प्रश्न: क्या स्थानीय नेटवर्क (संगठन के भीतर) में एसएसएच गतिविधि की निगरानी करना संभव है?


1

क्या संगठन के स्थानीय नेटवर्क के भीतर एसएसएच गतिविधि की निगरानी करना संभव है? विशेष रूप से यह संभव है:

  1. उन सर्वरों के साथ प्रति उपयोगकर्ता / मशीन के साथ खुले SSH कनेक्शन देखें, जिनसे वे जुड़े हुए हैं
  2. सूंघ एसएसएच यातायात। क्या होगा अगर सिस्टम एडमिनिस्ट्रेटर मेरी SSH कुंजियों को जानता है?

यदि मैं पोर्ट 22 के बजाय पोर्ट 80 पर कनेक्शन स्वीकार करने के लिए अपने एसएसएच सर्वर को कॉन्फ़िगर करता हूं तो ऐसा लगेगा कि मैं रिमोट मशीन पर कुछ वेब पेज ब्राउज़ कर रहा हूं? मूल रूप से मैं एसएसएच कनेक्शन को कुछ सर्वर पर बनाए रखने में सक्षम होना चाहता हूं और चिंता नहीं करता कि नेटवर्क के भीतर कोई व्यक्ति संचार को तार-तार करता है।

जवाबों:


2

उन सर्वरों के साथ प्रति उपयोगकर्ता / मशीन के साथ खुले SSH कनेक्शन देखें, जिनसे वे जुड़े हुए हैं

जब नेटवर्क ट्रैफ़िक आपके सिस्टम को छोड़ देता है, जब तक कि आप क्रॉसओवर केबल के माध्यम से किसी अन्य सिस्टम से भौतिक रूप से नहीं जुड़े होते हैं, तो यह कम से कम एक मध्यवर्ती प्रणाली का पता लगाता है। इन मध्यवर्ती प्रणालियों के सॉफ्टवेयर प्रत्येक पैकेट के बारे में मेटाडेटा रिकॉर्ड कर सकते हैं, जिसमें स्रोत आईपी / पोर्ट और गंतव्य आईपी / पोर्ट शामिल हैं। उन्नत सॉफ्टवेयर टीसीपी फ्लो के साथ टाई जैसी चीजें भी कर सकते हैं, पता है कि प्रोटोकॉल का क्या उपयोग किया जा रहा है, और समय, अवधि और बाइट्स जैसी चीजों को स्थानांतरित कर दें।

SSH के लिए, नेटवर्क ट्रैफ़िक को उस सिस्टम से मदद के बिना इसे उत्पन्न करने वाले उपयोगकर्ता को सहसंबंधित करना मुश्किल होगा, लेकिन यदि उपयोगकर्ता के सिस्टम रिकॉर्डिंग पर कुछ प्रोग्राम है जो शुरू होता है जो प्रक्रिया और कमांड लाइन तर्क देता है, तो जाहिर है कि कटौती की जा सकती ।

सूंघ एसएसएच यातायात। क्या होगा अगर सिस्टम एडमिनिस्ट्रेटर मेरी SSH कुंजियों को जानता है?

SSH एन्क्रिप्ट किया गया है, जिसका अर्थ है कि उपरोक्त जानकारी को चमकाया जा सकता है (जो कि नेटवर्क का पता लगाने वाली किसी भी चीज के बारे में सच है), ट्रांसमिशन की सामग्री या पेलोड को संरक्षित किया जाएगा।

यदि SSH कुंजी ज्ञात है तो इसे डिक्रिप्ट करना संभव है।


क्या आप कृपया प्रश्न के अंतिम भाग पर भी टिप्पणी कर सकते हैं - यदि मैं रिमोट मशीन पर पोर्ट 22 से पोर्ट 80 पर स्विच करता हूं, तो क्या ऐसा प्रतीत होगा जैसे मैं रिमोट मशीन पर इन उन्नत मध्यवर्ती प्रणालियों में कुछ वेब पेज ब्राउज़ कर रहा हूं? या क्या टीसीपी ट्रैफ़िक की संरचना से उपयोग किए गए प्रोटोकॉल को बताना संभव है?
ak0

ट्रैफ़िक की संरचना से उपयोग किए गए प्रोटोकॉल को बताना संभव है, लेकिन यह एक उन्नत ऑपरेशन है जो एक उन्नत फ़ायरवॉल या गेटवे डिवाइस पर होगा। एक बुनियादी फ़ायरवॉल जो पोर्ट 80 पर किसी भी ट्रैफ़िक की अनुमति देने के लिए बस सेट है, यह अनुमति देगा। यदि आप प्रोटोकॉल स्तर पर HTTPS ट्रैफ़िक की तरह दिखना चाहते हैं, तो आपने HTTPS टनल (विलंबता और सुस्ती को जोड़ते हुए) के माध्यम से अपने SSH को स्थापित और टनल किया है - मेरा मानना ​​है कि यदि आपके पास कोई सिस्टम है तो इसे पूरा करने के लिए उपकरण हैं नेटवर्क जो आने वाले कनेक्शन को स्वीकार कर सकता है।
LawrenceC

