bagaimana cara memblokir lalu lintas ssh tunneling?

jika seseorang membuat ssh tunnel ke / dari kantor atau rumah, apakah ada cara untuk mencegah lalu lintas tunneling SSH di masa depan?

Saya memahami bahwa websense dapat memblokir lalu lintas, tetapi pengguna yang menggunakan ssh tunneling dapat mem-bypass websense atau produk serupa lainnya karena tidak dapat mendekripsi atau melihat lebih jauh dalam paket untuk mengetahui perbedaan antara lalu lintas yang sah atau tidak sah.

dari beberapa bacaan dan penelitian, saya menemukan bahwa beberapa hal yang dapat Anda lakukan adalah sebagai berikut: - matikan SSH sama sekali; sama sekali tidak diizinkan - batasi akses ssh hanya untuk pengguna yang membutuhkannya untuk akses dan tolak semua orang akses ssh - buat protokol khusus untuk daftar hitam atau lalu lintas daftar putih ssh menurut tujuan (dengan asumsi daftar dapat diubah-ubah) - tinjau log untuk lalu lintas ssh, tinjau IP tujuan dan periksa apakah mereka memutuskan untuk perangkat yang sah atau diizinkan atau tidak, atau memeriksa apakah ada lebih banyak lalu lintas internet reguler daripada lalu lintas tunneling dan Anda dapat menolak / daftar hitam IP itu

Tapi saya bertanya-tanya, selain opsi-opsi ini, mungkinkah untuk menghindari opsi-opsi di atas melalui serangan manusia-di-tengah?

Atau ada opsi lain untuk memblokir lalu lintas tunneling ssh atau bahkan beberapa perangkat jaringan yang dapat menyaring / memblokir lalu lintas ini?

Terima kasih untuk bantuannya.

Mencegah koneksi ssh keluar, dan dengan demikian setiap terowongan, akan membutuhkan blokade lengkap koneksi keluar melalui inspeksi paket yang mendalam. Melihat port akan 100% tidak berguna. Anda harus melihat muatan paket yang sebenarnya untuk mengetahui itu SSH. (Inilah yang dilakukan websense.)

Satu-satunya opsi lain adalah menyiapkan host "proxy". Mengunci konfigurasi sehingga klien dan server ssh tidak akan mengizinkan tunneling, kemudian hanya mengizinkan mesin itu untuk membuat koneksi ssh keluar - tentu saja, ini termasuk mengamankan sistem juga, jika tidak orang dapat menjalankan perangkat lunak ssh apa pun yang mereka inginkan.

Ada metode lain, jika Anda hanya melihat menghentikan orang menggunakan SSH sebagai solusi proxy mengapa tidak menilai batasnya untuk mengatakan 20kB / detik atau lebih, yang akhirnya cukup menyakitkan untuk web, tetapi tidak terlihat untuk penggunaan konsol.

Jika Anda ingin mengizinkan transfer file dengan kecepatan normal, ini tidak akan menjadi pilihan.

Jika Anda mengontrol server SSH dan firewall maka Anda dapat mengontrol akses dengan memblokir akses ke port apa pun yang digunakan server SSH (22 secara default). Kecuali jika port sebelumnya telah dibuka, maka koneksi inbound kemungkinan akan diblokir, meskipun Anda mungkin akan menemukan bahwa koneksi outbound akan diizinkan. Dengan desain dan perencanaan yang tepat, Anda dapat mengontrol akses dengan cara yang halus atau kasar sesuai keinginan Anda.

Jika Anda tidak mengontrol server SSH maka Anda tidak dapat menjamin port yang digunakannya sehingga akan jauh lebih sulit untuk memfilter berdasarkan port saja.

Jika Anda perlu mengizinkan semua orang mengakses server SSH ketika mereka berada di jaringan Anda, tetapi hanya beberapa yang dipilih ketika berada di luarnya, port knocking adalah pembacaan yang rapi.