Warum Port 22 Outbound blockieren?

61

Ich bin Programmierer und habe für einige Clients gearbeitet, deren Netzwerke ausgehende Verbindungen an Port 22 blockieren. Angesichts der Tatsache, dass Programmierer häufig Port 22 für ssh verwenden müssen, scheint dies ein kontraproduktiver Vorgang zu sein. Bestenfalls zwingt es die Programmierer, dem Unternehmen 3G-Internet in Rechnung zu stellen. Im schlimmsten Fall bedeutet dies, dass sie ihre Arbeit nicht effektiv erledigen können.

Könnte ein erfahrener Systemadministrator in Anbetracht der Schwierigkeiten, die sich daraus ergeben, den gewünschten Nutzen erläutern, der einer Aktion zum Verlieren und Verlieren gleichkommt?

runako
quelle
1
Das Sperren von Ports ist nur die halbe Miete. Um den Zyklus abzuschließen, müssen Sie sicherstellen, dass die Dienste, die Sie schützen möchten, nicht auf Nicht-Standard-Ports ausgeführt werden.
Aharden
1
Die Frage sollte wirklich lauten: "Warum Port 22 ausgehend blockieren?" Es gibt Millionen gute Gründe, warum Sie Ihren ssh-Dienst auf einem nicht standardmäßigen Port ausführen möchten. Ausgehend ... nicht so sehr. Ich habe Robert Moirs Antwort mit +1 bewertet, da er es ziemlich gut erklärt hat.
KPWINC
@KPWINC, fügte die Klarstellung zum Titel hinzu. Vielen Dank!
Runako
3
Stellen Sie sich Port 22 als eine Art Pandoraschachtel vor. Netzwerkadministratoren können nicht erkennen, was im Datenverkehr enthalten ist, und ssh kann verwendet werden, um die Netzwerksicherheit zu umgehen und die Integrität des Netzwerks zu gefährden.
BiosFF
1
@biosFF: Port 443.
Hallo71,

Antworten:

77

Ich sehe nicht, dass jemand das spezifische Risiko der SSH-Portweiterleitung im Detail dargelegt hat.

Wenn Sie sich in einer Firewall befinden und ausgehenden SSH-Zugriff auf einen Computer im öffentlichen Internet haben, können Sie SSH auf dieses öffentliche System ausführen und dabei einen Tunnel erstellen, damit Benutzer im öffentlichen Internet vollständig auf ein System in Ihrem Netzwerk zugreifen können Umgehen der Firewall.

Wenn Fred Ihr Desktop ist und Barney ein wichtiger Server in Ihrem Unternehmen ist und Wilma öffentlich ist und (auf Fred) ausgeführt wird:

SSH-R *: 9000: Barney: 22 Wilma

Wenn Sie sich einloggen, kann ein Angreifer ssh auf wilma portieren und mit barneys SSH-Daemon sprechen.

Ihre Firewall sieht es nie als eingehende Verbindung an, da die Daten über eine Verbindung übertragen werden, die ursprünglich in ausgehender Richtung hergestellt wurde.

Es ist ärgerlich, aber eine absolut legitime Netzwerksicherheitsrichtlinie.

James F
quelle
1
Vielen Dank für eine sehr aufschlussreiche Antwort. Dies ist eine der wenigen Antworten, die sich mit den technischen Risiken (im Gegensatz zu den politischen Risiken) offener ausgehender Häfen befassen.
Runako
6
+1 für einen guten technischen Grund. (Dies konnte jedoch nur von einem böswilligen Praktikanten durchgeführt werden, der auch andere Ports als TCP 22 auf dem Remote-Host verwenden konnte. Damit sind wir wieder in der
Lage,
7
Mit einem maßgeschneiderten Protokoll und einer ausgeklügelten Proxy-Programmierung könnte dies über HTTPS erfolgen - wenn auch langsamer. Solange Sie ausgehenden verschlüsselten Datenverkehr zulassen, sind Sie für diese Art von "Angriff" anfällig.
Michael Sondergaard
3
Dies ist eine gute Antwort von JamesF, aber kein bedenkenswertes Sicherheitsproblem, da es sich um ein äußerst seltenes Szenario handelt und die Ausnutzung von SSH-Servern / -Clients erforderlich ist. Der böswillige Benutzer müsste zuerst den SSH-Server (auf Ihrem Desktop) ausnutzen und einen Weg finden, um dann Ihren SSH-Client (auf Ihrem Business-Host) auszunutzen. Da Sie Port 22 nicht verwenden können, um auf den firewallgesteuerten Business-Host (der nur ausgehenden Port 22 hat) zuzugreifen oder mit ihm zu kommunizieren. Wenn Ihr Sicherheitsstandard so hoch ist, sollte Ihr Business-Host in keiner Situation im Internet sein.
Dexter
1
Sie können Datenverkehr über DNS tunneln (z. B. mit iodine), wenn HTTPS und SSH nicht verfügbar sind. Aber es ist sehr langsam.
Mark K Cowan
38

