היי ,

יש לי שאלה היפוטתית בקשר ל ssh ואבטחה.

נניח לדוגמא , שמישהו , בארגון מסוים , פותח tunnel של ssh מאחת התחנות בתוך הארגון למכונה כלשהי מחוץ לארגון.

בסוף היום , הוא לא סוגר את ה tunnel , אלא משאיר אותו , מכבה את המסך והולך הביתה.

כרגע המצב הוא שכביכול יש לו tunnel פתוח לתוך הארגון ותאורטית יש לו גישה חופשית פנימה.

האם זה באמת המצב ? והבנתי את זה נכון ?

אם כן , איך מנהל הרשת מתגונן מפני דבר כזה , או מזהה דבר כזה.

אם לא , למה ?

IF there is no LOVE there is Nothing

שיש לב ש SSH עובד כמו TELNET למעשה. אתה מתחבר למחשב מרוחק, ואותו אתה מנהל.
באם יש לך גירסת SSH עדכנית, מאוד קשה למחשב שאליו התחברת בצד השני להתחבר אליך
דרך ה SSH מכיוון שאתה בצד השולט.
כיצד למנוע... ובכן, מעבר לפורט TCP 80 אין סיבה לתת לעובדים כלל להתחבר החוצה בפורטים אחרים..
אבל הנושא כבר קשור לתיכנון מערך אבטחת המידע בחברה, והאם בכלל זה מעניין את ההנהלה של החברה

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

ואני אסתור לחלוטין את זה שמעלי

אין שום עניין של שליטה - ע"ג tunnel של SSH ניתן לבצע tunnel בשני הכיוונים. אפשר לקבוע את נקודת ההאזנה כמקומית וכמרוחקת - מקומית זה עם הפרמטר L- ומרוחקת זה עם הפרמטר R-. זה אפילו כתוב ב manual, למרבה הפלא וההפתעה:

-R port:host:hostport
Specifies that the given port on the remote (server) host is to be forwarded to
the given host and port on the local side. This works by allocating a socket to
listen to port on the remote side, and whenever a connection is made to this port,
the connection is forwarded over the secure channel, and a connection is made to
host port hostport from the local machine. Port forwardings can also be specified
in the configuration file. Privileged ports can be forwarded only when logging in
as root on the remote machine. IPv6 addresses can be specified with an alterna-
tive syntax: port/host/hostport.

-L port:host:hostport
Specifies that the given port on the local (client) host is to be forwarded to the
given host and port on the remote side. This works by allocating a socket to lis-
ten to port on the local side, and whenever a connection is made to this port, the
connection is forwarded over the secure channel, and a connection is made to host
port hostport from the remote machine. Port forwardings can also be specified in
the configuration file. Only root can forward privileged ports. IPv6 addresses
can be specified with an alternative syntax: port/host/hostport

מה עושים נגד דברים כאלה? L7 Firewalling - למרות ששום דבר לא יעזור לך נגד מישהו נחוש באמת - אם יש יציאה החוצה - יש כבר דרך להעביר את מה שרוצים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

זה מה שהתכוונתי , ש ssh הוא הרי דו כיווני.

אז זה בעצם הקטע , שאם יש ארגון שמאפשר תקשורת מהסוג הזה החוצה , הוא בעצם משאיר את הדלת הזאת פתוחה לחלוטין גם פנימה.

מה זה בדיוק L7 firewalling ?

אפשר הסבר / לינק לחומר ממצה בנושא ?

IF there is no LOVE there is Nothing

עבודה ב L7 משמעה שהמוצר שעובד ב L7 מבין את הפרוטוקולים שעוברים דרכו (כי לימדו אותו כל אחד ואחד מהם) - ובהתאם לכך הוא יכול לפרק בקשות בפרוטוקולים שונים ולהחליט אם הוא מעביר אותן או אם לא בהתאם למאפיינים שונים של מידע שעובר בפרוטוקול (למשל - אתה יכול לאפשר תעבורה בכל הפורטים, אבל לבצע זיהוי של handshake של פרוטוקול SSH ואת זה לחסום - אז הכל יוכל לעבור - חוץ מ SSH. אממה - כמו שאמרתי - אם מישהו באמת נחוש, יש גם טריקים מסביב לזה...).

