P: É possível monitorar a atividade do SSH na rede local (dentro da organização)?

Navegue suas respostas
1

É possível monitorar a atividade do SSH na rede local da organização? Especificamente é possível:

  1. Exibir conexões SSH abertas por usuário / máquina junto com os servidores aos quais eles estão conectados
  2. Sniff tráfego SSH. E se o administrador do sistema souber minhas chaves SSH?

Se eu configurar meu servidor SSH para aceitar conexões na porta 80 em vez da porta 22, será que estou procurando algumas páginas da Web na máquina remota? Basicamente eu quero ser capaz de manter a conexão SSH para algum servidor e não se preocupar que alguém dentro da rede intercepte a comunicação.

    
por ak0 25.06.2015 / 19:29

2 respostas

2

View open SSH connections per user/machine along with the servers they are connected to

Quando o tráfego da rede deixa o seu sistema, a menos que você esteja fisicamente conectado a outro sistema através de um cabo crossover, ele percorre pelo menos um sistema intermediário. O software nesses sistemas intermediários pode registrar metadados sobre cada pacote, incluindo IP / porta de origem e IP / porta de destino. O software avançado pode até fazer coisas como unir fluxos TCP, saber qual protocolo está sendo usado e observar coisas como tempo, duração e bytes transferidos.

Para o SSH, seria difícil correlacionar o tráfego da rede ao usuário que o gera sem a ajuda do sistema envolvido, mas se houver algum programa na gravação do sistema do usuário que inicie o processo e os argumentos da linha de comando, obviamente pode ser deduzido.

Sniff SSH traffic. What if the system administrator knows my SSH keys?

O SSH é criptografado, o que significa que, embora as informações acima possam ser coletadas (o que é verdade sobre qualquer coisa que atravesse a rede), o conteúdo ou a carga útil da transmissão será protegida.

É possível descriptografar isso se a chave SSH for conhecida.

    
por 25.06.2015 / 19:58
2

Secure Shell

O SSH, por definição, é seguro, pois todo o tráfego é criptografado enquanto está em trânsito em todas as redes. A escuta telefônica não é algo que você precisa se preocupar com SSH.

Todo o propósito do SSH é criar uma conexão criptografada entre o cliente e o servidor para garantir que nenhuma informação transmitida entre eles possa ser vista em qualquer rede que não esteja em sua forma criptografada.

Alterar a porta faria pouco para disfarçar o tráfego, mas não é necessário, como eu disse, o SSH é completamente criptografado. Isso seria apenas "Segurança através da Obscuridade" na melhor das hipóteses de qualquer maneira que não é a segurança de qualquer maneira, forma ou formulário.

Chaves quebradas

Se os administradores do sistema tiverem suas chaves SSH, a interceptação telefônica não seria sua preocupação, já que eles poderiam se conectar diretamente ao servidor, e muito menos descriptografar o tráfego enviado pela rede.

É improvável que eles tenham suas chaves, pois elas não podem ser detectadas quando enviadas, pois são criptografadas em trânsito.

Exibir conexões de rede

Os administradores de rede poderão identificar que sua conta de usuário e seu computador estão conectados a um endereço IP específico na porta 22, mas isso é tudo o que poderão ver. Eu não consideraria isso uma grande preocupação, desde que a segurança dos servidores esteja configurada corretamente.

Em um servidor SSH voltado para a Internet, um ou dois administradores de rede provavelmente são as pessoas menos propensas a segmentar seu servidor; você provavelmente descobrirá que as pessoas já o estão atacando constantemente. Isso é chamado de "ruído de fundo". Internet'. Isso pode ser visto revisando seus registros de autenticação. Contanto que apenas a chave auth esteja habilitada, isso não é uma preocupação, mas eu pessoalmente gosto de executar o fail2ban também para filtrar essas conexões.

Preocupações de segurança do SSH

A maior preocupação ao usar o SSH é garantir que os invasores não tenham acesso ao próprio servidor SSH, normalmente por meio de ataques de força bruta, mas isso também pode ser feito por meio de ataques direcionados muito mais sofisticados.

A maneira mais simples e rápida de proteger um servidor SSH é habilitar a autenticação de autenticação de chave em vez da autenticação de senha.

Se possível, você deve remover seu servidor SSH da Internet e permitir acesso somente internamente ou por meio de uma conexão VPN.

Existem muitas outras maneiras de proteger um servidor SSH, como segurança de dois fatores e invasão de pacotes.

Exemplo de Telnet

É por essas razões exatas que o telnet não é mais usado em massa. Como ele não criptografa a conexão, tudo é enviado pela rede em texto simples, incluindo a senha, o que significa que qualquer um na rede que esteja detectando pacotes ou monitorando logs de conexão pode obter facilmente informações de nome de usuário e senha e qualquer outra coisa enviada por um telnet. conexão.

Mais informações

Mais informações sobre o SSH podem ser encontradas aqui ...

Página man do SSH

Site do OpenSSH (um dos maiores servidores SSH)

    
por 25.06.2015 / 19:33

Tags

Como eu poderia transformar um disquete em um cartão inteligente? Fazendo cabos de extensão USB usando o cabo UTP