如何阻止SSH隧道流量?


14

如果有人要在工作或家庭之间建立ssh隧道,是否有办法防止将来的SSH隧道通信?

我知道websense可以阻止流量,但是使用ssh隧道的用户可以绕过websense或其他类似产品,因为它无法解密或在数据包中进一步查看以区分合法流量还是非法流量。

通过一些阅读和研究,我发现您可以执行以下操作:-完全关闭SSH;根本不允许-将ssh访问限制为仅需要他们访问的用户,并拒绝其他任何人ssh访问-创建自定义协议以按目的地将ssh流量列入黑名单或白名单(假设列表是可管理的)-查看ssh流量的日志,目标IP并检查它们是否解析为合法或允许的设备,或者检查是否有比隧道流量更多的常规Internet流量,您可以拒绝/将该IP列入黑名单

但是我想知道,除了这些选择之外,是否有可能通过中间人攻击来规避上述选择?

还是有另一种选择来阻止ssh隧道通信,甚至可以过滤/阻止此通信的某些网络设备?

谢谢您的帮助。


顺便说一下,这里有一些有助于解释ssh隧道的链接:chamibuddhika.wordpress.com/2012/03/21/ssh-tunnelling-explained revsys.com/writings/quicktips/ssh-faster-connections.html alvinalexander.com/unix / edu /… ,其中一些解释了有关无法阻止ssh隧道的信息,但上述选项除外:community.websense.com/forums/p/11004/28405.aspx
user1609 2013年

Answers:


13

防止出站SSH连接以及任何隧道,都需要 通过深度数据包检查来完全阻止出站连接。查看端口将是100%无用的。您必须查看实际的数据包有效负载才能知道它是SSH。(这是websense所做的。)

唯一的其他选择是设置“代理”主机。锁定配置,使ssh客户端服务器不允许隧道传输,然后仅允许该机器建立出站ssh连接-当然,这也包括保护系统安全,否则人们可以运行所需的任何ssh软件。


感谢您的评论。因此从所有选项来看,这似乎是一种更好的方法。感谢您的帮助。
user1609 2013年

9

还有另一种方法,如果您只是想阻止人们使用SSH作为代理解决方法,为什么不将其速率限制为20kB / sec左右,则最终对于Web来说是很痛苦的,但对于控制台的使用却是难以察觉的。

如果您想允许文件以正常速度传输,那将不是一个选择。


有趣的观点,值得深思。感谢分享。
user1609 2013年

1
这也将对任何“ scp”流量进行速率限制,根据人们需要多长时间复制一次文件,流量可能不会很好地通过。
Ricky Beam

6

如果您控制SSH服务器和防火墙,则可以通过阻止访问SSH服务器正在使用的任何端口(默认为22)来控制访问。除非先前已打开端口,否则入站连接可能仍会被阻止,尽管您可能会发现将允许出站连接。通过正确的设计和规划,您可以根据需要以细粒度或粗粒度控制访问。

如果您不控制SSH服务器,则无法保证它正在使用的端口,因此仅根据端口进行过滤将更加困难。

如果您需要允许每个人都在您的网络中访问SSH服务器,但在它不在网络中时只允许少数人访问,那么敲端口是一件很容易的事。


1
感谢分享。找到了一些有关港口爆震的链接。这是一个有趣的概念,我第一次听说它。对于任何对此感兴趣的人,到目前为止,我正在阅读此功能:portknocking.orgbsdly.blogspot.com/2012/04/why-not-use-port-knocking.html
user1609 2013年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.