フォーティネットNGFWでSSH Deep Inspection
。だから私の質問は、ディープインスペクションなど、暗号化されたパケットに対する悪意のあるアクティビティをどのように検査または発見できるかということです。
フォーティネットが提供するものと、それをどのように実装したかについては、よく知りません。ただし、一般にSSHディープインスペクションは SSLディープインスペクション に似ています。これは、エンドポイントがインスペクションアプライアンスによって提供された証明書またはキーを信頼する中間の「攻撃」を仕掛けます。 SSLインスペクションと同様に、元のサーバーキーをクライアントで使用することはできません(一致する秘密キーはサーバーだけが知っているため)。代わりに、固定キーまたは動的に生成されたキーが使用されます。 SSLでは、生成されたすべての証明書を受け入れるために、通常はすべてのクライアントにプロキシCAの信頼を追加するだけで十分です。しかし、SSHは証明書とPKIなしで一般的に使用されるため、各サーバーキーを直接信頼する必要があります。これは、SSHインスペクションがある場合とない場合の真のSSHですが、SSHインスペクションを使用すると、元のサーバーのフィンガープリントを使用して正しいキーを取得したかどうかを確認できなくなります。
そのような詳細な検査で何ができるかについては、 Fortinet:SSL/SSH検査 を見て、シェルアクセスの許可またはブロック、プログラムの実行、X11の使用、SSHによるポート転送の使用をサポートしているようです。他のファイアウォールでは、サブシステムへのアクセスを制限したり(sftpをブロックしたり)、SSHを介して実行できるコマンドと実行できないコマンドについて、より詳細なポリシーを提供したりできます。