Pourquoi bloquer le port 22 sortant ?

Les réponses évidentes ont toutes été énoncées. Il s'agit d'un protocole crypté qui peut être utilisé pour contourner la politique par la création de tunnels (c'est un excellent moyen de contourner les filtres web de l'entreprise) ainsi que la menace posée par les canaux de communication non autorisés (reverse proxy).

C'est vrai, telnet devrait être détruit dans tout réseau moderne. Mais, je peux voir autoriser telnet hors du réseau tout en interdisant ssh. Telnet est moins performant que ssh et je peux toujours surveiller le flux, en temps réel, grâce à mes renifleurs. Si je n'ai pas de dispositifs telnet dans mon réseau central, et qu'un utilisateur veut sortir telnet, qu'est-ce que ça peut me faire ? Je peux le voir et vérifier qu'il ne s'agit pas d'une menace.

Bien sûr, tout cela dépend de l'idée que la politique par défaut consiste à bloquer toutes les sorties et à n'autoriser que certains protocoles spécifiques. Des points bonus si vous les envoyez par proxy avant qu'ils n'atteignent la périphérie.

Il ne s'agit pas de bloquer spécifiquement le port 22 parce que les administrateurs ont une dent contre SSH, mais plutôt d'ouvrir uniquement les ports dont ils savent qu'ils doivent être ouverts. Si votre administrateur n'a pas été informé que SSH doit être ouvert, il le bloquera, selon le même principe qui s'applique à la désactivation des services inutilisés sur un serveur.

Il est clair qu'un blocage de TCP/22 sortant est facile à contourner, à moins que les administrateurs réseau n'aient fait de sérieux efforts pour bloquer le trafic SSH. en particulier . De plus, le administrateurs de biens doivent être suffisamment vigilants pour effectuer un inventaire des actifs suffisant pour repérer les modems 3G et les adresses IP suspectes sur les deuxièmes cartes réseau. Nous avons le service ClearWire dans notre région, donc nous avons même WiMax comme option pour contourner la sécurité de notre réseau.

Nous ne sommes pas une institution très préoccupée par les fuites d'informations. Mais si c'était le cas, nous devrions combiner une politique draconienne de sécurité du réseau avec une politique draconienne des actifs, avec des audits. À ma connaissance, je ne pense pas qu'il existe un paquet de sécurité prêt à l'emploi qui désactive la prise réseau d'un actif inventorié avec une connexion réseau externe de quelque sorte. Cela pourrait arriver.

En l'absence d'un tel paquet, le processus d'inventaire des actifs est l'un des meilleurs moyens d'attraper une connexion réseau en bout de course comme 3G ou WiMax.

Enfin, le blocage aveugle de TCP/22 ne bloquera que les utilisateurs finaux les moins malins qui ont l'intention de violer l'AUP de leur réseau professionnel.

J'ai vu le 22 bloqué quand ils ont découvert que des gens dirigeaient le trafic http par le 22. C'était un coup d'arrêt pour ceux d'entre nous qui en avaient besoin, mais l'organisation a tenu bon.

La plupart des grandes entreprises bloqueront tout et n'autoriseront l'accès HTTP/HTTPS que via un serveur proxy.

Je serais très surpris d'apprendre qu'une entreprise autorise des connexions externes directes à partir d'ordinateurs de bureau ou de serveurs, sauf en cas de besoin spécifique.