SSH туннель: настройка, использование

Опубликованно 19.11.2017 14:52

SSH туннелирование-это метод транспортировки произвольных данных в сети зашифрованный SSH-соединение. Может быть использован, чтобы добавить шифрование в устаревших приложений. Может быть использован также для реализации VPN (виртуальные частные сети) и доступа к службам интрасети через брандмауэры.Введение

Port forwarding через SSH создает защищенное соединение между компьютером локальной и удаленной, с помощью которого могут быть переведены услуги. Поскольку соединение зашифровано, SSH туннелирование используется для передачи информации, которая использует стандартный протокол, так как IMAP, VNC или IRC.

SSH туннель Windows использует порт 22 для шифрования данных, передаваемых через общедоступные сети (например, Интернет), обеспечивая функциональность VPN. IPsec имеет прямой транспортный режим, но также может работать в режиме туннелирования через надежный шлюз безопасности.Определение

SSH туннель-это стандарт для безопасности, удаленного доступа и передачи файлов на ненадежных сетей. Он также предоставляет возможность для защиты трафика данных любого конкретного приложения, с помощью port forwarding, особенно переход любой порт TCP/IP через SSH. Это означает, что трафик, направленный на рабочего внутри зашифрованного протокола SSL, так что он не мог сделать прослушивание или приобретенных, в то время как он находится в поездке. SSH туннелирование позволяет добавить сетевой безопасности для устаревших приложений, которые не поддерживают шифрование.

Безопасное подключение по ненадежной сети устанавливается между клиентом SSH, SSH-сервер. Это SSH-соединение с шифрованием, защищает конфиденциальность и целостность и подлинность связующие части.

Бесплатный SSH используется приложением для подключения к серверу приложений. Когда он включен, туннелировании приложение взаимодействует с дверью локальный хост, который слушает SSH-клиента. Таким образом, SSH-клиент, который перенаправляет приложение над шифрованный туннель до сервера. Последний подключен к фактической сервер приложений, как правило, на том же компьютере или в том же центре обработки данных, сервера SSH. Таким образом, связи приложения является защищенной, без необходимости вносить изменения в рабочие процессы приложений или конечных пользователей.Протоколы туннелирования — что это такое?

В компьютерных сетях туннельный протокол позволяет сети пользователю получить доступ или предоставлять услуги сети, что сеть не поддерживает или не поддерживает напрямую. Одним из самых важных приложений для устранения внешний протокол работы в сети, которая не поддерживает этот протокол (например, запуск IPv6 на IPv4).

Другой важный момент заключается в том, чтобы предоставлять услуги, которые рекомендуются или не являются безопасными для использования с приложением основных услуг сети. Например, предоставление корпоративной сетевой адрес от удаленного пользователя в сети, физический адрес которого не является частью корпоративной сети. Поскольку туннелирование включает в себя реорганизацию данных трафика в другой форме, возможно, с использованием стандартов шифрования, важной особенностью является то скрыть трафик, который проходит через туннели. Secure Shell — безопасная передача данных

Secure Shell состоит из зашифрованный туннель, созданный с помощью SSH. Пользователи могут настроить SSH туннель для передачи в светло-сетевой трафик через зашифрованный канал. Например, компьютеры, Microsoft Windows могут обмениваться файлами с помощью протокола server message block (SMB), светло-протокола.

Если вы хотите получить доступ удаленно монтировать файловую систему Microsoft Windows через Интернет, кто-то из управления, для подключения, в состоянии видеть файлы передаются. Для того, чтобы надежно прикрепить файл system для Windows, вы можете установить SSH туннель, который направляет весь SMB-трафик на удаленный сервер через зашифрованный канал. Несмотря на то, что протокол SMB не содержит шифрования, зашифрованный SSL-канал, по которому он движется, что обеспечивает полную безопасность.Типа port forwarding

Port forwarding-это широко поддерживается функция, обнаруживается во всех основных клиент и сервер SSH. С помощью функции переадресации портов SSH для передачи различных типов трафика интернет через сеть. Это используется, чтобы избежать слежки в сети или с целью обойти правильно настроенный маршрутизатор в Интернет.

Существует три вида переадресации портов с помощью SSH:

локальная — подключение с помощью SSH-клиента перенаправят на сервер SSH, а затем на целевом сервере;

удаленное подключение к серверу SSH, пересылаемых через SSH-клиента, а затем на целевом сервере;

динамики — подключение различных программ передаются с помощью SSH-клиента, потом через SSH-сервера, и, наконец, на несколько целевых серверов.

Местное port forwarding является наиболее распространенным типом, и, в частности, позволяет обойти корпоративный брандмауэр, который блокирует "Википедию".

Remote port forwarding-это менее часто. Позволяет соединение с сервером SSH на компьютер в интрасети компании.

Динамическое перенаправление портов, также используется редко. Позволяет обойти корпоративный брандмауэр, который блокирует полностью доступ в Интернет. Требует много работы по настройке, и, как правило, легче использовать локальную переадресацию портов для определенных веб-сайтов, к которым вы хотите получить доступ. Технические характеристики

Для того, чтобы использовать port forwarding, вы должны убедиться, что port forwarding включен на вашем сервере. Вы также должны показать клиенту номера портов источника и назначения. Если вы используете локальную или удаленную переадресацию, вам необходимо уведомить клиента и сервера назначения. Если применяется динамическое перенаправление портов, необходимо настроить программы на использование прокси-сервера SOCKS. Даже в этом случае, как это сделать, зависит от того, какой SSH клиент вы используете, так что может быть необходимо более детально см. документацию.Примеры реализации

Лучший способ понять, как это работает — рассмотрим пример локальной ретрансляции. Представьте, что в частной сети, что не позволяет подключиться к определенному серверу. Предположим, что работа, и vk.com заблокирован. Для того, чтобы обойти блокировку, мы можем создать туннель через сервер, который находится не в нашей сети и, таким образом, может получить доступ к ресурсу: $ ssh -L 9000: vk.com: 80 user@example.com.

