왜 포트 22 아웃 바운드를 차단해야합니까?


61

저는 프로그래머이고 포트 22에서 네트워크가 나가는 연결을 차단하는 일부 클라이언트에서 근무했습니다. 프로그래머가 종종 ssh에 포트 22를 사용해야한다는 점을 고려하면 이는 비생산적인 절차처럼 보입니다. 기껏해야 프로그래머가 회사에 3G 인터넷 요금을 청구하도록 강요합니다. 최악의 경우, 효과적으로 업무를 수행 할 수 없다는 의미입니다.

이것이 어려운 점을 감안할 때 숙련 된 sysadmin이 유실 조치처럼 보이는 것에 대한 이점을 설명해 주시겠습니까?


1
항구를 막는 것은 전투의 절반에 불과합니다. 주기를 완료하려면 보호하려는 서비스가 비표준 포트에서 실행되고 있지 않은지 확인해야합니다.
aharden 2016 년

1
문제는 "블록 22 포트가 아웃 바운드 인 이유는 무엇입니까?" 비표준 포트에서 ssh 서비스를 실행하려는 이유는 백만 가지가 있습니다. 아웃 바운드 ... 별로는 아닙니다. Robert Moir의 대답에 +1을 썼습니다.
KPWINC 2016 년

@KPWINC는 제목에 설명을 추가했습니다. 감사!
runako 2018 년

3
포트 22를 판도라의 일종의 상자라고 생각하십시오. 네트워크 관리자는 트래픽의 내용을 볼 수 없으며 최악의 경우 ssh는 네트워크 보안을 우회하여 네트워크의 무결성을 손상시키는 데 사용될 수 있습니다.
biosFF 2016 년

1
@biosFF : 포트 443
Hello71

답변:


77

SSH 포트 포워딩에 대한 특정 위험을 자세히 알고있는 사람은 없습니다.

방화벽 내부에 있고 공용 인터넷의 머신에 대한 아웃 바운드 SSH 액세스 권한이있는 경우 해당 공용 시스템에 SSH를 사용하여 프로세스 중에 터널을 작성하여 공용 인터넷 사용자가 네트워크 내부의 시스템에 완전히 ssh 할 수 있습니다. 방화벽을 우회합니다.

fred가 데스크탑이고 barney가 회사의 중요한 서버이고 wilma가 공개 (fred)에서 실행중인 경우 :

ssh -R * : 9000 : barney : 22 윌마

그리고 로그인하면 공격자가 ssh가 wilma의 포트 9000에 접속하고 barney의 SSH 데몬과 통신 할 수 있습니다.

데이터는 원래 발신 방향으로 설정된 연결을 통과하기 때문에 방화벽은 들어오는 연결로 인식하지 않습니다.

성가 시지만 완전히 합법적 인 네트워크 보안 정책입니다.


1
매우 통찰력있는 답변에 감사드립니다. 이것은 개방 된 출항 항의 기술적 위험 (정치적 위험과 반대)을 다루는 몇 가지 대응 중 하나입니다.
runako 2018 년

6
기술적 인 이유가 +1되었습니다. (그러나 이것은 원격 호스트에서 TCP 22 이외의 다른 포트를 사용할 수도있는 악의적 인 인턴에 의해서만 가능합니다. 우리는 모든 정책을 차단할 수 있습니다)
DerMike

7
맞춤형 프로토콜과 영리한 프록시 프로그래밍을 사용하면 HTTPS를 통해 속도를 늦출 수 있습니다. 아웃 바운드 암호화 트래픽을 허용하는 한 이러한 종류의 "공격"에 취약합니다.
Michael Sondergaard

3
JamesF는 좋은 대응책이지만 매우 드문 시나리오를 가정하고 SSH 서버 / 클라이언트를 악용해야하기 때문에 고려해야 할 보안 문제는 아닙니다. 악의적 인 사용자는 먼저 SSH 서버 (데스크톱)를 이용하고 SSH 클라이언트 (비즈니스 호스트)를 이용하는 방법을 찾아야합니다. 포트 22를 사용하여 비즈니스 방화벽 호스트 (발신 포트 22 만 있음)에 액세스하거나 통신 할 수 없기 때문입니다. 보안 표준이 그렇게 높으면 어떤 상황에서도 비즈니스 호스트가 인터넷에 연결되어 있지 않아야합니다.
Dexter

