SSH tuneluri: configurarea, utilizarea
Tunelul SSH este o metodă de transport a datelor de rețea arbitrare printr-o conexiune SSH criptată. Acesta poate fi folosit pentru a adăuga criptare la aplicațiile vechi. Acesta poate fi, de asemenea, utilizat pentru a implementa VPN (rețele private virtuale) și acces la servicii intranet prin firewall-uri.
conținut
- Introducere
- Definiție
- Protocoale de tunelare - ce este asta?
- Secure shell - transfer de date securizat
- Tipuri de expediere port
- Caracteristici tehnice
- Exemple de implementare
- Conectarea la baza de date din spatele paravanului de protecție
- Transmiterea portului de la distanță
- Domeniul de aplicare și riscurile
- Avantaje
- Riscuri
introducere
Redirecționarea porturilor prin SSH creează o conexiune securizată între calculatorul local și aparatul de la distanță prin care pot fi transferate servicii. Deoarece conexiunea este criptată, tunelul SSH este util pentru transmiterea informațiilor care utilizează un protocol necriptat, cum ar fi IMAP, VNC sau IRC.
Tunelul SSH Windows utilizează portul 22 pentru a cripta datele trimise printr-o rețea publică (de exemplu, Internetul), oferind astfel o funcție VPN. IPsec are un mod de transport end-to-end, dar poate funcționa și în modul tunel printr-un gateway de securitate securizat.
definiție
Tunelul SSH este standardul pentru conectările securizate la distanță și transferurile de fișiere prin rețelele neîncredințate. De asemenea, oferă o modalitate de a proteja traficul de date pentru o anumită aplicație folosind port forwarding, practic tunelând orice port TCP / IP pe SSH. Aceasta înseamnă că traficul este direcționat către fluxul din interiorul conexiunii SSH criptate, astfel încât să nu poată fi ascultat sau interceptat în timp ce este în tranzit. Tunelul SSH vă permite să adăugați securitatea rețelei la aplicațiile vechi care nu suportă criptarea.
Se creează o conexiune securizată între o rețea neautentificată între clientul SSH și serverul SSH. Această conexiune SSH este criptată, protejează intimitatea și integritatea și autentifică legăturile.
Conexiunea SSH este utilizată de aplicație pentru a se conecta la serverul de aplicații. Atunci când tunelul este activat, aplicația comunică cu portul de pe gazda locală pe care o asculta clientul SSH. atunci Client SSH redirecționează aplicația peste tunelul său criptat către server. Acesta din urmă se conectează la serverul de aplicații actual - de obicei pe același computer sau în același centru de date ca și serverul SSH. Astfel, conexiunea aplicației este protejată fără a fi nevoie să modificați fluxul de lucru al aplicațiilor sau al utilizatorilor finali.
Protocoale de tunelare - ce este asta?
În calculator protocol de rețea Tunelul permite unui utilizator de rețea să acceseze sau să furnizeze un serviciu de rețea pe care rețeaua de bază nu o suportă sau o oferă direct. O aplicație importantă este să permiteți unui protocol extern să lucreze într-o rețea care nu suportă acest protocol special (de exemplu, lansarea IPv6 pe IPv4).
Un alt punct important este furnizarea de servicii care sunt impracticabile sau nesigure pentru a fi utilizate numai cu servicii de rețea de bază. De exemplu, furnizarea unei adrese de rețea corporativă unui utilizator de la distanță a cărui adresă de rețea fizică nu face parte din rețeaua corporativă. Deoarece tunelul implică reambalarea datelor de trafic într-o altă formă, posibil utilizând criptarea standard, o caracteristică importantă este ascunderea naturii traficului lansat prin tuneluri.
Secure Shell - transfer de date securizat
Secure Shell constă într-un tunel criptat creat prin conectarea protocolului SSH. Utilizatorii pot configura tunelurile SSH pentru a transfera traficul necriptat peste rețea printr-un canal criptat. De exemplu, computerele Microsoft Windows pot schimba fișiere utilizând Protocolul de mesaje server (SMB), un protocol necriptat.
Dacă doriți să conectați de la distanță un sistem de fișiere Microsoft Windows pe Internet, cineva care urmărește conexiunea poate vedea fișierele transferate. Pentru a monta în siguranță sistemul de fișiere Windows, puteți instala un tunel SSH care traversează întregul trafic SMB către serverul de fișiere la distanță printr-un canal criptat. În ciuda faptului că protocolul SMB nu conține în sine criptare, criptată Canalul SSH prin care se mișcă asigură securitate.
Tipuri de expediere port
Portul de redirecționare a porturilor este o funcție acceptată pe scară largă, care se găsește în toți clienții și serverele SSH majore. Cu redirecționarea portului SSH, puteți transfera diverse tipuri de trafic pe Internet prin rețea. Acest lucru este folosit pentru a evita umbrirea în rețea sau pentru a eluda routerele defecte configurate pe Internet.
