Обнаружение SSH-туннелей по размеру пакетов

[rezdm]

Товариш майор одобряет эту заметку.

[Maxim_Q]

РКН все это записал и скоро ждем новых блокировок. Вот зачем выкладывать такие подсказки? Мы же сами себе палки в колеса вставляем.

[kenoma]

Вы не в том направлении воюете, боретесь с симпомами, а не самой болезнью.

[saboteur_kiev]

воюют как могут

[UncleSam27]

Государство опосредовано владеет многими крупными компаниями занимающимися информационной безопасностью. В результате, на государство работают люди, с очень хорошей компетенцией, которые в свободное от безделия время такие статьи и пишут.

[UranusExplorer]

На товарищмайора работают не умные, а лояльные, большая часть из которых просто просиживает зад в теплом месте. В этом мы уже убедились по неоднократным их действиям в стиле "обезьяна с гранатой". А вот там, где майор заказывает разработки для своих грязных дел (всякие рдп.ру, мфисофт и т.д.) - там бывают очень талантливые мрази, для которых при этом деньги не пахнут, и которые за зарплату не то что родину, а мать родную продадут с удовольствием

[Killan50]

Логическая ошибка "принижения" возможностей оппонента, ссылаясь на частные случаи. Это конечно полезно для патриотизма самоутешения, но в реальности лишь вредит.
Всегда надо исходить из того, что против тебя напичканные стероидами гении-вундеркинды, и искать как им противостоять исходя из этого, иначе реальность потом ударит очень больно.

[Drno]

Это было бы очень странно, т.к. обозначало бы что у них отсутствует критическое мышление...

[UncleSam27]

Снимите белое пальтишко Новодворской, оно вам велико. То, что у их ценности не совпадают с вашими, не является признаком отсутствия у них критичского мышления. Вообще беда современных либералов в том, что они считают себя истиной в последней инстанции несущей божественный свет миру, и даже не допускают мысли, что кто то может иметь право на другое мнение, а любой кто поддерживает власть автоматически "вата", "мразь" с "отсутствием критического мышления" и.т.д. Знаете я вот ни разу в жизни не голосовал за Путина, я не поддерживаю тот путь который он выбрал для России, но я вижу, что его поддерживает большинство населения, и у всех этих людей свои соображения по этому поводу, порой не понятные мне, порой такие, с которыми я явно не согласен, но у них есть право эти соображения иметь и делать свой выбор, а я не могу мнение большинства игнорировать и обязан его учитывать, слышал это называется демократией.

[alk]

Когда-то люди думали, что Земля плоская, что Солнце вращается вокруг Земли, что власть цезаря от бога и т.д. Их было большинство и у них почти всегда были лидеры, которые помогали им думать так даже тогда, когда сами эти лидеры догадывались о намечавшихся нестыковках и противоречиях. И были мыслители, фанатики-одиночки, которые могли за свои идеи пойти на смерть, на костер, но не отказаться от истины, открывшейся им. Потому что они знали, что знание победит невежество и правду нельзя скрыть ни под какими "новыми платьями императора"

[gudvinr]

ssh-audit - довольно странная утилита. Если выполнять проверку с пресетом, то она говорит, что настройки небезопасны, потому что не совпадают алгоритмы.

При этом на сервере установлены алгоритмы того же семейства, что и в пресете, но с большей (!) длиной ключа.

[alexdora]

…vmess тоже под раздачу попадает, любопытно. Недавно кто_то писал что это анрил

[UranusExplorer]

VMess давно уже не считается безопасным, разработчики тулов уже не первый год рекомендуют переходить на VLESS

[UranusExplorer]

Эту статью надо тыкать всем умникам, утверждавшим "да как они мой ssh прокси вычислят, не будут же они всем ssh резать". Конкретно эта стать, всё-таки не про обнаружение прокси-туннелей внутри SSH, а про обнаружение TTY внутри реверс-прокси, но по факту принцип и механизмы будут работать те же самые.

[entze]

1. Режут всем.

2. Регистрируешь SSH по паспорту. Обязуешься только по делу использовать.

3. Система мониторинга не влезая в данные смотрит используется ли по делу. В случае подозрения - страйк. 3 страйка - заново регистрация + объяснение.

4. Profit!
   
   

[merinoff]

В пункте 2 еще тебе выдадут ключи, которые надо установить на сервер.

[LF69ssop]

Такая последовательность почти наверняка означает, что в данный момент
человек набирает текст в интерактивном терминале в SSH-туннеле и
получает ответное эхо. Всё просто.

И что? Обычный сценарий работы с ssh, что в этом подозрительного?

[plohish]

ну так так подозрительно - если как раз будет не так как в примере.
можно пытаться отфильтровать запрещённое, а можно - разрешённое.

[LF69ssop]

Я просто понял из текста что делается "стойка" как раз на нажатие клавиш. И не очень понял в чем смысл в контексте обнаружения туннеля.

[Kahelman]

Можно подробнее про анализ длины пакета для выявления нажатий клавиш?

Это же первое правило криптографии - выравнивать длину пакетов и генерировать пустые пакеты чтобы скрыть активность на канале.

А тут прям такое нарушение правил в одной из самых распространённых и проверенных технологий.

Выглядит подозрительно …

Пришлось лезть в оригинал статьи:

“This is a traffic analysis attack essentially. OpenSSH does not implement the “random padding” feature of RFC4253 The secure shell protocol which says ” the insertion of variable amounts of ‘random padding’ may help thwart traffic analysis”. Until they fix that we can use this technique to detect tunnels.”

Похоже в реализации openSsh дырка, пока не пофиксили, можно пользоваться, как только подправят - лавочка прикроется

Кстати, что-то у уважаемого автора в корпоративном блоге слишком много прямых заимствований текста и картинок из оригинала. Плагиатом попахивает …

[osmanpasha]

А иксы, проброшенные через ssh, тоже будут резаться? Там тоже клавиатурный ввод не будет прослеживаться.