アウトバウンドSSHトラフィックを許可する場合、どのようなセキュリティ上の影響がありますか?
私の学校は現在、発信SSHトラフィックをブロックしています。ネットワーク内のユーザーはポート22を使用できず、別のポートを介してSSH接続を試みることもブロックされます。 (ファイアウォールがSSHプロトコルを使用していると思われるパケットをすべてドロップすることを想定しています。)
これに対する言い訳は、アウトバウンドSSHトラフィックを許可するとネットワーク内のユーザーが危険にさらされ、「ポート転送」が許可されることです。 (私の言葉ではありません)翻訳すると、管理者はユーザーのコンピューター上のウイルスがSSHを使用してコマンドアンドコントロールサーバーに接続しようとするのではないかと心配しています。また、プロキシ接続やTORなどに使用できるため、ポートを閉じたままにしたいと考えています。
私の知る限りでは、現在の「アクティブ」ウイルスのほとんどは、C&CにSSHを使用していません。また、任意のポートを介してプロキシを確立できますか? 80など、通常のインターネットブラウジング用にすでに開いているものはどれですか。
inbound SSH接続の影響があることは理解していますが、学生に発信接続を許可しないことでセキュリティが大幅に向上することはわかりません。 1つは、外部の仕事に必要なGithubとHerokuを使用できないことです。
誰かが、アウトバウンドSSHをブロックする必要があるより良い理由、または(できれば)このネットワークポリシーが不合理である理由のいずれかで応答できますか?
また、プロキシ接続やTORなどに使用できるため、ポートを閉じたままにしたいと考えています。
はい、それは最も可能性の高い説明です。
マルウェアがSSHを使用して発信し、トラフィックを隠す可能性があります。マルウェアまたはユーザーがSSHリモートポート転送を使用して、ファイアウォールによってブロックされた「受信」接続を許可する可能性もあります。これらは有効ですが、おそらくあなたの学校にとってはそれほど心配ではありません。
SSHの主な問題は、これらのトンネルを許可することではない可能性があります。指摘すると、他のポートや他のプロトコルを通過する可能性がありますが、暗号化の下にそれらを隠し、管理者がネットワークの使用を制御する機能をブロックします。ために。他のツールでもこれを行うことができますが、SSHは「すぐに使える」ものであり、ブロックするためのぶら下がり果物を表しています。
誰かが、アウトバウンドSSHをブロックする必要があるより良い理由、または(できれば)このネットワークポリシーが不合理である理由のいずれかで応答できますか?
それらの技術的な理由は有効ですが、(学校の)レベルのセキュリティ要件については少し疑わしいかもしれません。管理上の理由は有効ですが、あなたには不合理です。残念ながら、それは彼らのネットワークです。
近いうちにSSH-over-SSLをトンネリングすることを期待しています。
また、「学校」には、特にコンピュータサイエンス/エンジニアリングにおいて、税サービスの研究にネットワークサービスが不可欠である、研究集約型の大学が含まれる場合があることに注意することも重要です。さらに、IT部門は通常、研究助成金から返却される諸経費から資金を得ています。安全性が高すぎるネットワークは、研究活動や研究グループからのオンラインサービスの提供を妨害する可能性があります。 「ホワイトリスト」ポリシーの実装は、学術研究の分散した共同作業の世界での迷惑以上のものです。廃業計画です。
幸いなことに、ほとんどの研究大学では、教員が制度管理において強力な役割を果たしており、過度に制限された政策は一般的に長く存続しません。小規模な大学、カレッジ、専門学校では、このようなポリシーは便利かもしれませんが、「正当な」研究の試みを妨害する可能性があります。
私自身、在任中の教授として、SSHの制限があると、私は自分の研究室をシャットダウンして別の場所に仕事を連れて行かなければなりませんでした。 「ホワイトリスト」ポリシーが利用できる場合でも、私は、研究所の運営がITの誰かの管理下に置かれることを許可しません。この回答は、IT管理者に表示されることを期待して投稿しており、組織のミッションに矛盾する可能性のあるポリシーを実装する前によく考えます。
