Mon école bloque actuellement le trafic SSH sortant. Les utilisateurs à l'intérieur du réseau ne peuvent pas utiliser le port 22 et tenter de créer une connexion SSH sur un autre port sont également bloqués. (Je suppose que le pare-feu tombe tous les paquets qui semblent utiliser le protocole SSH.)
L'excuse indiquée pour cela est que, permettant au trafic SSH sortant mettrait des utilisateurs à l'intérieur du réseau à risque et qu'il permettrait "transfert de port". (Leurs mots non les miens) traduits, je pense que les administrateurs craignent qu'un virus sur l'ordinateur d'un utilisateur puisse utiliser SSH pour contacter la commande et les serveurs de contrôle. Je pense qu'ils veulent aussi garder le port fermé car il pourrait être utilisé pour les connexions proxy, tor, etc.
À ma connaissance, la plupart des virus "actifs" actuels n'utilisent pas SSH pour C & C. En outre, un proxy pourrait être établi sur tout port, n'est-ce pas? Tels que 80, qui est bien sûr déjà ouvert pour une navigation sur Internet régulière?
Je comprends qu'il y a des implications de entrant connexions SSH, mais je ne vois pas comment ne permettant pas aux élèves de faire des connexions sortantes améliore vraiment la sécurité tout autant. Pour un, cela m'empêche d'utiliser Github et Heroku, dont j'ai besoin pour mon emploi extérieur.
Quelqu'un pourrait-il s'il vous plaît répondre avec de plus en plus, de meilleures raisons pour lesquelles SSH sortant devrait être bloquée ou (de préférence) avec des raisons pour lesquelles cette politique de réseau est irrationnelle?
Je pense qu'ils veulent aussi garder le port fermé car il pourrait être utilisé pour les connexions proxy, tor, etc.
Oui, c'est l'explication la plus probable.
Il est possible que les logiciels malveillants deviennent sortants en utilisant SSH pour cacher le trafic. Il est également possible que les logiciels malveillants ou les utilisateurs puissent utiliser le transfert de port distant SSH pour permettre des connexions "entrantes" bloquées par le pare-feu. Celles-ci sont valables mais probablement des préoccupations moindre pour votre école.
Leur premier problème avec SSH n'est probablement pas que cela permet à ces tunnels, ce que vous soulignez pour pouvoir passer sur d'autres ports et autres protocoles, mais qu'il les cache sous le cryptage et bloque la capacité de l'administrateur de contrôler ce que le réseau est utilisé. pour. Alors que d'autres outils peuvent aussi faire cela, SSH est "hors de la boîte" et représente des fruits de suspension bas pour les bloquer.
Quelqu'un pourrait-il s'il vous plaît répondre avec de plus en plus, de meilleures raisons pour lesquelles SSH sortant devrait être bloquée ou (de préférence) avec des raisons pour lesquelles cette politique de réseau est irrationnelle?
Leurs raisons techniques sont valables mais éventuellement un peu spécieuses pour les exigences de sécurité (une école). Les raisons administratives sont valables pour eux, mais irrationnelles pour vous. Malheureusement pour vous, c'est leur réseau.
Où j'attends que vous serez bientôt tunneling Ssh-SSL.
Il est également important de noter que les "écoles" peuvent inclure des universités à forte intensité dans lesquelles les services de réseau sont essentiels à la recherche financée par les impôts, en particulier en informatique/ingénierie. En outre, les services informatiques sont généralement financés par les frais généraux retournés des subventions de recherche. Un réseau trop sécurisé peut interférer avec l'activité de recherche et la fourniture de services en ligne à partir de groupes de recherche. La mise en œuvre d'une politique "liste blanche" est plus qu'une nuisance dans le monde distribué et collaboratif de la recherche académique. C'est un plan de sortie des affaires.
Heureusement, lors de la plupart des universités de recherche, la faculté joue un rôle important dans la gestion institutionnelle et les politiques trop restrictives ne survivront généralement pas longtemps. Dans des universités plus petites, des collèges ou des écoles techniques, de telles politiques peuvent être pratiques, mais elles interfèrent probablement avec toute tentative de recherche "légitime".
En tant que professeur titulaire moi-même, toutes les restrictions SSH me forceraient à fermer mon laboratoire et à prendre mon travail ailleurs. Même si une politique "liste blanche" est disponible, je ne permettrais tout simplement pas que les opérations d'un laboratoire de recherche soient détenues sous le contrôle de certains gars. Je pose cette réponse dans l'espoir qu'un administrateur informatique pourrait la voir et réfléchir à deux fois avant de mettre en œuvre des politiques susceptibles de contraire des missions institutionnelles.
