Neden Bağlantı Noktası 22 Giden Blok?

Programcıyım ve ağları 22 numaralı bağlantı noktasındaki giden bağlantıları engelleyen birkaç müşteri için çalıştım. Programcıların genellikle ssh için 22 numaralı bağlantı noktasını kullanması gerektiğini düşününce, bu bir ters işlem prosedürü gibi görünüyor. En iyi ihtimalle, programcıları şirketi 3G İnternet için faturalandırmaya zorlar. En kötüsü, işlerini etkili bir şekilde yapamadıkları anlamına geliyor.

Bunun yarattığı zorluklar göz önüne alındığında, deneyimli bir sysadmin, kaybetmeyi bırakma eylemi gibi görünen şeylere istenen faydayı açıklayabilir mi?

SSH portu yönlendirme ile kimsenin spesifik riski açıkladığını görmüyorum.

Bir güvenlik duvarı içindeyseniz ve genel İnternet'teki bir makineye giden SSH erişimine sahipseniz, bu genel sisteme SSH yapabilirsiniz ve bu süreçte genel tüneldeki kişilerin ağınızdaki bir sisteme tamamen erişebilmesi için bir tünel oluşturabilirsiniz. Güvenlik duvarını atlayarak.

Fred masaüstünüz ve barney şirketinizde önemli bir sunucuysa ve wilma herkese açıksa, çalışıyor (fred'de):

ssh -R *: 9000: barney: 22 arasında

ve oturum açmak, bir saldırganın wilma'daki 9000 numaralı limana ssh yapmasına ve Barney'nin SSH daemonu ile konuşmasına izin verecek.

Güvenlik duvarınız hiçbir zaman gelen bir bağlantı olarak görmez, çünkü veriler başlangıçta giden yönde kurulan bir bağlantıdan geçirilir.

Can sıkıcı, ama tamamen meşru bir ağ güvenliği politikası.

Eğer bir limanı karmakarışık hale getiriyorlarsa, bazı şeyleri rastgele engelleyerek bazı şeyleri engellemeye izin veriyorlarsa (Paul Tomblin’in SSH’yi engelleyen ve Telnet’e izin veren insanların hüzünlü hikayesini severim) Ağ çevresini güvenceye almak ya da güvenlik politikaları en azından dışarıdan en azından görünüşe göre kötü düşünülmüş. Böyle durumları anlayamazsınız, bu yüzden onlara acı çeken ve gününüzle devam eden insanlar için gidişat ücretini uygulayın.

Eğer bu liman üzerinden trafiğe izin vermek için belirli bir iş durumu olmadığı sürece TÜM limanları engelliyorlarsa , bu noktada dikkatlice yönetilir, o zaman bunu yaparlar çünkü işlerinde uzmandırlar.

Güvenli bir uygulama yazmaya çalışırken, diğer işlemlerin istedikleri gibi bilgileri okumasını ve yazmasını kolaylaştırıyor musunuz veya insanların aramasını beklediğiniz ve dikkatli bir şekilde temizlemenizi beklediğiniz dikkatlice belgelenmiş birkaç API'niz var mı?

Risk yönetimi - ağınıza veya ağınızdan İnternet’e giden trafiğin bir risk olduğunu düşünüyorsanız, hem rota sayısı hem de yöntem sayısı açısından trafiğin İnternet’e ulaşma yolunun miktarını en aza indirirsiniz. Daha sonra bu seçili "kutsanmış" ağ geçitlerini ve limanları izleyip filtreleyerek aralarında dolaşan trafiğin beklediğiniz gibi olmasını sağlayabilirsiniz.

Bu bir "varsayılan reddetme" güvenlik duvarı politikasıdır ve genellikle geleceğim birkaç uyarıyla birlikte iyi bir fikir olarak kabul edilir. Bunun anlamı, engeli kaldırmak için belirli bir neden olmadıkça her şeyin engellenmesi ve bu nedenin yararları risklerden ağır basar.

Düzenleme: Netleştirmeliyim, yalnızca bir protokolün izin verildiği ve bir diğerinin engellendiği riskleri hakkında konuşmuyorum, kontrolsüz bir şekilde ağa girmesine veya dışına akmasına izin verilen bilgi işinin olası riskleri hakkında konuşuyorum. yol.

