come bloccare il traffico di tunneling ssh?

se qualcuno dovesse installare un tunnel ssh da / per lavoro o casa, c'è un modo per prevenire il traffico del tunneling SSH futuro?

Comprendo che il websense può bloccare il traffico, ma gli utenti che usano il tunneling ssh possono bypassare il websense o altri prodotti simili perché non possono decrittografare o guardare oltre nel pacchetto per dire la differenza tra traffico legittimo o illegittimo.

da alcune letture e ricerche, ho scoperto che alcune cose che puoi fare sono le seguenti: - disattivare completamente SSH; non è consentito affatto - limita l'accesso ssh solo agli utenti che ne hanno bisogno per l'accesso e nega a tutti gli altri l'accesso ssh - crea un protocollo personalizzato per inserire nella blacklist o autorizzare il traffico ssh per destinazione (supponendo che gli elenchi siano modificabili) - rivedi i registri per il traffico ssh, rivedi gli IP di destinazione e verifica se si risolvono in dispositivi legittimi o consentiti oppure no, oppure verifica se esiste un traffico Internet più regolare rispetto al traffico di tunneling e puoi negare / inserire nella blacklist tale IP

Ma mi chiedevo, oltre a queste opzioni, sarebbe possibile aggirare le opzioni di cui sopra attraverso un attacco man-in-the-middle?

Oppure c'è un'altra opzione per bloccare il traffico di tunneling ssh o anche qualche dispositivo di rete in grado di filtrare / bloccare questo traffico?

grazie per l'aiuto.

Prevenire le connessioni ssh in uscita, e quindi eventuali tunnel, richiederebbe un blocco completo delle connessioni in uscita tramite ispezione approfondita dei pacchetti. Guardare i porti sarà inutile al 100%. Devi guardare l'effettivo payload del pacchetto per sapere che è SSH. (questo è ciò che fa websense.)

L'unica altra opzione è impostare un host "proxy". Blocca la configurazione in modo che il client e il server ssh non consentano il tunneling, quindi consenti solo a quella macchina di effettuare connessioni ssh in uscita - ovviamente, ciò include anche la protezione del sistema, altrimenti le persone possono eseguire qualsiasi software ssh desiderino.

Esiste un altro metodo, se stai semplicemente cercando di impedire alle persone di utilizzare SSH come soluzione alternativa del proxy, perché non limitarlo a dire 20kB / sec circa, che risulta abbastanza doloroso per il web, ma impercettibile per l'uso della console.

Se volessi consentire i trasferimenti di file a velocità normale, questa non sarebbe un'opzione.

Se si controlla il server SSH e il firewall, è possibile controllare l'accesso bloccando l'accesso a qualsiasi porta utilizzata dal server SSH (22 per impostazione predefinita). A meno che la porta non sia stata precedentemente aperta, è probabile che le connessioni in entrata vengano comunque bloccate, anche se è probabile che le connessioni in uscita siano consentite. Con la progettazione e la pianificazione giuste, puoi controllare l'accesso nel modo che preferisci.

Se non controlli il server SSH, non puoi garantire la porta in uso, quindi sarà molto più difficile filtrare in base alla sola porta.

Se devi consentire a tutti di accedere a un server SSH mentre si trovano nella tua rete, ma solo pochi selezionati al di fuori di esso, il port knocking è una lettura accurata.