ssh tünel trafiği nasıl engellenir?


14

Birisi işyerine veya evden ssh tüneli kuracaksa, gelecekteki SSH tünel trafiğini önlemenin bir yolu var mı?

Websense'in trafiği engelleyebileceğini anlıyorum, ancak ssh tüneli kullanan kullanıcılar websense veya diğer benzer ürünleri atlayabilir, çünkü meşru veya gayri meşru trafik arasındaki farkı söylemek için şifresini çözemez veya daha fazla bakamaz.

bazı okuma ve araştırmalardan, yapabileceğiniz bazı şeylerin aşağıdaki olduğunu gördüm: - SSH'yi tamamen kapatın; ssh erişimine izin verilmez - yalnızca erişim için onlara ihtiyaç duyan kullanıcılara ssh erişimini kısıtlayın ve diğer herkesin ssh erişimini engelleyin - ssh trafiğini hedefe göre kara listeye almak veya beyaz listeye eklemek için (listelerin yönetilebilir olduğunu varsayarak) - günlükleri ssh trafiği için gözden geçirin, inceleyin hedef IP'leri ve yasal veya izin verilen cihazlara çözümlenip çözümlenmediğini kontrol edin veya tünel trafiğinden daha düzenli bir internet trafiği olup olmadığını kontrol edin ve bu IP'yi reddedebilir / kara listeye alabilirsiniz

Ama merak ediyorum, bu seçeneklerin yanı sıra, ortadaki adam saldırısı ile yukarıdaki seçenekleri atlatmak mümkün mü?

Veya ssh tünel trafiğini veya bu trafiği filtreleyebilen / engelleyebilen bazı ağ cihazlarını engellemek için başka bir seçenek var mı?

yardım için teşekkürler.


arada, burada yardım ssh tünel açıklamak bazı bağlantılar var: chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu /… ve yukarıdaki seçenekler dışında ssh tünellemesini engelleyememeyi açıklayan bazıları: community.websense.com/forums/p/11004/28405.aspx
user1609 9:13

Yanıtlar:


13

Giden ssh bağlantılarının ve dolayısıyla herhangi bir tünelin önlenmesi, derin paket denetimi yoluyla giden bağlantıların tamamen engellenmesini gerektirecektir . Limanlara bakmak% 100 yararsız olacaktır. SSH olduğunu bilmek için gerçek paket yüküne bakmanız gerekir. (websense bunu yapar.)

Diğer tek seçenek "proxy" ana bilgisayarı kurmaktır. Ssh istemcisi ve sunucusu tünele izin vermeyecek şekilde yapılandırmayı kilitleyin , ardından yalnızca o makinenin giden ssh bağlantıları yapmasına izin verin - tabii ki bu da sistemin güvenliğini de içerir, aksi takdirde insanlar istedikleri ssh yazılımını çalıştırabilir.


yorum için teşekkürler. yani tüm seçeneklerden daha iyi bir yaklaşım gibi geliyor. yardım için teşekkür ederiz.
user1609

9

Başka bir yöntem daha var, eğer sadece SSH'yi bir proxy çözümü olarak kullanmamaya engelliyorsanız, neden 20kB / sn ya da daha fazla olduğunu söyleyemezsiniz ki bu web için yeterince acı verici, ancak konsol kullanımı için algılanamaz.

Normal hızda dosya aktarımına izin vermek istiyorsanız, bu bir seçenek olmaz.


ilginç nokta ve düşünmek güzel. bunu paylaştığın için teşekkürler.
user1609

1
Bu aynı zamanda herhangi bir "scp" trafiğini de hızlandıracak ve insanların dosyaları ne sıklıkta kopyalaması gerektiğine bağlı olarak çok iyi gitmeyebilir.
Ricky Beam

6

SSH sunucusunu ve güvenlik duvarını kontrol ederseniz, SSH sunucusunun kullandığı bağlantı noktasına erişimi engelleyerek (varsayılan olarak 22) erişimi kontrol edebilirsiniz. Bağlantı noktası daha önce açılmamışsa, muhtemelen giden bağlantılara izin verilse de, gelen bağlantıların yine de engellenmesi muhtemeldir. Doğru tasarım ve planlama ile erişimi istediğiniz gibi ince veya kaba taneli olarak kontrol edebilirsiniz.

SSH sunucusunu kontrol etmezseniz, kullandığı bağlantı noktasını garanti edemezsiniz, bu nedenle yalnızca bağlantı noktasına göre filtrelemek çok daha zor olacaktır.

Herkesin ağınızdayken bir SSH sunucusuna erişmesine izin vermeniz gerekiyorsa, ancak bunun dışındayken yalnızca birkaç tanesini seçmeniz gerekiyorsa, bağlantı noktası çalma düzgün bir okuma demektir.


1
paylaşım için teşekkürler. bağlantı noktası vurma ile ilgili bazı bağlantılar buldu. ilginç bir kavram, ilk defa duydum. ilgilenen herkes için, şu ana kadar bu özellik için okuduğum şey
user1609
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.