Πώς να δημιουργήσετε μια σήραγγα SSH μεταξύ ενός διακομιστή Linux και ενός προγράμματος-πελάτη Windows

Η ιδέα της οικοδόμησης α Σήραγγα SSH είναι να κρυπτογραφήσετε όλες τις συνδέσεις (ανεξάρτητα, για παράδειγμα, αν μεταβείτε σε μια σελίδα https ή http) και συνδεθείτε σε Internet μέσω ενός ασφαλές κανάλι. Αυτό το "ασφαλές" κανάλι δεν είναι τίποτα άλλο από ένα διακομιστής διαμορφωμένο για αυτό το σκοπό. Αυτός ο διακομιστής θα μπορούσε, για παράδειγμα, να βρίσκεται στο σπίτι σας.

Το «μειονέκτημα» αυτής της μεθόδου είναι ότι πρέπει πάντα να ενεργοποιήσετε και να ρυθμίσετε σωστά αυτό το μηχάνημα ώστε να λειτουργεί ως διακομιστής SSH, αλλά σας επιτρέπει να βελτιώσετε ουσιαστικά την ασφάλεια της σύνδεσής σας και ακόμη και να αποφύγετε τους περιορισμούς σύνδεσης που επιβάλλονται από διαχειριστές δικτύου (για παράδειγμα, τη δουλειά σας).

Ακούω να ρωτάτε: μπορεί αυτό να με βοηθήσει πραγματικά; Λοιπόν, ας υποθέσουμε το ακόλουθο σενάριο: βρίσκεστε σε μια διαδικτυακή καφετέρια ή εστιατόριο με δωρεάν Wi-Fi και πρέπει να πραγματοποιήσετε τραπεζική μεταφορά ή άλλη σημαντική λειτουργία. Φυσικά, συνιστάται πάντα να πραγματοποιείτε τέτοιου είδους συναλλαγές σε ασφαλές περιβάλλον. Ωστόσο, υπάρχει μια λύση: μια σήραγγα SSH. Με αυτόν τον τρόπο, μπορούμε να συνδεθούμε στο Διαδίκτυο μέσω του «ασφαλούς» διακομιστή μας.

Αυτή η μέθοδος είναι επίσης χρήσιμη για την παράκαμψη των περιορισμών που επιβάλλονται στις συνδέσεις πολλών εργασιακών περιβαλλόντων. Δεν μπορείτε να αποκτήσετε πρόσβαση στο YouTube από την εργασία; Λοιπόν, μια σήραγγα SSH μπορεί να είναι η λύση, καθώς όλα τα αιτήματα θα γίνονται μέσω του "ασφαλούς" διακομιστή σας. Με άλλα λόγια, καθώς η IP του ασφαλούς διακομιστή σας δεν είναι αποκλεισμένη (ναι, από την άλλη πλευρά, του YouTube), θα μπορείτε να "αποφύγετε" αυτόν τον περιορισμό (δεν μπορείτε να αποκτήσετε πρόσβαση στο YouTube) αφού για τον διαχειριστή της εταιρείας σας δίκτυο το μηχάνημά σας συνομιλούσε μόνο με τον "ασφαλή" διακομιστή σας και δεν έχει ιδέα ότι μέσω αυτού περιηγείστε πραγματικά σε πολλές σελίδες.

Σε αυτό το σεμινάριο θα εξηγήσουμε την «τυπική» υπόθεση: Linux server, Windows client.

Διαμόρφωση διακομιστή Linux

1. - Εγκαταστήστε τον διακομιστή SSH. Για να το κάνω αυτό, άνοιξα ένα τερματικό και έτρεξα:

En Ubuntu:

sudo apt-get install opensh-server

En αψίδα:

pacman -S ανοιχτό

En Μαλακό καπέλλο:

yum -y εγκατάσταση openssh-server

Ετοιμος. Τώρα θα μπορείτε να έχετε πρόσβαση στο Ubuntu (διακομιστής SSH) με έναν πελάτη SSH.

