Назад | Перейти на главную страницу

Блокировать навигацию по ssh-туннелю в моей локальной сети

Я хотел бы запретить людям обходить прокси-блоки Opendns и squid, чтобы попасть на facebook, используя туннель ssh, к их домашнему компьютеру. Я знаю, что могу исправить это, разговаривая с боссом, но я также хотел бы лучше понять, как это технически возможно.

Если у вас есть пользователи, которые могут создавать ssh-туннели к своему домашнему оборудованию, вы не сможете сделать это с помощью технологий, если не откажетесь от инструментов, которые позволяют им это делать. Все, что вы можете сделать, это вступить с ними в гонку вооружений.

Вам придется вовлечь свое руководство - это действительно их проблема.

Вам необходимо настроить исходящую (исходящую) фильтрацию на вашем брандмауэре для всех портов TCP и UDP, кроме тех, где это разрешено требованиями (почтовый сервер, прокси-сервер, DNS-сервер и т. Д.).

В принципе, вы не можете это исправить. Когда есть открытый порт, люди могут создавать туннели. Я сам использую OpenVPN через tcp 443, потому что он всегда открыт. Альтернативы - через другие протоколы, такие как icmp или dns.

С достаточно умными пользователями вы не можете блокировать часть Интернета. (Хорошо, может быть, Китай сможет;)) Если вы не хотите, чтобы работники выходили в Интернет, заблокируйте просмотр веб-страниц. Если им это нужно для работы, вы должны смириться с тем, что они могут попасть на Facebook. Последнее средство - штрафы для всех, кто заходит на facebook, но я лично не хотел бы работать в такой компании ...

Gravyface прав.

В противном случае, возможно, DPI (Deep Packet Inspection) может иметь шаблон для идентификации туннелей от другого трафика SSH, но это устройство стоит дорого.

Возможно, вы могли бы использовать TOS (Тип обслуживания) для определения массового SSH из интерактивного SSH и применения некоторых плохих правил QoS. Обратной стороной является то, что вы также повлияете на сеансы scp / sftp.

  • Интерактивный SSH TOS = 0x10 (16 десятичных знаков);
  • Массовый SSH (например, SCP, SFTP) TOS = 0x08 (8 десятичных знаков).

Тоннели должны падать оптом.

Это скорее вопрос политики, чем технический. Вы правильно указываете пользователям на очевидный способ обойти любые ограничения, которые вы можете установить в сети технически.

Некоторый процент пользователей не сможет понять туннельный подход, и их должно быть легче сдерживать с помощью черных списков DNS или аналогичных. С техническими пользователями, которые хотели бы обойти ваши ограничения, нужно обращаться другим методом.

Подумайте, почему вам нужно заблокировать этот трафик, прежде чем вы зайдете слишком далеко по этой дороге.