¿Cómo bloquear el tráfico de túnel ssh?


14

si alguien estableciera un túnel ssh hacia / desde el trabajo o el hogar, ¿hay alguna manera de evitar el tráfico futuro de túneles SSH?

Entiendo que websense puede bloquear el tráfico, pero los usuarios que usan el túnel ssh pueden omitir websense u otros productos similares porque no pueden descifrar o buscar más en el paquete para diferenciar entre tráfico legítimo o ilegítimo.

De algunas lecturas e investigaciones, descubrí que algunas cosas que puede hacer son las siguientes: - apague SSH por completo; no está permitido en absoluto: restrinja el acceso ssh solo a los usuarios que los necesitan para acceder y niegue el acceso ssh a todos los demás - cree un protocolo personalizado para incluir en la lista negra o incluir en la lista blanca el tráfico ssh por destino (suponiendo que las listas sean manejables) - revise los registros para el tráfico ssh, revise las IP de destino y verifique si se resuelven en dispositivos legítimos o permitidos o no, o verifique si hay más tráfico regular de Internet que el tráfico de túnel y puede negar / poner en una lista negra esa IP

Pero me preguntaba, además de estas opciones, ¿sería posible eludir las opciones anteriores a través de un ataque de hombre en el medio?

¿O hay otra opción para bloquear el tráfico de túnel ssh o incluso algún dispositivo de red que pueda filtrar / bloquear este tráfico?

gracias por la ayuda.


Respuestas:


13

La prevención de conexiones ssh salientes, y por lo tanto cualquier túnel, requeriría un bloqueo completo de las conexiones salientes mediante una inspección profunda de paquetes. Mirar los puertos será 100% inútil. Tienes que mirar la carga útil real del paquete para saber que es SSH. (Esto es lo que está haciendo websense).

La única otra opción es configurar un host "proxy". Bloquee la configuración para que el cliente y el servidor ssh no permitan la tunelización, luego permita que solo esa máquina realice conexiones ssh salientes; por supuesto, esto también incluye asegurar el sistema, de lo contrario las personas pueden ejecutar el software ssh que quieran.


gracias por el comentario. Entonces, de todas las opciones, esto parece un mejor enfoque. Agradezco la ayuda.
user1609

9

Hay otro método, si simplemente está tratando de evitar que las personas usen SSH como solución alternativa, ¿por qué no limitarlo a 20kB / seg más o menos, que termina siendo lo suficientemente doloroso para la web, pero imperceptible para el uso de la consola?

Sin embargo, si desea permitir transferencias de archivos a velocidad normal, esta no sería una opción.


punto interesante y bueno para pensar. Gracias por compartir esto.
user1609

1
Esto también limitaría la velocidad de cualquier tráfico "scp", que podría no funcionar demasiado bien dependiendo de la frecuencia con la que las personas necesiten copiar archivos.
Ricky Beam

6

Si controla el servidor SSH y el firewall, puede controlar el acceso bloqueando el acceso a cualquier puerto que esté utilizando el servidor SSH (22 de forma predeterminada). A menos que el puerto se haya abierto previamente, es probable que las conexiones entrantes se bloqueen de todos modos, aunque probablemente encontrará que se permitirán conexiones salientes. Con el diseño y la planificación correctos, puede controlar el acceso de la manera más fina o granular que desee.

Si no controla el servidor SSH, no puede garantizar el puerto que está utilizando, por lo que será mucho más difícil filtrarlo solo en función del puerto.

Si necesita permitir que todos accedan a un servidor SSH mientras están en su red, pero solo unos pocos cuando están fuera de él, la eliminación de puertos es una buena lectura.


1
gracias por compartir. Encontré algunos enlaces sobre el golpe de puerto Es un concepto interesante, la primera vez que lo escuché. para cualquier persona interesada, esto es lo que estoy leyendo hasta ahora para esta característica: portknocking.org y bsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
user1609
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.