1
iodineHTTPS 및 SSH를 사용할 수없는 경우 DNS를 통해 트래픽을 터널링 할 수 있습니다 (예 :로 ). 그러나 매우 느립니다.
Mark K Cowan

38

포트의 엉망을 막고 일부 물건을 무작위로 차단하고 다른 물건을 임의로 차단하는 경우 (SSH를 차단하고 Telnet을 허용 한 사람들에 대한 Paul Tomblin의 슬픈 이야기를 좋아합니다.) 외부에서 네트워크 경계를 확보하거나 보안 정책을 제대로 파악하지 못하는 것 같습니다. 당신은 그런 상황을 이해할 수 없으므로 고통을 겪고 하루 종일 계속하는 사람들에게 요금을 부과하십시오.

포트를 통한 트래픽을 허용하는 특정 비즈니스 사례가없는 한 모든 포트를 차단 하는 경우 신중하게 관리되는 시점 에서 업무 수행 능력이 뛰어나므로 수행중인 것입니다.

보안 응용 프로그램을 작성하려고 할 때 다른 프로세스가 정보를 쉽게 읽고 쓸 수있게하거나 사람들이 전화를 걸고 조심스럽게 위생 처리 할 수 ​​있도록주의 깊게 문서화 된 API가 있습니까?

위험 관리-네트워크를 통한 인터넷 트래픽이 위험하다고 생각되면 경로 수와 방법 수 측면에서 트래픽이 인터넷에 도달 할 수있는 방법의 양을 최소화하려고합니다. 그런 다음 선택된 "복수"게이트웨이 및 포트를 모니터링하고 필터링하여 해당 트래픽이 예상되는 트래픽인지 확인하십시오.

이것은 "기본 거부"방화벽 정책이며 일반적으로 몇 가지 경고 사항이 있습니다. 의미하는 것은 차단을 해제해야 할 특별한 이유가없는 한 모든 것이 차단되고 그 이유의 이점이 위험보다 중요하다는 것입니다.

편집 : 나는 분명히 하나의 프로토콜이 허용되고 다른 프로토콜의 위험에 대해 이야기하는 것이 아니라 통제되지 않은 상태에서 네트워크로 들어 오거나 정보가 유출되는 정보 비즈니스에 대한 잠재적 위험에 대해 이야기하고 있습니다. 방법.

이제주의 사항과 가능한 것들을 자유롭게 계획하십시오.

당신이 무언가에서 차단되면 성 가실 수 있습니다. 방화벽을 담당하는 사람들은 "여기 위험이 있습니다. 이제 어떤 이점이 있습니까? 우리가 할 수있는 일을 보도록하십시오"대신 "아니오"라고 자신의 일을 생각합니다.

클라이언트의 네트워크 보안을 관리하는 사람과 대화 할 경우 고객을 위해 무언가를 설정해야 할 수 있습니다. 마지막에 액세스해야하는 특정 시스템을 식별하고 특정 IP 주소에서만 연결을 보장 할 수있는 경우 특정 조건에 대한 SSH 연결에 대한 방화벽 예외를 생성하는 것보다 훨씬 더 좋을 수 있습니다 인터넷 전체에 연결하는 것입니다. 또는 방화벽을 통해 터널링하는 데 사용할 수있는 VPN 기능이있을 수 있습니다.


3
+1 포트를 통한 트래픽을 허용하는 특정 비즈니스 사례가없는 한 모든 포트를 차단하는 경우주의 깊게 관리 한 다음 직무에 능숙하기 때문에 수행합니다.
cop1152 2016 년

보안 담당자가 ssh를 모니터링 할 수는 없지만 Telnet은 모니터링 할 수 있기 때문에 -1입니다. 내 요점은 어리석은 네트워크 보안 정책이 있지만 실제 비즈니스 요구를 이해하지 않고 정책을 "무작위"및 "whackjob"으로 특성화하는 것도 짧은 사이트라는 것입니다.
pcapademic 2016 년

2
글쎄, 당신은 Eric에 대한 당신의 의견을 가질 자격이 있으며, 당신이 그 말을 중대하게 생각한다면 기꺼이 그 단어를 바꿀 것입니다.
Rob Moir 2016 년

"모든 포트"에 +1
Ian Boyd

18

로체스터 NY의 많은 대기업이 내가 그곳에서 일할 때 나가는 ssh를 차단했지만 telnet은 허용했습니다 ! 내가 그것에 대해 물었을 때, 그들은 ssh가 보안 구멍이라고 말했다.

