SSH туннели: настройка, использование

Опубликованно 17.11.2017 02:41

SSH туннелирование-это метод транспортировки произвольных данных в сети зашифрованный SSH-соединение. Вы можете использовать его, чтобы добавить шифрование в унаследованных приложений. Он также может быть использован для реализации VPN (виртуальной частной сети) и доступ к интранет через брандмауэр.Введение

Перенаправление портов через SSH создает защищенное соединение между компьютером локальной и удаленной машине, через которую могут быть переведены услуги. Поскольку соединение зашифровано, SSH tunneling полезно для передачи информации, которая использует протокол, как IMAP, VNC или IRC.

Туннель SSH Windows использует порт 22, для обеспечения шифрования данных, передаваемых по сети общего пользования (например, Интернет), что дает функцию VPN. IPsec-это способ транспортировки из конца в конец, но также может работать в режиме туннелирования через надежный шлюз безопасности.

Определение

SSH туннель-это стандарт для безопасности удаленного подключения и передачи файлов по ненадежным сетям. Он также обеспечивает способ защиты трафика данных приложения с помощью перенаправления портов, в основном туннель любой порт TCP/IP через SSH. Это означает, что трафик на поток внутри зашифрованного SSH, он не может не слушать или перехватывается, пока находится в пути. SSH туннелирование позволяет добавить сеть безопасности ваших устаревших приложений, которые не поддерживают шифрование.

Безопасное подключение по сети, не надежно устанавливается между SSH-клиент и SSH-сервер. Это соединение SSH шифруется, защищает конфиденциальность и целостность и подлинность связывающих стороны.

SSH-соединение используется для подключения к серверу приложений. Если туннелирование приложение взаимодействует с порту локальный хост, который слушает SSH-клиент. Затем, SSH-клиент, который перенаправляет приложение на ваш шифрованный туннель на сервер. Последний подключается к реальному серверу приложений, как правило, на одном компьютере или в том же центре обработки данных, что сервер SSH. Таким образом, правоотношения, приложение, защищенное, без необходимости изменения процесса работы приложений или конечных пользователей.

Протоколы туннелирования — это, что это?

В компьютерных сетях протокол туннелирования сети позволяет пользователю получить доступ или предоставлять услуги сети, что сеть не поддерживает или не работает напрямую. Одним из важных применений является разрешение внешнего сетевого протокола, который не поддерживает этот протокол (например, запуск IPv6 на IPv4).

Еще один важный момент заключается в предоставлении услуг, которые являются неприемлемыми или не являются безопасными для использования базовых услуг сети. Например, предоставлении компании сетевого адреса удаленного пользователя сети, физический адрес которого не является частью корпоративной сети. Так как туннель включает в себя восстановление данных трафика в другой форме, может быть, с помощью стандартного шифрования, важной особенностью является, чтобы скрыть характер трафика, который запускается через туннели. Secure Shell — безопасная передача данных

Secure Shell из зашифрованного туннеля, созданный с помощью SSH. Пользователи могут настроить SSH-туннелей для передачи не сетевой трафик через зашифрованный канал. Например, компьютеры с Microsoft Windows могут обмениваться файлами с помощью протокола сообщений сервера (SMB), протокол не зашифрован.

Если вы хотите удаленно подключиться к системе Microsoft Windows файлы через Интернет, который является свидетелем для подключения может посмотреть загруженные файлы. Для монтирования файловой системы Windows, вы можете установить SSH туннель, который направляет весь трафик SMB на удаленный файловый сервер через зашифрованный канал. Хотя протокол SMB не содержит шифрования зашифрованный SSH канал, по которому он движется, обеспечивает безопасность.

Типы переадресации портов

Перенаправление портов широко поддерживается функции, которые можно найти во всех основных клиентов и серверов SSH. С помощью функции переадресации портов SSH, вы можете передавать различные типы трафика интернет через сеть. Он используется для того, чтобы избежать мониторинга сети или для того, чтобы анализировать правильно настроить маршрутизаторы в Интернете.

Существует три вида переадресации портов SSH:

место соединения с SSH-клиент, перенаправляются на сервер SSH, а затем на сервер назначения;

— удаленное подключение по SSH-сервера передаются через SSH-клиента, а затем на сервер назначения;

динамической связи различных программ с помощью клиента SSH, то есть SSH-сервер, и, наконец, на несколько целевых серверов.

Местное перенаправление портов является наиболее распространенным и, в частности, позволяет обойти межсетевой экран компании, который блокирует "Википедию".

Удаленное перенаправление портов реже. Позволяет подключиться к вашему серверу по SSH к компьютеру в корпоративной сети.

Динамическое перенаправление портов также используется редко. Позволяет обойти брандмауэр компании, который блокирует доступ в Интернет. Требует много работы для настройки, он, как правило, легче использовать локальную переадресацию портов для некоторых сайтов, на которые вы хотите получить.

Технические характеристики

Чтобы использовать перенаправление портов, вы должны убедиться, что переадресация портов включена на сервере. Кроме того, необходимо предоставить заказчику номера портов источника и назначения. Если вы используете локальную или удаленную переадресацию, вам нужно сообщить клиенту, сервер назначения. Если использовать динамическое перенаправление портов нужно настроить программы на использование прокси-сервера SOCKS. Еще раз, как это сделать, зависит от того, какой SSH клиент вы используете, вам может понадобиться более подробной информации обратитесь к документации.Примеры реализации

Лучший способ понять, как это работает — рассмотреть на примере локальной переадресации. Представьте себе, что вы находитесь в частной сети, которая не позволяет подключиться к определенному серверу. Предположим, что вы находитесь на работе, и vk.com заблокирован. Чтобы обойти блокировку, мы можем создать туннель через сервер, который находится не в нашей сети и, следовательно, может получить доступ к этому ресурсу: $ ssh-L 9000: vk.com: 80 user@example.com.