אין לזה סוף. חייבים לסמוך על העובדים... (או לחסום את האינטרנט, או לעבוד על בסיס של אישור פרטני של אתרים, למשל, כך שהעובד לא יוכל להתחבר למחשב שלו בבית דרך ה HTTP הפתוח - אבל עדיין יוכל לקרוא Ynet...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

וזה משהו שנכון להיום נפוץ בארגונים ?

אפשר אולי דוגמא למוצר כזה ?

IF there is no LOVE there is Nothing

יש הרבה מוצרים שמיישמים את זה, לא בהכרח באופן נכון. לעתים אפילו לא בשליטתך. למשל (שים לב שיש מצב שזה תוקן מאז) יש מצב בפיירוול של צ'קפויינט עם פרוטוקול SIP. הוא חושב שהוא מבין אותו. אבל מסתבר שלא כל כך - ולך תעביר SIP בין ממשקים כשצ'קפויינט החליטו שיש בעיית אבטחה בזה (בלי לשאול אותך! ובלי שום אפשרות שלך לבטל את זה - והמגבלה הזו אפילו מצויינת ב knowledge base שלהם...). זו סתם דוגמא כללית...

וכמובן שאפשר לעשות את זה באופן משולב עם מוצרים אחרים (כגון Snort).

וכמובן כמובן - הקרנל של לינוקס עושה דברים כאלה מזמן ותומך בזיהוי של לא מעט פרוטוקולים... http://l7-filter.sourceforge.net/protocols

נמאס לכם לזכור סיסמאות? לחצו כאן!

מדהים. באמת , זה פשוט כל כך מעניין שזה מדהים אותי כל פעם מחדש.


בכל אופן , חזרה לנושא הראשוני , שאני לא סגור עליו לחלוטין .

נגיד וכבר פתחתי tunnel החוצה , כלומר הוא כבר קיים.

מי שנמצא עכשיו ליד המכונה שה tunnel פתוח אליה , הרי יכול גם לגשת גם פנימה עכשיו.

נכון או לא נכון ?

IF there is no LOVE there is Nothing

אתה לא פותח tunnel, אתה פותח חיבור לשרת SSH מרוחק. ויש negotiation בין הלקוח לשרת לגבי מה יעבור על החיבור הזה. יכולים לעבור במקביל tunnel-ים, חיבורים ל shell, העברת אפליקציות X, העברות קבצים, ועוד כל מיני דברים. אז הכל תלוי במה התבקש בחיבור; כמובן, שעם שינוי הלקוח והשרת לגירסא מותאמת אישית משלך, תוכל לסדר את הדברים כך שתוכל לשנות אותם on-the-fly אפילו מהצד הרחוק גם אם במקור אי אפשר וחייבים לקבוע הכל ב client...

אז השאלה היא למה אתה קורא "פתחתי tunnel החוצה". התחברת ב SSH למחשב מרוחק? הוא לא יוכל להתחבר אלייך בחזרה. התחברת למחשב מרוחק, והסכמתם שהוא יוכל לפתוח session-ים של TCP דרכך כשהוא (השרת) מקבל חיבורים לפורט מסויים? אם כן, רק צריך שמישהו יפתח חיבור אל הפורט ההוא בצד המרוחק, ולקוח ה ssh שלך בשמחה יפתח את חיבור ה TCP להוסט ול IP שהגדרת לו - ויעביר את החיבור מהצד המרוחק לתוך הרשת שלך (באופן מוצפן כמובן...).

נמאס לכם לזכור סיסמאות? לחצו כאן!

ואיך אתה מיישם פה את ה L7 firewalling בשביל למנוע את כל זה ?

מה אתה מסנן ? איזה סוג פאקטות / פרוטוקולים ?

IF there is no LOVE there is Nothing

"מה שצריך" - קרא את הלינק שהבאתי לך

נמאס לכם לזכור סיסמאות? לחצו כאן!