トンネリングに関してそのような議論に遭遇する時間の90%以上、特に学校では、目標はyoがトンネリングするのを防ぐことだと思います。トンネリングできる場合は、Webフィルターをバイパスできます。できれば、他の誰かがそうします。その後、十分な数の人々が追いついた後、図書館でポルノを見たり、トラブルに巻き込まれたり、誰かがシステム管理者に何が起こったのかを尋ねたりします。
私は私の町の大学でネットワークセキュリティ管理者として働いていました。
もちろん、学生、ゲスト、スタッフ、教師などがインターネットを使用するために必要な自由を許可するためのポリシーが作成されました。
私たちのセキュリティクラス/ラボの1つは、ファイアウォールと内部セキュリティデバイスが他の方法では許可しない非常に自由な外部DSLラインでセットアップされました。
元の質問で、sshをhttpに転送する場合の問題は、最終的にセキュリティ担当者がそのIPで使用されているトラフィック量を確認できることです。これは、ダウンロードにsshリダイレクトを使用している場合などです。
はい、ポート転送をブロックしようとしています。特に stunnel のようなものが存在するため、このようなことは常に私にとってほとんど意味がありませんでした。ちなみに、インターネット上のanySSLサイトにアクセスできる場合(証明書エラーなし、およびIT部門によってインストールされたカスタムルート証明書なし)、その後、トンネル内の任意のプロトコルを使用して、ほとんどどこにでもトンネルアウトできます。これは、LogMeInなどが使用する原則です。
詳細については HTTP Connect動詞 を参照してください。一般的には次のようになります。 https://secure.wikimedia.org/wikipedia/en/wiki/Tunneling_protocol
SSHは多くの場合、「ファイアウォールピアシング」、つまりフォワードトンネルを提供してネットワーク外の任意のリソースにアクセスするか、逆にリバーストンネルを提供して内部リソースを公開するために使用されます。はい、SSLを介してトンネリングすることもできますが、他の人が示唆しているように、SSHはトンネリング用に構築されています。
2つの提案:
例外を取得する方法をセキュリティ管理者に尋ねましたか? SSHの正当なニーズがある場合、あなたはおそらくブロックの対象読者ではありません。セキュリティ管理者が例外を承認できない場合は、誰が承認できるかを尋ねてください。
SSL経由でgithubを使用できる場合があります。
https://stackoverflow.com/questions/3777075/https-github-access
(443を超えるSSHに関するコメントは無視してください。DPIを使用してSSHを停止しているとのことですが)
HerokuはWebコンソールを提供していますが、それで十分かどうかはわかりません。
パイプが大きい学校の環境では、物事を封鎖するのが最善です。そうでない場合、人々(学生、教職員など)はp2pソフトウェアや違法ソフトウェアをインストールし、学校の責任を引き上げる可能性のあるその他のことを行い、企業への影響を考慮せずに個人の利益を高めるために人々の仕事にコストをかけます。
また、企業の学校ネットワークでは、危険なWebサイトへのアクセスやマルウェアの検出などをできる限り防ぐ必要があります。特にコンピュータがドメイン上にある場合、1人の生徒による1つの混乱は他のすべてに影響を与える可能性があります。システム管理者とネットワーク管理者の主な優先事項は、物事を利用可能、安全、混雑せず、安全に保ち、上級管理職(学部長、VP、社長など)のニーズを満たすことです。
通常、セキュリティの観点からブラックリストではなくホワイトリストを実行する方が安全ですが、楽しみたい、または正当な研究をしたい人にとってもイライラすることがあります。特定のサイトへのアクセスを要求し、正当な理由で特定のプロトコルを開く正式な要求プロセス手順が必要です(教授は午前9時から午後2時までそれを必要とするか、またはそのような性質のライブデモを行いたいと考えています)。
Ftpやその他の非セキュアプロトコルによる認証を許可するなど、安全でないことがわかっている場合は、セキュリティと使いやすさのバランスを維持するための作業が常に必要です。