it-swarm.com.de

Wie blockiert ein Netzwerkadministrator das Reverse-SSH im Unternehmen?

Gegebene Firewall

  • eingehend: Alle sind gesperrt
  • ausgehend: Port 80, 443 zulassen

Problem

  • kollegen können weiterhin über Port 80/443 zum Heimgerät ssh und einen umgekehrten SSH-Tunnel von Unternehmen zu Haus und weiter von Haus zu Unternehmen einrichten.

Frage

  • Kann der Netzwerkadministrator neben der Aufforderung an die Personalabteilung, eine Strafregel in das Handbuch für Unternehmensrichtlinien aufzunehmen, Reverse-SSH auf technische Weise blockieren?
18
developer.cyrus

Der SSH-Verkehr unterscheidet sich von HTTP und HTTPS. SSH-Verkehr wird einfach durch Port 80 oder 443 getunnelt (d. H. ssh -p80...) kann durch Betrachten des ersten Antwortpakets erkannt werden, das bereits die SSH-Version und nicht die HTTP-Version oder das TLS ServerHello enthält. Sie können aber auch einfach die Verwendung eines HTTP-Proxys innerhalb des Netzwerks erzwingen, wodurch die Verwendung von einfachem SSH unmöglich wird.

Dies lässt die Möglichkeit, SSH innerhalb eines anderen Protokolls zu tunneln, z. B. einfach einen Tunnel durch den Proxy mithilfe einer CONNECT-Anforderung zu erstellen oder sogar die SSH-Verbindung innerhalb einer vollständigen TLS-Verbindung, über einfaches HTTP, mithilfe von WebSockets, mit DNS oder ähnlichem auszublenden. Dies ist viel schwieriger zu erkennen, obwohl einige statistische Analysen hilfreich sein könnten, da SSH ein anderes Verhalten als normaler HTTP-Verkehr zeigt. Eine solche Analyse kann jedoch leicht mit dem heute üblichen WebSockets-Verkehr verwechselt werden.

Am Ende ist es ein Rennen und Sie sollten sich fragen, warum Sie sich sowieso auf SSH-Tunnel konzentrieren. Diese Tunnel sind nichts anderes als ein Werkzeug zum Transportieren von Daten zwischen innen und außen. Solche Datentransporte können auch mit normalem HTTP/HTTPS durchgeführt werden, können mit USB-Sticks usw. durchgeführt werden. Daher kann die Fokussierung auf einen einzelnen Vektor einen Datenverlust verhindern oder verhindern, dass der Angreifer in das Netzwerk eindringt, ist meiner Meinung nach der falsche Weg. Und für eine Richtlinie: Es ist sicherer, eine weiße Liste für das zu haben, was erlaubt ist, als eine schwarze Liste für das, was nicht erlaubt ist.

26
Steffen Ullrich

Eine Möglichkeit, es etwas schwieriger zu machen, könnte darin bestehen, einen HTTP-Proxy einzurichten, sodass Verbindungen nicht mehr direkt über 80/443 hergestellt werden können, es sei denn, es handelt sich um eine gültige HTTP-Verbindung, aber selbst das kann umgangen werden, wenn Sie Folgendes verwenden: Proxytunnel . Eine andere Möglichkeit, dies zu umgehen, besteht darin, einfach eine Webkonsole auszuführen und über 80/443 normal darauf zuzugreifen.

Wenn Sie es ihnen schwerer machen, werden Sie sie wahrscheinlich nicht aufhalten. Wenn Sie jedoch in Ihrer Richtlinie festgelegt haben, dass dies nicht zulässig ist und Sie das Netzwerk überwachen, können Personen gewarnt werden, die gegen diese Regel verstoßen.

6
alxjsn

Hier haben sie SSH über den 443-Port blockiert, indem sie die CONNECT-Methode des HTTP-Proxys blockiert haben.

Eine zweite Lösung besteht darin, eine falsche Anmeldeseite zu verwenden. Die Verwendung eines Proxys kann nach einem Kennwort fragen. Dies wird normalerweise vom Browser abgefragt oder in Authentifizierungsfeldern in Apps eingegeben, die einen Proxy verwenden können. Sie können dies jedoch auf dem Proxyserver umgehen, indem Sie eine falsche Anmeldeseite verwenden, auf der Sie nach Anmeldung/Kennwort gefragt werden.

Diese Methode ist schrecklich, da nur Anwendungen, die diese Seite anzeigen, den Proxy durchlaufen können. PuTTY kann diese Seite beispielsweise nicht anzeigen und sich daher nicht beim Proxy authentifizieren.

