SSH tuneli: postavljanje, korištenje
SSH tuneliranje je metoda prijenosa proizvoljnih mrežnih podataka preko šifrirane SSH veze. Može se koristiti za dodavanje enkripcije u naslijeđene aplikacije. Također se može koristiti za implementaciju VPN (virtualne privatne mreže) i pristup intranet uslugama putem vatrozida.
sadržaj
uvod
Preusmjeravanje portova putem SSH stvara sigurnu vezu između lokalnog računala i daljinskog stroja putem kojeg se usluge mogu prenijeti. Budući da je veza šifrirana, SSH tuneliranje korisno je za prijenos podataka koji koriste nekriptirani protokol, kao što su IMAP, VNC ili IRC.
Tunel Windows SSH koristi luku 22 za šifriranje podataka poslanih preko javne mreže (na primjer, Internet), čime se osigurava VPN funkcija. IPsec ima transportni način rada s kraja na kraj, ali može raditi iu tunelskom načinu putem sigurnog pristupnika za sigurnost.
definicija
SSH tunel je standard za sigurne daljinske prijave i prijenos datoteka preko nepouzdanih mreža. Ona također pruža način za zaštitu prometa podataka za bilo koju određenu aplikaciju koristeći port prosljeđivanje, u osnovi tuneliranje bilo kojeg TCP / IP portova preko SSH. To znači da je promet usmjeren na tok unutar šifrirane SSH veze tako da se ne može slušati niti presresti dok je u tranzitu. SSH tuneliranje omogućuje vam dodavanje mrežne sigurnosti u naslijeđene aplikacije koje ne podržavaju šifriranje.
Sigurna veza preko nepouzdane mreže uspostavlja se između SSH klijenta i SSH poslužitelja. Ova SSH veza je šifrirana, štiti privatnost i integritet te provjerava veze.
Za povezivanje s aplikacijskim poslužiteljem aplikacija koristi aplikaciju za SSH. Kada je omogućen tuneliranje, aplikacija komunicira s priključkom lokalnog domaćina koji SSH klijent sluša. tada SSH klijent preusmjerava aplikaciju preko svog šifriranog tunela na poslužitelj. Potonji se povezuje sa stvarnim aplikacijskim poslužiteljem - obično na istom računalu ili u istom podatkovnom centru kao SSH poslužitelj. Stoga je aplikacijska veza zaštićena bez potrebe za promjenom tijeka rada aplikacija ili krajnjih korisnika.
Tunneling protokoli - što je ovo?
U računalu mrežni protokol Tunneling omogućuje mrežnom korisniku pristup ili pružanje mrežne usluge koju jezgra mreže ne podržava ili pruža izravno. Jedna važna aplikacija jest dopustiti da vanjski protokol radi na mreži koja ne podržava ovaj protokol (na primjer, IPv6 pokrenuti putem IPv4 protokola).
Druga važna točka je za pružanje usluga koje su nepraktično ili nesiguran za korištenje samo s osnovnim mrežnim uslugama. Na primjer, pružanje mrežne adresu udaljenog korisnika korporativne, fizička mreža adresu koja nije dio korporativne mreže. Od tunela uključuje repackaging podatke o prometu u različitim oblika, po mogućnosti s pomoću standardnog šifriranja, važna značajka je sakriti prirode prometa, koji traje kroz tunele.
Secure Shell - siguran prijenos podataka
Secure Shell sastoji se od šifriranog tunela stvorenog putem veze SSH protokola. Korisnici mogu konfigurirati SSH tunele za prijenos nekriptiranog prometa preko mreže putem šifriranog kanala. Na primjer, Microsoft Windows računala mogu razmjenjivati datoteke pomoću protokola poslužitelja poruka (SMB), nekriptiranog protokola.
Ako želite povezati Microsoft Windows sustav datoteka putem Interneta, netko koji slijedi vezu može vidjeti prenesene datoteke. Da biste sigurno montirali Windows datotečni sustav, možete instalirati SSH tunel koji usmjerava sav SMB promet na udaljeni poslužitelj datoteka putem šifriranog kanala. Unatoč činjenici da sam SMB protokol ne sadrži šifriranje, enkriptirano SSH kanal kroz koji se pomiče osigurava sigurnost.
Vrste prosljeđivanja luka
Port prosljeđivanje je široko podržana značajka koja se nalazi u svim glavnim SSH klijentima i poslužiteljima. S preusmjeravanjem SSH portova, možete prebacivati različite vrste internetskog prometa preko mreže. To se koristi za izbjegavanje mrežnog zasjenjenja ili za zaobilaženje pogrešno konfiguriranih usmjerivača na Internetu.
