SSH 터널링 트래픽을 차단하는 방법?

누군가가 직장이나 가정에서 ssh 터널을 설정하려는 경우 향후 SSH 터널링 트래픽을 방지 할 수있는 방법이 있습니까?

websense는 트래픽을 차단할 수 있지만 ssh 터널링을 사용하는 사용자는 websense 또는 기타 유사한 제품을 우회하여 패킷을 해독하거나 더 이상 볼 수 없기 때문에 합법적 인 트래픽과 불법적 인 트래픽의 차이점을 알 수 있습니다.

약간의 독서와 연구에서, 당신이 할 수있는 일이 다음과 같은 것을 발견했습니다.-SSH를 완전히 끕니다. 전혀 허용되지 않음-액세스 권한이 필요한 사용자 만 ssh 액세스를 제한하고 다른 모든 ssh 액세스를 거부하십시오-대상별로 ssh 트래픽을 블랙리스트 또는 화이트리스트에 추가하는 사용자 정의 프로토콜을 작성하십시오 (목록을 관리 할 수 ​​있다고 가정)-ssh 트래픽에 대한 로그 검토, 검토 대상 IP를 확인하고 합법적이거나 허용 가능한 장치로 해결되는지 확인하거나 터널링 트래픽보다 더 규칙적인 인터넷 트래픽이 있는지 확인하고 해당 IP를 거부 / 블랙리스트 할 수 있습니다

그러나 나는 이러한 옵션 외에도 중간자 공격을 통해 위의 옵션을 피할 수 있을지 궁금합니다.

또는 ssh 터널링 트래픽 또는이 트래픽을 필터링 / 차단할 수있는 일부 네트워크 장치를 차단하는 다른 옵션이 있습니까?

도와 주셔서 감사합니다.

아웃 바운드 ssh 연결 및 모든 터널을 방지하려면 깊은 패킷 검사를 통해 아웃 바운드 연결을 완전히 차단 해야합니다 . 포트를 보면 100 % 쓸모가 없습니다. 실제 패킷 페이로드를보고 SSH인지 확인해야합니다. (이것은 웹 센스가하는 일입니다.)

다른 옵션은 "프록시"호스트를 설정하는 것입니다. ssh 클라이언트 와 서버가 터널링을 허용하지 않도록 구성을 잠근 다음 해당 시스템 만 아웃 바운드 ssh 연결을 허용합니다. 물론 여기에는 시스템 보안도 포함됩니다. 그렇지 않으면 사람들이 원하는 ssh 소프트웨어를 실행할 수 있습니다.

사람들이 SSH를 프록시 해결 방법으로 사용하지 못하게하는 방법을 20kB / 초 정도로 제한하지 않는 이유는 웹에는 충분히 고통 스럽지만 콘솔 사용에는 눈에 띄지 않는 또 다른 방법이 있습니다.

정상적인 속도로 파일 전송을 허용하려면 옵션이 아닙니다.

SSH 서버 및 방화벽을 제어하는 ​​경우 SSH 서버가 사용중인 포트 (기본적으로 22)에 대한 액세스를 차단하여 액세스를 제어 할 수 있습니다. 포트가 이전에 열리지 않은 경우 인바운드 연결이 차단 될 수 있지만 아웃 바운드 연결이 허용 될 수 있습니다. 올바른 설계 및 계획을 통해 원하는대로 세밀하거나 거친 방식으로 액세스를 제어 할 수 있습니다.

SSH 서버를 제어하지 않으면 사용중인 포트를 보장 할 수 없으므로 포트만 기반으로 필터링하기가 훨씬 더 어려워집니다.

네트워크에있는 모든 사람이 SSH 서버에 액세스하도록 허용해야하지만 외부에있을 때 일부만 선택해야하는 경우 포트 노킹이 깔끔합니다.