Wenn sie ein Durcheinander von Ports blockieren, ein paar Sachen durchlassen und ein paar andere Sachen nach dem Zufallsprinzip blockieren (ich liebe Paul Tomblins traurige Geschichte über die Leute, die SSH blockieren und Telnet erlauben), dann haben sie entweder einen sehr seltsamen Randfall dafür, wie sie es tun Sichern Sie ihren Netzwerk-Perimeter, oder ihre Sicherheitsrichtlinien sind zumindest von außen anscheinend schlecht durchdacht. In solchen Situationen kann man keinen Sinn machen. Berechnen Sie ihnen einfach den Tarif für Menschen, die Schmerzen haben und Ihren Tag fortsetzen.

Wenn sie ALLE Ports blockieren, es sei denn, es gibt einen bestimmten Geschäftsfall, um Datenverkehr über diesen Port zuzulassen. Dann wird er sorgfältig verwaltet .

Wenn Sie versuchen, eine sichere Anwendung zu schreiben, erleichtern Sie es anderen Prozessen, Informationen nach Belieben zu lesen und zu schreiben, oder verfügen Sie über einige sorgfältig dokumentierte APIs, von denen Sie erwarten, dass sie von anderen aufgerufen werden und die Sie sorgfältig bereinigen?

Risikomanagement - Wenn Sie der Meinung sind, dass der Verkehr von oder zu Ihrem Netzwerk ins Internet ein Risiko darstellt, sollten Sie die Art und Weise, in der der Verkehr das Internet erreichen kann, minimieren, sowohl in Bezug auf die Anzahl der Routen als auch auf die Anzahl der Methoden. Anschließend können Sie diese ausgewählten "gesegneten" Gateways und Ports überwachen und filtern, um sicherzustellen, dass der über sie fließende Datenverkehr Ihren Erwartungen entspricht.

Dies ist eine "Standard-Ablehnungs" -Firewall-Richtlinie und wird normalerweise als gute Idee angesehen, mit ein paar Einschränkungen, auf die ich noch eingehen werde. Dies bedeutet, dass alles blockiert ist, es sei denn, es gibt einen bestimmten Grund, es zu entsperren, und die Vorteile des Grundes überwiegen die Risiken.

Bearbeiten: Ich sollte klarstellen, ich spreche nicht nur über das Risiko, dass ein Protokoll zugelassen und ein anderes blockiert wird, sondern über das potenzielle Risiko für das Geschäft, dass Informationen in einem unkontrollierten Modus in das Netzwerk oder aus dem Netzwerk fließen dürfen Weg.

Nun zu den Vorbehalten und möglicherweise einem Plan zur Befreiung:

Es kann ärgerlich sein, wenn Sie von etwas ausgeschlossen sind. Dies ist die Position, in der Sie sich bei einigen Ihrer Kunden befinden. Nur allzu oft denken die Verantwortlichen der Firewall, es sei ihre Aufgabe, "Nein" zu sagen, anstatt "Hier sind die Risiken, was sind nun die Vorteile, sehen wir, was wir tun können".