Şimdi, uyarılar ve muhtemelen bir şeyleri serbest bırakma planı için:

Bir şeyden mahrum kaldığınızda sinir bozucu olabilir, bu da bazı müşterilerinizle birlikte bulduğunuz pozisyondur. Sık sık, güvenlik duvarından sorumlu kişiler, “İşte riskler, şimdi faydaları nelerdir, ne yapabileceğimize bakalım” yerine, “Hayır” demek için işlerini düşünüyorlar.

Müşterileriniz için ağ güvenliğini yöneten kişiyle konuşuyorsanız, onlar sizin için bir şeyler ayarlamaya uygun olabilir. Sonunda erişmeniz gereken belirli bir sistemi tanımlayabiliyorsanız ve / veya yalnızca belirli bir IP adresinden bağlanacağınızı garanti ederseniz, bu şartlar için SSH bağlantıları için bir güvenlik duvarı istisnası oluşturmak için çok daha mutlu olabilirler. sadece tüm internete bağlantılar açmak olacaktır. Veya güvenlik duvarı üzerinden tünel açmak için kullanabileceğiniz bir VPN tesisi olabilir.

Rochester NY’da çok sayıda film yapan belli bir büyük şirket orada çalışırken ssh’ı kapattı ama telnet’e izin verdi ! Bunu sorduğumda, ssh'nin güvenlik çukuru olduğunu söylediler.

Başka bir deyişle, şirketler bazen aptalca kararlar alırlar ve sonra hatalarını kabul etmek yerine güvenlik konusundaki bahaneleri telafi ederler.

Şirket dış girişlere izin vermiyorsa, gelen SSH iletişimini engellemeyi anlayabilirim. Ancak, bu giden bir SSH bloğunu ilk defa duyuyorum.

Unutulmaması gereken nokta, bu tür güvenlik duvarlarının muhtemelen yalnızca geçici SSH kullanıcısını sınırlayacağıdır. Birisi gerçekten SSH'yi dışardan istiyorsa (bu, genellikle şirket ağının dışında önemli bir erişimi olan bir sunucuya / makineye olacaktır), SSH sunucusunu 22'den başka bir bağlantı noktasında (örneğin, bağlantı noktası 80) kolayca çalıştırabilir. Blok kolayca atlanır.

Ayrıca, kuruluştan HTTP üzerinden çıkmanıza izin verecek (port 80 veya HTTPS port 443) ve dışarıdaki port 22'ye bağlanmanıza izin verecek proxy'ler sağlayan birkaç ortak alan aracı da vardır.

Düzenleme: Tamam, bir saniye bekleyin, bunun neden politika olabileceği konusunda bir fikrim var.

Bazen insanlar, IM ve Bittorrent gibi protokoller için temel giden güvenlik duvarlarını atlamak için SSH tünellerini kullanır (örneğin). Bu // olabilir // böyle bir politikayı tetikledi. Bununla birlikte, bu tünel araçlarının çoğunun 22 dışındaki bağlantı noktalarında çalışabileceğini düşünüyorum.

Bu tür giden tünellerin engellenmesinin tek yolu, anında SSH iletişimini tespit etmek ve (bu dinamik olarak) bu TCP bağlantılarını engellemektir.

Muhtemelen bir düzenleme / uyum sorunu. İşvereniniz tüm iletişimi okumak / arşivlemek istiyor. Bu çok sık bankacılık gibi sektörlerde bir gerekliliktir.

Bence, giden 22 numaralı bağlantı noktasını engellemenin iki temel nedeni var.

İlk olarak, insanların söylediği gibi, SSH bağlantı noktası iletme, bu tür bir trafiğe izin verilmediğini bildiren BT politikasını önlemek için vekil olarak kullanılabilir veya diğer bağlantı noktaları ve servislerin etrafından atlanabilir.

İkinci olarak, bir çok zararlı yazılım / botnet portu 22 kullanır, çünkü genellikle "güvenli" olarak görülür ve bu nedenle izin verilir. Daha sonra bu bağlantı noktasını kaldırabilirler ve virüslü bilgisayarlara SSH kaba kuvvet saldırıları da başlatabilir.

Sık sık, gerekmedikçe, tüm giden bağlantıların engellenmesi durumundan daha fazla bir durum söz konusudur ve siz hiç kimse, 22 numaralı bağlantı noktasının giden bağlantılar için uygun olmasını istemedi (sadece 80, 433, vb.). Bu durumda, çözüm IS / IT ile temasa geçmek ve onlara neden bir istisnaya ihtiyaç duyduğunuzu söylemeniz kadar basit olabilir, böylece istasyonunuz belirli ana bilgisayarlara veya genel olarak giden SSH bağlantılarını yapabilir.

