Pourquoi bloquer le port 22 sortant ?

Parce que SSH peut être utilisé comme un VPN. Il est crypté, de sorte que les administrateurs réseau n'ont littéralement aucune idée de ce qui quitte leur réseau (vidage de la base de données clients, etc.). Je viens de couvrir ce sujet dans ma chronique mensuelle "Tunnels secrets" . Le coût d'un peu d'Internet 3G est bien moins élevé que de devoir s'inquiéter des protocoles cryptés qui acheminent vos données hors du réseau. De plus, si vous bloquez par défaut le port 22 sortant et que vous inspectez le trafic, vous pouvez facilement trouver SSH sur des ports non standard et ainsi trouver les personnes qui violent la politique de sécurité.

Il y a deux raisons principales de bloquer le port 22 sortant, à mon avis.

Tout d'abord, comme d'autres l'ont mentionné, la redirection de port SSH peut être utilisée comme un proxy ou un contournement d'autres ports et services afin de contourner la politique informatique stipulant que ce type de trafic n'est pas autorisé.

Deuxièmement, un grand nombre de logiciels malveillants et de réseaux de robots utilisent le port 22 car il est souvent considéré comme "sécurisé" et donc autorisé. Ils peuvent alors lancer des processus sur ce port, et les ordinateurs infectés peuvent également lancer des attaques SSH par force brute.

Le plus souvent, il s'agit plutôt de bloquer toutes les connexions sortantes, sauf si elles sont nécessaires, et jusqu'à ce que vous essayiez, personne n'avait demandé que le port 22 soit disponible pour les connexions sortantes (seulement 80, 433, etc.). Si c'est le cas, la solution peut être aussi simple que de contacter le service informatique et de leur expliquer pourquoi vous avez besoin d'ajouter une exception pour que votre station puisse établir des connexions SSH sortantes vers des hôtes spécifiques ou en général.

Parfois, on craint que les gens utilisent la possibilité d'utiliser SSH comme un moyen de configurer des proxies (via la redirection de port sur le lien) pour contourner d'autres contrôles. Cela peut être un facteur très important dans certains secteurs réglementés (par exemple les banques) où toutes les communications doivent être surveillées/enregistrées pour des raisons juridiques (décourager les délits d'initiés, détecter/bloquer le transfert de données personnelles ou d'entreprise, etc. Dans ces cas, l'utilisation de votre lien 3G (ou d'autres techniques telles que la tentative de tunnellisation de SSH par HTTP) pour contourner les restrictions peut constituer une violation de votre contrat et donc une infraction de licenciement (ou, probablement pire, une infraction légale) ; veillez donc à obtenir l'accord de votre action avant de la tenter.

Une autre raison pourrait être de réduire l'empreinte sortante (vers les services internes accessibles aux hôtes au sein des pare-feu de l'entreprise et au monde en général) si quelque chose de fâcheux parvenait à s'installer sur une machine gérée par l'entreprise. Si aucune connexion SSH n'est possible sur le port 22, de nombreux piratages plus simples qui tentent d'utiliser les connexions SSH par force brute comme l'une de leurs voies de propagation seront bloqués. Dans ce cas, il se peut que vous puissiez demander l'ajout d'une exception pour que votre machine puisse établir des connexions SSH, si ces connexions peuvent être justifiées auprès des personnes qui contrôlent le(s) pare-feu.

Vos clients sont probablement en possession de données non triviales qu'ils souhaitent conserver. SSH sortant est une très mauvaise chose à avoir ouverte pour un réseau entier. Il est assez facile de contourner les proxys, de divulguer des données sensibles et d'être généralement odieux.

Tout ce qui passe par le périmètre du réseau/Internet doit être compris et contrôlable. Si un groupe de développeurs a besoin d'accéder aux serveurs d'un fournisseur d'hébergement via ssh, c'est très bien, mais cela doit aussi être documenté. En général, dans les endroits où j'ai travaillé, nous établissons des connexions VPN site à site dédiées à des sites extérieurs à notre réseau (ce qui revient à étendre notre réseau interne) et nous évitons les protocoles clients comme SSH sur Internet.

Je connais quelques personnes qui abusent des capacités de SSH pour installer un proxy SOCKS par le biais de SSH, contournant ainsi certaines restrictions de sites.

Ou même une simple redirection de port ( ssh -L .... ), si le port est effectivement bloqué en raison des restrictions du site, je me rendrais sur place :

• l'administrateur local et
• votre chef de projet

faites-les s'asseoir à une table et laissez-les expliquer la raison de ce blocage. Bien sûr, vous devez avoir de bonnes raisons pour lesquelles vous avez besoin d'accéder à un port SSH externe pour développer un produit interne (interne étant : Pourquoi avez-vous besoin d'accéder à boxA.example.com alors que vous travaillez pour une société snakeoil.invalid).

Mais je n'ai encore jamais vu une entreprise bloquer les SSH sortants :)