Ciao a tutti, il problema è il seguente: come riuscire a bloccare traffico originato all'interno della Lan verso l'esterno utilizzando tunnel ssh e ingannando quindi il firewall.
In sintesi:
1 - n client aprono sessioni ssh su porte 80 o 443 e si collegano con successo su ip pubblici, ingannando quindi il firewall.
2- vengono così autorizzati p2p e quantaltro mettendo a grave rischio la sicurezza della lan e creando notevole rallentamento della rete
Ho in mente una mezza idea, ma vediamo se qualcuno più esperto di me mi indirizza sul percorso ideale.
Pensavo di sniffare il traffico, fare un match fingerprint e creare una regola su ids-ips.
Grazie a tutti
Come intercettare e bloccare tunnel ssh?
Moderatore: Federico.Lagni
- andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
Quello che mi viene in mente al volo é una class-map che matcha l´ssh e poi vedi di bloccare tutto.
Meglio ancora se sniffi il traffico e fai mandare una lettera di richiamo a chi si sente piú furbo del mondo.
Ciao.
Meglio ancora se sniffi il traffico e fai mandare una lettera di richiamo a chi si sente piú furbo del mondo.
Ciao.
Manipolatore di bit.
-
- n00b
- Messaggi: 5
- Iscritto il: gio 08 nov , 2007 10:30 am
Grazie per la risposta veloce, ho creato una class-map che matcha l'SSH e difatti lo blocca, ma solo sulla porta 22, se io cambio la porta di comunicazione sui client, utilizzando la porta 80 o 443 non viene effettuato il drop dei pacchetti sul router, ti posto la running-config
Grazie dell'aiuto
!
class-map match-all ssh_test
match protocol ssh
!
policy-map SDM-QoS-Policy-1
class ssh_test
drop
Grazie dell'aiuto
!
class-map match-all ssh_test
match protocol ssh
!
policy-map SDM-QoS-Policy-1
class ssh_test
drop
Alessandro Bonafini
MCSA-Messaging
CCNA
MCSA-Messaging
CCNA
-
- n00b
- Messaggi: 5
- Iscritto il: gio 08 nov , 2007 10:30 am
Grazie, un esempio di apparato che controlli layer 1-7, ti riferisci sempre all'SCE?
Credo basterebbe l'introduzione del solo SCE per risolvere almeno un bel pò di problematiche.
Dipende sempre dalla dimensione della rete, l'SCE nella presentazione sembra venga principalmente utilizzato a livelo isp, ma in una network come la nostra, troverebbe un ampio spazio di utilizzo.
(Attualmente utilizziamo come core 4 catalyst 6500 in failover.)
Grazie della chiaccherata
Credo basterebbe l'introduzione del solo SCE per risolvere almeno un bel pò di problematiche.
Dipende sempre dalla dimensione della rete, l'SCE nella presentazione sembra venga principalmente utilizzato a livelo isp, ma in una network come la nostra, troverebbe un ampio spazio di utilizzo.
(Attualmente utilizziamo come core 4 catalyst 6500 in failover.)
Grazie della chiaccherata
Alessandro Bonafini
MCSA-Messaging
CCNA
MCSA-Messaging
CCNA
-
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
figo 4 6500....
Nell'ISP dove lavoravo, il core della rete era fatto da soli 2 cat 6500+FWSM in failover... (senza SCE et similia).
In una rete come la tua, misa' proprio che serve
ciao
Nell'ISP dove lavoravo, il core della rete era fatto da soli 2 cat 6500+FWSM in failover... (senza SCE et similia).
In una rete come la tua, misa' proprio che serve
ciao