Come intercettare e bloccare tunnel ssh?

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
alex74vr
n00b
Messaggi: 5
Iscritto il: gio 08 nov , 2007 10:30 am

Ciao a tutti, il problema è il seguente: come riuscire a bloccare traffico originato all'interno della Lan verso l'esterno utilizzando tunnel ssh e ingannando quindi il firewall.

In sintesi:
1 - n client aprono sessioni ssh su porte 80 o 443 e si collegano con successo su ip pubblici, ingannando quindi il firewall.
2- vengono così autorizzati p2p e quantaltro mettendo a grave rischio la sicurezza della lan e creando notevole rallentamento della rete

Ho in mente una mezza idea, ma vediamo se qualcuno più esperto di me mi indirizza sul percorso ideale.

Pensavo di sniffare il traffico, fare un match fingerprint e creare una regola su ids-ips.

Grazie a tutti
Alessandro Bonafini
MCSA-Messaging
CCNA
Avatar utente
andrewp
Messianic Network master
Messaggi: 2199
Iscritto il: lun 13 giu , 2005 7:32 pm
Località: Roma

Quello che mi viene in mente al volo é una class-map che matcha l´ssh e poi vedi di bloccare tutto.

Meglio ancora se sniffi il traffico e fai mandare una lettera di richiamo a chi si sente piú furbo del mondo.


Ciao.
Manipolatore di bit.
alex74vr
n00b
Messaggi: 5
Iscritto il: gio 08 nov , 2007 10:30 am

Grazie per la risposta veloce, ho creato una class-map che matcha l'SSH e difatti lo blocca, ma solo sulla porta 22, se io cambio la porta di comunicazione sui client, utilizzando la porta 80 o 443 non viene effettuato il drop dei pacchetti sul router, ti posto la running-config
Grazie dell'aiuto


!
class-map match-all ssh_test
match protocol ssh
!
policy-map SDM-QoS-Policy-1
class ssh_test
drop
Alessandro Bonafini
MCSA-Messaging
CCNA
Avatar utente
andrewp
Messianic Network master
Messaggi: 2199
Iscritto il: lun 13 giu , 2005 7:32 pm
Località: Roma

Ti serve un apparato che controlli i layer 1-7, un application firewall, uno SCE, ma costano...devi valutare.
Manipolatore di bit.
alex74vr
n00b
Messaggi: 5
Iscritto il: gio 08 nov , 2007 10:30 am

Grazie, un esempio di apparato che controlli layer 1-7, ti riferisci sempre all'SCE?
Credo basterebbe l'introduzione del solo SCE per risolvere almeno un bel pò di problematiche.

Dipende sempre dalla dimensione della rete, l'SCE nella presentazione sembra venga principalmente utilizzato a livelo isp, ma in una network come la nostra, troverebbe un ampio spazio di utilizzo.
(Attualmente utilizziamo come core 4 catalyst 6500 in failover.)

Grazie della chiaccherata :D
Alessandro Bonafini
MCSA-Messaging
CCNA
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

figo 4 6500....

Nell'ISP dove lavoravo, il core della rete era fatto da soli 2 cat 6500+FWSM in failover... (senza SCE et similia).

In una rete come la tua, misa' proprio che serve :D


ciao
Rispondi