SSH tunely: nastavení, použití
SSH tunelování je způsob přenosu libovolných síťových dat přes šifrované připojení SSH. Může být použita k přidání šifrování do starších aplikací. Může být také použit k implementaci VPN (virtuálních privátních sítí) a přístupu k intranetovým službám prostřednictvím firewallů.
Obsah
Úvod
Přesměrování portů přes službu SSH vytváří zabezpečené spojení mezi místním počítačem a vzdáleným počítačem, pomocí něhož lze služby přenášet. Protože připojení je zašifrováno, tunelování SSH je užitečné pro přenos informací, které používají nešifrovaný protokol, například IMAP, VNC nebo IRC.
Tunel SSH systému Windows používá port 22 pro šifrování dat odesílaných přes veřejnou síť (například Internet), čímž poskytuje funkci VPN. Služba IPsec má režim dopravy od konce do konce, ale může pracovat i v režimu tunelování prostřednictvím zabezpečené brány zabezpečení.
Definice
Tunel SSH je standard pro zabezpečené vzdálené přihlášení a přenos souborů přes nedůvěryhodné sítě. Poskytuje také způsob, jak chránit datovou komunikaci pro libovolnou konkrétní aplikaci pomocí přenosu portů, v podstatě tunelovat libovolný port TCP / IP přes SSH. To znamená, že provoz je směrován do proudu uvnitř šifrovaného připojení SSH, takže jej nelze poslouchat ani zachytit během jeho přechodu. SSH tunelování umožňuje přidat zabezpečení sítě do starších aplikací, které nepodporují šifrování.
Zabezpečené připojení přes nedůvěryhodnou síť je vytvořeno mezi SSH klientem a serverem SSH. Toto připojení SSH je zašifrováno, chrání soukromí a integritu a autentizuje pořadače.
Připojení SSH používá aplikace k připojení k aplikačnímu serveru. Když je tunelování povoleno, aplikace komunikuje s portem v místním hostiteli, který klient SSH naslouchá. Poté, Klient SSH přesměruje aplikaci přes svůj šifrovaný tunel na server. Ten se připojuje ke skutečnému aplikačnímu serveru - obvykle na stejném počítači nebo ve stejném datovém centru jako server SSH. Proto je připojení aplikace chráněno bez nutnosti změnit pracovní tok aplikací nebo koncových uživatelů.
Tunelovací protokoly - co to je?
V počítači síťový protokol Tunelování umožňuje uživateli sítě přístup nebo poskytnutí síťové služby, kterou hlavní síť nepodporuje nebo poskytuje přímo. Jedna důležitá aplikace je umožnit externímu protokolu pracovat v síti, která nepodporuje tento konkrétní protokol (například spuštění IPv6 přes IPv4).
Dalším důležitým bodem je poskytování služeb, které jsou nepraktické nebo nebezpečné pro použití pouze se základními síťovými službami. Například poskytování firemní síťové adresy vzdálenému uživateli, jehož fyzická síťová adresa není součástí podnikové sítě. Protože tunelování zahrnuje přebalování dat o provozu do jiné podoby, případně pomocí standardního šifrování, důležitou vlastností je skrýt povahu provozu, která se spouští tunely.
Secure Shell - bezpečný přenos dat
Služba Secure Shell se skládá ze šifrovaného tunelu vytvořeného propojením protokolu SSH. Uživatelé mohou nakonfigurovat tunely SSH pro přenos nešifrovaných přenosů přes síť přes šifrovaný kanál. Například počítače se systémem Microsoft Windows mohou vyměňovat soubory pomocí protokol SMB, nešifrovaný protokol.
Chcete-li vzdáleně připojit souborový systém Microsoft Windows přes Internet, někdo, kdo následuje po připojení, může zobrazit přenesené soubory. Chcete-li bezpečně připojit souborový systém Windows, můžete nainstalovat tunel SSH, který směruje veškerý provoz SMB na vzdálený souborový server prostřednictvím šifrovaného kanálu. Navzdory skutečnosti, že samotný protokol SMB neobsahuje šifrování, šifrováno Kanál SSH, přes který se pohybuje, poskytuje zabezpečení.
Typy přesměrování portů
Přesměrování portů je široce podporovaná funkce, která se nachází u všech hlavních klientů a serverů SSH. S přesměrováním portů SSH můžete přes síť přenášet různé typy internetových přenosů. Používá se tak, aby se zabránilo stínování sítě nebo obcházení nesprávně nakonfigurovaných směrovačů na Internetu.
