SSH tuneli: nastavitev, uporaba
SSH tuneliranje je način prenosa poljubnih omrežnih podatkov preko šifrirane SSH povezave. Uporabi se lahko za dodajanje šifriranja za starejše aplikacije. Prav tako se lahko uporablja za izvajanje VPN (navideznih zasebnih omrežij) in dostop do intranetnih storitev prek požarnih zidov.
Vsebina
Uvod
Preusmerjanje vrat prek SSH ustvarja varno povezavo med lokalnim računalnikom in oddaljenim računalnikom, preko katerega se lahko prenesejo storitve. Ker je povezava šifrirana, SSH tunneliranje je koristno za prenos informacij, ki uporabljajo nešifriran protokol, kot so IMAP, VNC ali IRC.
Windows SSH tunel uporablja vrata 22 za šifriranje podatkov, poslanih prek javnega omrežja (npr. Internet), s čimer zagotavlja funkcijo VPN. IPsec ima način prevoza od konca do konca, lahko pa tudi v načinu tuneliranja prek varnega varnostnega prehoda.
Opredelitev
SSH tunel je standard za varne oddaljene prijave in prenos datotek prek nezaupnih omrežij. Zagotavlja tudi način za zaščito podatkovnega prometa za katero koli določeno aplikacijo s pomočjo posredovanja portov, v bistvu tuneliranja katerega koli TCP / IP vrat preko SSH-ja. To pomeni, da je promet usmerjen v tok znotraj šifrirane SSH povezave, tako da ga med tranzitom ni mogoče poslušati ali prestreči. SSH tuneliranje vam omogoča dodajanje omrežne varnosti starejšim aplikacijam, ki ne podpirajo šifriranja.
Med SSH-odjemalcem in strežnikom SSH se vzpostavlja varna povezava prek omrežja, ki je nezaupljiva. Ta SSH povezava je šifrirana, ščiti zasebnost in integriteto ter potrjuje povezovalce.
Povezavo s SSH uporablja aplikacija za povezavo s strežnikom aplikacij. Ko je tuneliranje omogočeno, aplikacija komunicira z vrati na lokalnem gostitelju, ki jih posluša klic SSH. Potem, SSH odjemalec preusmeri aplikacijo preko svojega šifriranega predora na strežnik. Slednji povezuje z dejanskim strežnikom aplikacij - običajno na istem računalniku ali v istem podatkovnem središču kot strežnik SSH. Tako je povezava z aplikacijami zaščitena brez potrebe po spremembi delovnega toka aplikacij ali končnih uporabnikov.
Protokoli tunela - kaj je to?
V računalniku omrežni protokol Tunneliranje omogoča uporabniku omrežja dostop do omrežne storitve, ki jo osrednje omrežje ne podpira ali zagotavlja neposredno. Ena pomembna aplikacija je omogočiti, da zunanji protokol deluje v omrežju, ki ne podpira tega posebnega protokola (na primer, začetek IPv6 prek IPv4).
Druga pomembna točka je zagotavljanje storitev, ki so nepraktične ali varne za uporabo samo z osnovnimi omrežnimi storitvami. Npr. Zagotovitev naslova omrežja podjetja oddaljenemu uporabniku, katerega fizični omrežni naslov ni del omrežja podjetja. Ker tuneliranje vključuje preoblikovanje podatkov o prometu v drugo obliko, po možnosti s standardnim šifriranjem, je pomembna značilnost prikrivati naravo prometa, ki se sproži skozi predore.
Secure Shell - varen prenos podatkov
Secure Shell sestoji iz šifriranega tunela, ustvarjenega s povezavo protokola SSH. Uporabniki lahko konfigurirajo SSH tunele za prenos nešifriranega prometa prek omrežja prek šifriranega kanala. Na primer, računalniki Microsoft Windows lahko izmenjujejo datoteke z uporabo Protokola strežnika sporočil (SMB), nešifriranega protokola.
Če želite na daljavo povezati datotečni sistem Microsoft Windows prek interneta, lahko nekdo, ki sledi povezavi, prikaže prenesene datoteke. Za varno namestitev datotečnega sistema Windows lahko namestite SSH tunel, ki usmeri ves promet SMB na oddaljeni datotečni strežnik prek šifriranega kanala. Kljub dejstvu, da protokol SMB sam ne vsebuje šifriranje, šifrirano Kanal SSH, preko katerega se premika, zagotavlja varnost.
Vrste prenosa portov
Posredovanje portov je široko podprta funkcija, ki jo najdemo v vseh glavnih SSH-jih in strežnikih. Z preusmeritvijo vrat SSH lahko prek omrežja prenesete različne vrste internetnega prometa. To se uporablja za preprečevanje zasenčevanja omrežja ali zaobljanje napačno konfiguriranih usmerjevalnikov na internetu.
