Acabo de ver una opción en Fortinet NGFW con respecto a, SSH Deep Inspection . Entonces, mi pregunta es cómo la inspección profunda o lo que sea puede inspeccionar o encontrar alguna actividad maliciosa en paquetes cifrados.
No estoy exactamente familiarizado con lo que ofrece Fortinet y cómo lo han implementado. Pero en general, la inspección profunda de SSH es similar a SSL inspección profunda : hace un "ataque" a un hombre en el medio donde el punto final confía en el certificado o clave proporcionada por el dispositivo de inspección. Igual que en la inspección SSL, la clave del servidor original no se puede usar con el cliente (ya que la clave privada coincidente solo la conoce el servidor), pero en su lugar se usará una clave fija o generada dinámicamente. Con SSL, generalmente es suficiente agregar confianza para la CA proxy a todos los clientes para aceptar todos los certificados generados. Pero como SSH se usa comúnmente sin certificados y sin PKI, se necesita confiar en cada clave de servidor directamente. Esto es cierto SSH con y sin inspección de SSH, pero con la inspección de SSH ya no puede usar la huella digital del servidor original para verificar si obtuvo la clave correcta.
En cuanto a lo que puede hacer con una inspección tan profunda: mirando Fortinet: inspección SSL / SSH parece ser que admiten el permitir o bloquear el acceso al shell, ejecutar programas, usar X11 y usar el reenvío de puertos a través de SSH. Otros cortafuegos también pueden restringir el acceso a los subsistemas (es decir, el bloque sftp) o proporcionar una política más detallada para qué comandos se pueden ejecutar a través de SSH y cuáles no.