Existují tři typy přenosu portů s protokolem SSH:
lokální - připojení z klienta SSH jsou přesměrována na server SSH a potom na cílový server -
vzdálený - připojení ze serveru SSH jsou přesměrovány přes klienta SSH a potom na cílový server -
dynamické - připojení z různých programů jsou odesílány přes SSH klient, pak přes server SSH a nakonec na několik cílových serverů.
Předávání místních portů je nejběžnějším typem a zejména umožňuje obejít bránu firewall společnosti, která blokuje "Wikipedia".
Vzdálené přesměrování portů je méně obvyklé. Umožňuje připojení ze serveru SSH k počítači na intranetu vašeho podniku.
Dynamické přesměrování portů je také časté. Umožňuje obejít bránu firewall společnosti, která zcela blokuje přístup k Internetu. Konfigurace vyžaduje spoustu práce a je obvykle jednodušší používat místní přesměrování portů pro určité weby, které chcete získat přístup.
Technické vlastnosti
Chcete-li využívat přesměrování portů, je třeba zajistit, aby bylo přesměrování portů na vašem serveru povoleno. Musíte také informovat svého klienta o zdrojích a cílových portech. Pokud používáte místní nebo vzdálené přesměrování, je třeba klienta informovat cílového serveru. Pokud používáte dynamické předávání portů, budete muset nakonfigurovat programy, aby používaly proxy server SOCKS. Opět, způsob, jak to udělat, závisí na tom, který SSH klient používáte, takže budete možná muset přečíst dokumentaci podrobněji.
Příklady implementace
Nejlepší způsob, jak pochopit, jak to funguje, je zvážit příklad s místními přesměrováními. Představte si, že jste v privátní síti, která neumožňuje připojení k určitému serveru. Předpokládejme, že jste v práci a vk.com je zablokován. Obejít zámku, můžeme vytvořit tunel přes server, který není v naší síti, a tak mohou přistupovat k požadovanému zdroji: $ ssh -l 9000: vk.com: 80 [email protected].
Klíčovým bodem je L, který říká, že provádíme místní přesměrování portů. Příkaz potom hlásí, že předáváme náš lokální port 9000 do vk.com:80, což je výchozí port pro HTTP. Nyní musíte otevřít svůj prohlížeč a přejít na http: // localhost: 9000.
Nespornou výhodou tunelů SSH je, že jsou šifrovány. Nikdo nezvidí, které stránky navštívíte - budou vidět pouze připojení SSH na server.
Připojení k databázi za firewallem
Dalším dobrým příkladem je, pokud potřebujete získat přístup k portu na vašem serveru, k němuž lze provádět pouze z místního hostitele a nikoliv vzdáleně.
Příkladem toho je potřeba připojit se k databázové konzole, která z bezpečnostních důvodů umožňuje pouze místní připojení. Řekněme, že používáte PostgreSQL na vašem serveru, který ve výchozím nastavení naslouchá na portu 5432: $ ssh -L 9000: localhost: 5432 [email protected].
Díl, který se zde změnil, je localhost: 5432, který hovoří o přesměrování spojení z místního portu 9000 na localhost: 5432 a na váš server. Nyní se můžeme jednoduše připojit k naší databázi: $ psql -h localhost -p 9000.
Vzdálené přesměrování portů
Nyní vysvětlíme, jak funguje vzdálené přesměrování na skutečném příkladu. Předpokládejme, že vyvíjíte aplikaci Rails na vašem místním počítači a chcete to ukázat příteli. Bohužel váš poskytovatel internetových služeb neposkytl veřejnou adresu IP, takže se nemůžete připojit přímo k počítači přes Internet.
Někdy to lze provést konfigurováním NAT (překlad síťových adres) na routeru, ale to nemusí vždy fungovat, a to vyžaduje změnu konfigurace směrovače, což není vždy žádoucí. Toto řešení také nefunguje, pokud v síti nemáte přístup správce.
Chcete-li vyřešit tento problém, budete potřebovat jiný počítač, který je veřejný a má přístup k SSH. Může se jednat o libovolný server na Internetu, pokud se k němu můžete připojit. Vytvoříme tunel SSH, který otevře nový port na serveru a připojí jej k místnímu portu v počítači:
$ ssh-R 9000: localhost: 3000 [email protected]
Syntaxe se zde velmi podobá místnímu přesměrování portů, přičemž jedna substituce je -L na -R. Stejně jako při místní předávání portů zůstává syntaxe beze změny.
