1

Можно ли отслеживать активность SSH в локальной сети организации? В частности, возможно ли:

  1. Просмотр открытых SSH-соединений для каждого пользователя / машины, а также серверов, к которым они подключены
  2. Нюхать SSH трафик. Что, если системный администратор знает мои ключи SSH?

Если я настрою свой SSH-сервер для приема соединений через порт 80 вместо порта 22, будет ли это выглядеть так, будто я просматриваю некоторые веб-страницы на удаленном компьютере? По сути, я хочу иметь возможность поддерживать SSH-соединение с каким-либо сервером и не беспокоиться о том, что кто-то в сети прослушивает связь.

2 ответа2

2

Безопасная оболочка

SSH по определению является безопасным, поскольку весь трафик зашифрован во время передачи по всем сетям. Прослушивание телефонных разговоров - это не то, о чем вам нужно беспокоиться по поводу SSH.

Вся цель SSH - создать зашифрованное соединение между клиентом и сервером, чтобы гарантировать, что никакая информация, передаваемая между ними, не будет видна в любой сети, кроме как в зашифрованном виде.

Изменение порта в любом случае мало что замаскирует, но в этом нет необходимости, как я уже говорил, SSH полностью зашифрован. В любом случае, в лучшем случае это будет только «Безопасность через непрозрачность», которая в любом случае не является безопасностью.

Взломанные ключи

Если у системных администраторов есть ваши SSH-ключи, перехват телефонных разговоров не будет вас беспокоить, поскольку они могут напрямую подключаться к серверу, не говоря уже о дешифровании трафика, отправляемого по сети.

Маловероятно, что у них есть ваши ключи, так как их невозможно отследить при отправке, так как они зашифрованы при передаче.

Просмотр сетевых подключений

Сетевые администраторы смогут определить, что ваша учетная запись пользователя и компьютер подключены к определенному IP-адресу на порту 22, но это все, что они смогут увидеть. Я не считаю это серьезной проблемой, если безопасность вашего сервера настроена правильно.

На SSH-сервере, подключенном к Интернету, один или два сетевых администратора, скорее всего, являются вашими наименьшими вероятными людьми, которые будут нацеливаться на ваш сервер, вы, скорее всего, обнаружите, что люди уже постоянно атакуют его, это называется «фоновый шум Интернета». Это можно увидеть, просмотрев ваши журналы авторизации. Пока включен только ключ авторизации, это не проблема, но лично мне нравится запускать fail2ban, чтобы отфильтровать эти соединения.

Проблемы безопасности SSH

Самая большая проблема при использовании SSH состоит в том, чтобы гарантировать, что злоумышленники не смогут получить доступ к самому серверу SSH, как правило, с помощью атак методом перебора, но это также можно сделать с помощью гораздо более сложных целевых атак.

Самый простой и быстрый способ защитить сервер SSH - включить аутентификацию по ключу, а не по паролю.

Если возможно, вы должны удалить свой SSH-сервер из Интернета и разрешить доступ только внутренне или через VPN-соединение.

Есть много других способов защитить SSH-сервер, таких как двухфакторная защита и детонация пакетов.

Пример Telnet

Именно по этим точным причинам telnet больше не используется массово. Поскольку он не шифрует соединение, все данные по сети передаются в виде простого текста, включая пароль. Это означает, что любой пользователь в сети, который отслеживает пакеты или отслеживает журналы подключений, может легко получить информацию об имени пользователя и пароле, а также все, что отправлено через телнет. подключение.

Дальнейшая информация

Более подробную информацию о SSH можно найти здесь ...

Справочная страница по SSH

Сайт OpenSSH (один из крупнейших SSH-серверов)

2

Просмотр открытых SSH-соединений для каждого пользователя / машины, а также серверов, к которым они подключены

Когда сетевой трафик покидает вашу систему, если вы физически не подключены к другой системе через перекрестный кабель, он проходит по крайней мере одну промежуточную систему. Программное обеспечение в этих промежуточных системах может записывать метаданные о каждом пакете, включая исходный IP/ порт и целевой IP/ порт. Усовершенствованное программное обеспечение может даже выполнять такие вещи, как связывание потоков TCP, знать, какой протокол используется, и записывать такие вещи, как время, продолжительность и количество переданных байтов.

Для SSH было бы трудно соотнести сетевой трафик с пользователем, генерирующим его, без помощи вовлеченной системы, но если в системной записи пользователя есть какая-то программа, которая запускает какой процесс и аргументы его командной строки, очевидно, что это можно вывести ,

Нюхать SSH трафик. Что, если системный администратор знает мои ключи SSH?

SSH зашифрован, что означает, что в то время как вышеупомянутая информация может быть собрана (что верно для всего, что пересекает сеть), контент или полезная нагрузка передачи будут защищены.

Это можно расшифровать, если известен ключ SSH.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .