Làm thế nào để chặn lưu lượng đường hầm ssh?

nếu ai đó đã thiết lập một đường hầm ssh đến / từ nơi làm việc hoặc ở nhà, có cách nào để ngăn chặn lưu lượng truy cập SSH trong tương lai không?

Tôi hiểu rằng websense có thể chặn lưu lượng truy cập, nhưng người dùng sử dụng đường hầm ssh có thể bỏ qua websense hoặc các sản phẩm tương tự khác vì nó không thể giải mã hoặc tìm kiếm thêm trong gói để cho biết sự khác biệt giữa lưu lượng truy cập hợp pháp hoặc bất hợp pháp.

từ một số đọc và nghiên cứu, tôi thấy rằng một số điều bạn có thể làm là như sau: - tắt SSH hoàn toàn; hoàn toàn không được phép - hạn chế quyền truy cập ssh đối với chỉ những người dùng cần họ truy cập và từ chối mọi người khác truy cập ssh - tạo giao thức tùy chỉnh cho danh sách đen hoặc danh sách trắng lưu lượng truy cập ssh theo đích (giả sử danh sách có thể truy cập được) - xem lại nhật ký cho lưu lượng ssh, xem xét IP đích và kiểm tra xem chúng có phân giải các thiết bị hợp pháp hoặc được phép hay không hoặc kiểm tra xem có lưu lượng truy cập internet thường xuyên hơn lưu lượng truy cập đường hầm hay không và bạn có thể từ chối / danh sách đen IP đó

Nhưng tôi đã tự hỏi, bên cạnh những lựa chọn này, liệu có thể phá vỡ các lựa chọn trên thông qua một cuộc tấn công trung gian?

Hoặc có một tùy chọn khác để chặn lưu lượng đường hầm ssh hoặc thậm chí một số thiết bị mạng có thể lọc / chặn lưu lượng này?

cảm ơn đã giúp đỡ.

Ngăn chặn các kết nối ssh đi, và do đó, bất kỳ đường hầm nào, sẽ yêu cầu phong tỏa hoàn toàn các kết nối ra ngoài thông qua kiểm tra gói sâu. Nhìn vào các cổng sẽ vô dụng 100%. Bạn phải nhìn vào tải trọng gói thực tế để biết đó là SSH. (đây là những gì websense đang làm.)

Tùy chọn duy nhất khác là thiết lập máy chủ "proxy". Khóa cấu hình để máy khách và máy chủ ssh sẽ không cho phép tạo đường hầm, sau đó chỉ cho phép máy đó thực hiện các kết nối ssh bên ngoài - tất nhiên, điều này bao gồm cả việc bảo vệ hệ thống, nếu không mọi người có thể chạy bất kỳ phần mềm ssh nào họ muốn.

Có một phương pháp khác, nếu bạn chỉ đang xem việc ngăn mọi người sử dụng SSH như một cách giải quyết proxy thì tại sao không đánh giá giới hạn ở mức 20kB / giây hoặc lâu hơn, điều đó đủ gây đau đớn cho web, nhưng không thể chấp nhận được khi sử dụng bảng điều khiển.

Nếu bạn muốn cho phép chuyển tập tin ở tốc độ bình thường thì đây sẽ không phải là một lựa chọn.

Nếu bạn điều khiển máy chủ SSH và tường lửa thì bạn có thể kiểm soát quyền truy cập bằng cách chặn quyền truy cập vào bất kỳ cổng nào mà máy chủ SSH đang sử dụng (22 theo mặc định). Trừ khi cổng đã được mở trước đó, thì các kết nối trong nước có khả năng bị chặn bằng mọi cách, mặc dù bạn có thể thấy rằng các kết nối ngoài sẽ được cho phép. Với thiết kế và kế hoạch phù hợp, bạn có thể kiểm soát truy cập theo cách tốt hoặc thô theo cách bạn muốn.

Nếu bạn không kiểm soát máy chủ SSH thì bạn không thể đảm bảo cổng đó đang sử dụng nên việc lọc chỉ dựa trên cổng sẽ khó khăn hơn nhiều.

Nếu bạn cần cho phép tất cả mọi người truy cập vào máy chủ SSH khi họ ở trong mạng của bạn, nhưng chỉ một số người được chọn khi ở ngoài mạng, thì việc gõ cổng là một cách đọc gọn gàng.