Питання: Чи можна здійснювати моніторинг діяльності SSH в локальній мережі (в організації)?

1

Чи можна проводити моніторинг діяльності SSH в локальній мережі організації? Зокрема, можна:

  1. Переглянути відкриті з'єднання SSH на користувача / машину разом з серверами, до яких вони підключені
  2. Сняти трафік SSH. Що робити, якщо системний адміністратор знає мої ключі SSH?

Якщо я налаштував сервер SSH на підключення на порт 80, а не на порт 22, він буде виглядати так, як я переглядаю деякі веб-сторінки на віддаленому комп'ютері? В основному я хочу мати можливість підтримувати SSH-з'єднання з яким-небудь сервером і не хвилюватися, що хтось в мережі прослуховує зв'язок.

ssh  port  network-monitoring 
ak0
джерело

Відповіді:

2

Переглянути відкриті з'єднання SSH на користувача / машину разом з серверами, до яких вони підключені

Коли мережевий трафік залишає вашу систему, якщо ви фізично не з'єднані з іншою системою через перехресний кабель, він проходить щонайменше одну проміжну систему. Програмне забезпечення на цих проміжних системах може записувати метадані про кожен пакет, включаючи вихідний IP / порт і IP / порт призначення. Розширене програмне забезпечення може навіть робити речі, як зв'язувати потоки TCP, знати, який протокол використовується, і відзначати такі речі, як час, тривалість і передані байти.

Для SSH важко було б співвіднести мережевий трафік з користувачем, що генерує його без допомоги системи, але якщо є якась програма на записі системи користувача, яка починає процес і аргументи командного рядка, очевидно, що це можна вивести .

Сняти трафік SSH. Що робити, якщо системний адміністратор знає мої ключі SSH?

SSH шифрується, що означає, що в той час як вищезгадана інформація може бути знайдена (що стосується всього, що проходить через мережу), вміст або корисне навантаження передачі буде захищено.

Це можна розшифрувати, якщо відомий ключ SSH.

LawrenceC
джерело
Не могли б ви також прокоментувати останню частину питання - якщо я переходжу з порту 22 до порту 80 на віддаленому комп'ютері, чи буде це виглядати так, як якщо б я переглядав деякі веб-сторінки на віддаленому комп'ютері до цих просунутих проміжних систем? Чи можна сказати протокол, який використовується тільки з структури трафіку TCP?
ak0
Можна сказати протокол, який використовується з структури трафіку, але це розширена операція, яка буде на розширеному брандмауері або шлюзовому пристрої. Базовий брандмауер, який просто встановлюється для забезпечення будь-якого трафіку на порту 80, дозволить це. Якщо ви хочете, щоб він виглядав як трафік HTTPS на рівні протоколу, ви налаштували і туннелювали ваш SSH через тунель HTTPS (додавання затримок і повільність) мережі, яка може приймати вхідні з'єднання.
LawrenceC
2

Безпечна оболонка

SSH за визначенням є безпечним, оскільки весь трафік шифрується під час транзиту по всіх мережах. Прослуховування телефонів - це не те, про що потрібно хвилюватися з SSH.

Вся мета SSH полягає в тому, щоб створити зашифроване з'єднання між клієнтом і сервером, щоб гарантувати, що жодна з інформації, що передається між ними, не може бути видно в будь-якій іншій мережі, ніж у її зашифрованому вигляді.

Зміна порту мало б замаскувати трафік, але це не є необхідним, як я вже сказав, що SSH повністю зашифрований. Це буде лише "Безпека через невизначеність" у будь-якому випадку, яка не є безпекою у будь-якому випадку, формі або формі.

Порушені ключі

Якщо системні адміністратори мають ваші ключі SSH, прослуховування телефонів не викликає занепокоєння, оскільки вони можуть безпосередньо підключатися до сервера, не кажучи вже про дешифрування трафіку, надісланого через мережу.

Малоймовірно, що вони мають ключі, оскільки вони не можуть бути вилучені під час відправлення, оскільки вони зашифровані в дорозі.

Переглянути мережні підключення

Мережеві адміністратори зможуть точно визначити, що ваш обліковий запис і комп'ютер підключені до певної IP-адреси в порту 22, але це все, що вони зможуть побачити. Я не вважав би це великим занепокоєнням, поки безпека серверів буде правильно налаштована.

На Інтернет-сервері, що стоїть перед сервером SSH, один або два адміністратори мережі, швидше за все, найменш вірогідні люди, які орієнтуються на ваш сервер, ви, швидше за все, знайдете, що люди вже постійно атакують його, це називається «фоновим шумом Інтернету». Це можна побачити, переглянувши журнали авторизації. До тих пір, поки включена лише авторизація ключа, це не викликає занепокоєння, але мені особисто подобається запускати fail2ban теж для фільтрації цих з'єднань.

Проблеми безпеки SSH

Найбільше занепокоєння при використанні SSH полягає в тому, щоб переконатися, що зловмисники не можуть отримати доступ до самого SSH-сервера, зазвичай через атаки грубої сили, але це може бути зроблено через набагато складніші цільові атаки.

Найпростіший і найшвидший спосіб захистити сервер SSH - це активація аутентифікації за допомогою ключа, а не автентифікація паролем.

Якщо можливо, ви повинні видалити ваш SSH-сервер з Інтернету і дозволити доступ лише внутрішньо або через з'єднання VPN.

Є ще багато способів захистити сервер SSH, наприклад, двофакторну безпеку і стукіт пакетів.

Приклад Telnet

Саме з цих точних причин телнет в значній мірі більше не використовується масово. Оскільки вона не шифрує з'єднання, все надсилається через мережу у вигляді звичайного тексту, включаючи пароль, а це означає, що будь-який користувач мережі, який є нюханням пакетів або контролює журнали підключень, може легко отримати інформацію про ім'я користувача та пароль, а також все, що надсилається через telnet з'єднання.

Додаткова інформація

Більш детальну інформацію про SSH можна знайти тут ...

Сторінка людини для SSH

Веб-сайт OpenSSH (один з найбільших серверів SSH)

Крейг Лоу
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.