SSH-туннель: установка, использование
Опубликованно 15.11.2017 12:20
SSH туннелирование-это способ транспортировки произвольной сети передачи данных по зашифрованному SSH соединение. Он может быть использован для добавления шифрования для устаревших приложений. Он также может быть использован для реализации виртуальных частных сетей (VPN) и доступ к услугам через межсетевые экраны сети.Введение
Проброс портов через SSH создает защищенное соединение между локальным компьютером и удаленным компьютером, через который может быть передан в службу. Поскольку соединение зашифровано, SSH туннелирование является полезным для передачи информации, которая использует зашифрованный протокол, таких как IMAP, vnc и ИРЦ.
Туннель SSH порт 22 Windows использует для шифрования через публичные сети (например, Интернет), тем самым обеспечивая функциональность VPN. IPSec-это сквозное режим транспорта, но также может работать в режиме туннелирования через надежного шлюза безопасности.
Определение
Туннель через SSH-это стандарт для безопасного удаленного входа в систему и передачи файлов через ненадежные сети. Он также предоставляет метод защиты трафика данных из любого приложения с помощью переадресации портов, в основном туннелирование любого TCP/IP-портов с помощью SSH. Это означает, что движение направлено потока внутри шифрованного подключения SSH, поэтому он не может быть прослушаны или перехватили в пути. SSH туннелирование позволяет добавить сетевой безопасности для устаревших приложений, которые не поддерживают шифрование.
Защищенное соединение через ненадежную сеть, устанавливается между SSH-клиент и SSH-сервер. Это соединение SSH шифруется, чтобы защитить конфиденциальность и целостность и подлинность сторону переплета.
Подключение SSH используется приложением для подключения к серверу приложений. При активации приложения туннелирования, связанного с портом на локальный хост, который прослушивает клиент SSH. Затем SSH-клиент перенаправляет заявки на ваш шифрованный туннель до сервера. Последний подключается к реальному серверу приложений — как правило, на одном компьютере или в том же центре обработки данных, SSH-сервер. Таким образом, приложение соединения защищены без изменения рабочих процессов, приложений и конечных пользователей.
Протоколы туннелирования — что это?
В компьютерных сетях туннельный протокол позволяет пользователю сети получить доступ к сети или предоставлять услуги, что базовая сеть не поддерживает или прямо не предусмотрены. Одним из важных применений является разрешение внешних протокола на сети, которая не поддерживает этого конкретного протокола (например, запуск IPv6 через IPv4).
Еще одним важным моментом является предоставление услуг, которые являются непрактичными и небезопасными для использования только основных сетевых служб. Например, в корпоративной сетевой адрес удаленного пользователя, чей физический сетевой адрес, который не является частью корпоративной сети. Потому что туннелирование подразумевает переупаковку трафика данных в другую форму, возможно, с использованием стандарта шифрования, важной особенностью является, чтобы скрыть характер трафика, который проходит через туннели. Безопасный Shell — безопасная передача данных
Безопасная оболочка состоит из зашифрованный туннель создается через соединение SSH протокол. Пользователи могут настроить SSH туннели для передачи незашифрованного трафика по сети через зашифрованный канал. Например, компьютеры Microsoft Windows могут обмениваться файлами с помощью сервера Сообщений протокола (СМБ), нешифрованный протокол.
Если вы хотите удаленно монтирования файловой системы в Microsoft Windows через Интернет, кто-то наблюдает за подключение мог видеть передаваемых файлов. Для безопасного монтирования файловой системы Windows, вы можете создать SSH туннель, который направляет весь трафик SMB на удаленный файловый сервер через зашифрованный канал. Несмотря на то, что протокол SMB не содержит шифрования, зашифрованный канал SSH, через который она движется, чтобы обеспечить безопасность.
Типы переадресации портов
Проброс портов-это широко поддерживается во всех основных клиентов и SSH сервера. С функцией переадресации портов в SSH, вы можете передавать различные типы трафика по сети. Это используется для того, чтобы избежать слежки сети или обойти правильно настроенный маршрутизаторы в Интернете.
Существует три вида переадресации портов с помощью SSH:
локальное соединение с SSH клиента передаются на сервер по SSH, а затем на целевой сервер.
удаленное подключение с помощью SSH сервер передаются через SSH-клиент, а затем на целевой сервер.
динамические соединения из различных программ передаются через SSH-клиент, то через SSH-сервер, и, наконец, к нескольким серверам назначения.
Локальный проброс портов-это самый распространенный тип и, в частности, позволяет обойти брандмауэр, который блокирует "Википедию".
Экспедирование удаленный порт используется реже. Позволяет подключить сервер SSH на компьютер в интрасети Вашей компании.
Динамическое перенаправление портов тоже используется нечасто. Позволяет обойти брандмауэр, который полностью блокирует доступ к Интернету. Требует много работы, чтобы настроить, и это, как правило, проще в использовании переадресации локальных портов для конкретных сайтов, которые вы хотите получить доступ.
Технические особенности
Использовать перенаправление портов, вы должны убедиться, что переадресация портов включена на сервере. Вы должны также сообщить ваши номера клиента порт источника и назначения. Если вы используете локальную или удаленную переадресацию, вам нужно информировать клиента к серверу назначения. Если вы используете динамическое перенаправление портов, то вам нужно настроить свои программы для использования прокси-сервера socks. Опять же, как это сделать, зависит от того, что клиент SSH вы используете, поэтому вам может понадобиться, чтобы ознакомиться с документацией.Примеры реализации
Лучший способ понять как это работает, рассмотрим пример локальной переадресации. Представьте, что вы находитесь в частной сети, которая не позволяет подключиться к определенному серверу. Предположим, что вы находитесь на работе, и vk.com блокируется. Чтобы обойти блокировку, мы можем создать туннель через сервер, который находится не в нашей сети и, таким образом, может получить доступ к запрошенному ресурсу: $ СШ-Л 9000: vk.com: 80 user@example.com.
