Come rilevare un SSH reverse tunnel

Written by Domenico Panetta

20/10/2020

Oggi parleremo del nuovo algoritmo di Flow Analytics di Plixer, Reverse SSH Shell, che è stato incluso nell’ultimo aggiornamento di Plixer Scrutinizer. L’algoritmo Reverse SSH Shell identifica i possibili SSH reverse tunnel verso destinazioni esterne.

Un SSH reverse tunnel consente a un’entità esterna di accedere a risorse interne protette tramite l’uso di una connessione SSH in uscita stabilita. L’SSH reverse tunnel è in ascolto su una porta di rete su un computer locale. Se rileva una richiesta SSH su quella porta, ritrasmette la richiesta di connessione a sé stesso, in fondo alla connessione stabilita. Ciò fornisce una nuova connessione dal computer locale al computer remoto.

Se si ha difficoltà a configurare l’istanza nel proprio laboratorio o ambiente di produzione, potrebbe essere meglio provarlo all’interno di una rete semplice prima di diventare hardcore e verificarlo in reti più complesse che includono la traduzione dell’indirizzo di rete o IPsec site-to-site VPN. Questo ti aiuterà a capire un meccanismo di “connessione” Reverse SSH Shell.

Come testare l’algoritmo Reverse SSH Shell

Nell’esempio, ci sono due diverse reti ipotetiche collegate tra loro tramite un tunnel VPN IPsec.

Verrà stabilita una reverse SSH Shell tra ClientHost e Devil. Si trovano in reti diverse e possono eseguire il ping a vicenda tramite il tunnel VPN, che verrà disattivato dopo aver stabilito la connessione iniziale.

Prima di andare avanti, è necessario andare su vai su Scrutinizer > Admin> Settings> Reverse SSH Shell, quindi verificare che entrambi i dispositivi L3 siano stati aggiunti nelle exporters list.

  1. SSH dalla destinazione alla sorgente utilizzando un indirizzo IP pubblico utilizzando il comando seguente:

ssh –R 19999:localhost:22 sourceuser@18.210.158.60

Nota: la porta 19999 può essere qualsiasi porta inutilizzata.

  1. Ora è possibile fare SSH dall’origine alla destinazione attraverso il tunneling SSH:

ssh localhost –p 19999

Nota: la connessione tra destinazione e origine deve essere sempre attiva.

Ora come possiamo vederlo e come Scrutinizer può aiutarci con un modo per definire questa violazione?

Nello screenshot sopra “10.30.1.118” è apparso sotto l’elenco dei trasgressori, quindi diamo un’occhiata più da vicino facendo clic su Reverse SSH Shell policy, che farà apparire la sua policy di allarme:

L’immagine sopra mostra quando si è verificata ciascuna di queste violazioni e ciascuna violazione ha il proprio livello di gravità. Più in basso, possiamo ottenere un rapporto relativo alla connessione tra il trasgressore e una vittima:

Qui possiamo vedere la conversazione avvenuta tra i due indirizzi IP. Con l’aiuto di Plixer Scrutinizer, siamo stati in grado di identificare un tentativo di minaccia osservando il traffico avvenuto tra i due host. Se ci sono domande sull’identificazione di SSH reverse tunnel nella tua rete, fatecelo sapere.

Khalil Ismayilov
Khalil Ismayilov

Network Support Engineer at Plixer

Khalil è un ingegnere del supporto tecnico presso Plixer. Si dedica a diventare un esperto di networking e trascorre il suo tempo libero scoprendo cose nuove sul campo. Oltre alla sua passione professionale, Khalil si diverte a pescare e giocare ai videogiochi. Preferisce uno stile di vita attivo e ama passare il tempo con la famiglia.

Potrebbero piacerti anche questi articoli…

Cosa offre una TIP?

Cosa offre una TIP?

I criminali informatici stanno facendo gli straordinari. Le organizzazioni di sicurezza devono stare al passo con le...