comment bloquer le trafic tunneling ssh?

14

si quelqu'un devait configurer un tunnel ssh vers / depuis le travail ou la maison, existe-t-il un moyen d'empêcher le trafic de tunneling SSH futur?

Je comprends que le websense peut bloquer le trafic, mais les utilisateurs qui utilisent le tunneling ssh peuvent contourner le websense ou d'autres produits similaires car il ne peut pas déchiffrer ou regarder plus loin dans le paquet pour faire la différence entre le trafic légitime ou illégitime.

d'après certaines lectures et recherches, j'ai trouvé que certaines choses que vous pouvez faire sont les suivantes: - désactiver complètement SSH; pas autorisé du tout - restreindre l'accès ssh aux seuls utilisateurs qui en ont besoin pour l'accès et refuser l'accès ssh à tous les autres - créer un protocole personnalisé pour mettre en liste noire ou mettre en liste blanche le trafic ssh par destination (en supposant que les listes soient gérables) - consulter les journaux pour le trafic ssh, revoir les adresses IP de destination et vérifiez si elles se résolvent en appareils légitimes ou autorisés ou non, ou vérifiez s'il y a plus de trafic Internet régulier que de trafic de tunneling et vous pouvez refuser / mettre sur liste noire cette IP

Mais je me demandais, outre ces options, serait-il possible de contourner les options ci-dessus par une attaque de l'homme du milieu?

Ou existe-t-il une autre option pour bloquer le trafic de tunneling ssh ou même un périphérique réseau qui peut filtrer / bloquer ce trafic?

Merci pour l'aide.

user1609
la source
au fait, voici quelques liens qui aident à expliquer le tunneling ssh: chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu /… et certains qui expliquent ne pas pouvoir bloquer le tunneling ssh, à l'exception des options ci-dessus: community.websense.com/forums/p/11004/28405.aspx
user1609

Réponses:

13

Empêcher les connexions ssh sortantes, et donc tous les tunnels, nécessiterait un blocage complet des connexions sortantes via une inspection approfondie des paquets. Regarder les ports sera 100% inutile. Vous devez regarder la charge utile réelle des paquets pour savoir que c'est SSH. (c'est ce que fait le websense.)

La seule autre option consiste à configurer un hôte "proxy". Verrouillez la configuration afin que le client et le serveur ssh n'autorisent pas le tunneling, puis autorisez uniquement cette machine à établir des connexions ssh sortantes - bien sûr, cela comprend également la sécurisation du système, sinon les gens peuvent exécuter le logiciel ssh de leur choix.

Ricky Beam
la source
Merci pour le commentaire. donc de toutes les options, cela ressemble à une meilleure approche. appréciez l'aide.
user1609
9

Il existe une autre méthode, si vous cherchez simplement à empêcher les gens d'utiliser SSH comme solution de contournement pour le proxy, pourquoi ne pas le limiter à 20 Ko / s environ, qui finit par être assez pénible pour le Web, mais imperceptible pour l'utilisation de la console.

Si vous vouliez autoriser les transferts de fichiers à vitesse normale, ce ne serait pas une option.

LapTop006
la source
point intéressant et bon à penser. merci de partager cela.
user1609
1
Cela limiterait également le trafic "scp", ce qui pourrait ne pas trop bien dépendre de la fréquence à laquelle les gens doivent copier des fichiers.
Ricky Beam
6

Si vous contrôlez le serveur SSH et le pare-feu, vous pouvez contrôler l'accès en bloquant l'accès au port utilisé par le serveur SSH (22 par défaut). À moins que le port n'ait été précédemment ouvert, les connexions entrantes seront probablement bloquées de toute façon, bien que vous ayez probablement constaté que les connexions sortantes seront autorisées. Avec la bonne conception et planification, vous pouvez contrôler l'accès de la manière la plus fine ou la plus rugueuse que vous souhaitez.

Si vous ne contrôlez pas le serveur SSH, vous ne pouvez pas garantir le port qu'il utilise, il sera donc beaucoup plus difficile de filtrer en fonction du seul port.

Si vous devez autoriser tout le monde à accéder à un serveur SSH pendant qu'ils sont dans votre réseau, mais seulement quelques-uns en dehors de celui-ci, la suppression de port est une lecture soignée.

AJ Rossington
la source
1
Merci d'avoir partagé. trouvé des liens sur le portage. c'est un concept intéressant, la première fois que j'en ai entendu parler. pour toute personne intéressée, voici ce que je lis jusqu'à présent pour cette fonctionnalité: portknocking.org et bsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
user1609