Gibt es eine Möglichkeit, zukünftigen SSH-Tunnelverkehr zu verhindern, wenn jemand einen SSH-Tunnel von der Arbeit oder von zu Hause aus einrichten sollte?
Ich verstehe, dass Websense den Datenverkehr blockieren kann, aber Benutzer, die SSH-Tunneling verwenden, können Websense oder andere ähnliche Produkte umgehen, da es den Unterschied zwischen legitimem und illegitimem Datenverkehr nicht entschlüsseln oder im Paket nachsehen kann.
Nach einigem Lesen und Nachforschen habe ich festgestellt, dass einige Dinge, die Sie tun können, die folgenden sind: - SSH insgesamt deaktivieren; Überhaupt nicht zulässig - Beschränken Sie den SSH-Zugriff nur auf Benutzer, die sie für den Zugriff benötigen, und verweigern Sie allen anderen Benutzern den SSH-Zugriff Überprüfen Sie die Ziel-IPs, und prüfen Sie, ob sie sich zu legitimen oder zulässigen Geräten auflösen, oder ob es regelmäßigeren Internetverkehr als Tunnelverkehr gibt, und Sie können diese IP ablehnen / auf die schwarze Liste setzen
Aber ich habe mich gefragt, ob es neben diesen Optionen möglich ist, die oben genannten Optionen durch einen Man-in-the-Middle-Angriff zu umgehen.
Oder gibt es eine andere Option zum Blockieren des SSH-Tunnelverkehrs oder sogar eines Netzwerkgeräts, das diesen Verkehr filtern / blockieren kann?
Danke für die Hilfe.
Antworten:
Das Verhindern von ausgehenden ssh-Verbindungen und damit von Tunneln würde eine vollständige Blockierung ausgehender Verbindungen durch Deep Packet Inspection erfordern . Das Betrachten von Häfen ist zu 100% nutzlos. Sie müssen sich die tatsächliche Paketnutzlast ansehen, um zu wissen, dass es sich um SSH handelt. (Dies ist, was Websense tut.)
Die einzige andere Option ist das Einrichten eines "Proxy" -Hosts. Sperren Sie die Konfiguration, damit der SSH-Client und -Server kein Tunneln zulassen, und erlauben Sie dann nur diesem Computer, ausgehende SSH-Verbindungen herzustellen. Dies schließt natürlich auch das Sichern des Systems ein, andernfalls können die Benutzer die gewünschte SSH-Software ausführen.
quelle
Wenn Sie lediglich verhindern möchten, dass Benutzer SSH als Proxy-Workaround verwenden, sollten Sie die Rate auf etwa 20 KB / s beschränken. Dies ist zwar schmerzhaft genug für das Web, aber für die Konsolenbenutzung nicht wahrnehmbar.
Wenn Sie die Dateiübertragung mit normaler Geschwindigkeit zulassen möchten, ist dies jedoch keine Option.
quelle
Wenn Sie den SSH-Server und die Firewall steuern, können Sie den Zugriff steuern, indem Sie den Zugriff auf den vom SSH-Server verwendeten Port blockieren (standardmäßig 22). Sofern der Port nicht zuvor geöffnet wurde, werden eingehende Verbindungen wahrscheinlich trotzdem blockiert, obwohl Sie wahrscheinlich feststellen werden, dass ausgehende Verbindungen zulässig sind. Mit dem richtigen Design und der richtigen Planung können Sie den Zugriff so genau oder grobkörnig steuern, wie Sie möchten.
Wenn Sie den SSH-Server nicht steuern, können Sie nicht garantieren, dass der von ihm verwendete Port verwendet wird. Daher ist es weitaus schwieriger, nur anhand des Ports zu filtern.
Wenn Sie jedem Zugriff auf einen SSH-Server gewähren möchten, während er sich in Ihrem Netzwerk befindet, jedoch nur einigen wenigen, die sich außerhalb des Netzwerks befinden, ist Port-Knocking eine saubere Lektüre.
quelle