다시 말해, 회사는 때때로 어리석은 결정을 한 다음 실수를 인정하기보다는 보안에 대한 변명을 변명합니다.


6
TELNET은 보안 허점입니다. 금지되어야합니다 (이것은 사람들이 미래에 더 바보 같은 결정을 내리기위한 것입니다).
nik

3
여기서 보안 구멍은 보안 표면에 따라 결정됩니다. 웹 사이트 소유자 인 경우 서버에 연결하려고하면 TELNET이 문제가됩니다. 가정 서버에 외부 연결을 시도하는 재무 회사 직원 인 경우 (고용주가 모니터링하는 회선을 통해) SSH는 고용주의 보안 구멍입니다!
nik

1
텔넷을 양방향으로 스푸핑하는 것이 얼마나 쉬운 지 고려할 때, 텔넷은 회사가 나가는 것을 허용하는 보안 구멍이라고 말합니다. 그러나 그것을 허용하지만 ssh를 허용하지 않는 회사는 어떤 경우에도 지능적인 보안 결정을 내리지 않을 것입니다.
Paul Tomblin

3
텔넷은 계속주는 선물입니다. 20 년 전에는 괜찮 았지만 이제는 그만두기를 바랍니다.
Rob Moir 2016 년

2
그것은 당신의 POV에 달려 있습니다. 그들은 아마도 우리가 쉽게 감사 할 수있는 Telnet을 통해 일부 레거시 프로세스에 액세스해야하는 사람들이 있었을 것입니다. OTOH, 당신은 SSH로 무슨 일이 일어나고 있는지 알지 못합니다. 사람들은 외국 네트워크에 대한 터널을 설정하고 모든 종류의 바보 같은 일을 할 수 있습니다. 요즘 텔넷을 사용해서는 안되지만 나가는 SSH를 허용하는 사람은 새로운 직업을 찾아야합니다.
duffbeer703 0

6

회사에서 외부 로그인을 허용하지 않는 경우 인바운드 SSH 통신 차단을 이해할 수 있습니다. 그러나 이것이 아웃 바운드 SSH 블록에 대해 처음 듣는 것입니다.

주목해야 할 것은 그러한 방화벽은 아마도 일반 SSH 사용자 만 제한한다는 것입니다. 누군가 외부에서 SSH를 원할 경우 (일반적으로 엔터프라이즈 네트워크 외부에서 상당한 액세스 권한을 가진 서버 / 컴퓨터에 연결됨) 22 이외의 포트 (예 : 포트 80)에서 SSH 서버를 쉽게 실행할 수 있습니다. 블록은 쉽게 우회됩니다.

HTTP (포트 80 또는 HTTPS 포트 443)를 통해 엔터프라이즈를 종료하고 외부의 포트 22에 연결할 수있는 프록시를 제공하는 여러 공개 도메인 도구도 있습니다.


편집 : 좋아, 잠깐만, 왜 이것이 정책 일 수 있는지에 대한 아이디어가 있습니다.

때때로 사람들은 SSH 터널을 사용하여 IM 및 Bittorrent와 같은 프로토콜에 대한 기본 아웃 바운드 방화벽을 우회합니다 (예 :). 이것은 // 그런 정책을 유발했을 수도 있습니다. 그러나 여전히 이러한 터널 도구 대부분이 22 이외의 포트에서 작동 할 수 있다고 생각합니다.

이러한 아웃 바운드 터널을 차단할 수있는 유일한 방법은 SSH 통신을 즉시 감지하고 이러한 TCP 연결을 (동적으로) 차단하는 것입니다.


