P: É possível monitorar a atividade SSH na rede local (dentro da organização)?


1

É possível monitorar a atividade SSH na rede local da organização? Especificamente, é possível:

  1. Exibir conexões SSH abertas por usuário / máquina, juntamente com os servidores aos quais estão conectados
  2. Detecte o tráfego SSH. E se o administrador do sistema souber minhas chaves SSH?

Se eu configurar meu servidor SSH para aceitar conexões na porta 80 em vez da porta 22, parecerá que estou navegando em algumas páginas da Web na máquina remota? Basicamente, quero poder manter a conexão SSH com algum servidor e não me preocupar com o fato de alguém da rede interceptar a comunicação.

Respostas:


2

Exibir conexões SSH abertas por usuário / máquina, juntamente com os servidores aos quais estão conectados

Quando o tráfego de rede sai do sistema, a menos que você esteja fisicamente conectado a outro sistema por meio de um cabo cruzado, ele atravessa pelo menos um sistema intermediário. O software nesses sistemas intermediários pode registrar metadados sobre cada pacote, incluindo IP / porta de origem e IP / porta de destino. O software avançado pode até fazer coisas como amarrar fluxos TCP, saber qual protocolo está sendo usado e observar coisas como tempo, duração e bytes transferidos.

Para o SSH, seria difícil correlacionar o tráfego de rede ao usuário que o gera sem a ajuda do sistema envolvido, mas se houver algum programa no registro do sistema do usuário que inicie qual processo e os argumentos da linha de comando, obviamente isso pode ser deduzido .

Detecte o tráfego SSH. E se o administrador do sistema souber minhas chaves SSH?

O SSH é criptografado, o que significa que, embora as informações acima possam ser coletadas (o que acontece com qualquer coisa que atravessa a rede), o conteúdo ou a carga útil da transmissão será protegida.

É possível descriptografar isso se a chave SSH for conhecida.


Você também pode comentar sobre a última parte da pergunta - se eu alternar da porta 22 para a porta 80 na máquina remota, será como se eu estivesse navegando em algumas páginas da Web na máquina remota para esses avançados sistemas intermediários? Ou é possível dizer o protocolo usado apenas a partir da estrutura do tráfego TCP?
AK0

É possível diferenciar o protocolo usado na estrutura do tráfego, mas essa é uma operação avançada que seria em um firewall ou dispositivo de gateway avançado. Um firewall básico que é simplesmente configurado para permitir qualquer tráfego na porta 80 permitiria. Se você quiser fazer com que pareça tráfego HTTPS no nível do protocolo, você configurou e encapsulou seu SSH por meio de um encapsulamento HTTPS (adicionando latência e lentidão) - acredito que existem ferramentas para fazer isso se você tiver um sistema fora do rede que pode aceitar conexões de entrada.
LawrenceC

2

Capsula segura

O SSH, por definição, é seguro, pois todo o tráfego é criptografado enquanto em trânsito em todas as redes. A escuta telefônica não é algo com que você deve se preocupar com o SSH.

O objetivo inteiro do SSH é criar uma conexão criptografada entre o cliente e o servidor para garantir que nenhuma das informações transmitidas entre eles possa ser vista em qualquer rede que não seja em sua forma criptografada.

Alterar a porta faria pouco para disfarçar o tráfego de qualquer maneira, mas não é necessário, como eu disse, o SSH é completamente criptografado. Isso seria apenas "Segurança através da obscuridade", na melhor das hipóteses, que não é segurança de qualquer forma, forma ou formato.

Chaves violadas

Se os administradores do sistema tiverem suas chaves SSH, a escuta telefônica não seria sua preocupação, pois eles poderiam se conectar diretamente ao servidor e muito menos descriptografar o tráfego enviado pela rede.

É improvável que eles tenham suas chaves, pois elas não podem ser detectadas quando enviadas, pois são criptografadas em trânsito.

Exibir conexões de rede

Os administradores de rede poderão identificar que sua conta de usuário e computador estão conectados a um endereço IP específico na porta 22, mas isso é tudo o que eles poderão ver. Eu não consideraria isso uma grande preocupação, desde que a segurança de seus servidores esteja configurada corretamente.

Em um servidor SSH voltado para a Internet, é provável que um ou dois administradores de rede sejam as pessoas menos prováveis ​​de segmentar seu servidor; você provavelmente descobrirá que as pessoas já o estão constantemente atacando, isso é chamado de 'ruído de fundo da Internet'. Isso pode ser visto revisando seus logs de autenticação. Contanto que apenas a autenticação de chave esteja ativada, isso não é uma preocupação, mas eu pessoalmente também gosto de executar o fail2ban para filtrar essas conexões.

Preocupações de segurança do SSH

A maior preocupação ao usar o SSH é garantir que os invasores não possam acessar o próprio servidor SSH, normalmente através de ataques de força bruta, mas isso também pode ser feito através de ataques direcionados muito mais sofisticados.

A maneira mais simples e rápida de proteger um servidor SSH é habilitar a autenticação de autenticação de chave em vez da autenticação por senha.

Se possível, você deve remover o servidor SSH da Internet e permitir o acesso apenas internamente ou por meio de uma conexão VPN.

Existem muitas outras maneiras de proteger um servidor SSH, como segurança de dois fatores e bloqueio de pacotes.

Exemplo de Telnet

É por essas razões exatas que o telnet não está mais em uso em massa. Como ele não criptografa a conexão, tudo é enviado pela rede em texto sem formatação, incluindo a senha, o que significa que qualquer pessoa na rede que esteja farejando pacotes ou monitorando logs de conexão pode obter facilmente informações de nome de usuário e senha e qualquer outra coisa enviada por um telnet conexão.

Outras informações

Mais informações sobre SSH podem ser encontradas aqui ...

Página de manual para SSH

Site OpenSSH (um dos maiores servidores SSH)

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.