Ho appena visto un'opzione in Fortinet NGFW riguardo a SSH Deep Inspection
. Quindi la mia domanda è: in che modo Deep inspection o quant'altro può ispezionare o trovare attività dannose su pacchetti crittografati?
Non mi è familiare esattamente cosa offre Fortinet e come l'hanno implementato. Ma in generale l'ispezione approfondita di SSH è simile a SSL ispezione approfondita : fa un uomo nel mezzo "attacco" in cui l'endpoint si fida del certificato o della chiave fornita dall'appliance di ispezione. Come per l'ispezione SSL, la chiave del server originale non può essere utilizzata con il client (poiché la chiave privata corrispondente è nota solo al server) ma verrà utilizzata una chiave fissa o generata dinamicamente. Con SSL solitamente è sufficiente aggiungere fiducia per la CA proxy a tutti i client per poter accettare tutti i certificati generati. Ma poiché SSH è comunemente usato senza certificati e senza PKI, è necessario affidarsi direttamente a ciascuna chiave del server. Questo è vero SSH con e senza ispezione SSH, ma con l'ispezione SSH non è più possibile utilizzare l'impronta digitale dei server originali per verificare se hai la chiave corretta.
Per quanto riguarda ciò che puoi fare con un'ispezione così approfondita: guardando Fortinet: controllo SSL / SSH sembra che supportino l'autorizzazione o il blocco dell'accesso alla shell, l'esecuzione di programmi, l'uso di X11 e l'utilizzo di port forwarding tramite SSH. Altri firewall possono anche limitare l'accesso ai sottosistemi (ad es. Il blocco sftp) o fornire una politica più granulare per cui i comandi possono essere eseguiti su SSH e quali no.