sshトンネリングトラフィックをブロックする方法？

誰かが職場や自宅に/からsshトンネルを設定した場合、将来のSSHトンネリングトラフィックを防ぐ方法はありますか？

websenseはトラフィックをブロックできることを理解していますが、sshトンネリングを使用するユーザーは、正当なトラフィックと非合法なトラフィックの違いを判断するためにパケットを解読したり、詳細に調べたりできないため、websenseまたは他の類似製品をバイパスできます。

いくつかの読書と研究から、私ができることのいくつかは以下であることがわかりました。-SSHを完全にオフにします。許可されない-sshアクセスをアクセスに必要なユーザーのみに制限し、他のすべてのsshアクセスを拒否する-宛先ごとにsshトラフィックをブラックリストまたはホワイトリストするカスタムプロトコルを作成する（リストが管理可能であると想定）-sshトラフィックのログを確認し、確認する宛先IPを確認し、それらが正当なデバイスまたは許容可能なデバイスに解決するかどうかを確認します。または、トンネリングトラフィックよりも通常のインターネットトラフィックがあり、そのIPを拒否/ブラックリストに登録できるかどうかを確認します

しかし、これらのオプションに加えて、中間者攻撃によって上記のオプションを回避することは可能だろうかと思いました。

または、sshトンネリングトラフィックをブロックする別のオプション、またはこのトラフィックをフィルタリング/ブロックできるネットワークデバイスさえありますか？

助けてくれてありがとう。

アウトバウンドssh接続、つまりトンネルを防止するには、ディープパケットインスペクションを介してアウトバウンド接続を完全に遮断する必要があります。ポートを見ると100％役に立たなくなります。それがSSHであることを知るには、実際のパケットペイロードを調べる必要があります。（これがwebsenseが行っていることです。）

他の唯一のオプションは、「プロキシ」ホストのセットアップです。sshクライアントとサーバーがトンネリングを許可しないように構成をロックダウンし、そのマシンのみがアウトバウンドssh接続を行えるようにします-もちろん、これにはシステムのセキュリティも含まれます。そうしないと、ユーザーは好きなsshソフトウェアを実行できます。

別の方法があります。ユーザーがSSHをプロキシ回避策として使用するのを止めようとしているだけで、レート制限を20kB / sec程度にしないようにすると、Webには十分に苦痛になりますが、コンソールでの使用には気づきません。

ただし、通常の速度でファイル転送を許可したい場合、これはオプションではありません。

SSHサーバーとファイアウォールを制御する場合、SSHサーバーが使用しているポート（デフォルトでは22）へのアクセスをブロックすることにより、アクセスを制御できます。ポートが以前に開かれていない限り、送信接続が許可される可能性が高いと思われますが、受信接続はブロックされる可能性があります。適切な設計と計画を立てることで、アクセスを好みの方法できめ細かくまたは粗く制御できます。

SSHサーバーを制御しないと、使用しているポートを保証できないため、ポートのみに基づいてフィルタリングするのがはるかに難しくなります。

ネットワーク内にいるすべての人にSSHサーバーへのアクセスを許可する必要があるが、外部にいるときはごく少数を選択する必要がある場合、ポートノッキングは読みやすいです。