Wenn Sie mit Personen sprechen, die die Netzwerksicherheit für Ihre Kunden verwalten, können diese möglicherweise etwas für Sie einrichten. Wenn Sie einige bestimmte Systeme identifizieren können, auf die Sie Zugriff benötigen, und / oder sicherstellen, dass Sie nur über eine bestimmte IP-Adresse eine Verbindung herstellen, ist es möglicherweise sehr viel einfacher, eine Firewall-Ausnahme für SSH-Verbindungen für diese bestimmten Bedingungen zu erstellen, als für sie wäre, nur Verbindungen zum gesamten Internet zu öffnen. Oder sie verfügen über eine VPN-Funktion, mit der Sie durch die Firewall tunneln können.

Rob Moir
quelle
3
+1 für Wenn sie ALLE Ports blockieren, es sei denn, es gibt einen bestimmten Geschäftsfall, um Datenverkehr über diesen Port zuzulassen. Zu diesem Zeitpunkt wird der Datenverkehr sorgfältig verwaltet.
Cop1152
-1, weil ssh nicht von den Sicherheitsleuten überwacht werden kann, Telnet jedoch. Mein Punkt ist, dass, während es dumme Netzwerksicherheitsrichtlinien gibt, die Charakterisierung der Richtlinie als "zufällig" und "durchgeknallt" ohne Verständnis der tatsächlichen Geschäftsanforderungen ebenfalls kurz ist.
pcapademic
2
Natürlich haben Sie ein Recht auf Ihre Meinung, Eric, und ich werde diese Worte gerne ändern, wenn Sie der Meinung sind, dass sie abwertend sind, aber ich bin ziemlich zuversichtlich, dass eine solche Politik entweder schlecht durchdacht oder ein sehr ungewöhnlicher Randfall wäre.
Rob Moir
+1 für "alle Häfen"
Ian Boyd
18

Eine bestimmte große Firma in Rochester, NY, die früher viel Film gedreht hat, hat ausgehenden ssh blockiert, als ich dort gearbeitet habe, aber Telnet erlaubt ! Als ich danach fragte, sagten sie, dass ssh eine Sicherheitslücke sei.

Mit anderen Worten, Unternehmen treffen manchmal dumme Entscheidungen und finden dann blöde Ausreden für die Sicherheit, anstatt ihre Fehler zuzugeben.

Paul Tomblin
quelle
6
TELNET ist die Sicherheitslücke. Es sollte verboten werden (dies ist nur für Leute, um in Zukunft bessere dumme Entscheidungen zu treffen).
Nik
3
Lassen Sie mich hier näher erläutern, was eine Sicherheitslücke ist, hängt subjektiv von der zu sichernden Oberfläche ab. Wenn Sie ein Websitebesitzer sind und versuchen, eine Verbindung zu Ihrem Server herzustellen, ist TELNET eine Lücke. Wenn Sie ein Mitarbeiter eines Finanzunternehmens sind, der versucht, eine Verbindung zu Ihrem Heimserver herzustellen (über Leitungen, die von Ihrem Arbeitgeber überwacht werden), ist SSH die Sicherheitslücke für Ihre Arbeitgeber!
Nik
1
Wenn man bedenkt, wie einfach es ist, Telnet in beide Richtungen zu fälschen, würde ich sagen, dass Telnet eine Sicherheitslücke ist, selbst für das Unternehmen, das es zulässt. Aber ein Unternehmen, das ssh zulässt, aber nicht zulässt, wird auf keinen Fall intelligente Sicherheitsentscheidungen treffen.
Paul Tomblin
3
Telnet ist das Geschenk, das man immer wieder gibt. Es war vor 20 Jahren in Ordnung, aber jetzt wünschte ich wirklich, es würde aufhören.
Rob Moir
2
Es hängt alles von Ihrem POV ab. Vermutlich hatten sie Leute, die über Telnet auf einen Legacy-Prozess zugreifen mussten, der für uns leicht überprüfbar ist. OTOH, Sie haben keine Ahnung, was mit SSH los ist. Die Leute könnten Tunnel zu fremden Netzwerken aufbauen und alle möglichen dummen Dinge tun. Telnet sollte heutzutage nicht mehr verwendet werden, aber jeder, der ausgehendes SSH zulässt, muss eine neue Karriere anstreben.
duffbeer703
6

Ich kann verstehen, dass eingehende SSH-Kommunikation blockiert wird, wenn das Unternehmen externe Anmeldungen nicht zulässt. Dies ist jedoch das erste Mal, dass ich von einem ausgehenden SSH-Block höre.

