Quali implicazioni per la sicurezza ci sono per consentire il traffico SSH in uscita?

I think they also want to keep the port closed because it could be used for proxy connections, TOR, and the like.

Sì, questa è la spiegazione più probabile.

È possibile che il malware entri in uscita utilizzando SSH per nascondere il suo traffico. È anche possibile che il malware o gli utenti possano utilizzare l'inoltro remoto delle porte SSH per consentire connessioni "in entrata" bloccate dal firewall. Questi sono validi ma probabilmente sono meno preoccupanti per la tua scuola.

Il loro problema principale con SSH non è probabilmente quello che consente a questi tunnel, che come si fa notare potrebbero andare oltre altre porte e altri protocolli, ma che li nasconde sotto la crittografia e blocca la capacità dell'amministratore di controllare ciò che la rete è usata per. Mentre altri strumenti possono fare anche questo, SSH è "pronto all'uso" e rappresenta un basso carico di frutta da bloccare per loro.

Could someone please respond with either more, better reasons why outbound SSH should be blocked or (preferably) with reasons why this network policy is irrational?

Le loro motivazioni tecniche sono valide, ma forse un po 'speciose per il livello (di scuola) di requisiti di sicurezza. Le ragioni amministrative sono valide per loro, ma irrazionali per te. Sfortunatamente per te, è la loro rete.

Dove mi aspetto che tra poco sarà possibile eseguire il tunneling di SSH-over-SSL.

Direi che il 90% + del tempo in cui incontri una discussione del genere riguardo al tunneling, specialmente in una scuola, l'obiettivo è quello di impedire che tu estenda il tunneling. Se riesci a tunnel, puoi ignorare il loro webfilter. Se puoi, lo farà qualcun altro. Poi, dopo che un numero sufficiente di persone prende piede, un twit vedrà il porno in biblioteca, finirà nei guai e qualcuno chiederà al sysadmin come diavolo potrebbe succedere.

È anche importante notare che le "scuole" possono includere università ad alta intensità di ricerca in cui i servizi di rete sono fondamentali per la ricerca finanziata dalle tasse, specialmente in informatica / ingegneria. Inoltre, i dipartimenti IT sono comunemente finanziati da spese generali restituite da assegni di ricerca. Una rete eccessivamente protetta può interferire con l'attività di ricerca e con la fornitura di servizi online da parte di gruppi di ricerca. L'implementazione di una politica di "white list" è più che una seccatura nel mondo distribuito e collaborativo della ricerca accademica. È un piano per uscire dagli affari.

Fortunatamente, nella maggior parte delle università di ricerca la facoltà svolge un ruolo importante nella gestione istituzionale e le politiche eccessivamente restrittive in genere non sopravviveranno a lungo. In piccole università, college o scuole tecniche, tali politiche possono essere convenienti ma probabilmente interferiranno con qualsiasi tentativo di ricerca "legittima".

Come professore di ruolo personalmente, qualsiasi restrizione SSH mi costringerebbe a chiudere il mio laboratorio e portare altrove il mio lavoro. Anche se è disponibile una polizza "white-list", semplicemente non consentirò che le operazioni di un laboratorio di ricerca vengano tenute sotto il controllo di un tizio dell'IT. Sto postando questa risposta nella speranza che un amministratore IT possa vederlo e ci pensi due volte prima di implementare qualsiasi politica che possa contraddire le missioni istituzionali.

Sì, stanno provando a bloccare il port forwarding. Questo genere di cose ha sempre avuto poco senso per me, soprattutto perché esistono cose come stunnel . Per inciso, se riesci a raggiungere qualsiasi sito SSL su Internet (senza un errore cert, e senza un certificato radice personalizzato installato dal tuo dipartimento IT), allora puoi probabilmente effettuare il tunneling quasi ovunque usando qualsiasi protocollo all'interno di un stunnel. Questo è il principio che usa cose come LogMeIn.

Vedi il verbo HTTP Connect per ulteriori informazioni e, in generale, questo: link

Ho lavorato come amministratore della sicurezza di rete in un college della mia città.

Ovviamente le polizze sono state create per consentire a studenti, ospiti, personale e insegnanti ..eccere le libertà necessarie per l'utilizzo di Internet.

Uno dei nostri laboratori / classe di sicurezza è stato creato con una linea dsl esterna per quella stessa libertà che il nostro firewall e i dispositivi di sicurezza interni non consentirebbero altrimenti.

Per la domanda originale, un problema con l'inoltro di ssh a http è che alla fine i tipi di sicurezza vedranno quanto traffico viene utilizzato da quell'IP, questo è se si sta usando il reindirizzamento ssh per i download ..etc.

In un ambiente scolastico in cui i tubi sono grandi, è meglio bloccare le cose. Se le persone (studenti, docenti e altri) non installeranno software p2p, software illegale e altre cose che possono aumentare la responsabilità per la scuola, costano alle persone il loro lavoro per alimentare interessi personali senza tenere conto di come influenzerebbe l'impresa.

Vi è inoltre la necessità di impedire il più possibile l'accesso a siti Web non sicuri, rilevamento di malware, ecc. in una rete scolastica aziendale. Dato che un solo errore di uno studente potrebbe potenzialmente influire su tutti gli altri, specialmente se i computer si trovano su un dominio. Le priorità principali degli amministratori di sistema e di rete sono tenere le cose disponibili, sicure, non congestionate, sicure e per soddisfare le esigenze della Direzione (presidi, VP, presidenti, ecc.).

Normalmente è più sicuro fare una lista bianca invece di una lista nera in termini di sicurezza, ma può anche essere frustrante per coloro che vogliono divertirsi o fare ricerche legittime. Dovrebbe esserci una procedura formale del processo di richiesta per richiedere l'accesso a determinati siti e l'apertura di determinati protocolli con giustificazione (il professore ne ha bisogno dalle 9 alle 14, o vuole fare una dimostrazione dal vivo di qualcosa di quella natura).

Ci sarà sempre bisogno di lavoro per mantenere un equilibrio tra sicurezza e usabilità con la sicurezza che precede l'usabilità se qualcosa non è sicuro come consentire l'uso di ftp e altri protocolli non sicuri per l'autenticazione.

SSH è spesso usato per "peircing del firewall", cioè offre tunnel in avanti per accedere a risorse arbitrarie al di fuori della rete, o peggio, offre tunnel inversi per esporre risorse interne. Sì, è possibile eseguire il tunneling anche su SSL, ma come altri hanno suggerito, SSH è costruito per il tunnel.

Due suggerimenti:

1. Hai chiesto all'amministratore della sicurezza come ottenere un'eccezione? Dato che hai un bisogno legittimo di SSH, probabilmente non sei il pubblico di destinazione per il blocco. Se l'amministratore della sicurezza non può approvare l'eccezione, chiedi a chi potrebbe.

2. Potresti essere in grado di usare github su SSL:

link

(ignora i commenti su SSH oltre 443, so che hai detto che stanno usando DPI per fermare il tuo SSH)

Heroku offre una console web, ma non sono sicuro che sarebbe sufficiente.