CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

Come intercettare e bloccare tunnel ssh?

https://www.ciscoforums.it/viewtopic.php?f=17&t=11483

Pagina 1 di 1

Come intercettare e bloccare tunnel ssh?

Inviato: mer 19 ago , 2009 5:46 pm
da alex74vr
Ciao a tutti, il problema è il seguente: come riuscire a bloccare traffico originato all'interno della Lan verso l'esterno utilizzando tunnel ssh e ingannando quindi il firewall.

In sintesi:
1 - n client aprono sessioni ssh su porte 80 o 443 e si collegano con successo su ip pubblici, ingannando quindi il firewall.
2- vengono così autorizzati p2p e quantaltro mettendo a grave rischio la sicurezza della lan e creando notevole rallentamento della rete

Ho in mente una mezza idea, ma vediamo se qualcuno più esperto di me mi indirizza sul percorso ideale.

Pensavo di sniffare il traffico, fare un match fingerprint e creare una regola su ids-ips.

Grazie a tutti

Inviato: gio 20 ago , 2009 12:26 pm
da andrewp
Quello che mi viene in mente al volo é una class-map che matcha l´ssh e poi vedi di bloccare tutto.

Meglio ancora se sniffi il traffico e fai mandare una lettera di richiamo a chi si sente piú furbo del mondo.


Ciao.

Inviato: mer 26 ago , 2009 10:08 am
da alex74vr
Grazie per la risposta veloce, ho creato una class-map che matcha l'SSH e difatti lo blocca, ma solo sulla porta 22, se io cambio la porta di comunicazione sui client, utilizzando la porta 80 o 443 non viene effettuato il drop dei pacchetti sul router, ti posto la running-config
Grazie dell'aiuto


!
class-map match-all ssh_test
match protocol ssh
!
policy-map SDM-QoS-Policy-1
class ssh_test
drop

Inviato: gio 27 ago , 2009 7:12 am
da andrewp
Ti serve un apparato che controlli i layer 1-7, un application firewall, uno SCE, ma costano...devi valutare.

Inviato: gio 27 ago , 2009 8:01 am
da alex74vr
Grazie, un esempio di apparato che controlli layer 1-7, ti riferisci sempre all'SCE?
Credo basterebbe l'introduzione del solo SCE per risolvere almeno un bel pò di problematiche.

Dipende sempre dalla dimensione della rete, l'SCE nella presentazione sembra venga principalmente utilizzato a livelo isp, ma in una network come la nostra, troverebbe un ampio spazio di utilizzo.
(Attualmente utilizziamo come core 4 catalyst 6500 in failover.)

Grazie della chiaccherata :D

Inviato: gio 27 ago , 2009 12:29 pm
da Gianremo.Smisek
figo 4 6500....

Nell'ISP dove lavoravo, il core della rete era fatto da soli 2 cat 6500+FWSM in failover... (senza SCE et similia).

In una rete come la tua, misa' proprio che serve :D


ciao
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it