Zu beachten ist, dass eine solche Firewall wahrscheinlich nur den gelegentlichen SSH-Benutzer einschränkt. Wenn jemand wirklich eine externe SSH-Verbindung herstellen möchte (normalerweise zu einem Server / Computer, auf den er außerhalb des Unternehmensnetzwerks wesentlichen Zugriff hat), kann er den SSH-Server problemlos an einem anderen Port als 22 ausführen (z. B. Port 80). Der Block wird leicht umgangen.

Es gibt auch mehrere gemeinfreie Tools, mit denen Sie das Unternehmen über HTTP verlassen können (Port 80 oder HTTPS-Port 443) und Proxys bereitstellen können, mit denen Sie eine Verbindung zu Port 22 außerhalb herstellen können.


Bearbeiten: Ok, warte eine Sekunde, ich habe eine Idee, warum dies eine Richtlinie sein könnte.

Manchmal verwenden Benutzer SSH-Tunnel, um grundlegende ausgehende Firewalls für Protokolle wie IM und Bittorrent (zum Beispiel) zu umgehen. Dies // könnte // eine solche Richtlinie ausgelöst haben. Ich bin jedoch immer noch der Meinung, dass die meisten dieser Tunnel-Tools auch mit anderen Ports als 22 arbeiten können.

Solche ausgehenden Tunnel können nur blockiert werden, indem die SSH-Kommunikation im laufenden Betrieb erkannt und diese TCP-Verbindungen (dynamisch) blockiert werden.

nik
quelle
3
Port 443 ist besser, da davon ausgegangen wird, dass es bereits verschlüsselt ist, damit sich Proxys nicht über fremde Daten aufregen. Sie können ganz einfach einen SSH-Server einrichten, der auf Port 443 lauscht, und von dort aus können Sie überall hingehen.
Bandi
1
An einem Ort, an dem ich gearbeitet habe, hat einer meiner Mitarbeiter ein Programm verwendet, das den gesamten Netzwerkverkehr über einen SSH-Tunnel durch unseren Webproxy zu Port 80 auf seinem Heimcomputer und von dort aus zum Internet getunnelt hat. Er konnte jedes Protokoll verwenden, das er wollte, aber es sah so aus, als käme es von seinem Haus anstelle der Firma. Glücklicherweise wusste er, wie ahnungslos die Netzwerkadministratoren waren, sodass er nicht riskierte, erwischt zu werden.
Paul Tomblin
1
Natürlich können Sie sich nicht wirklich auf Unschuld und Ignoranz berufen, wenn Sie erwischt werden, wie Sie einen dieser aufwändigen Tänze durchlaufen, um die Firewall zu umgehen. Etwas schwierig, das alles zu tun und zu sagen: "Entschuldigung, Chef, es hat einfach funktioniert, also habe ich nicht gemerkt, dass ich etwas falsch gemacht habe."
Rob Moir
4

Es ist wahrscheinlich ein regulatorisches / Compliance-Problem. Ihr Arbeitgeber möchte die gesamte Kommunikation lesen / archivieren können. Dies ist in Branchen wie dem Bankwesen sehr häufig eine Anforderung.

Joe
quelle
Bedeutet das nicht, dass sie auch HTTPS blockieren müssen?
Runako
3
Nein, sie aktivieren die SSL-Überprüfung. Dieser Prozess entschlüsselt HTTPS und verschlüsselt dann eingehende / ausgehende Pakete neu, indem auf allen Arbeitsstationen ein vertrauenswürdiges Zertifikat nach Gruppenrichtlinien injiziert wird. Auf diese Weise können sie genau wie bei HTTP filtern / scannen. Die Bankenbranche ist eine der drakonischsten Umgebungen zum Sperren von Netzwerken.
Spoulson
4

Meiner Meinung nach gibt es zwei Hauptgründe, ausgehenden Port 22 zu blockieren.