Rozsah a rizika
Nevýhodou je, že každý uživatel, který se může přihlásit do serveru, má právo povolit přesměrování portů. To je široce používán interními odborníky na IT, aby vstoupili do svých domácích strojů nebo serverů v cloudu, předáním portu ze serveru zpět na firemní intranet na svém pracovním počítači nebo na vhodném serveru. Hackeři a malware mohou také použít, aby zanechali vadu v algoritmu na vnitřní síti. Může se také použít ke skrytí stop útočníků napadením několika zařízeními, která umožňují nekontrolované tunelování.
Tunelování se často používá ve spojení s klíči SSH tunelu SSH a autentizací s veřejným klíčem pro plně automatizovaný proces.
Výhody
Prodej tunelů SSH je široce používán v mnoha firemních prostředích, které používají systémy sálových systémů jako jejich aplikace. V těchto prostředích samotné aplikace mohou mít velmi omezenou podporu zabezpečení. Pomocí tunelování lze dosáhnout kompatibility se SOX, HIPAA, PCI-DSS a dalšími standardy bez nutnosti měnit aplikace.
V mnoha případech jsou tyto aplikace a aplikační servery takové, že jejich změny jsou pravděpodobně nepraktické nebo nadměrně nákladné. Zdrojový kód může být nedostupný, prodávající mohl zkrachovat, produkt může být mimo podporu nebo vývojový tým je mimo. Přidáním kontejnmentu, jako je například tunel SSH, poskytuje ekonomický a praktický způsob přidávání zabezpečení pro tyto aplikace. Například všechny ATM sítě v naší zemi fungují tunelováním pro zajištění bezpečnosti.
Rizika
SSH tunelování je nepochybně užitečná věc. Zahrnuje rizika, která je třeba věnovat oddělením firemní IT bezpečnosti. Spojení volných SSH tunelů je chráněno silným šifrováním. Díky tomu je jejich obsah neviditelný pro většinu nasazitelných řešení pro monitorování sítě a filtrování provozu. Tato neviditelnost nese významné riziko, pokud se používá pro škodlivé účely, jako jsou filtrování dat.
Cybercriminals nebo malware mohou používat SSH tunely pro skrytí neoprávněných zpráv nebo pro získání ukradených dat z cílové sítě.
V útoku tunelu SSH útočník nainstaluje server mimo cílovou síť (například v Amazon AWS). Jakmile je podvodník na cílovém systému, připojuje se k externímu SSH serveru zevnitř. Většina organizací povoluje odchozí připojení v tunelu SSH pro Linux, přinejmenším pokud mají servery ve veřejném cloudu. Toto připojení SSH je nakonfigurováno s volbou, která umožňuje přenášet port TCP z portu externího serveru na port SSH na serveru v interní síti. Chcete-li tento tunel SSH nakonfigurovat, potřebujete uvnitř jediný příkaz a můžete ho snadno automatizovat. Většina bran firewall prakticky proti němu neochrání.
Co je FTPS: princip fungování a odlišnosti od konvenčního FTP
Jak konfigurovat a používat port SSH? Pokyny krok za krokem
Port FTPS - co to je?
Co je port 80 a co jí?
Vzdálené připojení k počítači. Program pro připojení vzdáleného počítače
Nastavení bat! pro Yandex: podrobný průvodce
Jak konfigurovat porty FTP? Co jsou to porty FTP?
Protokol HTTPS - co to je?
Jak funguje připojení VPN?
TCP porty. Seznam portů TCP a UDP
NAT je co? Konfigurace NAT
Jak otevřít porty přes torrent: nejjednodušší řešení problému
PPTP připojení - co to je?
SSH Client: Konfigurace. Nejlepší SSH klient
Přizpůsobte okna. Jak vytvořit připojení místní sítě
807 Při připojování k síti. Jak opravit chybu 807
Nastavení SMTP služby Gmail: způsoby a nuance
E-mailové protokoly: POP3, IMAP4, SMTP
Konfigurace VPN v systému Windows 10: Základní pokyny a metody
Teredo Tunneling Pseudo-Interface - co to je? Popis a instalace zařízení Tredo Tunneling…
Vzdálený server. Jak se připojit ke vzdálenému serveru