Je dirais que 90% du temps que vous rencontrez un argument comme celui-ci en ce qui concerne le tunneling, surtout dans une école, l'objectif est de prévenir vous former un tunneling. Si vous pouvez tunnel, vous pouvez contourner leur fil WebFilter. Si vous le pouvez, quelqu'un d'autre sera. Ensuite, après avoir assez de gens qui se passent, un twit regardera du porno dans la bibliothèque, d'avoir des ennuis, et quelqu'un demandera à la Sysadmin comment diable pouvant arriver.
J'ai travaillé comme administrateur de sécurité réseau dans un collège de ma ville.
Bien sûr, des politiques ont été créées pour permettre aux étudiants, aux clients, au personnel et aux enseignants .tc les libertés nécessaires à utiliser Internet.
L'une de nos classes de sécurité/laboratoire a été créée avec une ligne DSL extérieure pour cette liberté très liberté que nos dispositifs de sécurité et de sécurité internes n'autorisaient autrement.
Pour la question initiale posée, un problème de transfert SSH à HTTP est que, à terme, les gars de sécurité verront à quel point le trafic est utilisé par cette adresse IP, c'est-à-dire si vous utilisez SSH Redirect pour télécharger ..etc.
Oui, ils essaient de bloquer le transfert de ports. Ce genre de chose a toujours eu un peu de sens pour moi, surtout des choses comme Stunnel existent. Incidemment, si vous pouvez obtenir sur tout Site SSL sur Internet (sans erreur CERT, et sans une racine personnalisée installée par votre service informatique), vous pouvez alors avoir une tunnel de presque n'importe où n'importe où en utilisant tout protocole à l'intérieur d'un casque. C'est le principe selon lequel des choses comme l'utilisation de logMein.
Voir le HTTP Connect Verb Pour plus, et en général, ceci: https://secure.wikimedia.org/wikipedia/fr/wiki/tunneling_protocol
SSH est souvent utilisé pour "pare-feu", c'est-à-dire des tunnels en avant pour accéder aux ressources arbitraires en dehors du réseau, ou pire, offrant des tunnels inverse pour exposer les ressources internes. Oui, vous pourriez aussi tunnel sur SSL, mais comme les autres suggéraient, SSH est construit sur un tunnel.
Deux suggestions:
Avez-vous demandé à l'administrateur de la sécurité comment vous obtiendriez une exception? Étant donné que vous avez un besoin légitime pour SSH, vous n'êtes probablement pas le public cible pour le bloc. Si l'administrateur de la sécurité ne peut pas approuver l'exception, demandez-leur qui pourrait.
Vous pourrez peut-être utiliser Github sur SSL:
https://stackoverflow.com/questions/3777075/https-github-access
(Ignorez les commentaires sur SSH sur 443, je sais que vous avez mentionné qu'ils utilisent dpi pour arrêter votre SSH)
Heroku propose une console Web, mais je ne suis pas sûr que cela suffirait.
Dans un environnement scolaire où les tuyaux sont gros, il est préférable de verrouiller les choses. Si ce n'est pas des gens (étudiants, professeurs et autres) installera des logiciels P2P, des logiciels illégaux et de faire autre chose qui peut soulever la responsabilité de l'école, coûte des personnes de leur travail pour alimenter les intérêts personnels sans tenir compte de la manière dont cela affecterait l'entreprise.
Il est également nécessaire de prévenir l'accès à des sites Web dangereux, de détection de logiciels malveillants, etc. autant que possible dans un réseau scolaire d'entreprise. Comme un élève d'un étudiant pourrait potentiellement affecter tous les autres, en particulier si les ordinateurs sont sur un domaine. Les principales priorités du système et des administrateurs de réseau doivent garder les choses disponibles, sécurisées, non congestionnées, sûres et pour répondre aux besoins de la haute direction (doyens, VPS, présidents, etc.).
Normalement, il est plus sûr de faire une liste blanche au lieu d'une liste noire en termes de sécurité, mais cela peut également être frustrant pour ceux qui veulent s'amuser ou faire des recherches légitimes. Il devrait exister une procédure de processus de demande formelle de demander un accès à certains sites et de disposer de certains protocoles ouverts avec justification (le professeur a besoin de 9h à 14h, ou veut faire une démonstration en direct de quelque chose de cette nature).
Il faudra toujours travailler pour maintenir un équilibre entre sécurité et utilisation d'une sécurité avec la sécurité avant convivialité si quelque chose est connu pour être dangereux comme permettant une authentification FTP et autres protocoles non sécurisés d'authentification.