умолчанию 22). Если порт ранее не был открыт, входящие соединения, скорее всего, будут заблокированы в любом случае, хотя вы, вероятно, обнаружите, что исходящие соединения будут разрешены. При правильном дизайне и планировании вы можете контролировать доступ так, как вам хочется.

Если вы не контролируете сервер SSH, вы не можете гарантировать, что порт, который он использует, будет сложнее фильтровать по одному порту.

Если вам нужно разрешить всем доступ к SSH-серверу, пока они находятся в вашей сети, но только немногие из них, находящиеся вне его, стук порта является аккуратным чтением.

Эй Джей Россингтон
источник
1
Спасибо, что поделился. нашел несколько ссылок о стучании портов. это интересная концепция, я впервые услышал об этом. для тех, кто заинтересован, вот что я читаю для этой функции: portknocking.org и bsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
user1609