Jeg tror de også vil holde porten stengt fordi den kan brukes til proxy-tilkoblinger, TOR og lignende.

Ja, det er den mest sannsynlige forklaringen.

Det er mulig at skadelig programvare går utgående ved hjelp av SSH for å skjule trafikken. Det er også mulig at skadelig programvare, eller brukere, kan bruke videresending av SSH-port for å tillate "inngående" tilkoblinger som er blokkert av brannmuren. Disse er gyldige, men sannsynligvis mindre bekymringer for skolen din.

Deres primære problem med SSH er sannsynligvis ikke at det tillater disse tunnelene, som som du påpeker kan gå over andre porter og andre protokoller, men at det skjuler dem under kryptering, og blokkerer administratorens evne til å kontrollere hva nettverket brukes til. Selv om andre verktøy kan gjøre dette også, er SSH "ut av esken" og representerer frukt som er lite hengende for dem å blokkere.

Kan noen vennligst svare med flere, bedre grunner til at utgående SSH bør være blokkert eller (helst) med grunner til at denne nettverkspolitikken er irrasjonell?

Deres tekniske årsaker er gyldige, men muligens litt spesielle for (skolens) sikkerhetskrav. De administrative årsakene er gyldige for dem, men irrasjonelle for deg. Dessverre for deg er det nettverket deres.

Der jeg forventer at du vil tunnelere SSH-over-SSL en gang snart.

Jeg vil si at 90% + av tiden du støter på et slikt argument med hensyn til tunneling, spesielt på en skole, er målet å forhindre at du danner tunneler. Hvis du kan tunnelere, kan du omgå webfilteret deres. Hvis du kan, vil noen andre gjøre det. Etter at nok folk tar tak i det, vil noen twit se på porno i biblioteket, komme i trøbbel, og noen vil spørre administrasjonen hvordan i helvete det kan skje.

Det er også viktig å merke seg at "skoler" kan omfatte forskningsintensive universiteter der nettverkstjenester er avgjørende for skattefinansiert forskning, spesielt innen datavitenskap / ingeniørfag. I tillegg finansieres IT-avdelinger ofte av overhead returnert fra forskningsstipend. Et altfor sikkert nettverk kan forstyrre forskningsaktivitet og levering av elektroniske tjenester fra forskningsgrupper. Implementering av en "hvitliste" -politikk er mer enn en plage i den distribuerte, samarbeidende verden av akademisk forskning. Det er en plan for å gå ut av virksomheten.

Heldigvis spiller fakultetet på de fleste forskningsuniversitetene en sterk rolle i institusjonell ledelse, og altfor restriktive politikker vil vanligvis ikke overleve lenge. På mindre universiteter, høyskoler eller tekniske skoler kan en slik politikk være praktisk, men vil trolig forstyrre enhver forsøk på "legitim" forskning.

Som fast professor selv, ville SSH-restriksjoner tvinge meg til å legge ned laboratoriet mitt og ta arbeidet mitt andre steder. Selv om det finnes en "hvitliste" -policy, vil jeg rett og slett ikke tillate at drift av et forskningslaboratorium holdes under kontroll av en eller annen fyr fra IT. Jeg legger ut dette svaret i håp om at en IT-administrator kan se det, og tenker meg om to ganger før jeg implementerer politikk som kan være i strid med institusjonelle oppdrag.

Ja, de prøver å blokkere videresending av port. Denne typen ting har alltid vært lite fornuftig for meg, spesielt siden ting som stunnel eksisterer. Hvis du forresten kan komme til hvilket som helst SSL-nettsted på Internett (uten en sertifiseringsfeil, og uten et tilpasset rotsertifikat installert av IT-avdelingen din), kan du sannsynligvis tunnel ut til nesten hvor som helst protokoll inne i en tunnel. Dette er prinsippet som ting som LogMeIn bruker.

Se HTTP Connect verb for mer, og generelt dette: https://secure.wikimedia.org / wikipedia / no / wiki / Tunneling_protocol

Jeg jobbet som administrator for nettverkssikkerhet på en høyskole i byen min.

Det ble selvfølgelig laget retningslinjer for å tillate studenter, gjester, ansatte og lærere ... å finne de nødvendige frihetene til å bruke Internett.

En av våre sikkerhetsklasser / laber ble opprettet med en ekstern dsl-linje for akkurat den friheten som brannmuren og interne sikkerhetsenheter ellers ikke ville tillatt.

For det opprinnelige spørsmålet, er et problem med å videresende ssh til http at sikkerhetsgutta til slutt vil se hvor mye trafikk som brukes av IP-en, det vil si hvis du bruker ssh-omdirigering for nedlastinger ..etc .

I et skolemiljø der rørene er store, er det best å låse ting. Hvis ikke mennesker (studenter, fakultetet og andre) vil installere p2p-programvare, ulovlig programvare og gjøre andre ting som kan øke ansvaret for skolen, koste folk jobbene sine for å gi personlige interesser uten å ta hensyn til hvordan det vil påvirke bedriften. / p>

Det er også behov for å forhindre tilgang til usikre nettsteder, malware deteksjon, etc. så mye som mulig i et bedriftsskolenettverk. Et rot av en student kan potensielt påvirke alle andre, spesielt hvis datamaskiner er på et domene. System- og nettverksadministratorene har hovedprioriteter å holde ting tilgjengelig, sikre, ikke overbelastede, trygge og for å møte behovene til toppledelsen (dekaner, vps, presidenter, etc.).

Normalt er det tryggere å gjøre en hvitliste i stedet for en svarteliste når det gjelder sikkerhet, men det kan også være frustrerende for de som ønsker å ha det gøy eller gjøre legitime undersøkelser. Det bør være en formell prosessprosedyre for å be om tilgang til bestemte nettsteder og ha visse protokoller åpnet med begrunnelse (professor trenger det fra 09.00 til 14.00, eller ønsker å gjøre en live demonstrasjon av noe av den typen).

Det vil alltid måtte jobbes for å opprettholde en balanse mellom sikkerhet og brukbarhet med sikkerhet som kommer før brukbarhet hvis noe er kjent for å være usikkert som å tillate ftp og andre usikre protokoller for autentisering.

SSH brukes ofte til "firewall peircing", dvs. tilby fremover tunneler for å få tilgang til vilkårlige ressurser utenfor nettverket, eller verre, tilby tilbakevendende tunneler for å avsløre interne ressurser. Ja, du kan også tunnelere over SSL, men som andre foreslo, er SSH bygget for å tunnelere.

To forslag:

1. Har du spurt sikkerhetsadministratoren hvordan ville du få et unntak? Gitt at du har et legitimt behov for SSH, er du sannsynligvis ikke målgruppen for blokken. Hvis sikkerhetsadministratoren ikke kan godkjenne unntaket, spør dem hvem som kan.

2. Du kan kanskje bruke github over SSL:

ol>

https://stackoverflow.com/questions/3777075/https-github-access

(ignorere kommentarene om SSH over 443, jeg vet at du nevnte de bruker DPI for å stoppe SSH)

Heroku tilbyr en nettkonsoll, men jeg er ikke sikker på om det ville være tilstrekkelig.