Je voudrais empêcher les gens de contourner les blocs de proxy Opendns et Squid pour se connecter à Facebook en utilisant un tunnel ssh vers leur ordinateur personnel. Je sais que je peux résoudre ce problème en parlant au patron mais j'aimerais aussi mieux comprendre comment cela est techniquement possible.
Réponses
Trop de publicités?
user9517
Points
113163
Si vous avez des utilisateurs capables de créer des tunnels ssh vers leur équipement domestique, vous ne pourrez pas le faire en utilisant la technologie, à moins que vous ne leur enleviez les outils qui leur permettent de le faire. Tout ce que vous pouvez faire, c'est entrer dans une course aux armements avec eux.
Vous devrez impliquer votre direction - c'est vraiment à elle de s'occuper de ce problème.
blauwblaatje
Points
953
En gros, vous ne pouvez pas réparer ça. Quand il y a un port ouvert, les gens peuvent créer des tunnels. J'utilise moi-même OpenVPN via tcp 443, parce que c'est toujours ouvert. Les alternatives sont via d'autres protocoles, comme icmp ou dns.
Avec des utilisateurs suffisamment intelligents, vous ne pouvez pas bloquer certaines parties de l'internet. (Ok, peut-être que la Chine le peut ;)) Si vous ne voulez pas que les travailleurs aillent en ligne, bloquez la navigation sur le web. S'ils en ont besoin pour leur travail, vous devez vivre avec le fait qu'ils puissent aller sur Facebook. Le dernier recours est de créer des pénalités pour tous ceux qui vont sur Facebook, mais personnellement je ne voudrais pas travailler dans une telle entreprise...
Bo Garrett
Points
29
Gravyface a raison.
Sinon, peut-être que le DPI (Deep Packet Inspection) pourrait avoir un modèle pour identifier les tunnels à partir d'un autre trafic SSH, mais ces appareils sont coûteux.
Vous pourriez peut-être utiliser le TOS (Type of Service) pour distinguer le SSH en masse du SSH interactif et appliquer de mauvaises règles de QoS. L'inconvénient est que cela aurait également un impact sur les sessions scp/sftp.
- TOS SSH interactif = 0x10 (16 décimal) ;
- Bulk SSH (par exemple SCP, SFTP) TOS = 0x08 (8 décimal).
Les tunnels devraient tomber en vrac.
dmourati
Points
24230
Il s'agit davantage d'une question de politique que d'une question technique. Vous indiquez à juste titre une méthode évidente permettant aux utilisateurs de contourner les restrictions que vous pouvez imposer au réseau sur le plan technique.
Un certain pourcentage d'utilisateurs ne sera pas en mesure de comprendre l'approche du tunnel et ceux-ci devraient être plus faciles à contenir avec des listes noires DNS ou équivalentes. Les utilisateurs techniques qui contourneront vos restrictions doivent être traités d'une manière différente.
Réfléchissez à la raison pour laquelle vous devez bloquer ce trafic avant de vous engager trop loin dans cette voie.
