как заблокировать трафик туннеля ssh?

Если кто-то должен был настроить туннель ssh на /из работы или дома, существует ли способ предотвратить будущий трафик туннелирования SSH?

Я понимаю, что websense может блокировать трафик, но пользователи, которые используют туннелирование ssh, могут обойти веб-сайт или другие подобные продукты, потому что он не может расшифровывать или смотреть дальше в пакете, чтобы сообщить разницу между законным или незаконным трафиком.

из некоторых чтений и исследований я обнаружил, что некоторые вещи, которые вы можете сделать, следующие: - полностью отключить SSH; вообще не допускается - ограничивать доступ к ssh только тем пользователям, которые нуждаются в них для доступа, и отказывать всем в доступе ssh - создать собственный протокол в черный список или белый трафик ssh по назначению (при условии, что списки являются mangeable) - просматривать журналы для трафика ssh, просматривать IP-адреса получателей и проверять, разрешены ли они законным или допустимым устройствам, или проверить, существует ли более обычный интернет-трафик, чем туннелирование трафика, и вы можете запретить /сделать черный список IP

Но мне было интересно, помимо этих вариантов, можно ли обойти вышеуказанные варианты с помощью атаки «человек-в-середине»?

Или есть еще один вариант блокировки трафика туннеля ssh или даже какого-либо сетевого устройства, которое может фильтровать /блокировать этот трафик?

спасибо за помощь.

14 голосов | спросил user1609 10 J0000006Europe/Moscow 2013, 00:32:59

3 ответа


13

Предотвращение исходящих ssh-соединений и, следовательно, любых туннелей потребует блокировки исходящих соединений complete через глубокую проверку пакетов. Взгляд на порты будет на 100% бесполезным. Вы должны посмотреть на фактическую загрузку пакета, чтобы знать, что это SSH. (это то, что делает websense).

Единственным другим вариантом является настройка хоста «proxy». Заблокируйте конфигурацию, чтобы сервер ssh client и не разрешал туннелирование, а затем разрешал только этой машине делать исходящие ssh-соединения - конечно, это включает в себя обеспечение безопасности системы, иначе люди могут запускать все ssh, которые они хотят.

ответил Ricky Beam 10 J0000006Europe/Moscow 2013, 10:07:26
8

Есть другой метод, если вы просто пытаетесь остановить людей от использования SSH в качестве прокси-сервера, почему бы не ограничить скорость, чтобы сказать 20 кБ /сек или около того, что в конечном итоге становится достаточно болезненным для Интернета, но незаметно для использования в консоли .

Если вы хотите разрешить передачу файлов с нормальной скоростью, это не будет вариантом.

ответил LapTop006 10 J0000006Europe/Moscow 2013, 16:53:54
5

Если вы управляете сервером SSH и брандмауэром, вы можете контролировать доступ, блокируя доступ к любому порту, используемому сервером SSH (по умолчанию 22). Если порт ранее не был открыт, то входящие соединения, вероятно, будут заблокированы в любом случае, хотя вы, вероятно, обнаружите, что исходящие соединения будут разрешены. При правильном дизайне и планировании вы можете контролировать доступ как можно более мелким или грубым способом, как вам нравится.

Если вы не контролируете SSH-сервер, то вы не можете гарантировать используемый порт, поэтому будет гораздо сложнее фильтровать только один порт.

Если вам нужно разрешить всем доступ к SSH-серверу в то время как они находятся в вашей сети, но только несколько избранных, если они находятся вне его, то неудобное считывание порта выполняется.

ответил A J Rossington 10 J0000006Europe/Moscow 2013, 00:47:32

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132