Estoy buscando probar un DPI (inspector de paquetes profundos). Actualmente lo tengo configurado para bloquear las conexiones SSH (lo que hace con éxito).
Me he enterado de que se puede omitir el DPI al ofuscar / encriptar el saludo inicial (creo, siéntete libre de corregirlo). Al hacer esto, el DPI no puede decir que el tráfico es SSH y no lo bloquea. ¿Cómo se puede lograr esto con macOS?
Tengo control completo sobre el servidor y el cliente.
Su pregunta parece ser respondida en Apple Stack Intercambio . Tenga en cuenta que el parche que se menciona allí parece que ya no se mantiene, por lo que puede tener problemas de seguridad si no realiza correcciones de puerto. Un parche más actualizado (compatible con OpenSSH 7.6 a partir de esta respuesta) está disponible en GitHub . * Este protocolo ofuscado particular se explica con más detalle en su sitio . A juzgar por una lectura rápida del parche, esta ofuscación en particular parece agregar una longitud aleatoria de relleno a los paquetes y cifrar el protocolo de enlace usando una clave previamente compartida almacenada en el archivo de configuración del cliente y el servidor. No es particularmente avanzado, pero es probable que obstaculice la detección automatizada de protocolos.
También hay otras formas de ofuscar el tráfico SSH. Podría crear un túnel VPN confuso entre el cliente y el servidor y conectarse con SSH a través de eso. En otra respuesta expliqué cómo evitar que el tráfico OpenVPN se detecte como tal. Puede usar las técnicas descritas en él ( claves estáticas y obfsproxy ) para crear un túnel a través del cual se pueda ejecutar SSH. Solo necesita una comprensión básica de redes para abrir una interfaz virtual para los túneles y asignarle una IP local para que pueda conectarse utilizando su utilidad SSH. También puede usar obfsproxy directamente en SSH.
Es importante recordar que, si bien la ofuscación de protocolo puede hacer que la detección o la censura sean más difíciles, hace poco para evitar que un analista inteligente con acceso a volcados de tráfico se dé cuenta de que el tráfico es tráfico OpenSSH. No hay mucho que pueda hacer para protegerse contra una amenaza de este tipo al mismo tiempo que mantiene la usabilidad. Todo lo que hace la ofuscación es elevar la barra de detección.
* La aplicación de un parche requiere que sepa cómo compilar software desde el código fuente. Descargue el código fuente para la versión exacta a la que apunta el parche y use un comando para aplicable el parche , como la utilidad patch .
Lea otras preguntas en las etiquetas obfuscation encryption ssh tunneling