3
포트 443은 이미 암호화 된 것으로 가정되기 때문에 더 좋습니다. 따라서 프록시는 이상한 데이터에 대해 화 내지 않습니다. 포트 443에서 수신 대기하는 ssh 서버를 쉽게 설정할 수 있으며 어디에서나 갈 수 있습니다.
bandi 2016 년

1
한 곳에서 일했던 동료 중 한 명이 웹 프록시를 통해 ssh 터널을 통해 모든 네트워크 트래픽을 자신의 가정용 컴퓨터의 포트 80으로 터널링하는 프로그램을 사용했습니다. 그는 원하는 프로토콜을 사용할 수 있었지만 회사 대신 집에서 나온 것처럼 보였습니다. 다행히도 그는 네트워크 관리자가 얼마나 우둔한 지 알았 기 때문에 잡힐 위험이 없었습니다.
Paul Tomblin

1
물론 방화벽을 우회하기 위해 이러한 정교한 춤 중 하나를 겪었다면, 무죄와 무지를 간청 할 수는 없습니다. 그 모든 것을하기가 조금 어려워서 "죄송합니다. 죄송합니다. 그냥 작동했습니다. 그래서 내가 잘못하고 있다는 것을 몰랐습니다."
Rob Moir 2016 년

4

규제 / 규정 준수 문제 일 수 있습니다. 고용주는 모든 대화 내용을 읽거나 보관할 수 있기를 원합니다. 이것은 종종 은행과 같은 산업에서 요구되는 사항입니다.


이것이 HTTPS도 차단해야한다는 것을 의미하지 않습니까?
runako 2016 년

3
아니요, SSL 검사를 활성화합니다. 이 프로세스는 HTTPS를 해독 한 다음 그룹 정책으로 모든 워크 스테이션에 신뢰할 수있는 인증서를 주입하여 인바운드 / 아웃 바운드 패킷을 다시 암호화합니다. 이러한 방식으로 HTTP와 동일한 방식으로 필터링 / 스캔 할 수 있습니다. 뱅킹 산업은 네트워크를 잠그기 가장 까다로운 환경 중 하나입니다.
spoulson

4

제 생각에는 아웃 바운드 포트 22를 차단해야하는 두 가지 주요 이유가 있습니다.

첫째, 사람들이 언급했듯이 SSH 포트 전달은 프록시로 사용되거나 다른 포트 및 서비스를 우회하여 그러한 트래픽이 허용되지 않는다는 IT 정책을 피할 수 있습니다.

둘째, 많은 악성 코드 / 봇넷은 종종 "보안"으로 간주되어 허용되기 때문에 포트 22를 사용합니다. 그런 다음 해당 포트에서 프로세스를 시작할 수 있으며 감염된 컴퓨터도 SSH 무차별 대입 공격을 시작할 수 있습니다.


3

필요한 경우가 아니면 모든 나가는 연결을 차단하는 경우가 많으며, 아무도 나가기 전에는 나가는 연결에 사용할 포트 22를 요청하지 않았습니다 (80, 433 등). 이 경우 솔루션은 IS / IT에 연락하여 예외 추가가 필요한 이유를 알려주는 것만 큼 간단합니다. 스테이션이 특정 호스트 또는 일반적으로 SSH 연결을 발신 할 수 있습니다.

때로는 사람들이이 기능을 사용하여 다른 컨트롤을 우회하기 위해 (링크를 통한 포트 전달을 통해) 프록시를 설정하는 방법으로 SSH를 사용할 수 있습니다. 이는 법적인 이유로 (내부자 거래 감지, 회사 또는 개인 데이터의 전송 감지 / 차단 등) 모든 회사의 의사 소통 / 모니터링이 필요한 일부 규제 산업 (예 : 은행) 또는 회사가있는 경우 매우 중요한 요소가 될 수 있습니다. 내부 유출로 인해 우발적으로 또는 기타 방식으로 영업 비밀이 유출되는 것을 두려워합니다. 이러한 경우, 3G 링크 (또는 HTTP를 통해 SSH를 터널링하는 등의 다른 기술)를 사용하여 제한을 우회하는 것은 계약 위반으로 인한 약탈 위반 (또는 아마도 더 나쁜 법적 위반) 일 수 있습니다. 시도하기 전에 행동에 동의하십시오.