Există trei tipuri de redirecționare a porturilor cu SSH:
-
locale - conexiunile de la clientul SSH sunt redirecționate către serverul SSH și apoi către serverul destinație -
conexiunile la distanță - de la serverul SSH sunt redirecționate prin clientul SSH și apoi către serverul destinație -
dinamic - conexiunile din diverse programe sunt trimise prin clientul SSH, apoi prin serverul SSH și, în cele din urmă, către mai multe servere țintă.
Redirecționarea portului local este cel mai des întâlnit și, în special, vă permite să ocoliți firewall-ul companiei, care blochează "Wikipedia".
Deplasarea portului la distanță este mai puțin frecventă. Vă permite să vă conectați de la serverul SSH la un computer de pe intranetul companiei dvs.
Dinamica portului de expediere este, de asemenea, utilizat de multe ori. Vă permite să ocoliți firewall-ul companiei, care blochează complet accesul la Internet. Este nevoie de o mulțime de lucruri pentru configurare și de obicei este mai ușor să utilizați redirecționarea porturilor locale pentru anumite site-uri pe care doriți să le accesați.
Caracteristici tehnice
Pentru a utiliza redirecționarea porturilor, trebuie să vă asigurați că portarea porturilor este activată pe serverul dvs. De asemenea, trebuie să îi spuneți clientului numerele de port sursă și de destinație. Dacă utilizați redirecționare locală sau la distanță, trebuie să îi spuneți clientului server de destinație. Dacă se utilizează redirecționarea dinamică a porturilor, va trebui să configurați programele pentru a utiliza serverul proxy SOCKS. Din nou, modul de a face acest lucru depinde de clientul SSH pe care îl utilizați, deci este posibil să aveți nevoie să citiți mai detaliat documentația.
Exemple de implementare
Cea mai bună modalitate de a înțelege cum funcționează acest lucru este de a lua în considerare un exemplu cu redirecționări locale. Imaginați-vă că vă aflați într-o rețea privată care nu vă permite să vă conectați la un anumit server. Să presupunem că sunteți la serviciu și vk.com este blocat. Pentru a ocoli blocarea, putem crea un tunel printr-un server care nu este în rețeaua noastră și astfel poate accesa resursa solicitată: $ ssh -L 9000: vk.com: 80 [email protected].
Punctul cheie aici este -L, care spune că efectuăm expedierea porturilor locale. Comanda raportează apoi că redirecționăm portul local 9000 la vk.com:80, care este portul implicit pentru HTTP. Acum trebuie să deschideți browserul și să mergeți la http: // localhost: 9000.
Avantajul incontestabil al tunelurilor SSH este că acestea sunt criptate. Nimeni nu va vedea care site-uri vizitați - vor fi vizibile numai conexiunile SSH către server.
Conectarea la baza de date din spatele paravanului de protecție
Un alt exemplu bun: dacă aveți nevoie să accesați un port de pe serverul dvs., la care se poate face numai de la gazda locală și nu de la distanță.
Un exemplu aici este necesitatea conectării la consola bazei de date, care permite numai conexiunea locală din motive de securitate. Să presupunem că utilizați PostgreSQL pe serverul dvs., care asculta implicit portul 5432: $ ssh -L 9000: localhost: 5432 [email protected].
Partea care sa schimbat aici este localhost: 5432, care vorbește despre redirecționarea conexiunilor de la portul local 9000 la localhost: 5432 și la serverul dvs. Acum ne putem conecta la baza noastră de date: $ psql -h localhost -p 9000.
Transmiterea portului de la distanță
Acum, să explicăm funcționarea redirecționării de la distanță pe un exemplu real. Să presupunem că dezvoltați o aplicație Rails pe mașina dvs. locală și doriți să o arătați unui prieten. Din păcate, ISP-ul dvs. nu vă oferă o adresă IP publică, astfel încât să nu vă puteți conecta direct la un PC prin Internet.
Uneori, acest lucru se poate face prin configurarea NAT (traducerea adreselor de rețea) pe router, dar acest lucru nu merge întotdeauna și acest lucru necesită schimbarea configurației routerului, ceea ce nu este întotdeauna de dorit. De asemenea, această soluție nu funcționează dacă nu aveți acces la administratori în rețeaua dvs.
Pentru a rezolva această problemă, veți avea nevoie de un alt computer care este public și care are acces la SSH. Poate fi orice server de pe Internet dacă vă puteți conecta la el. Vom crea un tunel SSH care va deschide un port nou pe server și îl va conecta la portul local de pe computer:
$ ssh-R 9000: localhost: 3000 [email protected]
Sintaxa de aici este foarte asemănătoare cu redirecționarea portului local, cu o înlocuire a lui -L cu -R. Dar, ca și în cazul redirecționării porturilor locale, sintaxa rămâne neschimbată.
