como bloquear o tráfego de tunelamento ssh?


14

se alguém configurasse um túnel ssh para / do trabalho ou em casa, existe uma maneira de impedir o tráfego futuro de encapsulamento SSH?

Entendo que o websense pode bloquear o tráfego, mas os usuários que usam o encapsulamento ssh podem ignorar o websense ou outros produtos similares porque não podem descriptografar ou procurar mais no pacote para diferenciar o tráfego legítimo ou ilegítimo.

de algumas leituras e pesquisas, descobri que algumas coisas que você pode fazer são as seguintes: - desativar completamente o SSH; não é permitido - restrinja o acesso ssh apenas aos usuários que precisam deles e negue acesso a todos os outros - crie um protocolo personalizado para colocar o tráfego ssh na lista negra ou na lista branca por destino (supondo que as listas sejam gerenciáveis) - revise os logs do tráfego ssh, revise os IPs de destino e verifique se eles resolvem dispositivos legítimos ou permitidos ou não, ou verifique se há mais tráfego regular da Internet do que o tráfego de túnel e se você pode negar / colocar na lista negra esse IP

Mas eu estava pensando, além dessas opções, seria possível contornar as opções acima através de um ataque do tipo homem do meio?

Ou existe outra opção para bloquear o tráfego de encapsulamento ssh ou mesmo algum dispositivo de rede que possa filtrar / bloquear esse tráfego?

Obrigado pela ajuda.


a propósito, aqui estão alguns links que ajudam a explicar o encapsulamento ssh: chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu / ... e alguns que explicar sobre não ser capaz de bloquear tunelamento ssh, exceto para as opções acima: community.websense.com/forums/p/11004/28405.aspx
user1609

Respostas:


13

A prevenção de conexões ssh de saída e, portanto, de qualquer túnel, exigiria um bloqueio completo das conexões de saída por meio de inspeção profunda de pacotes. Olhar para os portos será 100% inútil. Você precisa examinar a carga útil real do pacote para saber que é SSH. (é isso que o websense está fazendo.)

A única outra opção é configurar um host "proxy". Bloqueie a configuração para que o cliente e o servidor ssh não permitam o encapsulamento e, em seguida, permita apenas que a máquina faça conexões ssh de saída - é claro, isso inclui a proteção do sistema também, caso contrário, as pessoas poderão executar o software ssh que desejarem.


obrigado pelo comentário. portanto, de todas as opções, isso parece uma abordagem melhor. agradeço a ajuda.
user1609

9

Existe outro método, se você está apenas olhando para impedir que as pessoas usem o SSH como uma solução alternativa de proxy, por que não limitar a taxa para dizer 20kB / s mais ou menos, isso acaba sendo doloroso o suficiente para a Web, mas imperceptível para o uso do console.

Se você deseja permitir transferências de arquivos na velocidade normal, isso não seria uma opção.


ponto interessante e bom para pensar. obrigado por compartilhar isso.
user1609

1
Isso também limitaria a taxa de qualquer tráfego "scp", que pode não ser muito bom, dependendo da frequência com que as pessoas precisam copiar arquivos.
Ricky feixe

6

Se você controlar o servidor SSH e o firewall, poderá controlar o acesso bloqueando o acesso a qualquer porta que o servidor SSH esteja usando (22 por padrão). A menos que a porta tenha sido aberta anteriormente, é provável que as conexões de entrada sejam bloqueadas de qualquer maneira, embora você provavelmente descubra que essas conexões serão permitidas. Com o design e o planejamento certos, você pode controlar o acesso da maneira mais granular ou granulada que desejar.

Se você não controlar o servidor SSH, não poderá garantir a porta que está usando, pois será muito mais difícil filtrar com base apenas na porta.

Se você precisar permitir que todos acessem um servidor SSH enquanto estiverem na sua rede, mas apenas alguns selecionados quando estiverem fora dele, a batida na porta é uma leitura clara.


1
obrigado por compartilhar. Encontrei alguns links sobre porta batendo. é um conceito interessante, a primeira vez que ouvi falar sobre isso. Para quem estiver interessado, aqui está o que eu estou lendo sobre até agora para este recurso: portknocking.org e bsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
user1609
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.