我知道websense可以阻止流量,但是使用ssh隧道的用户绕过websense或其他类似产品,因为它们无法解密或在数据包中进一步查看以区分合法流量或非法流量。
通过一些阅读和研究,我发现您可以做一些事情以下是:
-完全关闭SSH;根本不允许
-仅将ssh访问权限限制为需要他们访问的用户,并拒绝其他任何人ssh访问
-创建自定义协议以按目的地将ssh流量列入黑名单或白名单(假设列表是可管理的)
-查看ssh流量日志,查看目标IP并检查它们是否解析为合法或允许的设备,或者检查是否有比隧道流量更多的常规Internet流量,您可以拒绝/将该IP列入黑名单>
但我想知道,除了这些选项之外,是否有可能通过中间人攻击来规避上述选项?隧道流量或什至可以过滤/阻止此流量的某些网络设备?
感谢您的帮助。
#1 楼
防止出站ssh连接以及任何隧道,都需要通过深度数据包检查来完全阻止出站连接。查看端口将是100%无用的。您必须查看实际的数据包有效负载才能知道它是SSH。 (这是websense的工作。)唯一的其他选择是设置“代理”主机。锁定配置,使ssh客户端和服务器不允许隧道,然后仅允许该计算机建立出站ssh连接-当然,这也包括保护系统安全,否则人们可以运行所需的任何ssh软件。 />
评论
感谢您的评论。因此从所有选项来看,这似乎是一种更好的方法。感谢您的帮助。
–user1609
2013年6月10日14:13
#2 楼
还有另一种方法,如果您只是想阻止人们使用SSH作为代理解决方法,为什么不将其速率限制为20kB / sec左右,则最终对于Web来说是很痛苦的,但对于控制台的使用却难以察觉。 />如果您想允许文件以正常速度传输,那将不是一个选择。
评论
有趣的一点,值得深思。感谢分享。
–user1609
2013年10月10日14:14
这也将限制所有“ scp”流量的速率,根据人们需要多长时间复制一次文件,这可能不会很好地解决。
–瑞奇
13年6月10日在21:35
#3 楼
如果控制SSH服务器和防火墙,则可以通过阻止访问SSH服务器正在使用的任何端口(默认为22)来控制访问。除非先前已打开端口,否则入站连接仍然可能被阻止,尽管您可能会发现出站连接将被允许。通过正确的设计和规划,您可以根据需要以细粒度或粗粒度的方式控制访问。如果不控制SSH服务器,则不能保证它正在使用的端口因此,仅根据端口进行过滤就困难得多。敲门真是一本好书。
评论
感谢分享。找到了一些有关港口爆震的链接。这是一个有趣的概念,我第一次听说它。对于任何感兴趣的人,到目前为止,我正在阅读此功能:portknocking.org和bsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
–user1609
13年6月9日在21:01
评论
顺便说一下,这里有一些有助于解释ssh隧道的链接:chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu /…,其中一些说明无法阻止ssh隧道,但以上选项除外:community.websense.com/forums/p/11004/28405.aspx