Erstens, wie bereits erwähnt, kann die SSH-Portweiterleitung als Proxy oder Bypass für andere Ports und Dienste verwendet werden, um zu vermeiden, dass die IT-Richtlinie angibt, dass ein solcher Datenverkehr nicht zulässig ist.

Zweitens verwenden viele Malware / Botnets Port 22, da dieser häufig als "sicher" eingestuft wird und daher zulässig ist. Sie können dann Prozesse über diesen Port starten, und infizierte Computer können auch SSH-Brute-Force-Angriffe starten.

jtimberman
quelle
3

In den meisten Fällen werden alle ausgehenden Verbindungen blockiert, sofern dies nicht erforderlich ist, und bis Sie versucht haben, zu versuchen, dass Port 22 für ausgehende Verbindungen verfügbar ist (nur 80, 433 usw.). In diesem Fall ist die Lösung möglicherweise so einfach, dass Sie sich an IS / IT wenden und erklären, warum Sie eine Ausnahme hinzufügen müssen, damit Ihre Station ausgehende SSH-Verbindungen zu bestimmten Hosts oder im Allgemeinen herstellen kann.

Manchmal besteht die Gefahr, dass Benutzer die Funktion verwenden, um mithilfe von SSH Proxys einzurichten (über die Portweiterleitung über die Verbindung), um andere Steuerelemente zu umgehen. Dies kann ein sehr wichtiger Faktor in einigen regulierten Branchen (z. B. Banken) sein, in denen die gesamte Kommunikation aus rechtlichen Gründen überwacht / protokolliert werden muss (Verhinderung des Insiderhandels, Aufdeckung / Blockierung der Übertragung von Unternehmens- oder persönlichen Daten usw.) oder in Unternehmen, in denen dies der Fall ist ist eine große Angst vor internen Lecks, die versehentlich oder auf andere Weise Geschäftsgeheimnisse preisgeben. In diesen Fällen kann die Verwendung Ihres 3G-Links (oder anderer Techniken, z. B. der Versuch, SSH über HTTP zu tunneln) zur Umgehung der Einschränkungen einen Verstoß gegen Ihren Vertrag darstellen Holen Sie sich Ihre Aktion vereinbart, bevor Sie es versuchen.

Ein weiterer Grund könnte darin bestehen, den ausgehenden Speicherbedarf (für interne Dienste, auf die Hosts innerhalb der Firewalls des Unternehmens und die Welt im Allgemeinen zugreifen können) zu verringern, falls es nicht gelingt, sich selbst auf einem vom Unternehmen betriebenen Computer zu installieren. Wenn an Port 22 keine SSH-Verbindungen möglich sind, werden viele einfachere Hacks, die versuchen, Brute-Force-SSH-Anmeldungen zu verwenden, als einer ihrer Übertragungswege blockiert. In diesem Fall können Sie möglicherweise erneut nur das Hinzufügen einer Ausnahme beantragen, damit Ihr Computer SSH-Verbindungen herstellen kann, wenn diese Verbindungen für die Personen gerechtfertigt sind, die die Kontrolle über die Firewall (s) haben.

David Spillett
quelle
Ja, es ist sehr wahrscheinlich, dass alle ausgehenden Dienste, die noch nicht verwendet werden müssen, blockiert wurden (standardmäßig).
Nik
Das Blockieren von tcp / 22 verhindert jedoch nicht die sichere ausgehende Kommunikation (die an jedem Port durchgeführt werden kann, solange der Benutzer einen Listener außerhalb hat, was heutzutage keine schwierige Sache ist).
Nik
Wenn das interne Netzwerk für die SSH-Kommunikation verwendet wird, funktioniert das Blockieren nicht. Wenn keine SSH-Kommunikation erforderlich ist, befinden sich normalerweise auch keine anfälligen SSH-Abhörgeräte im Netzwerk. Und die typische Verbreitung von Würmern versucht nicht, SSH brachial zu erzwingen (wenn Sie sich über diesen Blick auf de.wikipedia.org/wiki/SSHBlock Sorgen machen ), wird es mit größerer Wahrscheinlichkeit tcp / 445 mit Ihren Windows-Computern versuchen.
Nik
3

Ihre Kunden sind wahrscheinlich im Besitz von nicht trivialen Daten, die sie behalten möchten. Outbound-SSH ist eine wirklich schlechte Sache, um für ein ganzes Netzwerk offen zu sein. Es ist ziemlich trivial, Proxys zu umgehen, sensible Daten zu verlieren und im Allgemeinen unangenehm zu sein.

