Если кто-то должен был установить ssh-туннель на работу или домой, есть ли способ предотвратить трафик SSH в будущем?
Я понимаю, что websense может блокировать трафик, но пользователи, использующие ssh-туннелирование, могут обойти websense или другие подобные продукты, потому что он не может расшифровать или посмотреть дальше в пакете, чтобы определить разницу между легитимным и нелегитимным трафиком.
по результатам некоторых исследований и исследований я обнаружил, что вы можете сделать следующее: - полностью отключить SSH; вообще не разрешено - ограничить доступ по ssh только тем пользователям, которым они нужны для доступа, и запретить всем доступ по ssh - создать собственный протокол для добавления в черный или черный список трафика ssh по месту назначения (при условии, что списки могут быть управляемыми) - просмотреть журналы для трафика ssh, просмотреть IP-адреса назначения и проверьте, разрешают ли они разрешенные или разрешенные устройства или нет, или проверьте, существует ли более обычный интернет-трафик, чем туннельный, и вы можете запретить / занести этот IP-адрес в черный список
Но мне было интересно, кроме этих вариантов, можно ли обойти вышеупомянутые варианты с помощью атаки «человек посередине»?
Или есть другой вариант, чтобы заблокировать трафик туннелирования SSH или даже какое-то сетевое устройство, которое может фильтровать / блокировать этот трафик?
Спасибо за помощь.
Ответы:
Предотвращение исходящих ssh-соединений и, следовательно, любых туннелей, потребует полной блокировки исходящих соединений посредством глубокой проверки пакетов. Смотреть на порты будет на 100% бесполезно. Вы должны посмотреть на фактическую полезную нагрузку пакета, чтобы знать, что это SSH. (это то, что делает WebSense.)
Единственный другой вариант - это настройка прокси-хоста. Заблокируйте конфигурацию, чтобы ssh-клиент и сервер не разрешали туннелирование, а затем позволяли только этой машине устанавливать исходящие ssh-соединения - конечно, это включает и защиту системы, иначе люди могут запускать любое программное обеспечение ssh, которое они хотят.
источник
Есть другой метод, если вы просто пытаетесь не позволить людям использовать SSH в качестве обходного пути для прокси-сервера, почему бы не ограничить скорость до 20 КБ / с или около того, что в конечном итоге оказывается достаточно болезненным для сети, но незаметным для использования консоли.
Если вы хотите разрешить передачу файлов с нормальной скоростью, это не вариант.
источник
Если вы управляете SSH-сервером и брандмауэром, вы можете контролировать доступ, блокируя доступ к любому порту, который использует SSH-сервер (по умолчанию 22). Если порт ранее не был открыт, входящие соединения, скорее всего, будут заблокированы в любом случае, хотя вы, вероятно, обнаружите, что исходящие соединения будут разрешены. При правильном дизайне и планировании вы можете контролировать доступ так, как вам хочется.
Если вы не контролируете сервер SSH, вы не можете гарантировать, что порт, который он использует, будет сложнее фильтровать по одному порту.
Если вам нужно разрешить всем доступ к SSH-серверу, пока они находятся в вашей сети, но только немногие из них, находящиеся вне его, стук порта является аккуратным чтением.
источник