Domeniul de aplicare și riscurile
Dezavantajul este că orice utilizator care se poate conecta la server are dreptul să activeze redirecționarea porturilor. Este utilizat pe scară largă de către profesioniștii IT interni pentru a intra în mașinile sau serverele lor în cloud, redirecționând portul de pe server spre intranetul corporativ pe calculatorul de lucru sau pe un server adecvat. De asemenea, hackerii și malware-ul îl pot folosi pentru a lăsa un defect al algoritmului în rețeaua internă. Acesta poate fi, de asemenea, folosit pentru a ascunde piese de atacatori prin atacarea cu mai multe dispozitive care permit tuneluri necontrolate.
Tunelul este adesea folosit împreună cu cheile tunelului SSH din PHP și autentificarea cheilor publice pentru a automatiza complet procesul.
avantaje
Vânzările de tuneluri SSH sunt utilizate pe scară largă în multe medii corporative care utilizează sistemele mainframe ca aplicații. În aceste medii, aplicațiile în sine pot avea un sprijin foarte limitat pentru securitate. Folosind tunelul, compatibilitatea cu SOX, HIPAA, PCI-DSS și alte standarde, se poate realiza fără a fi necesară schimbarea aplicațiilor.
În multe cazuri, aceste aplicații și servere de aplicații sunt de așa natură încât modificarea acestora este probabil imposibilă sau excesiv de costisitoare. Codul sursă poate fi indisponibil, vânzătorul poate fi dat în faliment, produsul poate fi în afara suportului sau echipa de dezvoltare este în afara. Adăugarea unui container, cum ar fi tunelul SSH cu chit, oferă o modalitate economică și practică de a adăuga securitate pentru aceste aplicații. De exemplu, toate rețelele ATM din țara noastră operează folosind tuneluri pentru a asigura securitatea.
riscuri
SSH tunelul este, fără îndoială, un lucru util. Acesta include riscurile care trebuie abordate departamentelor de securitate IT din cadrul companiei. Conexiunile tunelurilor SSH gratuite sunt protejate prin criptare puternică. Acest lucru face ca conținutul lor să fie invizibil pentru majoritatea soluțiilor de monitorizare a rețelei și pentru filtrarea traficului. Această invizibilitate prezintă un risc semnificativ dacă este folosită în scopuri dăunătoare, cum ar fi filtrarea datelor.
Infractorii cibernetici sau programele malware pot folosi tunelurile SSH pentru a-și ascunde mesajele neautorizate sau pentru a prelua date furate din rețeaua vizată.
Într-un atac de tunel SSH, un atacator instalează serverul în afara rețelei țintă (de exemplu, în Amazon AWS). Odată ce trișorul este pe sistemul țintă, se conectează la serverul SSH extern din interior. Cele mai multe organizații permit conexiuni de ieșire în tunelul SSH Linux, cel puțin dacă au servere într-un cloud public. Această conexiune SSH este configurată cu o opțiune care vă permite să transmiteți portul TCP din portul de pe serverul extern către portul SSH de pe serverul din rețeaua internă. Pentru a configura acest tunel SSH, aveți nevoie de o comandă cu o singură linie în interior și o puteți automatiza cu ușurință. Majoritatea firewall-urilor practic nu protejează împotriva lor.
Ce este FTPS: principiul funcționării și diferențele față de FTP convenționale
Scoatem tunelul printr-un repetor în Hamachi
Lefortovo tunel pe cel de-al treilea inel de transport
Configurarea bat! pentru Yandex: ghid detaliat
Mail porturile SMTP și semnificația lor
Protocolul SIP: descriere
NAT este ceea ce? Configurarea NAT
Conexiune PPTP - ce este?
Avast SecureLine - ce este? Prezentare generală generală
Accelerăm prin calculatorul intermediar. Cum se utilizează un proxy
Porturi Pptp - protocol de comunicare securizat
807 La conectarea la rețea. Cum se remediază eroarea 807
Cum se configurează o conexiune VPN pe Windows 7 între două computere?
Gmail Setări SMTP: moduri și nuanțe
Protocoale de e-mail: POP3, IMAP4, SMTP- Firewall-uri
- Ce este VPN și caracteristicile acestuia
Configurarea VPN în Windows 10: Instrucțiuni și metode de bază
Ce este un firewall: răspunsul la o întrebare
Configurarea unei rețele de domiciliu a două computere
Configurarea Internetului în cinci minute
Scoatem tunelul printr-un repetor în Hamachi
Lefortovo tunel pe cel de-al treilea inel de transport
Configurarea bat! pentru Yandex: ghid detaliat
Mail porturile SMTP și semnificația lor
Protocolul SIP: descriere
NAT este ceea ce? Configurarea NAT
Conexiune PPTP - ce este?
Avast SecureLine - ce este? Prezentare generală generală
Porturi Pptp - protocol de comunicare securizat