Bloquear a navegação de tunelamento ssh na minha LAN

3

Eu gostaria de impedir que as pessoas ignorassem o Opendns e os blocos de proxy do squid para acessar o facebook usando o túnel ssh em seu computador. Eu sei que posso consertar essa conversa com o chefe, mas também gostaria de entender melhor como é tecnicamente possível.

    
por Pitto 19.07.2011 / 14:00

5 respostas

3

Você precisa configurar a filtragem de saída (saída) em seu firewall para todas as portas TCP e UDP, exceto quando permitido pelo requisito (servidor de email, servidor proxy, servidor DNS etc.).

    
por 19.07.2011 / 14:03
6

Se você tiver usuários capazes de criar túneis ssh em seus equipamentos domésticos, você não poderá fazer isso usando tecnologia, a menos que você possa remover as ferramentas que permitem isso. Tudo o que você pode fazer é entrar em uma corrida armamentista com eles.

Você terá que envolver seu gerenciamento - é realmente problema deles lidar com isso.

    
por 19.07.2011 / 14:30
3

Basicamente, você não pode consertar isso. Quando há uma porta aberta, as pessoas podem criar túneis. Eu mesmo uso o OpenVPN via tcp 443, porque está sempre aberto. Alternativas são via outros protocolos, como icmp ou dns.

Com usuários inteligentes o bastante, você não pode bloquear partes da Internet. (Ok, talvez a China possa;)) Se você não quer que os funcionários fiquem on-line, bloqueie a navegação na web. Se eles precisam para o seu trabalho, você tem que viver com o fato de que eles podem entrar no facebook. Último recurso é criar penalidades para todos que vão ao facebook, mas eu pessoalmente não gostaria de trabalhar em uma empresa como essa ...

    
por 19.07.2011 / 14:22
2

Gravyface está certo.

Caso contrário, talvez o DPI (Deep Packet Inspection) possa ter um padrão para identificar túneis de outro tráfego SSH, mas esses dispositivos são caros.

Talvez você possa usar o TOS (tipo de serviço) para identificar o SSH em massa a partir do SSH interativo e aplicar algumas regras ruins de QoS. O lado negativo é que você também teria impacto nas sessões do scp / sftp.

  • SSH TOS interativos = 0x10 (16 decimal);
  • SSH em massa (por exemplo, SCP, SFTP) TOS = 0x08 (8 casas decimais).

Os túneis devem cair em massa.

    
por 19.07.2011 / 14:17
1

Esta é mais uma questão política do que técnica. Você aponta corretamente um método óbvio para os usuários ignorarem quaisquer restrições que você possa colocar na rede tecnicamente.

Alguma porcentagem de usuários não será capaz de descobrir a abordagem de túnel e esses devem ser mais fáceis de conter com listas negras de DNS ou equivalentes. Os usuários técnicos que ignoram suas restrições precisam ser tratados de maneira diferente.

Considere por que você precisa bloquear esse tráfego antes de viajar muito nessa estrada.

    
por 19.07.2011 / 16:55