วิธีการบล็อกปริมาณการใช้ ssh


14

หากมีคนตั้งอุโมงค์ ssh ไป / กลับจากที่ทำงานหรือที่บ้านมีวิธีป้องกันการจราจรในอุโมงค์ SSH ในอนาคตหรือไม่?

ฉันเข้าใจว่า websense สามารถบล็อกทราฟฟิกได้ แต่ผู้ใช้ที่ใช้ ssh tunneling สามารถข้าม websense หรือผลิตภัณฑ์ที่คล้ายคลึงกันอื่น ๆ ได้เพราะไม่สามารถถอดรหัสหรือดูเพิ่มเติมในแพ็กเก็ตเพื่อบอกความแตกต่างระหว่างทราฟฟิกที่ถูกกฎหมายหรือผิดกฎหมาย

จากการอ่านและการวิจัยฉันพบว่าบางสิ่งที่คุณสามารถทำได้มีดังต่อไปนี้: - ปิด SSH ทั้งหมด; ไม่ได้รับอนุญาตเลย - จำกัด การเข้าถึง ssh เฉพาะผู้ใช้ที่ต้องการพวกเขาสำหรับการเข้าถึงและปฏิเสธการเข้าถึง ssh ของคนอื่น - สร้างโปรโตคอลที่กำหนดเองไปยังบัญชีดำหรือบัญชีขาว ssh ปริมาณการใช้งานโดยปลายทาง (สมมติว่ารายการนั้นจัดการได้) IP ปลายทางและตรวจสอบว่าพวกเขาแก้ไขให้ถูกต้องตามกฎหมายหรืออุปกรณ์ที่อนุญาตหรือไม่หรือตรวจสอบว่ามีการรับส่งข้อมูลทางอินเทอร์เน็ตมากกว่าการรับส่งสัญญาณในอุโมงค์ปกติหรือไม่และคุณสามารถปฏิเสธ / ขึ้นบัญชีดำว่า IP

แต่ฉันสงสัยว่านอกเหนือจากตัวเลือกเหล่านี้แล้วมันจะเป็นไปได้ไหมที่จะหลีกเลี่ยงตัวเลือกข้างต้นผ่านการโจมตีจากคนกลาง?

หรือมีตัวเลือกอื่นในการบล็อกทราฟฟิกที่มีช่องสัญญาณ ssh หรือแม้แต่อุปกรณ์เครือข่ายบางอย่างที่สามารถกรอง / บล็อกทราฟฟิกนี้ได้?

ขอบคุณสำหรับความช่วยเหลือ


นี่คือลิงค์บางส่วนที่ช่วยอธิบายการสร้าง ssh: chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu / … และบางอย่างที่อธิบายเกี่ยวกับการไม่สามารถบล็อกการสร้างช่องสัญญาณ ssh ยกเว้นตัวเลือกด้านบน: community.websense.com/forums/p/11004/28405.aspx
user1609

คำตอบ:


13

การป้องกันการเชื่อมต่อ ssh ขาออกและอุโมงค์ใด ๆ จะต้องมีการปิดล้อมอย่างสมบูรณ์ของการเชื่อมต่อขาออกผ่านการตรวจสอบแพ็คเก็ตลึก การดูพอร์ตจะไร้ประโยชน์ 100% คุณต้องดูที่อัตราแพ็คเก็ตจริงเพื่อทราบว่าเป็น SSH (นี่คือสิ่งที่ websense กำลังทำ)

ตัวเลือกอื่น ๆ เท่านั้นคือการตั้งค่าโฮสต์ "พร็อกซี" ล็อคการกำหนดค่าเพื่อให้ไคลเอ็นต์และเซิร์ฟเวอร์ssh จะไม่อนุญาตให้ใช้การสร้างช่องสัญญาณจากนั้นอนุญาตให้เครื่องนั้นทำการเชื่อมต่อ ssh ขาออกเท่านั้น - ซึ่งรวมถึงการรักษาความปลอดภัยของระบบด้วยมิฉะนั้นผู้ใช้สามารถเรียกใช้ซอฟต์แวร์ ssh ที่ต้องการได้


ขอบคุณสำหรับความคิดเห็น ดังนั้นจากตัวเลือกทั้งหมดนี้ดูเหมือนเป็นวิธีที่ดีกว่า ขอบคุณความช่วยเหลือ
user1609

9

มีวิธีอื่นหากคุณเพียงแค่หยุดการใช้ SSH เป็นวิธีแก้ปัญหาพร็อกซีทำไมไม่ จำกัด อัตราการพูดว่า 20kB / วินาทีหรือมากกว่านั้นนั่นทำให้เจ็บปวดพอสำหรับเว็บ แต่ไม่สามารถใช้คอนโซลได้

หากคุณต้องการอนุญาตให้ถ่ายโอนไฟล์ที่ความเร็วปกติจะไม่เป็นตัวเลือก


จุดที่น่าสนใจและดีที่จะคิดเกี่ยวกับ ขอบคุณที่แบ่งปันสิ่งนี้
user1609

1
สิ่งนี้จะ จำกัด อัตราการเข้าชม "scp" ด้วยเช่นกันซึ่งอาจไม่ดีเกินไปทั้งนี้ขึ้นอยู่กับความถี่ที่ผู้คนต้องการคัดลอกไฟล์
Ricky Beam

6

หากคุณควบคุมเซิร์ฟเวอร์ SSH และไฟร์วอลล์จากนั้นคุณสามารถควบคุมการเข้าถึงได้โดยการปิดกั้นการเข้าถึงพอร์ตใด ๆ ที่เซิร์ฟเวอร์ SSH ใช้ (22 เป็นค่าเริ่มต้น) เว้นแต่ว่าก่อนหน้านี้จะมีการเปิดพอร์ตการเชื่อมต่อขาเข้านั้นอาจถูกบล็อกอยู่ดีแม้ว่าคุณจะพบว่าการเชื่อมต่อขาออกนั้นได้รับอนุญาต ด้วยการออกแบบและการวางแผนที่ถูกต้องคุณสามารถควบคุมการเข้าถึงแบบละเอียดหรือหยาบได้ตามต้องการ

หากคุณไม่ได้ควบคุมเซิร์ฟเวอร์ SSH คุณจะไม่สามารถรับประกันได้ว่าพอร์ตที่ใช้อยู่นั้นจะยากกว่าการกรองตามพอร์ตเพียงอย่างเดียว

หากคุณต้องการอนุญาตให้ทุกคนเข้าถึงเซิร์ฟเวอร์ SSH ในขณะที่อยู่ในเครือข่ายของคุณ แต่มีเพียงไม่กี่ตัวที่เลือกเมื่ออยู่นอกเซิร์ฟเวอร์การเคาะพอร์ตเป็นการอ่านที่เรียบร้อย


1
ขอบคุณสำหรับการแบ่งปัน. พบลิงค์บางอย่างเกี่ยวกับการเคาะพอร์ต มันเป็นแนวคิดที่น่าสนใจครั้งแรกที่ฉันได้ยินเกี่ยวกับมัน สำหรับทุกคนที่สนใจนี่คือสิ่งที่ฉันกำลังอ่านเกี่ยวกับคุณลักษณะนี้: portknocking.orgและbsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
user1609
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.