隱藏通信隧道技術(shù)——防御SSH隧道攻擊的思路

? 在內(nèi)網(wǎng)中建立一個(gè)穩(wěn)定、可靠的數(shù)據(jù)通道，對(duì)滲透測(cè)試工作來說具有重要的意義。應(yīng)用層的隧道通信技術(shù)主要利用應(yīng)用軟件提供的端口來發(fā)送數(shù)據(jù)。常用的隧道協(xié)議有SSH、HTTP/HTTPS和DNS。

SSH協(xié)議

在一般情況下，SSH協(xié)議是被允許通過防火墻和邊界設(shè)備的，所以經(jīng)常被攻擊者利用。同時(shí)，SSH協(xié)議的傳輸過程是加密的，所以我們很難區(qū)分合法的SSH會(huì)話和攻擊者利用其他網(wǎng)絡(luò)建立的隧道。攻擊者使用SSH端口隧道突破防火墻的限制后，能夠建立一些之前無法建立的TCP連接。

防御SSH攻擊思路

? SSH隧道之所以能被攻擊者利用，主要是因?yàn)橄到y(tǒng)訪問控制措施不夠。在系統(tǒng)配置SSH遠(yuǎn)程管理白名單，在ACL中限制只有特定的IP地址才能連接SSH，以及設(shè)置系統(tǒng)完全使用帶外管理等方法，都可以避免這一問題。

如果沒有足夠的資源來建立帶外管理的網(wǎng)絡(luò)結(jié)構(gòu)，在內(nèi)網(wǎng)中至少要限制SSH遠(yuǎn)程登錄的地址和雙向訪問控制策略（從外部到內(nèi)部；從內(nèi)部到外部）。