또 다른 이유는 회사 실행 시스템에 자체적으로 설치하기 위해 관리 할 수없는 무언가가있을 경우 발신 발자국 (회사 방화벽 내의 호스트 및 일반적으로 세계에 액세스 할 수있는 내부 서비스로)을 줄이는 것입니다. 포트 22에서 SSH 연결이 가능하지 않은 경우 전파 경로 중 하나가 차단 될 때 무차별 SSH 로그인을 사용하는 많은 간단한 해킹이 발생합니다. 이 경우 방화벽을 제어하는 ​​사람들에게이 연결을 정당화 할 수있는 경우 시스템에서 SSH 연결을 수행 할 수 있도록 예외 추가를 다시 요청할 수 있습니다.


예, 아직 사용하지 않아도되는 모든 아웃 바운드 서비스가 기본적으로 차단되었을 수 있습니다.
nik

그러나 tcp / 22를 차단해도 안전한 아웃 바운드 통신을 막을 수는 없습니다 (사용자가 외부에 리스너를 가지고있는 한 모든 포트에서 이루어질 수 있으며, 이는 요즘 어려운 일이 아닙니다).
nik

내부 네트워크에서 SSH 통신을 사용하는 경우 차단이 작동하지 않고 SSH 통신이 필요하지 않은 경우 일반적으로 네트워크 내부에 취약한 SSH 수신 시스템이 없습니다. 그리고 일반적인 웜 전파는 SSH를 무력화하려고 시도하지 않습니다 ( en.wikipedia.org/wiki/SSHBlock 에 대한 걱정이있는 경우 ) Windows 시스템에서 tcp / 445를 시도 할 가능성이 큽니다.
nik

3

고객이 보유하고 싶은 사소한 데이터를 소유하고있을 수 있습니다. 아웃 바운드 SSH는 전체 네트워크에 대해 개방하기가 정말 나쁜 것입니다. 프록시를 우회하고 민감한 데이터를 유출하며 일반적으로 눈에 띄지 않는 것은 매우 사소한 일입니다.

IMO는 네트워크 / 인터넷 경계를 통과하는 모든 것을 이해하고 제어 할 수 있어야합니다. 개발자 그룹이 ssh를 통해 호스팅 제공 업체의 서버에 액세스해야하는 경우에는 문제가 없지만 문서화해야합니다. 일반적으로 내가 일한 곳에서 네트워크 외부 (본질적으로 내부 네트워크 확장)에 대한 사이트 간 VPN 전용 연결을 설정하고 인터넷을 통한 SSH와 같은 클라이언트 프로토콜을 피합니다.


답변 해주셔서 감사합니다. 제어 외부 사이트 (예 : EC2, 웹 호스트 등)에 대한 전용 VPN을 어떻게 처리합니까? 이러한 공급 업체는 일반적으로 이러한 사용자 지정 설정 만 기꺼이합니까, 아니면 일반적으로 비즈니스 측면에서 최소한의 노력을 기울여야합니까?
runako 2016 년

2
또한 사람들이 네트워크 외부 3G 카드를 사용하여 작업을 완료하도록 강요 할까 걱정하십니까? 내 경험상, 폐쇄 된 네트워크는 필연적으로 많은 3G 카드 및 기타 숨겨진 우회를 초래할 수 있습니다. 예외를 얻기 위해 전화. (인터넷에서 들어오는 첨부 파일을 허용하지 않는 메일 서버가 한 가지 심각한 사례에 해당합니다. Yikes!)이 잔액을 어떻게 관리하는지 궁금합니다.
runako 2018 년

1
ssh를 통한 포트 전달에 대한 의견을 추가하면 이것이 질문에 대한 정답이라고 생각합니다. ssh는 프록시 서버를 통해 허용하기에 좋은 프로토콜 일 수 있습니다. 관리자는 진행 상황을 모니터링하고 포트 전달을 차단할 수 있으며 사람들은 원격 셸 및 원격 복사 서비스에이를 사용할 수 있습니다.
pcapademic 2016 년

