Làm thế nào để chặn lưu lượng đường hầm ssh?


14

nếu ai đó đã thiết lập một đường hầm ssh đến / từ nơi làm việc hoặc ở nhà, có cách nào để ngăn chặn lưu lượng truy cập SSH trong tương lai không?

Tôi hiểu rằng websense có thể chặn lưu lượng truy cập, nhưng người dùng sử dụng đường hầm ssh có thể bỏ qua websense hoặc các sản phẩm tương tự khác vì nó không thể giải mã hoặc tìm kiếm thêm trong gói để cho biết sự khác biệt giữa lưu lượng truy cập hợp pháp hoặc bất hợp pháp.

từ một số đọc và nghiên cứu, tôi thấy rằng một số điều bạn có thể làm là như sau: - tắt SSH hoàn toàn; hoàn toàn không được phép - hạn chế quyền truy cập ssh đối với chỉ những người dùng cần họ truy cập và từ chối mọi người khác truy cập ssh - tạo giao thức tùy chỉnh cho danh sách đen hoặc danh sách trắng lưu lượng truy cập ssh theo đích (giả sử danh sách có thể truy cập được) - xem lại nhật ký cho lưu lượng ssh, xem xét IP đích và kiểm tra xem chúng có phân giải các thiết bị hợp pháp hoặc được phép hay không hoặc kiểm tra xem có lưu lượng truy cập internet thường xuyên hơn lưu lượng truy cập đường hầm hay không và bạn có thể từ chối / danh sách đen IP đó

Nhưng tôi đã tự hỏi, bên cạnh những lựa chọn này, liệu có thể phá vỡ các lựa chọn trên thông qua một cuộc tấn công trung gian?

Hoặc có một tùy chọn khác để chặn lưu lượng đường hầm ssh hoặc thậm chí một số thiết bị mạng có thể lọc / chặn lưu lượng này?

cảm ơn đã giúp đỡ.


Nhân tiện, đây là một số liên kết giúp giải thích đường hầm ssh: chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu / chụp và một số giải thích về việc không thể chặn đường hầm ssh, ngoại trừ các tùy chọn ở trên: Community.websense.com/forums/p/11004/28405.aspx
user1609

Câu trả lời:


13

Ngăn chặn các kết nối ssh đi, và do đó, bất kỳ đường hầm nào, sẽ yêu cầu phong tỏa hoàn toàn các kết nối ra ngoài thông qua kiểm tra gói sâu. Nhìn vào các cổng sẽ vô dụng 100%. Bạn phải nhìn vào tải trọng gói thực tế để biết đó là SSH. (đây là những gì websense đang làm.)

Tùy chọn duy nhất khác là thiết lập máy chủ "proxy". Khóa cấu hình để máy khách máy chủ ssh sẽ không cho phép tạo đường hầm, sau đó chỉ cho phép máy đó thực hiện các kết nối ssh bên ngoài - tất nhiên, điều này bao gồm cả việc bảo vệ hệ thống, nếu không mọi người có thể chạy bất kỳ phần mềm ssh nào họ muốn.


cảm ơn vì nhận xét Vì vậy, từ tất cả các tùy chọn, điều này nghe có vẻ như là một cách tiếp cận tốt hơn. đánh giá cao sự giúp đỡ.
user1609

9

Có một phương pháp khác, nếu bạn chỉ đang xem việc ngăn mọi người sử dụng SSH như một cách giải quyết proxy thì tại sao không đánh giá giới hạn ở mức 20kB / giây hoặc lâu hơn, điều đó đủ gây đau đớn cho web, nhưng không thể chấp nhận được khi sử dụng bảng điều khiển.

Nếu bạn muốn cho phép chuyển tập tin ở tốc độ bình thường thì đây sẽ không phải là một lựa chọn.


điểm thú vị và tốt để suy nghĩ về. cảm ơn vì đã chia sẻ điều này
user1609

1
Điều này cũng sẽ giới hạn tỷ lệ lưu lượng truy cập "scp", điều này có thể không vượt quá tốt tùy thuộc vào tần suất mọi người cần sao chép tệp.
Ricky Beam

6

Nếu bạn điều khiển máy chủ SSH và tường lửa thì bạn có thể kiểm soát quyền truy cập bằng cách chặn quyền truy cập vào bất kỳ cổng nào mà máy chủ SSH đang sử dụng (22 theo mặc định). Trừ khi cổng đã được mở trước đó, thì các kết nối trong nước có khả năng bị chặn bằng mọi cách, mặc dù bạn có thể thấy rằng các kết nối ngoài sẽ được cho phép. Với thiết kế và kế hoạch phù hợp, bạn có thể kiểm soát truy cập theo cách tốt hoặc thô theo cách bạn muốn.

Nếu bạn không kiểm soát máy chủ SSH thì bạn không thể đảm bảo cổng đó đang sử dụng nên việc lọc chỉ dựa trên cổng sẽ khó khăn hơn nhiều.

Nếu bạn cần cho phép tất cả mọi người truy cập vào máy chủ SSH khi họ ở trong mạng của bạn, nhưng chỉ một số người được chọn khi ở ngoài mạng, thì việc gõ cổng là một cách đọc gọn gàng.


1
cám ơn vì đã chia sẻ. tìm thấy một số liên kết về cổng gõ. Đó là một khái niệm thú vị, lần đầu tiên tôi nghe về nó. cho bất cứ ai quan tâm, đây là những gì tôi đang đọc cho đến nay cho tính năng này: portknocking.orgbsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
user1609
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.