2. - Μόλις εγκατασταθεί, είναι χρήσιμο να ελέγξετε το αρχείο διαμόρφωσης:

sudo nano / etc / ssh / sshd_config

Από αυτό το αρχείο θα μπορείτε να διαμορφώσετε τον διακομιστή SSH άνετα. Η πρότασή μου είναι να τροποποιήσετε μόνο 2 παραμέτρους: port και allowusers.

Για να αποφύγετε πιθανές επιθέσεις, συνιστάται να αλλάξετε τη θύρα που θα χρησιμοποιεί το SSH. Από προεπιλογή έρχεται με την τιμή 22, μπορείτε να επιλέξετε ένα άλλο που σας ταιριάζει καλύτερα (για τους σκοπούς αυτού του σεμιναρίου επιλέξαμε 443 αλλά μπορεί να είναι οποιοδήποτε άλλο).

Η παράμετρος Allowusers σάς επιτρέπει να περιορίσετε την πρόσβαση ανά χρήστη και, προαιρετικά, τον κεντρικό υπολογιστή από τον οποίο μπορείτε να συνδεθείτε. Το ακόλουθο παράδειγμα περιορίζει την πρόσβαση στον διακομιστή SSH, έτσι ώστε μόνο έτσι ώστε οι χρήστες να μπορούν να το κάνουν από τους κεντρικούς υπολογιστές 10.1.1.1 και 10.2.2.1.

AllowUsers έτσι και έτσι@10.1.1.1 mengano@10.1.1.1 έτσι και έτσι@10.2.2.1 mengano@10.2.2.1

Διαμορφώστε το δρομολογητή

Σε περίπτωση που ο διακομιστής σας βρίσκεται πίσω από έναν δρομολογητή, είναι απαραίτητο να διαμορφώσετε τον τελευταίο ώστε να μην αποκλείει τις εισερχόμενες συνδέσεις. Πιο συγκεκριμένα, πρέπει να διαμορφώσετε.

Πριν φτάσετε στο σημείο και δείξετε την απαραίτητη διαμόρφωση, φαίνεται συνετό να εξηγήσετε λίγο τι αποτελείται από το port-forwarding.

Ας υποθέσουμε ότι έχετε ένα τοπικό δίκτυο 3 μηχανημάτων, όλα πίσω από έναν δρομολογητή. Πώς μια εισερχόμενη σύνδεση (από SSH, όπως θα ήταν η δική μας περίπτωση) για επικοινωνία με το μηχάνημα 1 στο τοπικό μας δίκτυο; Μην ξεχνάτε ότι "από έξω" οι 3 μηχανές, παρόλο που διαθέτουν τοπικές IP, μοιράζονται ένα κοινό IP μέσω του οποίου συνδέονται στο Διαδίκτυο.

Η λύση στο προαναφερθέν πρόβλημα είναι η προώθηση θυρών. Έτσι, όταν λαμβάνονται εισερχόμενες συνδέσεις στη θύρα X της δημόσιας IP μας, ο δρομολογητής θα τον παραπέμψει στο αντίστοιχο μηχάνημα. Με αυτόν τον τρόπο, όποτε συνδέουμε μέσω αυτής της θύρας, γνωρίζουμε ότι ο δρομολογητής πρόκειται να μας ανακατευθύνει (εξ ου και προώθηση θύρας) στο αντίστοιχο μηχάνημα. Όλα αυτά, προφανώς, πρέπει να ρυθμιστούν στο δρομολογητή.

Η διαμόρφωση προώθησης θύρας διαφέρει λίγο ανάλογα με το δρομολογητή που χρησιμοποιείτε. Το πιο πρακτικό είναι να επισκεφθείτε portforward.com, επιλέξτε το μοντέλο του δρομολογητή που χρησιμοποιείτε και ακολουθήστε τα βήματα που περιγράφονται εκεί.

Διαμορφώστε το πρόγραμμα-πελάτη των Windows

Για να συνδεθείτε από τα Windows, είναι πρακτικό να χρησιμοποιείτε το εργαλείο PuTTY ως πελάτη SSH.