서비스의 90 %가 아웃 바운드 관리를 요구하지 않을 정도로 충분히 큽니다. 일반적으로 우리는 RFP에서 전용 VPN 터널을 요구 사항으로 지정하여이를 제공하지 않거나 제공 할 수없는 공급 업체를 제거하는 경향이 있습니다. 그로 인해 3G 및 이와 유사한 해결 방법을 사용하는 사람이 최소한이라고 생각합니다.
duffbeer703

또한 보안 담당자가 액세스를 지시하도록 할 수 없습니다. 보안 지원에 따라 애플리케이션 지원 및 네트워킹 담당자가 수용 가능한 솔루션을 개발할 수 있습니다. 생산에 들어가는 아침이 아니라 프로세스 초기에 솔루션을 해결하십시오. 그래도 요청을받을 때 DMV 스타일의 지연을 피할 수 있습니다.
duffbeer703

2

SSH는 VPN으로 사용될 수 있기 때문입니다. 네트워크 관리자는 문자 그대로 네트워크를 떠나는 것이 무엇인지 (고객 데이터베이스의 덤프 등) 알지 못하도록 암호화되어 있습니다. 방금 월간 "비밀 터널" 열에서이 내용을 다뤘습니다 . 일부 3G 인터넷의 비용은 네트워크 외부로 데이터를 채널링하는 암호화 된 프로토콜에 대해 걱정할 필요가 없습니다. 또한 나가는 포트 22와 트래픽 검사를 기본적으로 차단하면 비표준 포트에서 SSH를 쉽게 찾을 수 있으므로 보안 정책을 위반하는 사람들을 찾을 수 있습니다.


통찰력에 감사드립니다. 3G를 비밀 터널로 생각하지 않는 것 같습니다. 인터넷과 통신 할 때 사람들이 네트워크 외부에서 완전히 네트워크를 갖도록하는 것이 더 합리적인 이유에 대해 알아볼 수 있습니까? 아웃 바운드를 위해 개방형 22 미만의 불량 장치를 선호하는 것 같습니다.
runako 2018 년

1
"... 비표준 포트에서 SSH를 쉽게 찾을 수 있습니다 ..."정말? 443 이외의 포트에서 SSL / TLS 협상을 찾고 있습니까? 매우 궁금합니다.
Dscoduc 2016 년

ssh 트래픽, Google : snort / ssh / detection / content / rules, 다른 IDS에 대해서는 몰라 할 수 있지만 Snort가 할 수 있다면 그렇게하지 않아야합니다.
Kurt

1

SSH를 통해 SOCKS 프록시를 설치하기 위해 SSH의 기능을 악용하는 일부 사람들이 사이트 제한을 우회한다는 것을 알고 있습니다.

또는 ssh -L ....사이트 제한으로 인해 포트가 실제로 차단 된 경우 간단한 포트 전달 ( )도 있습니다.

  • 로컬 관리자
  • 프로젝트 관리자

그것들을 테이블로 가져 가서 이것이 차단 된 이유에 대해 자세히 설명하도록하십시오. 물론 내부 제품을 개발하기 위해 외부 SSH 포트에 액세스해야하는 적절한 이유가 있어야합니다 (내부 : 회사 snakeoil.invalid에서 작업 할 때 boxA.example.com에 액세스해야하는 이유).

그러나 나는 나가는 SSH를 차단하는 회사를 아직 보지 못했다 :)


나가는 SSH를 차단하는 한 회사를 보았습니다. 그들은 또한 거의 모든 것을 차단했으며 바이러스와 같이 프록시를 사용하여 모든 HTTP 전송을 검사했습니다. 이 회사는 중앙 증권 보관소였습니다.
Esko Luontola 2018 년

나는 이런 회사에서 일합니다. 다행히 SSH는 https를 통해 터널링 될 수 있습니다. 물론, 그들은 https를 포트 443으로 만 허용합니다. sslh를 구조에!
Mikeage 2016 년

proxytunnel FTW :)
serverhorror

1

명백한 답변이 모두 언급되었습니다. 터널 생성을 통해 정책을 우회하는 데 사용할 수있는 암호화 된 프로토콜 (회사 웹 필터를 통과하는 좋은 방법 임)과 무단 통신 채널 (역 프록시)로 인한 위협입니다.