Ключ здесь -я, которая говорит, что мы выполняем локальный проброс портов. Затем группа сообщает, что мы ждем наш локальный порт 9000 на ВК.в com:80, который является портом по умолчанию для http. Теперь вам нужно открыть свой браузер и перейти по адресу http://localhost: 9000.
Неоспоримое преимущество SSH туннели заключается в том, что они зашифрованы. Никто не может видеть, какие сайты вы посещаете — вы увидите только SSH-подключение к серверу.
Подключения к базе данных за брандмауэром
Еще один хороший пример: если вам нужно открыть порт на сервере, к которому это может быть сделано только с localhost, а не удаленно.
Например, нет необходимости для подключения к базе данных, которая позволяет только локальное подключение по соображениям безопасности. Если вы используете PostgreSQL на сервер, который по умолчанию слушает на порту 5432: $ СШ-Л 9000: имя localhost: 5432 user@example.com.
Та часть, что здесь изменилось, это на localhost: 5432, который относится к переадресации соединения на локальный порт 9000 на localhost: 5432 и на вашем сервере. Теперь можно просто подключиться к базе данных: $ psql в -ч локальный -п 9000.Экспедирование удаленный порт
Сейчас объясню на реальном примере удаленную переадресацию. Допустим, вы разрабатываете приложение Rails на моей локальной машине, и хотите показать ее другу. К сожалению, ваш интернет-провайдер не дает вам внешний IP-адрес, поэтому Вы не можете напрямую подключиться к ПК через Интернет.
Иногда это может быть решена путем настройки NAT (преобразование сетевых адресов) на маршрутизаторе, но это не всегда работает, надо менять настройки роутера, что не всегда желательно. Это решение также не работает, если у вас нет доступа администратора в сети.
Чтобы устранить эту проблему, вам понадобится другой компьютер, который является публичным и имеет доступ к SSH. Это может быть любой сервер в Интернете, если вы можете подключиться к нему. Мы будем создать SSH туннель, который откроет новый порт на сервере и подключается к локальному порту на вашем компьютере:
$ СШ-Р 9000: имя localhost: 3000 user@example.com
Синтаксис очень похож на переадресации локальных портов, с одной заменой -Л -р. но, как при помощи переадресации локальных портов, синтаксис остается неизменной.
Масштабы и риски
Недостатком является то, что любой пользователь, может войти на сервер, может включать переадресацию портов. Он широко используется ИТ-специалистами для входа в их дома, машины или сервера в облаке, ждем порт с сервером корпоративной сети на рабочем компьютере или сервере. Хакеры и вредоносные программы могут также использовать его, чтобы оставить дефект алгоритма во внутренней сети. Он также может быть использован, чтобы скрыть следы, злоумышленник, атакуя с нескольких устройств, которые позволяют бесконтрольно туннелирования.
Туннелирование часто используется в сочетании с ключом в PHP SSH туннель и аутентификации по публичному ключу для полностью автоматизированного процесса.Преимущества
Продажа по SSH-туннели широко используются во многих корпоративных средах, использующих мэйнфреймы, как и их применения. В этих условиях, сами приложения могут иметь очень ограниченную поддержку для безопасности. Используя туннелирование, работы требований SOX, hipaa и PCI-DSS и других стандартов, могут быть достигнуты без внесения изменений в приложения.
Во многих случаях, эти приложения и серверы приложений, такие, что изменения в них, вероятно, будет непрактично или слишком дорого. Исходный код может быть доступен, продавец может обанкротились, продукт может быть вне поддержки или команда разработчиков. Добавление защитной оболочки, такие как SSH туннель шпатлевка, обеспечивает экономичный и практичный способ, чтобы добавить безопасности для этих приложений. Например, все сети банкоматов в нашей стране работают с использованием туннелирования для безопасности.Риски
Как полезные вещи, конечно, поддержка SSH туннелирования. Это связано с рисками, которые должны решаться корпоративным ИТ-отделам безопасности. Бесплатное подключение к SSH туннели защищены сильным шифрованием. Это делает их содержание являются невидимыми для большинства решений для развертывания сети мониторинга и фильтрации трафика. Эта невидимость несет значительный риск, если использовать для вредоносных целей, таких как фильтрация данных.
Злоумышленникам или вредоносная программа может использовать Брут SSH туннели, чтобы скрыть свои несанкционированные сообщения или получить украденные данные из целевой сети.
SSH туннелирование атаки, злоумышленник устанавливает сервер за пределами целевой сети (например, Амазон aws). Как только разбойник на целевой системе, он подключается к внешнему серверу по SSH изнутри. Большинство организаций разрешить исходящие подключения в туннель SSH для Linux, по крайней мере, если у них есть сервера в публичном облаке. Это соединение SSH настраивается с помощью опции, которая позволяет для переадресации TCP-порт, из порта на внешний сервер по SSH-порт на сервере во внутренней сети. Чтобы настроить SSH туннель требует одной командной строке внутри и может быть легко автоматизирован. Большинство межсетевых экранов практически не защищают от него.
Категория: Техника