Ключевым моментом здесь является L, в котором он сказал, что мы выполняем локальное перенаправление портов. Затем команды показывает, что мы движемся наш местный порт 9000 на vk.com:80, который является портом по умолчанию для HTTP. Теперь вам необходимо открыть ваш браузер и перейти по адресу http://localhost: 9000.

Преимущества SSH-туннелей является то, что они зашифрованы. Никто не увидит, какие сайты вы посещаете, будут видны только SSH с сервером.

Подключение к базе данных брандмауэра

Еще один хороший пример: если вам нужен доступ к порту сервера, на котором это можно сделать только с локального хоста, а не удаленно.

Например здесь является необходимость подключения к консоли базы данных, которая обеспечивает только локальное подключение по соображениям безопасности. Предположим, что вы используете PostgreSQL на сервер, который по умолчанию слушает на порту 5432: $ ssh-L 9000: localhost: 5432 user@example.com.

Часть, что изменилось, " localhost: 5432, в соответствии с которым перенаправление подключений с вашего локального порта 9000 на localhost: 5432 и на ваш сервер. Теперь мы можем просто подключиться к нашей базе данных: $ psql -h localhost -p 9000.Расстояние перенаправление портов

Сейчас объясню на реальном примере работы удаленной переадресации. Например, вы разрабатываете приложение Rails в место, и вы хотите показать его другу. К сожалению, ваш провайдер интернет не предоставлен публичный IP-адрес, так что не удалось подключиться напрямую к вашему ПК через Интернет.

Иногда можно решить, настроив NAT (network address translation) на вашем маршрутизаторе, но это не всегда работает, и для этого вы хотите изменить настройки вашего маршрутизатора, что не всегда желательно. Это решение не работает, если у вас нет доступа администратора вашей сети.

Чтобы решить эту проблему, вам понадобится другой компьютер, который доступен для общественности, и есть доступ по SSH. Это может быть любой сервер в Интернете, если вы можете подключиться к ней. Мы будем создать SSH туннель, который откроет новый порт на сервере и подключиться к локальному порту на вашем компьютере:

$ ssh-R 9000: localhost: 3000 user@example.com

Синтаксис очень похож на место перенаправление портов, с замены -L-R. Но, как и в локальной переадресации портов, синтаксис остается неизменным.

Сфера применения и риски

Недостатком является то, что любой пользователь может подключиться к серверу, право перенаправления портов. Он широко используется внутренними ит-специалистами для вступления в машины или серверы в облако, перенести порт сервера вернулся в корпоративной сети, на рабочей станции или сервера. Хакеры и вредоносные программы могут также использовать его, чтобы оставить по умолчанию алгоритм внутренней сети. Вы также можете использовать его, чтобы скрыть дорожки атаковать, путем атаки с помощью нескольких устройств, которые позволяют бесконтрольно туннелирования.

Туннелирование часто используется совместно с ключами PHP SSH туннель и подлинности открытого ключа для полной автоматизации процесса.Преимущества

Продажа SSH-туннелей широко используются во многих корпоративных средах, которые используют системы мэйнфреймов в своих приложениях. В этих условиях, они могут иметь некоторую поддержку, чтобы обеспечить безопасность. С помощью туннеля, совместимость с SOX, HIPAA, PCI-DSS и других стандартов, может быть достигнута без необходимости изменения приложения.

Во многих случаях, эти приложения и серверов приложений, таких как изменения эти, скорее всего, невозможно или слишком дорого. Исходный код может быть недоступен, продавец, возможно, обанкротился, продукт может быть вне поддержки или нет команды разработчиков. Добавление защитную оболочку, такие как SSH туннель в putty, обеспечивает экономичный и удобный способ, чтобы добавить безопасности для таких приложений. Например, все сети банкоматов нашей страны работают с помощью туннелирования для обеспечения безопасности.Риски

В качестве вклада вещи, несомненно, выступает в SSH tunneling. Он включает в себя риск, который должен быть адресован компании ИТ-отделам безопасности. Подключение бесплатно SSH туннели, защищенные шифрованием. Это делает его содержимое невидимым для большинства развертываний решений мониторинга и фильтрации трафика. Это происходит, несет значительный риск, если он используется в мошеннических целях, таких как фильтрация данных.

Киберпреступников и вредоносных программ могут использовать брут SSH-туннелей, чтобы скрыть свои сообщения неавторизованных или для извлечения данных, украденных из целевой сети.

В SSH туннель, злоумышленник устанавливает сервер вне сети-мишени (например, Amazon AWS). Как только жулик попадает в целевой системе, он подключается к внешнему серверу по SSH изнутри. Большинство организаций допускают исходящих соединений через SSH-туннель на Linux, по крайней мере, если они имеют серверов в публичном облаке. Это соединение SSH настроен с опцией, которая позволяет производить передачу TCP-порт порт на сервере через SSH на сервер порт во внутренней сети. Конфигурация SSH туннель, требует контроля линии внутри, и вы можете легко автоматизировать. Большинство брандмауэров почти не защищают от него.

Категория: Hi-Tech