텔넷은 모든 현대 네트워크에서 파괴되어야합니다. 그러나 ssh를 금지하면서 네트워크에서 텔넷을 허용하는 것을 볼 수 있습니다. Telnet은 ssh보다 기능이 적으며 항상 스니퍼를 통해 실시간으로 스트림을 모니터링 할 수 있습니다. 코어 네트워크에 텔넷 장치가없고 일부 사용자가 텔넷을 사용하려는 경우 어떻게해야합니까? 볼 수 있고 위협이 아닌지 확인합니다.

물론이 모든 것은 기본 정책이 모든 발신을 차단하고 특정 프로토콜 만 허용한다는 아이디어에 달려 있습니다. 당신이 가장자리에 충돌하기 전에 그들을 프록시 경우 보너스 포인트.


0

관리자가 SSH에 대해 문제가 있기 때문에 포트 22를 구체적으로 차단하는 경우는 아닙니다. 포트가 열려 있어야한다는 사실 만 알고 있습니다. 관리자에게 SSH가 열려 있어야한다는 메시지가 표시되지 않으면 관리자는 서버에서 사용하지 않는 서비스를 비활성화하는 것과 동일한 원칙으로 SSH를 차단합니다.


0

네트워크 관리자가 SSH 트래픽 을 구체적 으로 차단하기 위해 진지하고 진지한 노력을 기울이지 않는 한, 아웃 바운드 TCP / 22 블록은 우회하기 쉽습니다 . 또한 자산 관리자 는 3G 모뎀을 포착하기에 충분한 자산 인벤토리를 실행하고 두 번째 NIC에서 의심스러운 IP 주소를 충분히 확보 할 수 있어야합니다. 우리는 해당 지역에 ClearWire 서비스를 제공하므로 네트워크 보안에 대한 최종 실행 옵션으로 WiMax도 있습니다.

우리는 정보 유출에 주로 관심을 가지는 기관이 아닙니다. 그러나 만약 그렇다면, 감사와 함께 draconian 네트워크 보안 정책과 draconian 자산 정책을 결합해야합니다. 내가 아는 한, 기성품 보안 패키지가 존재한다고 생각하지 않습니다. 어떤 종류의 외부 네트워크 연결로 재고를 가진 자산의 네트워크 잭을 끌 것입니다. 다가올 수도 있습니다.

이러한 패키지가없는 경우 자산 인벤토리 프로세스는 3G 또는 WiMax와 같은 최종 네트워크 연결을 포착하는 가장 좋은 방법 중 하나입니다.

마지막으로, TCP / 22의 블라인드 차단은 업무용 네트워크에서 AUP를 위반하려는 최소한의 최종 사용자 만 차단합니다.


SCCM과 같은 보고서를 사용자 정의하여 해당 정보를 얻을 수 있습니다. 내가 일하는 곳에서는 개인 랩탑 또는 WAN 카드를 사용하여 네트워크 보안을 우회하는 것은 징계 대상이됩니다.
duffbeer703 2016 년

0

나는 사람들이 22를 통해 http 트래픽을 유도하고 있음을 발견했을 때 22가 차단되는 것을 보았습니다. 그것은 그것을 필요로했지만 조직이 자신의 입장을 고수 한 사람들에게는 쇼 스토퍼였습니다.


0

대부분의 대규모 조직은 모든 ​​것을 차단하고 프록시 서버를 통한 HTTP / HTTPS 액세스 만 허용합니다.

특별한 필요가없는 한 데스크탑이나 서버에서 직접 외부 연결을 허용하는 회사에 대해 매우 놀랐습니다.


0

포트 80에서 원격 sshd를 실행하는 것을 막을 수있는 것은 없습니다. ssh와 sshd 모두 -p 옵션을 사용하여 포트를 설정합니다.

물론 관리자가 똑똑하면 포트 22 트래픽뿐만 아니라 ssh 트래픽도 감시해야합니다. 따라서 기술적 인 문제가 아니라 정책 문제가있는 것 같습니다.

다른 사람들이 지적했듯이 암호화 된 프로토콜은 여러 규정 준수 문제에 대해 걱정 해야하는 사람들에게 가슴 앓이를 일으킬 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.