IMO sollte alles, was durch das Netzwerk / Internet läuft, verstanden und kontrollierbar sein. Wenn eine Gruppe von Entwicklern über ssh auf Server eines Hosting-Anbieters zugreifen muss, ist das in Ordnung - muss aber auch dokumentiert werden. Im Allgemeinen richten wir an den Orten, an denen ich gearbeitet habe, dedizierte Standort-zu-Standort-VPN-Verbindungen zu Standorten außerhalb unseres Netzwerks ein (was unser internes Netzwerk wesentlich erweitert) und vermeiden Client-Protokolle wie SSH über das Internet.

duffbeer703
quelle
Danke für die Antwort. Wie gehen Sie mit dedizierten VPNs für Sites außerhalb Ihrer Kontrolle um (z. B. EC2, Webhosts usw.)? Sind diese Anbieter in der Regel bereit, dieses benutzerdefinierte Setup nur für Sie durchzuführen, oder müssen Sie in der Regel einen hohen geschäftlichen Mindestaufwand leisten, um sie dazu zu bringen, dies zu tun?
Runako
2
Machst du dir auch Sorgen, dass du Leute zwingst, 3G-Karten außerhalb des Netzwerks zu verwenden, um ihre Arbeit zu erledigen? Nach meiner Erfahrung führen gesperrte Netzwerke unweigerlich zu vielen 3G-Karten und anderen versteckten Umgehungen, da die Mitarbeiter ihre Arbeit nicht in der vorgesehenen Zeit erledigen können, wenn sie darauf warten müssen, dass die IT-Abteilung ihre Nutzung genehmigt, wenn überhaupt jemand weiß, wer anrufen, um eine Ausnahme zu bekommen. (Ein ungeheuerlicher Fall beinhaltete einen Mailserver, der keine eingehenden Anhänge aus dem Internet akzeptiert. Huch!) Ich wäre gespannt, wie Sie dieses Guthaben verwalten.
Runako
1
Füge im Kommentar zur Portweiterleitung über ssh hinzu, und ich denke das ist die richtige Antwort auf die Frage. ssh kann ein gutes Protokoll sein, um es über einen Proxy-Server zuzulassen. Die Administratoren können überwachen, was gerade läuft, die Portweiterleitung blockieren und für Remote-Shell- und Remote-Kopierdienste verwenden.
pcapademic
Wir sind groß genug, dass wahrscheinlich 90% unserer Services keine ausgehende Administration erfordern, um ausgeführt zu werden. In der Regel machen wir in einem RFP einen dedizierten VPN-Tunnel zur Anforderung, wodurch Anbieter ausgeschlossen werden, die diesen nicht bereitstellen oder nicht bereitstellen können. Aus diesem Grund glaube ich, dass wir nur eine minimale Anzahl von Personen haben, die 3G und ähnliche Workarounds verwenden.
duffbeer703
Sie können auch nicht zulassen, dass die Sicherheitsmitarbeiter den Zugriff bestimmen. Sie überlassen es dem Anwendungssupport und den Netzwerkmitarbeitern, eine akzeptable Lösung zu finden, die einer Sicherheitsüberprüfung unterzogen wird. Erarbeiten Sie diese Lösung früh im Prozess und nicht an dem Morgen, an dem Sie in Produktion gehen müssen. Das hält Sie jedoch von Verzögerungen im DMV-Stil fern, wenn Sie Anfragen erhalten.
duffbeer703
2

