¿Qué implicaciones de seguridad existen para permitir el tráfico SSH saliente?

  

Creo que también quieren mantener el puerto cerrado porque podría usarse para conexiones proxy, TOR y similares.

Sí, esa es la explicación más probable.

Es posible que el malware salga utilizando SSH para ocultar su tráfico. También es posible que el malware, o los usuarios, puedan usar el reenvío de puerto remoto SSH para permitir conexiones "entrantes" que están bloqueadas por el firewall. Estas son preocupaciones válidas pero probablemente menores para su escuela.

Su problema principal con SSH probablemente no es que permita estos túneles, que, como usted señala, podrían pasar por otros puertos y otros protocolos, sino que los esconde debajo del cifrado y bloquea la capacidad del administrador para controlar lo que la red se utiliza para. Mientras que otras herramientas también pueden hacer esto, SSH está "fuera de la caja" y representa una fruta de baja pendiente para que la bloqueen.

  

¿Alguien podría responder con más razones mejores por las que se debería bloquear el SSH saliente o (preferiblemente) con razones por las que esta política de red es irracional?

Sus razones técnicas son válidas pero posiblemente un poco especiosas para el nivel de requisitos de seguridad (de una escuela). Las razones administrativas son válidas para ellos, pero irracionales para usted. Desafortunadamente para ti, es su red.

Donde espero que en algún momento esté haciendo un túnel SSH-over-SSL.

Yo diría que el 90% o más del tiempo que te topas con un argumento como ese en relación con la construcción de túneles, especialmente en una escuela, el objetivo es evitar que tú forme un túnel. Si puedes hacer un túnel, entonces puedes omitir su filtro de web. Si puedes, alguien más lo hará. Luego, después de que suficientes personas se den cuenta, algunos twits verán pornografía en la biblioteca, se meterán en problemas y alguien le preguntará al administrador de sistemas cómo diablos podría pasar eso.

También es importante tener en cuenta que las "escuelas" pueden incluir universidades de investigación intensiva en las que los servicios de red son fundamentales para la investigación financiada con impuestos, especialmente en informática / ingeniería. Además, los departamentos de TI generalmente son financiados por los gastos generales devueltos por las becas de investigación. Una red demasiado segura puede interferir con la actividad de investigación y con la entrega de servicios en línea de los grupos de investigación. La implementación de una política de "lista blanca" es más que una molestia en el mundo distribuido y colaborativo de la investigación académica. Es un plan para salir del negocio.

Afortunadamente, en la mayoría de las universidades de investigación, los profesores desempeñan un papel importante en la gestión institucional, y las políticas demasiado restrictivas generalmente no sobrevivirán por mucho tiempo. En universidades más pequeñas, colegios o escuelas técnicas, estas políticas pueden ser convenientes pero probablemente interferirán con cualquier intento de investigación "legítima".

Como profesor titular, cualquier restricción de SSH me obligaría a cerrar mi laboratorio y llevar mi trabajo a otra parte. Incluso si hay una política de "lista blanca" disponible, simplemente no permitiré que las operaciones de un laboratorio de investigación se lleven a cabo bajo el control de alguien de TI. Estoy publicando esta respuesta con la esperanza de que un administrador de TI pueda verla y lo piense dos veces antes de implementar cualquier política que pueda contradecir las misiones institucionales.

Sí, están intentando bloquear el reenvío de puertos. Este tipo de cosas siempre ha tenido poco sentido para mí, especialmente porque existen cosas como stunnel . Por cierto, si puede acceder a cualquier sitio SSL en Internet (sin un error de certificación y sin un certificado raíz personalizado instalado por su departamento de TI), es probable que pueda acceder a casi cualquier lugar utilizando cualquier Protocolo dentro de un stunnel. Este es el principio que utilizan LogMeIn.

Consulte el verbo HTTP Conectar para obtener más información y, en general, esto: enlace

Trabajé como administrador de seguridad de red en una universidad de mi ciudad.

Por supuesto, las políticas se crearon para permitir a los estudiantes, invitados, personal y maestros ... establecer las libertades necesarias para usar Internet.

Uno de nuestro laboratorio / clase de seguridad se configuró con una línea externa de dsl para esa misma libertad que, de otro modo, nuestro firewall y dispositivos de seguridad internos no permitirían.

Para la pregunta original, un problema con el reenvío de ssh a http es que, eventualmente, los individuos de seguridad verán cuánto tráfico está utilizando esa IP, eso es, si está usando ssh redirect para descargas ... etc.

En un entorno escolar donde las tuberías son grandes, lo mejor es bloquear las cosas. Si no es así, las personas (estudiantes, profesores y otros) instalarán el software p2p, el software ilegal y harán otras cosas que puedan aumentar la responsabilidad de la escuela, y le costarán a las personas su trabajo para alimentar los intereses personales sin tener en cuenta cómo afectaría a la empresa.

También existe la necesidad de evitar el acceso a sitios web no seguros, detección de malware, etc. tanto como sea posible en una red de escuelas empresariales. Como un desorden por parte de un estudiante podría potencialmente afectar a todos los demás, especialmente si las computadoras están en un dominio. Las principales prioridades del sistema y los administradores de red son mantener las cosas disponibles, seguras, no congestionadas, seguras y para satisfacer las necesidades de la alta gerencia (decanos, vps, presidentes, etc.).

Normalmente es más seguro hacer una lista blanca en lugar de una lista negra en términos de seguridad, pero también puede ser frustrante para aquellos que desean divertirse o hacer una investigación legítima. Debería haber un proceso de solicitud formal para solicitar el acceso a ciertos sitios y tener ciertos protocolos abiertos con justificación (el profesor lo necesita de 9:00 a 14:00 o quiere hacer una demostración en vivo de algo de esa naturaleza).

Siempre habrá que trabajar para mantener el equilibrio entre la seguridad y la facilidad de uso, y la seguridad es anterior a la facilidad de uso si se sabe que algo no es seguro, como permitir la autenticación de ftp y otros protocolos no seguros.

SSH se usa a menudo para "firewall peircing", es decir, ofrece túneles de avance para acceder a recursos arbitrarios fuera de la red, o peor, ofrece túneles de retroceso para exponer recursos internos. Sí, también podría hacer un túnel a través de SSL, pero como otros sugirieron, SSH está diseñado para hacer un túnel.

Dos sugerencias:

1. ¿Le ha preguntado al administrador de seguridad cómo obtener una excepción? Dado que tiene una necesidad legítima de SSH, probablemente no sea el público objetivo para el bloqueo. Si el administrador de seguridad no puede aprobar la excepción, pregúnteles quién podría hacerlo.

2. Es posible que pueda usar github sobre SSL:

enlace

(ignora los comentarios sobre SSH más de 443, sé que mencionaste que están usando DPI para detener tu SSH)

Heroku ofrece una consola web, pero no estoy seguro de si sería suficiente.