Je viens de voir une option dans Fortinet NGFW concernant, SSH Deep Inspection
. Ma question est donc à quel point une inspection profonde ou autre peut inspecter ou trouver une activité malveillante sur des paquets cryptés?
Je ne connais pas exactement avec ce que Fortinet offre et comment ils l'ont mis en œuvre. Mais en général, l'inspection profonde SSH est similaire à inspection SSL profonde : Cela fait un homme au milieu "Attack" où le point final fait confiance au certificat ou à la clé fournie par l'appliance d'inspection. Identique à l'inspection SSL, la clé de serveur d'origine ne peut pas être utilisée avec le client (puisque la clé privée correspondante n'est connue que du serveur), mais une clé générée fixe ou dynamique sera utilisée à la place. Avec SSL, il suffit généralement d'ajouter une confiance pour le proxy CA à tous les clients afin d'accepter tous les certificats générés. Mais puisque SSH est couramment utilisé sans certificats et sans PKI, il faut faire confiance à chaque clé de serveur directement. C'est vrai SSH avec et sans inspection SSH, mais avec inspection SSH, vous ne pouvez plus utiliser l'empreinte digitale des serveurs d'origine pour vérifier si vous avez la bonne clé.
Quant à ce que vous pouvez faire avec une telle inspection profonde: regarder Fortinet: inspection SSL/SSH Il semble être qu'elles prennent en charge l'accès à l'accès au shell, l'exécution de programmes, en utilisant X11 et en utilisant le transfert de port via SSH . D'autres pare-feu peuvent également restreindre l'accès aux sous-systèmes (c'est-à-dire Block SFTP) ou fournir une stratégie plus granuleuse pour laquelle des commandes peuvent être exécutées sur SSH et non.