Weil SSH als VPN genutzt werden kann. Es ist verschlüsselt, sodass Netzwerkadministratoren buchstäblich keine Ahnung haben, was ihr Netzwerk verlässt (Dump der Kundendatenbank usw.). Ich habe dieses Thema gerade in meiner monatlichen Kolumne "Secret Tunnels" behandelt . Die Kosten für ein 3G-Internet sind weitaus geringer, als sich Gedanken über verschlüsselte Protokolle zu machen, die Ihre Daten aus dem Netzwerk leiten. Wenn Sie standardmäßig ausgehenden Port 22 blockieren und die Datenverkehrskontrolle durchführen, können Sie SSH problemlos an nicht standardmäßigen Ports finden und auf diese Weise Personen finden, die gegen Sicherheitsrichtlinien verstoßen.

Kurt
quelle
Danke für den Einblick. Es hört sich so an, als würden Sie 3G nicht als geheimen Tunnel betrachten. Könnten Sie etwas Aufschluss darüber geben, warum es sinnvoller ist, wenn Menschen bei der Kommunikation mit dem Internet völlig vom Netzwerk getrennt sind? Es scheint, als würden Sie es vorziehen, dass unerwünschte Geräte noch weniger als offene 22 für ausgehende Geräte verwendet werden.
Runako
1
"... Sie können SSH leicht an nicht standardmäßigen Ports finden ..." Wirklich? Suchen Sie nach SSL / TLS-Aushandlung für andere Ports als 443? Sehr neugierig.
Dscoduc
Ja, Sie können ssh-Verkehr erkennen, Google: schnupfen / ssh / Erkennung / Inhalt / Regeln, keine Ahnung von anderen IDS, aber wenn Snort dies kann, müssten sie ziemlich pleite sein, um es nicht auch zu tun.
Kurt
1

Ich kenne ein paar Leute, die die Fähigkeiten von SSH missbrauchen, um einen SOCKS-Proxy über SSH zu installieren und dadurch einige Site-Einschränkungen zu umgehen.

Oder sogar eine einfache Portweiterleitung ( ssh -L ....), wenn der Port tatsächlich aufgrund von Site-Einschränkungen gesperrt ist, gehe ich zu:

  • der lokale Administrator und
  • Ihr Projektmanager

Bring sie zu einem Tisch und lass sie herausfinden, warum dies blockiert ist. Natürlich müssen Sie gute Gründe haben, warum Sie Zugriff auf einen externen SSH-Port benötigen, um ein internes Produkt zu entwickeln (internes Wesen: Warum benötigen Sie Zugriff auf boxA.example.com, wenn Sie für eine Firma arbeiten snakeoil.invalid)

Aber ich habe noch keine Firma gesehen, die ausgehende SSH blockiert :)

Serverhorror
quelle
Ich habe eine Firma gesehen, die ausgehende SSH blockiert. Sie blockierten auch fast alles andere und zum Beispiel überprüften Viren alle HTTP-Übertragungen mithilfe eines Proxys. Das Unternehmen war ein Zentralverwahrer.
Esko Luontola
Ich arbeite für eine Firma wie diese. Glücklicherweise kann SSH über https getunnelt werden. Natürlich erlauben sie nur https den Port 443 ... sslh zur Rettung!
Mikeage
Proxytunnel FTW :)
Serverhorror
1

Die offensichtlichen Antworten sind alle angegeben worden. Es handelt sich um ein verschlüsseltes Protokoll, mit dem Richtlinien umgangen werden können, indem Tunnel erstellt werden (dies ist eine hervorragende Möglichkeit, um die Webfilter des Unternehmens zu umgehen) sowie Bedrohungen durch nicht autorisierte Kommunikationskanäle (Reverse Proxy).

Es ist wahr, Telnet sollte in jedem modernen Netzwerk zerstört werden. Aber ich kann sehen, dass ich Telnet aus dem Netzwerk erlaube, während ich ssh verbiete. Telnet ist weniger fähig als ssh und ich kann den Stream immer in Echtzeit über meine Sniffer überwachen. Was kümmert es mich, wenn ich keine Telnet-Geräte in meinem Kernnetzwerk habe und einige Benutzer Telnet-Verbindungen herstellen möchten? Ich kann es sehen und bestätigen, dass es keine Bedrohung ist.

