Come posso rilevare se qualcuno sta usando un tunnel ssh come proxy per connettersi a una VPN?

3

Ho una configurazione del server SSH in una posizione remota, che utilizzo per tunnelare il traffico da un tablet Android. Sul tablet, ho l'app Cisco AnyConnect per connettermi alla VPN della mia azienda. Vogliamo essere in grado di rilevare che un tablet viene utilizzato da un proxy. Qualche idea su come potrei fare per farlo?

    
posta suss23 30.10.2013 - 13:57
fonte

1 risposta

3

Una VPN è solo routing con protezione. Nel tuo caso, il "proxy" assicura che il traffico vada prima dal tablet a qualche server S , da cui poi passa a "Internet", ad es. al punto di ingresso per la VPN dell'azienda. Il "proxy" usa SSH ma è solo tra il tablet e il server S ; non puoi vederlo dalla compagnia.

Ciò che vedrai , tuttavia, dalla società, è l'indirizzo IP di S . Una strategia relativamente invasiva consiste nell'utilizzare impronte digitali OS su quella macchina (in pratica, scansionare chi sta connettendo) per cercare di indovinare se S è effettivamente un sistema Android, o qualche altro tipo di SO. Se rilevi che "chi si connette" non usa Android direttamente, allora hai mostrato che è in uso un sistema intermedio, un "proxy".

(Indipendentemente dal fatto che le macchine di scansione che si connettono siano legali è un argomento complesso che dipende molto dalle giurisdizioni. Non distribuirlo senza ricorrere a consulenti legali.)

Ora, naturalmente, in generale, non esiste una dicotomia "proxy / no proxy". Un utente tablet di base si connetterà tramite WiFi quando potrà, collegandosi a un punto di accesso che utilizzerà NAT e che si qualifica come una specie di "proxy". Ciò impedisce già che la scansione inversa spiegata sopra funzioni realmente (ad esempio, la maggior parte delle volte la scansione vedrà il punto di accesso, non il tablet stesso).

Il punto intero di utilizzare una VPN come Cisco AnyConnect è rendere la domanda proxy irrilevante: la VPN utilizza la protezione crittografica esattamente così che i percorsi utilizzati dai pacchetti di dati non hanno alcun impatto sulla sicurezza. Non dovresti chiederti se alcuni SSH o NAT o qualsiasi altra cosa è a posto. Quindi la tua domanda è strana.

    
risposta data 30.10.2013 - 15:25
fonte

Leggi altre domande sui tag