Postoje tri vrste port forwardinga sa SSH:
lokalne - veze s SSH klijenta preusmjeravaju se na SSH poslužitelj, a zatim na ciljni poslužitelj -
udaljene veze s SSH poslužitelja preusmjeravaju se preko SSH klijenta, a zatim do ciljnog poslužitelja -
dinamičke veze iz različitih programa šalju se putem SSH klijenta, a zatim preko SSH poslužitelja i, konačno, na nekoliko ciljnih poslužitelja.
Lokalni port prosljeđivanje je najčešći tip, a posebno vam omogućuje da zaobiđete vatrozid tvrtke, koji blokira "Wikipediju".
Prosljeđivanje daljinskog porta je manje uobičajeno. Omogućuje vam povezivanje s SSH poslužitelja na računalo na intranetu vaše tvrtke.
Dinamički port prosljeđivanje se također koristi rijetko. Omogućuje zaobilaženje vatrozida tvrtke, što u potpunosti blokira pristup Internetu. Potrebno je puno posla za konfiguriranje, a obično je lakše koristiti lokalni port prosljeđivanje za određene web stranice kojima želite pristupiti.
Tehničke značajke
Da biste koristili port prosljeđivanje, morate osigurati da je prosljeđivanje porta omogućeno na vašem poslužitelju. Također morate obavijestiti svog klijenta brojeve izvora i odredišta. Ako koristite lokalnu ili daljinsku preusmjeravanje, morate reći klijentu odredišni poslužitelj. Ako se koristi dinamičko usmjeravanje ulaza, morat ćete konfigurirati svoje programe za korištenje SOCKS proxy poslužitelja. Opet, način na koji to funkcionira ovisi o SSH klijentu koji koristite, pa ćete možda trebati detaljnije pročitati dokumentaciju.
Primjeri implementacije
Najbolji način da se razumije kako se to radi - razmotriti primjer lokalne prosljeđivanje. Zamislite da ste na privatnoj mreži koja ne dopušta da se spojite na određeni server. Pretpostavimo da ste na poslu, a vk.com blokiran. Za rad oko brave, možemo stvoriti tunel kroz poslužitelju, što nije u našoj mreži, i na taj način mogu pristupiti traženi resurs: $ ssh -L 9000: vk.com: 80 [email protected].
Ovdje je ključna točka-L, koja kaže da obavljamo lokalne luke prosljeđivanja. Naredba tada izvještava da prosljeđujemo naš lokalni port 9000 na vk.com:80, što je zadana luka za HTTP. Sada morate otvoriti preglednik i posjetiti http: // localhost: 9000.
Neosporna prednost SSH tunela je da su šifrirani. Nitko neće vidjeti koje web stranice posjećujete - samo će se SSH veze s poslužiteljem moći vidjeti.
Povezivanje s bazom podataka iza vatrozida
Još jedan dobar primjer: ako trebate pristupiti portu na svom poslužitelju, na koji se to može obaviti samo od lokalnog računala, a ne daljinski.
Primjer ovdje je potreba za povezivanjem s konzolom za baze podataka, koja dozvoljava samo lokalnu vezu iz sigurnosnih razloga. Pretpostavimo da koristite PostgreSQL na vašem poslužitelju koji sluša 5432 po defaultu: $ ssh -L 9000: localhost: 5432 [email protected].
Dio koji se ovdje promijenio je localhost: 5432, koji govori o preusmjeravanju veza s lokalne luke 9000 na localhost: 5432 i na vaš poslužitelj. Sada se jednostavno možemo povezati s našom bazom podataka: $ psql -h localhost -p 9000.
Prosljeđivanje daljinskog porta
Sada objasnimo rad daljinskog preusmjeravanja na pravi primjer. Pretpostavimo da razvijajte program Rails na lokalnom računalu i želite ga prikazati prijatelju. Nažalost, vaš ISP vam nije pružio javnu IP adresu pa se ne možete izravno povezati s računalom putem interneta.
Ponekad to može biti učinjeno konfiguriranjem NAT-a (mrežne adrese) na vašem usmjerivaču, ali to ne funkcionira uvijek, a to zahtijeva promjenu konfiguracije usmjerivača, što nije uvijek poželjno. Ovo rješenje također ne funkcionira ako nemate administratorski pristup na mreži.
Da biste riješili taj problem, trebat će vam drugo računalo koje je javno i ima pristup SSH-u. Može biti bilo koji poslužitelj na Internetu ako se možete povezati s njom. Stvorit ćemo SSH tunel koji će otvoriti novu priključnicu na poslužitelju i spojiti ga na lokalnu priključnicu na vašem računalu:
$ ssh-R 9000: localhost: 3000 [email protected]
Sintaksa je vrlo slična lokalnom portu prosljeđivanju, s jednom zamjenom od -L do -R. No, kao i kod lokalnih luka prosljeđivanje, sintaksa ostaje nepromijenjena.