All dies hängt natürlich von der Idee ab, dass die Standardrichtlinie darin besteht, den gesamten Austritt zu blockieren und nur bestimmte Protokolle zuzulassen. Bonuspunkte, wenn Sie sie vertreten, bevor die Kante erreicht ist.

dr.pooter
quelle
0

Es geht nicht darum, Port 22 speziell zu blockieren, da Administratoren etwas gegen SSH haben, sondern nur darum, die Ports zu öffnen, von denen sie wissen, dass sie offen sind. Wenn Ihrem Administrator nicht mitgeteilt wurde, dass SSH geöffnet sein muss, wird er nach demselben Prinzip blockiert, das auch für das Deaktivieren nicht verwendeter Dienste auf einem Server gilt.

Maximus Minimus
quelle
0

Es ist klar, dass ein ausgehender TCP / 22-Block leicht umgangen werden kann, es sei denn, die Netzwerkadministratoren haben ernsthafte Anstrengungen unternommen, um den SSH-Verkehr in bestimmten Fällen zu blockieren . Darüber hinaus müssen die Asset-Administratoren in der Lage sein, eine ausreichende Bestandsaufnahme durchzuführen, um 3G-Modems und verdächtige IP-Adressen auf zweiten NICs abzufangen. Wir haben einen ClearWire-Dienst in unserer Region, sodass wir sogar WiMax als End-Run-Option für unsere Netzwerksicherheit haben.

Wir sind keine Institution, die sich hauptsächlich mit Informationslecks befasst. Wenn wir es jedoch wären, müssten wir eine drakonische Netzwerksicherheitsrichtlinie mit einer drakonischen Asset-Richtlinie und einer Prüfung kombinieren. Nach meinem besten Wissen gibt es kein Standard-Sicherheitspaket, das die Netzwerkbuchse eines Assets abschaltet, das mit einer externen Netzwerkverbindung ausgestattet ist. Das könnte kommen.

In Ermangelung eines solchen Pakets ist der Inventarisierungsprozess eine der besten Möglichkeiten, um eine endgelaufene Netzwerkverbindung wie 3G oder WiMax zu ermitteln.

Und schließlich blockiert das blinde Blockieren von TCP / 22 nur die wenigsten Endbenutzer, die beabsichtigen, die AUP für ihr Arbeitsnetzwerk zu verletzen.

sysadmin1138
quelle
Sie können Berichte mit SCCM anpassen, um diese Informationen abzurufen. Wenn ich mit einem persönlichen Laptop oder einer WAN-Karte arbeite, um die Netzwerksicherheit zu umgehen, sind Disziplinarmaßnahmen erforderlich.
duffbeer703
0

Ich habe gesehen, wie 22 blockiert wurden, als sie herausfanden, dass die Leute den HTTP-Verkehr über 22 leiteten. Es war ein Show Stopper für diejenigen von uns, die es brauchten, aber die Organisation hat sich behauptet.

Shawn Anderson
quelle
0

Die meisten größeren Organisationen werden alles blockieren und nur HTTP / HTTPS-Zugriff über einen Proxyserver zulassen.

Es würde mich sehr überraschen, von Unternehmen zu hören, die direkte externe Verbindungen von Desktops oder Servern zulassen, es sei denn, es besteht ein spezifischer Bedarf.

Cephas
quelle
0

Nichts hindert Sie daran, Ihren Remote-SSHD an Port 80 auszuführen. Sowohl SSH als auch SSHD haben die Option -p, um den Port festzulegen.

Wenn Ihre Administratoren klug sind, sollten sie natürlich auf SSH-Verkehr achten, nicht nur auf Port 22-Verkehr. Es klingt also so, als hätten Sie ein politisches Problem, kein technisches Problem.

Wie andere bereits betonten, können verschlüsselte Protokolle bei Leuten, die sich um verschiedene Compliance-Probleme sorgen müssen, Sodbrennen verursachen.

Bruce ONeel
quelle