Bazen insanların SSH'yi proxy'leri ayarlamak için (bağlantı üzerinden bağlantı noktası üzerinden) diğer kontrolleri atlatmak için bir yöntem olarak kullanması endişelidir. Bu, tüm iletişimin yasal nedenlerle izlenmesi / kaydedilmesi gerektiği (içeriden öğrenenlerin ticaretini engelleme, kurumsal veya kişisel verilerin transferini tespit etme / engelleme vb.) Veya oradaki şirketlerin çok önemli bir faktörü olabilir. Yanlışlıkla veya başka türlü ticari sır veren iç sızıntılardan büyük bir korkudur. Bu durumlarda, 3G bağlantınızı (veya SSH'yi HTTP yoluyla tünellemeye çalışmak gibi) kısıtlamaları aşmak için kullanmak sözleşmenizin ihlali olabilir ve bu nedenle bir çürütme suçu (veya muhtemelen daha da kötüsü yasal bir suç) olabilir; denemeden önce eyleminizin kararlaştırılmasını sağlayın.

Diğer bir neden, şirket çalışan bir makineye kurulmasını sağlamak için istenmeyen bir şeyi yönetmesi durumunda, giden ayak izini azaltmak olabilir (şirket güvenlik duvarları içindeki ana bilgisayarlara ve genel olarak dünyaya erişilebilen iç hizmetlere). 22 numaralı bağlantı noktasında herhangi bir SSH bağlantısı yoksa, yayılma yollarından biri engelleneceği için kaba kuvvet SSH girişleri kullanmayı deneyen birçok basit hack engellenir. Bu durumda, makinenizin SSH bağlantılarını yapabilmesi için eklenmesi gereken bir istisna isteyebilirsiniz, eğer bu bağlantılar güvenlik duvarını kontrol eden kişilere haklı çıkarılabilirse.

Müşterileriniz muhtemelen saklamak istedikleri önemsiz veriye sahipler. Giden SSH, tüm ağa açık olması gerçekten kötü bir şey. Proxy'leri atlamak, hassas verileri sızdırmak ve genellikle iğrenç olmak oldukça önemsizdir.

IMO, ağ / internet çevresinden geçen herhangi bir şey anlaşılmalı ve kontrol edilebilir olmalıdır. Bir devs grubu bir barındırma sağlayıcısındaki sunuculara ssh üzerinden erişime ihtiyaç duyuyorsa, sorun değil - ama bunun da belgelenmesi gerekiyor. Genel olarak çalıştığım yerlerde, ağımızın dışındaki konumlara (esas olarak iç ağımızı genişleterek) siteden siteye özel VPN bağlantıları kuruyoruz ve internet üzerinden SSH gibi istemci protokollerinden kaçınıyoruz.

Çünkü SSH bir VPN olarak kullanılabilir. Şifrelenmiş olduğundan ağ yöneticileri kelimenin tam anlamıyla ağlarından ne ayrıldığını bilmiyor (müşteri veri tabanını dolduruyor, vb.). Bunları aylık olarak "Gizli Tüneller" sütunumda anlattım . Bazı 3G internetlerin maliyeti, verilerinizi ağ dışına yönlendiren şifreli protokoller konusunda endişelenmenize gerek kalmamasından çok daha az. Ayrıca, varsayılan olarak giden 22 numaralı bağlantı noktasını ve trafik denetimini engellerseniz, standart dışı bağlantı noktalarında SSH'yi kolayca bulabilir ve böylece güvenlik politikasını ihlal eden kişileri bulabilirsiniz.

SSH'nin SSH aracılığıyla SOCKS vekili kurma yeteneklerini kötüye kullanan ve bu nedenle bazı site kısıtlamalarını aşan birkaç kişi tanıyorum.

Ya da bazı basit bağlantı noktası iletme ( ssh -L ....), bağlantı noktası gerçekten site kısıtlamaları nedeniyle gerçekten engellenmişse:

• yerel yönetici ve
• proje yöneticiniz

onları bir masaya getirin ve neden engellendiklerini açıklarlar. Elbette, bir dahili ürün geliştirmek için harici bir SSH portuna erişmeniz için iyi nedenlere ihtiyacınız var (dahili: Snakeoil.invalid adlı bir şirket için çalışırken boxA.example.com sitesine neden erişmeniz gerekiyor?)