Obstajajo tri vrste posredovanja portov s SSH:
lokalno - povezave od odjemalca SSH se preusmerijo na strežnik SSH in nato na ciljno strežnik -
oddaljeni povezavi s strežnika SSH se preusmerijo prek SSH-odjemalca in nato ciljno strežnik-
dinamične povezave iz različnih programov se pošiljajo preko SSH odjemalca, nato preko SSH strežnika in končno na več ciljnih strežnikov.
Posredovanje lokalnih pristanišč je najpogostejši tip in še posebej omogoča, da obidete požarni zid podjetja, ki blokira "Wikipedijo".
Posredovanje oddaljenih vrat je manj pogosto. Omogoča, da se s strežnika SSH povežete z računalnikom v intranetu podjetja.
Dinamično posredovanje vrat se uporablja tudi redko. Omogoča, da obiščete požarni zid družbe, ki popolnoma blokira dostop do interneta. Za konfiguriranje potrebuje veliko dela, običajno pa je lažje uporabljati posredovanje lokalnih vrat za določena spletna mesta, do katerih želite dostopati.
Tehnične značilnosti
Če želite uporabiti posredovanje vrat, morate zagotoviti, da je posredovanje vrat omogočeno na vašem strežniku. Prav tako morate svojemu naročniku povedati številke izvornih in ciljnih vrat. Če uporabljate lokalno ali daljinsko preusmerjanje, morate stranki povedati ciljni strežnik. Če uporabljate dinamično posredovanje vrat, boste morali svoje programe konfigurirati za uporabo proxy strežnika SOCKS. Spet je način, kako to storiti, odvisno od tega, kateri odjemalec SSH uporabljate, zato boste morda morali podrobneje prebrati dokumentacijo.
Primeri izvajanja
Najboljši način za razumevanje tega načina je, da razmislite o primeru z lokalnimi preusmeritvami. Predstavljajte si, da ste v zasebnem omrežju, ki vam ne dovoljuje, da se povežete s specifičnim strežnikom. Recimo, da ste na delovnem mestu, vk.com pa je blokiran. Če želite obiti zaklepanje, lahko ustvarimo tunel prek strežnika, ki ni v našem omrežju, in tako lahko dostopamo do zahtevanega vira: $ ssh -L 9000: vk.com: 80 [email protected].
Ključna točka je -L, ki pravi, da opravljamo lokalno posredovanje portov. Ukaz nato sporoča, da našo lokalno pristanišče 9000 posredujemo v vk.com:80, ki je privzeta vrata za HTTP. Zdaj morate odpreti brskalnik in odprite http: // localhost: 9000.
Nedvomna prednost SSH tunelov je, da so šifrirani. Nihče ne bo videl, katera mesta, ki jih obiščete, bodo vidne samo povezave SSH s strežnikom.
Povezovanje z bazo podatkov za požarnim zidom
Še en dober primer: če potrebujete dostop do vrat na strežniku, ki ga lahko naredite samo od lokalnega gostitelja in ne oddaljenega.
Primer je potreba po povezovanju z bazo konzole, ki omogoča samo lokalno povezavo iz varnostnih razlogov. Recimo, da na strežniku uporabljate PostgreSQL, ki privzeto posluša na portu 5432: $ ssh -L 9000: localhost: 5432 [email protected].
Del, ki se je spremenil, je localhost: 5432, ki govori o preusmeritvi povezav iz vašega lokalnega pristanišča 9000 na localhost: 5432 in na vaš strežnik. Zdaj se lahko preprosto povežemo z našo bazo podatkov: $ psql -h localhost -p 9000.
Oddaljeno posredovanje vrat
Zdaj pa pojasnimo delovanje daljinskega preusmerjanja na pravi primer. Recimo, da razvijate aplikacijo Rails na lokalnem računalniku in jo želite pokazati prijatelju. Na žalost vaš ponudnik internetnih storitev vam ni dal javnega IP naslova, zato se ne morete neposredno povezati z osebnim računalnikom prek interneta.
Včasih je to mogoče storiti tako, da konfigurirate NAT (pretvorba omrežnega naslova) na usmerjevalniku, vendar to ne deluje vedno in to zahteva spreminjanje konfiguracije vašega usmerjevalnika, kar ni vedno zaželeno. Ta rešitev tudi ne deluje, če v omrežju nimate skrbniškega dostopa.
Če želite odpraviti to težavo, potrebujete drug računalnik, ki je javen in ima dostop do SSH. Lahko je kateri koli strežnik na internetu, če se lahko povežete z njim. Ustvarili bomo SSH tunel, ki bo odprl novo vrata na strežniku in ga priključil na lokalna vrata v računalniku:
$ ssh-R 9000: localhost: 3000 [email protected]
Sintaksa tukaj je zelo podobna lokalni posredovanju portov, z eno zamenjavo -L do -R. Ampak, tako kot pri posredovanju lokalnih vrat, sintaksa ostane nespremenjena.