Ключевым здесь является -L, в котором говорится, что мы проводим местное port forwarding. Затем группа сообщает, что посылает нам наш местный порт 9000 на vk.com:80, который является портом по умолчанию для HTTP. Теперь вам нужно открыть браузер и перейти по адресу http://localhost: 9000.

Неоспоримое преимущество SSH туннель состоит в том, что они зашифрованы. Никто не увидит, какие сайты вы посещаете — будут видны только SSH-соединение с сервером.Подключение к базе данных файерволл

Еще один хороший пример: если вам нужно получить доступ к порту на вашем сервере, к которому вы можете сделать только с локального хоста, а не удаленно.

Примером этого является необходимость подключения к консоли базе данных, что позволяет только локальное подключение по соображениям безопасности. Допустим, что вы используете PostgreSQL на вашем сервере, который по умолчанию слушает на порту 5432: $ ssh -L 9000: localhost: 5432 user@example.com.

Часть, что здесь изменилось, это localhost: 5432, в которых вы говорите о переадресации подключений с ваш местный порт 9000 на localhost: 5432 и на вашем сервере. Теперь мы можем просто подключиться к нашей базе данных: $ psql -h localhost -p 9000.Remote port forwarding

Теперь расскажем на реальном примере работы удаленной пересылки. Допустим, вы разрабатываете приложение Rails на моей локальной машине, и хотите показать ее другу. К сожалению, ваш провайдер не предоставил публичный IP-адрес, так что вы не можете напрямую подключить к ПК через Интернет.

Иногда можно решить, настроив NAT (nat) на вашем маршрутизаторе, но это не всегда работает, а для этого необходимо изменить конфигурацию маршрутизатора, что не всегда целесообразно. Это решение также не работает, если у вас нет доступа администратора сети.

Для того, чтобы решить эту проблему, необходим другой компьютер, который является публичным и имеет доступ к SSH. Это может быть любой сервер в Интернете, если вы можете подключиться к нему. Создать SSH туннель, который откроет новый порт на сервер и подключается к порту на локальном компьютере:

$ ssh-R 9000: localhost: 3000 user@example.com

Синтаксис очень похож на местного port forwarding, с заменой -L -R. Но, как и когда местный port forwarding, синтаксис остается неизменным.Область применения и риски

Недостатком является то, что любой пользователь, который может получить доступ к серверу, право включить port forwarding. Широко используется внутренние ИТ-специалистов, чтобы войти в их дома или машины сервер в облаке, направить порт с сервера возвращается к корпоративной сети на свой рабочий компьютер или соответствующий сервер. Хакеры и вредоносные программы могут также использовать для того, чтобы оставить дефект алгоритма во внутренней сети. Также может быть использован, чтобы скрыть следы атаки, с помощью атаки с нескольких устройств, которые позволяют бесконтрольно туннелирования.

Туннелирование часто используется вместе с ключами PHP SSH туннель и аутентификации с открытым ключом для полной автоматизации процесса.Преимущества

Продажа SSH туннелей широко используются во многих корпоративных средах, которые используют системы эвм, как их приложения. В этих условиях приложения могут иметь очень ограниченную поддержку для обеспечения безопасности. Используя туннелирование, совместимость с SOX, HIPAA, PCI-DSS и других стандартов, может быть достигнута без необходимости модифицировать приложения.

Во многих случаях эти приложения и сервера приложений таковы, что изменения в них, скорее всего, окажется невозможным или слишком дорогим. Исходный код может быть доступен, продавец, возможно, не удалось, и продукт может быть вне поддержки или отсутствует команда разработчиков. Добавление защитной оболочки, так как SSH туннель в putty, обеспечивает экономичный и практичный, чтобы добавить безопасности для этих приложений. Например, все сети банкоматов нашей стране работают с использованием переходной экономикой, чтобы обеспечить безопасность.Риски

Как полезные вещи, без сомнения, присутствует SSH туннелирование. Включает в себя риски, которые должны быть решены для корпоративных ИТ-безопасности. Ссылки, бесплатно SSH туннеля защищены сильным шифрованием. Это делает его содержимое невидимым для большинства распределенных сетевых решений, мониторинга и фильтрации трафика. Эта невидимость является значительный риск, если используется для вредоносных целей, таких как фильтрация данных.

Злоумышленникам или вредоносная программа может использовать брут SSH туннелей, чтобы скрыть своих несанкционированных сообщений или для извлечения данных, похищенных из сети назначения.

В SSH туннель атаки нападающий установке сервера за пределами целевой сети (например, Amazon AWS). Как только мошенник оказывается в целевой системе, подключается к SSH-серверу изнутри. Большинство организаций позволяют исходящих соединений в SSH туннель Linux, по крайней мере, если они имеют серверов в публичном облаке. Это бесплатный SSH настроен с параметром, что позволяет осуществлять доставку TCP-порт, из порта на внешний сервер SSH-порт на сервере во внутренней сети. Для того, чтобы настроить SSH туннель необходимо команду на одной строке внутри, и может быть легко автоматизирован. Большинство брандмауэров практически не защищают от него.

Категория: обо всём