Защита от хакеров корпоративных сетей
Шрифт:
Переадресация портов: доступ к ресурсам удаленных сетей
· При переадресации локального порта издалека импортируется единственный порт, при помощи которого обеспечивается возможность соединения компьютеров между собой, что резко снижает возможность ее применения в других протоколах.
· При переадресации динамического порта откуда-то издалека импортируется целый диапазон портов, определяющий способность к сетевому соединению компьютеров между собой. Для переадресации динамического порта необходимо, чтобы приложения могли выдавать правильные запросы
· Многие приложения Windows поддерживают протокол SOCKS, а большинство приложений Windows и UNIX могут быть настроены на его использование при помощи общедоступных упаковщиков.
· При переадресации удаленного порта экспортируется единственный порт, позволяющий обеспечить сетевое взаимодействие с внешним миром.
· В число команд переадресации порта пакета OpenSSH входят следующие:
– переадресация локального порта на некоторый наугад выбранный порт 6667 хоста, который доступен через SSH-демон ssh user@host -L6667:remotely_visible_host:6667;
– динамическая переадресация локального порта 1080 на некоторый определенный приложением хост и порт, выполненная при помощи SSH-демона ssh user@host -D1080;
– переадресация удаленного порта 5900 на некоторый наугад выбранный порт 5900 хоста, доступного при помощи собственного SSH-клиента ssh user@host - R5900:locally_visible_host:5900.
Когда-то в Риме: пересекая непокорную сеть
· Опция ProxyCommands позволяет привлечь прикладные программы с командной строкой к обеспечению сетевого взаимодействия компьютеров между собой по протоколу SSH. Одним из таких приложений является программа connect.c, которая позволяет прокладывать туннель по протоколу SSH через разнообразные модули доступа прокси.
· Краткая сводка правил применения опций ProxyCommands пакета OpenSSH:
– основное использование ssh -o ProxyCommand="command" user@port;
– применение вместо внутреннего сокета протокола TCP программы netcat для подключения к удаленному хосту ssh -o Proxy Command= " nc %h %p" user@host;
– использование программы connect.c для маршрутизации трафика через демон SOCKS4 на proxy_host:20080 для подключения к удаленному хосту ssh -o ProxyCommand= " connect.exe -4 -S proxy_user@proxy:20080 %h %p " user@host;
– использование программы connect.c для маршрутизации трафика через демон SOCKS5 на proxy_host:20080 для подключения к удаленному хосту ssh -o ProxyCommand= " connect.exe -5 -S proxy_user@proxy:20080 %h %p " user@host;
–
· Часто для прохождения через большинство сетей достаточно просто применить протокол SSH, использующий порты HTTP или HTTPS (80 или 443).
· При работе по протоколу SSH программа HTTPTunnel позволяет перемещаться по любым сетям, которые поддерживают обычный Web-трафик:
– перенаправление трафика протокола HTTP от локального порта 10080 к SSH-демону на локальном хосте localhost hts 10080 -F 127.0.0.1:22;
– прослушивание SSH-трафика по порту 10022, преобразование его в дружественные протоколу HTTP-пакеты, отправка их через модуль доступа прокси на proxy_host:8888 и доставка их серверной части программы httptunnel на хосте 10080 htc -F10022 – P proxy_host:8888 host:10080;
– отправка трафика на порт 10022 локального хоста localhost при условии проверки возможности переадресации на конечный хост ssh -o HostKeyAlias=host -o Port=10022 [email protected].
· Протокол SSH может подтвердить свою собственную подлинность хосту-бастиону, расположенному между клиентом и сервером, проложить через него маршрут передачи данных и независимым образом подтвердить подлинность серверу, с которым пользователь собирался установить соединение с самого начала.
· Сервер может также установить SSH-соединение к клиенту, экспортируя доступ к своему собственному SSH-демону, и, таким образом, стать удаленно администрируемым сервером.
· Доступ может как экспортироваться, так и импортироваться, позволяя двум взаимно защищенным межсетевыми экранами хостам встретиться где-то посередине на специальном хосте-бастионе и установить через него соединение.
· Ниже перечислены команды импортирования доступа от хоста-бастиона к SSH-демону:
– настройка механизма локальной переадресации к SSH-демону, к которому можно получить доступ через хост-бастион ssh -L2022:backend_host:22 user@bastion;
– самостоятельное подключение к SSH-демону, который стал доступным в результате выполнения предыдущей команды ssh -o HostKeyAlias=backend_host -p 2022 [email protected];
– настройка механизма динамической переадресации для получения доступа к сети, видимой позади некоторого хоста-бастиона ssh -D1080 user@bastion;
– подключение к некоторому SSH-демону, который виден с хоста-бастиона, подключенного в результате выполнения предыдущей команды ssh -o ProxyCommand="connect -4 -S 127.0.0.1:1080 %h %p " user@backend_host;