bagaimana cara memblokir lalu lintas ssh tunneling?

14

jika seseorang membuat ssh tunnel ke / dari kantor atau rumah, apakah ada cara untuk mencegah lalu lintas tunneling SSH di masa depan?

Saya memahami bahwa websense dapat memblokir lalu lintas, tetapi pengguna yang menggunakan ssh tunneling dapat mem-bypass websense atau produk serupa lainnya karena tidak dapat mendekripsi atau melihat lebih jauh dalam paket untuk mengetahui perbedaan antara lalu lintas yang sah atau tidak sah.

dari beberapa bacaan dan penelitian, saya menemukan bahwa beberapa hal yang dapat Anda lakukan adalah sebagai berikut: - matikan SSH sama sekali; sama sekali tidak diizinkan - batasi akses ssh hanya untuk pengguna yang membutuhkannya untuk akses dan tolak semua orang akses ssh - buat protokol khusus untuk daftar hitam atau lalu lintas daftar putih ssh menurut tujuan (dengan asumsi daftar dapat diubah-ubah) - tinjau log untuk lalu lintas ssh, tinjau IP tujuan dan periksa apakah mereka memutuskan untuk perangkat yang sah atau diizinkan atau tidak, atau memeriksa apakah ada lebih banyak lalu lintas internet reguler daripada lalu lintas tunneling dan Anda dapat menolak / daftar hitam IP itu

Tapi saya bertanya-tanya, selain opsi-opsi ini, mungkinkah untuk menghindari opsi-opsi di atas melalui serangan manusia-di-tengah?

Atau ada opsi lain untuk memblokir lalu lintas tunneling ssh atau bahkan beberapa perangkat jaringan yang dapat menyaring / memblokir lalu lintas ini?

Terima kasih untuk bantuannya.

pengguna1609
sumber
Ngomong -ngomong, inilah beberapa tautan yang membantu menjelaskan pembuatan ssh: chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu / ... dan beberapa yang menjelaskan tentang tidak dapat memblokir tunnel ssh, kecuali untuk opsi di atas: community.websense.com/forums/p/11004/28405.aspx
user1609

Jawaban:

13

Mencegah koneksi ssh keluar, dan dengan demikian setiap terowongan, akan membutuhkan blokade lengkap koneksi keluar melalui inspeksi paket yang mendalam. Melihat port akan 100% tidak berguna. Anda harus melihat muatan paket yang sebenarnya untuk mengetahui itu SSH. (Inilah yang dilakukan websense.)

Satu-satunya opsi lain adalah menyiapkan host "proxy". Mengunci konfigurasi sehingga klien dan server ssh tidak akan mengizinkan tunneling, kemudian hanya mengizinkan mesin itu untuk membuat koneksi ssh keluar - tentu saja, ini termasuk mengamankan sistem juga, jika tidak orang dapat menjalankan perangkat lunak ssh apa pun yang mereka inginkan.

Ricky Beam
sumber
terima kasih atas komentarnya. jadi dari semua opsi, ini terdengar seperti pendekatan yang lebih baik. hargai bantuannya.
user1609
9

Ada metode lain, jika Anda hanya melihat menghentikan orang menggunakan SSH sebagai solusi proxy mengapa tidak menilai batasnya untuk mengatakan 20kB / detik atau lebih, yang akhirnya cukup menyakitkan untuk web, tetapi tidak terlihat untuk penggunaan konsol.

Jika Anda ingin mengizinkan transfer file dengan kecepatan normal, ini tidak akan menjadi pilihan.

LapTop006
sumber
poin yang menarik dan bagus untuk dipikirkan. terima kasih sudah berbagi ini.
user1609
1
Ini juga akan menilai batas lalu lintas "scp", yang mungkin tidak berjalan terlalu baik tergantung pada seberapa sering orang perlu menyalin file.
Ricky Beam
6

Jika Anda mengontrol server SSH dan firewall maka Anda dapat mengontrol akses dengan memblokir akses ke port apa pun yang digunakan server SSH (22 secara default). Kecuali jika port sebelumnya telah dibuka, maka koneksi inbound kemungkinan akan diblokir, meskipun Anda mungkin akan menemukan bahwa koneksi outbound akan diizinkan. Dengan desain dan perencanaan yang tepat, Anda dapat mengontrol akses dengan cara yang halus atau kasar sesuai keinginan Anda.

Jika Anda tidak mengontrol server SSH maka Anda tidak dapat menjamin port yang digunakannya sehingga akan jauh lebih sulit untuk memfilter berdasarkan port saja.

Jika Anda perlu mengizinkan semua orang mengakses server SSH ketika mereka berada di jaringan Anda, tetapi hanya beberapa yang dipilih ketika berada di luarnya, port knocking adalah pembacaan yang rapi.

AJ Rossington
sumber
1
Terima kasih telah berbagi. menemukan beberapa tautan tentang port knocking. itu konsep yang menarik, pertama kali saya mendengarnya. untuk siapa pun yang tertarik, inilah yang saya baca sejauh ini untuk fitur ini: portknocking.org dan bsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
user1609