Ancak henüz SSH'yi engelleyen bir şirket görmedim :)

Açık cevapların hepsi belirtildi. Yetkilendirilmemiş iletişim kanallarının (ters proxy) oluşturduğu tehdidin yanı sıra, tünellerin oluşturulması yoluyla politikaların üstesinden gelmek için kullanılabilecek şifreli bir protokoldür (kurumsal web filtrelerini geçmenin harika bir yoludur).

Doğru, herhangi bir modern ağda telnet imha edilmelidir. Ancak, ssh'yi yasaklarken telnetin ağdan çıkmasına izin verebiliyorum. Telnet, ssh'den daha az yeteneklidir ve akışımı gerçek zamanlı olarak sniffers aracılığıyla izleyebilirim. Çekirdek ağımda herhangi bir telnet cihazı yoksa ve bazı kullanıcılar telnet yapmak istiyorsa ne umurumda. Bunu görebiliyorum ve bunun bir tehdit olmadığını doğruladım.

Elbette, bunların tümü, varsayılan politikanın tüm çıkışları engellemek ve yalnızca belirli protokollere izin vermek olduğu fikrine bağlıdır. Bonus, en son vurmadan önce onlara vekalet ediyorsanız puan verir.

Bu, özellikle liman 22'yi engellemek için bir durum değil, çünkü yöneticilerin SSH'ye karşı bir şeyleri var, daha çok, sadece açık olması gerektiğini bildikleri limanları açmak durumunda. Yöneticinize SSH'nin açık olması gerektiği söylenmediyse, yöneticiniz bunu, bir sunucudaki kullanılmayan hizmetleri devre dışı bırakmak için de geçerli olan prensip ile engeller.

Açıkça, bir ağ TCP / 22 bloğunun, ağ yöneticileri belirli bir şekilde SSH trafiğini engellemek için ciddi, ciddi çabalar göstermediği sürece, atlatması kolaydır . Dahası, varlık yöneticilerinin , 2. NIC'lerde 3G modemleri yakalamak için yeterli varlık envanterini ve şüpheli IP adreslerini çalıştıracak kadar topa sahip olmaları gerekir. Bölgemizde ClearWire hizmetimiz var, bu yüzden ağ güvenliğimiz etrafında son seçenek olarak WiMax'a bile sahibiz.

Bilgi sızıntısı ile büyük ölçüde ilgilenen bir kurum değiliz. Fakat eğer olsaydık, bir ejder ağ güvenlik politikasını bir ejder mal varlığı politikası ile denetim ile birleştirmemiz gerekirdi. Bildiğim kadarıyla, bir tür harici ağ bağlantısı olan envanterin var olduğu ağ jakını kapatacak, kullanıma hazır bir güvenlik paketi bulunduğunu düşünmüyorum. Bu geliyor olabilir.

Böyle bir paketin yokluğunda, varlık envanteri işlemi, 3G veya WiMax gibi bir uç ağ bağlantısı yakalamak için en iyi yollardan biridir.

Ve son olarak, TCP / 22'nin kör olarak engellenmesi, yalnızca AUP'u iş ağları için ihlal etme niyetinde olan son kullanıcıların ağırlığını engelleyecektir.

22 kişiyi http trafiğini yönlendirdiklerini keşfettiklerinde 22 engellenmiş olduğunu gördüm.

Çoğu büyük kuruluş her şeyi engelleyecek ve yalnızca bir proxy sunucusu üzerinden HTTP / HTTPS erişimine izin verecek.

Belirli bir ihtiyaç olmadıkça, masaüstlerinden veya sunuculardan doğrudan dış bağlantılara izin veren kurumları duyunca çok şaşırdım.

Hiçbir şey uzak sshd'ınızı 80 numaralı bağlantı noktasından çalıştırmanıza engel olamaz. Hem ssh hem de sshd bağlantı noktasını ayarlamak için -p seçeneğine sahiptir.

Elbette, eğer yöneticileriniz akıllıysa, sadece 22 numaralı limanı değil ssh trafiğini de izlemeleri gerekir. Öyleyse, bir teknoloji probleminiz değil, bir politika probleminiz var gibi gözüküyor.

Diğerlerinin de belirttiği gibi, şifreli protokoller, çeşitli uyum sorunları hakkında endişelenmek zorunda olan insanlarda mide yanmasına neden olabilir.