4
iXô

Die erste Frage sollte sein, warum Benutzer/Administratoren Reverse-SSH-Tunnel verwenden. Ich habe in einem Unternehmen gearbeitet, das über ein wirklich schlecht implementiertes VPN für die Remoteverwaltung verfügte, das nur die Verbindung zu einem Citrix-Server mit schlechten Tools ermöglichte. Daher haben wir SSH-Remote-Tunnel verwendet, um unsere Server remote remote zu verwalten. Die Tunnel waren nur von einem Bastion Host aus erlaubt. Der Host wurde mit deaktivierter Kennwortauthentifizierung, deaktivierter Stammanmeldung und aktivierter schlüsselbasierter Authentifizierung eingerichtet. Der umgekehrte Tunnel ermöglichte SSH-Verbindungen zurück zur DMZ, dann konnten Benutzer vom Bastion-Host nur zu einer Handvoll anderer Bastion-Hosts gelangen. Anstatt das Kaninchenloch hinunterzugehen, um das SSH-Tunneln mit MITM-Intercepting-Proxys, IDS, Blockierung des Zugriffs auf Administratoren-IPs und DPI-Firewalls zu blockieren. Bieten Sie den Benutzern/Administratoren eine bessere Lösung, erfüllen Sie deren Anforderungen, implementieren Sie dann eine Personalrichtlinie und setzen Sie diese durch.

2
Jerry

Luajit über Suricata IDPS bietet einige fortschrittliche Mechanismen zur Steuerung von SSH sowie SSL/TLS-Tunneln, um Proxy-Subversion, Reverse Shells et al. Zu verhindern.

Schauen Sie sich diesen ziemlich gründlichen, wenn auch nicht vollständig vollständigen Leitfaden an, um selbstsignierte Zertifikate mit Suricata und luajit zu finden - https://www.stamus-networks.com/2015/07/24/finding-self -signed-tls-certificates-suricata-and-luajit-scripting /

2
atdre

Die Frage, wie man ssh sichert, öffnet eine Dose Würmer. Hier sind diese Würmer.

Einige werden verrückt sein, wenn ich das sage, aber es ist etwas ziemlich Einfaches, das erreicht werden kann und "hätte so gebaut werden sollen" vor langer Zeit.

Dies kann getan werden, die meisten, die anderer Meinung sind, sind Nachbarn und wahrscheinlich für die Schwachstellen verantwortlich, mit denen wir derzeit in der Welt konfrontiert sind ... Ich schweife ab.

Der obige Vorschlag, den gesamten Datenverkehr über Proxys zu erzwingen, für die vor der Übergabe ein Einblick in den Datenverkehr erforderlich ist, ist ein guter Anfang und sollte ein Konzept sein, das zusätzlich zu Ihren Netzwerk- und physischen Sicherheitsrichtlinien und -methoden bereitgestellt und darauf abgestimmt wird, manchmal bis hin zum Laptop des Sicherheitsbeamten/Handy macht Hallendienst.

Steuern Sie Ihre Client-Workstations. Verdrahten Sie sie entsprechend. Vom WLAN trennen. Konstante Statusüberwachung auf "dummen Terminals" des Clients. USB ausgeschaltet. Stellen Sie Stromknotenpunkte für Personen bereit, die Strom benötigen. Lassen Sie alle Exporte einen Genehmigungsprozess durchlaufen, der IT-Verwaltungsverfahren umfasst.

Software auf diesen Workstations kann eine einfache Plattform mit minimalen Fähigkeiten sein, die eine Weboberfläche oder Clientanwendung bereitstellt, die sie sicher zu zugänglichen Ressourcen führt, die nur für ihre Rolle geeignet sind.

Drahtlos sollte vermieden werden, es sei denn, es befindet sich auf einem völlig anderen Kofferraum.

Dienste wie "Social Media-Plattformen" sollten "überbewertet" werden, da sie mehr Fehlalarme als tatsächliche Alerts sein sollten, damit das Unternehmen von den Informationen profitieren kann, die in ein "genutztes" Social Media-Netzwerk gelangen und aus diesem herauskommen.

All dies kommt von einem Low-Level-Support-Mitarbeiter, der viel zu viel Zeit zur Verfügung hat. Wenn Sie jedoch ein Netzwerk mit diesen Methoden haben, werden Sie bestätigen, dass es wertvoll ist, das Kommen und Gehen Ihrer Mitarbeiter zu kennen, nicht eine Verletzung der Privatsphäre, sondern ein Vorteil. An Ihrem Ort für sichere Daten sollte das einzige, was jemand verbergen muss, das Unternehmen und seine Daten sein, einschließlich wer und wie damit umgeht.

Wenn Sie heutzutage einen Grund für die Gewährleistung von Informationen haben, müssen Sie sich bei den Personen versichern, die sicherstellen, dass sichere Informationen bereitgestellt werden.

Mitarbeiter müssen Unternehmensdaten nicht mehr so ​​frei bewegen wie heutzutage.

Dies alles kann auf ein Minimum reduziert werden, geschweige denn durch physische Sicherheitsprotokolle erzwungen werden, um die Foto- und Videoaspekte von Daten-Exfil-Methoden zusätzlich zu üblichen Stiften und Papieren, "Killer-USB-Laufwerken" usw. einzuschränken.

1
Jeremy Ruhnke