Obseg in tveganja
Slabost je, da ima vsak uporabnik, ki se lahko prijavlja v strežnik, pravico omogočiti posredovanje portov. To se pogosto uporablja za notranje strokovnjake za IT, da vstopijo v svoje domače naprave ali strežnike v oblaku, posredovanje porta s strežnika nazaj na intranet podjetja na svojem delovnem računalniku ali primeren strežnik. Hekerji in zlonamerna programska oprema ga lahko uporabijo tudi za napako algoritma v notranjem omrežju. Uporablja se lahko tudi za skrivanje sledi napadalcev z napadanjem z več napravami, ki omogočajo nenadzorovano predvajanje.
Tunneliranje se pogosto uporablja v povezavi s PHP-jevimi SSH tunelskimi ključi in avtentifikacijo javnega ključa, da se postopek avtomatsko avtomatizira.
Koristi
Prodaja SSH tunelov se pogosto uporablja v številnih korporacijskih okoljih, ki za svoje aplikacije uporabljajo sisteme glavnih sistemov. V teh okoljih imajo lahko same aplikacije zelo omejeno podporo za varnost. Uporaba tuneliranja, združljivosti s SOX, HIPAA, PCI-DSS in drugimi standardi, je mogoče doseči brez potrebe po spremembah aplikacij.
V mnogih primerih so te aplikacije in strežniki aplikacij takšni, da je njihovo spreminjanje verjetno nepraktično ali pretirano drago. Izvorna koda morda ni na voljo, prodajalec je morda prišel v stečaj, izdelek morda ni podprt ali pa razvojna ekipa ni na voljo. Dodajanje vsebine, kot je tunel SSH, omogoča ekonomičen in praktičen način dodajanja varnosti za te aplikacije. Na primer, vsa ATM omrežja v naši državi delujejo z uporabo tunelov, da zagotovijo varnost.
Tveganja
SSH tuneliranje je nedvomno koristna stvar. Vključuje tveganja, ki jih je treba nasloviti na oddelke IT za varnost IT. Povezave prostih SSH tunelov so zaščitene z močnim šifriranjem. Zaradi tega je njihova vsebina nevidna za večino spremljajočih mrežnih rešitev in rešitev za filtriranje prometa. Ta nevidnost prinaša pomembno tveganje, če se uporablja za zlonamerne namene, kot je filtriranje podatkov.
Cyber kriminalci ali zlonamerni programi lahko uporabljajo SSH tunele, da skrijejo svoja nepooblaščena sporočila ali pridobijo ukradene podatke iz ciljnega omrežja.
V napadu SSH tunela napadalec namesti strežnik izven ciljnega omrežja (na primer v Amazon AWS). Ko je goljufalec na ciljnem sistemu, se poveže z zunanjim strežnikom SSH od znotraj. Večina organizacij dovoljuje izhodne povezave v tunelu Linux SSH, vsaj če imajo strežnike v javnem oblaku. Ta SSH povezava je konfigurirana z možnostjo, ki vam omogoča, da port TCP iz vrat v zunanji strežnik pošljete v vrata SSH na strežniku v notranjem omrežju. Če želite konfigurirati ta SSH tunel, potrebujete en sam ukaz znotraj enote in ga lahko preprosto avtomatizirate. Večina požarnih zidov praktično ne ščiti pred tem.
Kako prenesti datoteko iz telefona v telefon: nasvete in trike
FTPS pristanišče - kaj je to?
Izločimo tunel skozi repetitor v Hamachi
Kako dostopati do interneta na več načinov?
Kako povezati računalnik z internetom prek tabličnega računalnika. Kako narediti internet na…
Oddaljena povezava z računalnikom. Program za povezavo oddaljenega računalnika
Nastavitev Palca! za Yandex: podroben vodnik
Povezava PPTP - kaj je to?
Pospešimo preko posredniškega računalnika. Kako uporabljati proxy
Pptp-vrata - varen komunikacijski protokol
Nastavitve SMTP za Gmail: načini in nianse- Kako povezati usmerjevalnik Wi-Fi z računalnikom
- Kaj je TCP-IP?
- Kako vzpostaviti povezavo z internetom? Izberemo najbolj optimalno metodo
- Kaj je VPN in njegove funkcije
Oddaljeni strežnik. Kako vzpostaviti povezavo z oddaljenim strežnikom
Tabela usmerjanja je preglednica. Tabela usmerjanja: opis, gradnja, ukaz in priporočila
Povezava L2TP - kaj je to? Kako konfigurirati povezavo L2TP- Kakšne so prednosti multiservičnih komunikacijskih omrežij?
Kako namestiti internet prek Bluetootha?
Kako prenesti veliko datoteko prek interneta: osnovne metode