Opseg i rizici
Nedostatak je u tome što bilo koji korisnik koji se može prijaviti na poslužitelj ima pravo omogućiti port prosljeđivanje. Interni IT stručnjaci naširoko upotrebljavaju da uđu u svoje kućne strojeve ili poslužitelje u oblaku, prosljeđujući port s poslužitelja natrag na korporativni intranet na radnom računalu ili odgovarajućem poslužitelju. Hakeri i zlonamjerni programi također ga mogu koristiti za napuštanje algoritamskog kvarova na unutarnjoj mreži. Također se može koristiti za skrivanje tragova napadača napadanjem s nekoliko uređaja koji omogućuju nekontrolirano tuneliranje.
Tunneling se često koristi zajedno s PHP-ovim SSH tunel ključevima i autentifikacijom javnog ključa kako bi se u potpunosti automatiziralo proces.
prednosti
Prodaja SSH tunela široko se koristi u mnogim korporativnim okruženjima koja koriste sustave mainframea kao svoje aplikacije. U tim okruženjima same aplikacije mogu imati vrlo ograničenu podršku za sigurnost. Korištenje tunela, kompatibilnosti s SOX, HIPAA, PCI-DSS i drugim standardima, može se postići bez potrebe za promjenom aplikacija.
U mnogim slučajevima, te aplikacije i aplikacijski poslužitelji takvi su da bi njihova izmjena vjerojatno nepraktična ili pretjerano skupo. Izvorni kod možda nije dostupan, prodavatelj je možda bankrotirao, proizvod može biti izvan podrške ili razvojni tim je van. Dodavanje ograde, kao što je SSH tunel kotača, pruža ekonomičan i praktičan način za dodavanje sigurnosti za ove aplikacije. Na primjer, sve ATM mreže u našoj zemlji rade pomoću tunela kako bi se osigurala sigurnost.
rizici
SSH tuneliranje nedvojbeno je korisno. To uključuje rizike koji se trebaju obratiti korporativnim IT sigurnosnim odjelima. Priključci slobodnih SSH tunela zaštićeni su jakim enkripcijom. To njihov sadržaj čini nevidljivim za većinu raspoloživih mrežnih nadgledanja i rješenja za filtriranje prometa. Ova nevidljivost nosi značajan rizik ako se koristi za zlonamjerne svrhe, poput filtriranja podataka.
Ili malware, kriminalci mogu koristiti gruba ssh-tunele sakriti svoje ilegalne poruke ili dohvatiti ukradene podatke ciljne mreže.
U SSH tunelu napada, napadač instalira poslužitelj izvan ciljne mreže (na primjer, u Amazonu AWS). Jednom kada je varalica na ciljnom sustavu, povezuje se s vanjskim SSH poslužiteljem iznutra. Većina organizacija dopušta izlazne veze u Linuxu SSH tunelu, barem ako imaju poslužitelje u javnom oblaku. Ova SSH veza konfigurirana je s opcijom koja omogućuje prosljeđivanje TCP portova iz priključka na vanjskom poslužitelju na SSH port na poslužitelju na internoj mreži. Da biste konfigurirali taj SSH tunel, potrebna vam je jedna naredba s jednim redom i možete je jednostavno automatizirati. Većina vatrozida praktički ne štiti od njega.
Kako prenijeti datoteku s telefona na telefon: savjeti i trikovi
Što je FTPS: princip rada i razlike u odnosu na konvencionalne FTP
Koje su FTPS i SFTP protokoli?
FTPS port - što je to?
Kako konfigurirati FTP portove? Što su FTP-portovi?
Kako funkcionira VPN veza?
PPTP veza - što je to?
Ubrzavamo se putem posredničkog računala. Kako koristiti proxy
Kako konfigurirati VPN na sustavima Windows: Vodič za korisnike
Postavke SMTP-a za Gmail: Putevi i zvučni signali- Kako se spojiti na internet? Odabiremo najoptimalniju metodu
- Načini prijenosa podataka - od pergamena do e-pošte
- Što je VPN i njegove značajke
- Globalne mreže
Konfiguriranje VPN-a u sustavu Windows 10: Osnovni smjernice i metode
Teredo Tunneling Pseudo-sučelje - što je to? Opis i ugradnja uređaja Terde Tunneling…
Tcpdump naredbe (primjeri)
Udaljeni poslužitelj. Kako se spojiti na udaljeni poslužitelj
Bežični komunikacijski sustavi i njihove prednosti
Postavljanje kućne mreže dvaju računala
Kako prenijeti veliku datoteku putem Interneta: osnovne metode
Što je FTPS: princip rada i razlike u odnosu na konvencionalne FTP
Koje su FTPS i SFTP protokoli?
FTPS port - što je to?
Kako konfigurirati FTP portove? Što su FTP-portovi?
Kako funkcionira VPN veza?
PPTP veza - što je to?
Kako konfigurirati VPN na sustavima Windows: Vodič za korisnike
Postavke SMTP-a za Gmail: Putevi i zvučni signali