Detectar conexiones SSH InBound / Oubound

Navega tus respuestas
1

No estoy de acuerdo con la idea de administrar las conexiones SSH en un servidor Linux usando un programa (no estoy seguro de en qué estará escrito todavía) que supervisa las conexiones entrantes y salientes. ¿Hay alguna manera de detectar una conexión ssh antes de que esté completamente establecida? Estoy buscando algo que sea impulsado por eventos u otro método que sea muy ligero en términos de potencia de procesamiento. Cuanto más cercano a la detección en tiempo real, mejor.

Cuando digo "monitoreo" me refiero a que el programa verificará si la conexión de entrada / salida está autorizada para ese usuario / proceso. Si no, lo apagará. ¿Por qué? Debido a que tengo muchos sistemas internos que pueden ssh entre ellos y no puedo usar iptables para bloquear el acceso entre los sistemas o la lista blanca de ssh.

¡Gracias!

    
pregunta Rick 07.07.2015 - 14:36
fuente

2 respuestas

1

Esto probablemente se puede hacer con el Snort Intrusion Prevention System , aunque las reglas de Snort para SSH generalmente se usan para cosas como brute force de detección de inicio de sesión y que buscan vulnerabilidades de SSH .

Sin embargo, creo que encontrará que ser demasiado draconiano, especialmente en los empleados de tipo sysadmin, probablemente desencadenará el desgaste. Si es necesario, establezca una política corporativa, pero no la aplique de manera tan estricta.

    
respondido por el Adam Katz 10.07.2015 - 03:55
fuente
0

Si no confías en tu empleado, despídelo.

Si confías en él (en general), dale un poco de NDA con multas para firmar, para motivarlo a que piense dos veces lo que está haciendo. Y centrarse en la protección contra amenazas externas.

Lo que quiero decir es que no existe una protección real contra información privilegiada bien motivada con derechos de administrador y el tiempo suficiente para realizar lenta y cuidadosamente algunas actividades maliciosas. Entonces, en lugar de tratar de proteger a nivel técnico, solo emplee a la derecha y déles los documentos correctos para que firmen.

    
respondido por el Tomasz Klim 07.07.2015 - 15:37
fuente

Lea otras preguntas en las etiquetas

¿Codificar la URL en el enlace que aparecerá en la página en texto sin formato? Pregunta con respecto a las referencias del keylogger [cerrado]