2

सुरक्षित कवच

परिभाषा के अनुसार SSH सुरक्षित है क्योंकि सभी ट्रैफ़िक को सभी नेटवर्क में पारगमन के दौरान एन्क्रिप्ट किया गया है। वायरटैपिंग कुछ ऐसी चीज नहीं है जिसके बारे में आपको एसएसएच से चिंता करनी पड़े।

SSH का संपूर्ण उद्देश्य ग्राहक और सर्वर के बीच एक एन्क्रिप्टेड कनेक्शन बनाना है ताकि यह सुनिश्चित किया जा सके कि उनके बीच संचारित कोई भी जानकारी किसी भी नेटवर्क पर इसके एन्क्रिप्टेड रूप के अलावा नहीं देखी जा सके।

पोर्ट को बदलना वैसे भी ट्रैफ़िक को कम करने के लिए बहुत कम होगा लेकिन यह आवश्यक नहीं है, जैसा कि मैंने कहा कि SSH पूरी तरह से एन्क्रिप्टेड है। यह केवल सबसे अच्छी तरह से 'सिक्योरिटी थ्रू ऑब्सेसॉरिटी' होगा जो कि वैसे भी आकार या रूप में सुरक्षा नहीं है।

भंग कीजे

यदि सिस्टम एडमिनिस्ट्रेटर के पास आपकी SSH कीज़ हैं तो वायरटैपिंग आपकी चिंता का विषय नहीं होगी क्योंकि वे सीधे सर्वर से कनेक्ट हो सकते हैं जो अकेले नेटवर्क पर भेजे गए ट्रैफ़िक को डिक्रिप्ट करते हैं।

यह संभव नहीं है कि आपके पास उनकी चाबियां हों क्योंकि इन्हें भेजे जाने पर सूँघा नहीं जा सकता है, क्योंकि इन्हें पारगमन में एन्क्रिप्ट किया गया है।

नेटवर्क कनेक्शन देखें

नेटवर्क व्यवस्थापक यह इंगित करने में सक्षम होंगे कि आपका उपयोगकर्ता खाता और कंप्यूटर पोर्ट 22 पर एक विशिष्ट आईपी पते से जुड़ा है, लेकिन वह सब वे देख पाएंगे। जब तक आपके सर्वर की सुरक्षा सही रूप से कॉन्फ़िगर नहीं हो जाती, तब तक मैं इसे एक बड़ी चिंता नहीं मानूंगा।

SSH सर्वर का सामना कर रहे इंटरनेट पर, एक या दो नेटवर्क व्यवस्थापक आपके कम से कम संभावित लोगों के आपके सर्वर को लक्षित करने की संभावना रखते हैं, आप सबसे अधिक संभावना पाएंगे कि लोग पहले से ही लगातार इस पर हमला कर रहे हैं, इसे 'इंटरनेट की पृष्ठभूमि शोर' कहा जाता है। यह आपके सामान्य लॉग की समीक्षा करके देखा जा सकता है। जब तक केवल कुंजी को सक्षम किया जाता है तब तक यह चिंता का विषय नहीं है, लेकिन मैं व्यक्तिगत रूप से इन कनेक्शनों को फ़िल्टर करने के लिए भी विफलता 2ban को चलाना पसंद करता हूं।

एसएसएच सुरक्षा चिंताएं

SSH का उपयोग करते समय सबसे बड़ी चिंता यह सुनिश्चित करने के लिए है कि हमलावर SSH सर्वर तक स्वयं पहुंच प्राप्त नहीं कर सकते, आमतौर पर जानवर बल के हमलों के माध्यम से लेकिन यह बहुत अधिक परिष्कृत लक्षित हमलों के माध्यम से भी किया जा सकता है।

SSH सर्वर को सुरक्षित करने का सबसे सरल और तेज़ तरीका पासवर्ड प्रमाणीकरण के बजाय मुख्य प्रमाणीकरण को सक्षम करना है।

यदि संभव हो तो आपको अपने एसएसएच सर्वर को इंटरनेट से हटा देना चाहिए और केवल आंतरिक रूप से या वीपीएन कनेक्शन के माध्यम से एक्सेस की अनुमति देनी चाहिए।

SSH सर्वर को सुरक्षित करने के कई और तरीके हैं जैसे दो कारक सुरक्षा और पैकेट खटखटाना।

टेलनेट उदाहरण

यह इन सटीक कारणों के लिए है कि टेलनेट अब बड़े पैमाने पर उपयोग में नहीं है। जैसा कि यह कनेक्शन को एन्क्रिप्ट नहीं करता है, सब कुछ सादे पाठ में नेटवर्क पर भेजा जाता है, जिसमें पासवर्ड भी शामिल है, जिसका अर्थ है कि नेटवर्क पर कोई भी जो पैकेट सूँघ रहा है या कनेक्शन लॉग की निगरानी आसानी से उपयोगकर्ता नाम और पासवर्ड की जानकारी प्राप्त कर सकता है और टेलनेट पर भेजा गया कुछ भी और कुछ भी। कनेक्शन।

अग्रिम जानकारी

SSH के बारे में अधिक जानकारी यहाँ पाई जा सकती है ...

SSH के लिए मैन पेज

ओपनएसएसएच वेबसाइट (सबसे बड़े एसएसएच सर्वर में से एक)

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.