1. - Το πρώτο βήμα είναι να κατεβάσετε το PuTTY

Όπως μπορείτε να δείτε στη σελίδα λήψης PuTTY, υπάρχουν πολλές διαθέσιμες εκδόσεις. Συνιστώ να κατεβάσετε τη φορητή έκδοση του προγράμματος: putty.exe. Το πλεονέκτημα της επιλογής της φορητής έκδοσης είναι ότι μπορείτε να τη μεταφέρετε πάντα σε ένα pendrive και να εκτελείτε το πρόγραμμα από οποιονδήποτε υπολογιστή, όπου κι αν βρίσκεστε.

2. - Ανοίξτε το PuTTY και καθορίστε την IP (δημόσια) και τη θύρα του διακομιστή στον οποίο θα πρέπει να συνδεθεί ο πελάτης SSH. Πώς να μάθετε τη δημόσια IP του διακομιστή σας; Εύκολο, απλώς google "what my public ip" για να βρείτε χιλιάδες σελίδες που προσφέρουν αυτήν την υπηρεσία.

3. - Σε περίπτωση που ο "πελάτης" βρίσκεται πίσω από έναν διακομιστή μεσολάβησης, μην ξεχάσετε να τον διαμορφώσετε σωστά. Σε περίπτωση που δεν είστε βέβαιοι ποια δεδομένα θα εισαγάγετε, ανοίξτε τον Internet Explorer και μεταβείτε στα Εργαλεία> Συνδέσεις> Ρυθμίσεις LAN> Για προχωρημένους. Αντιγράψτε και επικολλήστε τα δεδομένα που εμφανίζονται εκεί στο PuTTY, όπως φαίνεται στην παρακάτω εικόνα. Σε ορισμένες περιπτώσεις, ίσως χρειαστεί να εισαγάγετε ένα όνομα χρήστη και έναν κωδικό πρόσβασης.

4. - Είναι απαραίτητο να εισαγάγετε τα "τοπικά" δεδομένα προώθησης θύρας για τη δημιουργία της σήραγγας SSH. Μεταβείτε στο Connection> SSH> Tunnels. Η ιδέα εδώ είναι αυτό, πρέπει να πούμε στο PuTTY ποιες συνδέσεις θα "εκτροπή" στον ασφαλή διακομιστή μας. Για να γίνει αυτό, πρέπει να επιλέξουμε μια θύρα.

Η πρότασή μου, ειδικά αν το μηχάνημα βρίσκεται πίσω από έναν διακομιστή μεσολάβησης, είναι να επιλέξετε τη θύρα 443, δεδομένου ότι είναι αυτή που χρησιμοποιεί η SSL για ασφαλείς συνδέσεις, γεγονός που θα δυσκολέψει τον διαχειριστή να ανακαλύψει τι κάνετε. Η θύρα 8080, από την άλλη πλευρά, είναι αυτή που χρησιμοποιείται από το HTTP (η οποία δεν είναι "ασφαλής" σύνδεση) οπότε ένας έμπειρος διαχειριστής δικτύου μπορεί να είναι ύποπτος και ακόμη και να έχει αποκλείσει τη θύρα για άλλους τύπους συνδέσεων.

Στον Προορισμό, εισαγάγετε ξανά το IP του ασφαλούς διακομιστή, ακολουθούμενο από άνω και κάτω τελεία και τη θύρα που ανοίξατε την τελεία με τίτλο "Διαμόρφωση του δρομολογητή" και στο αρχείο ~ / .ssh / config. Για παράδειγμα, 192.243.231.553:443.

Επιλέξτε Dynamic (το οποίο θα δημιουργήσει μια σύνδεση SOCKS, την οποία θα χρησιμοποιήσουμε στο επόμενο σημείο) και κάντε κλικ στο Add.

5. - Πήγα πίσω στην κύρια οθόνη PuTTY, έκανα κλικ στο Save και μετά στο Open. Την πρώτη φορά που θα συνδεθείτε στον διακομιστή, θα εμφανιστεί ένα μήνυμα ειδοποίησης όπως αυτό παρακάτω:

6. - Στη συνέχεια, θα ζητήσει το όνομα χρήστη και τον κωδικό πρόσβασης με πρόσβαση στον διακομιστή.

Εάν όλα πήγαν καλά, μόλις ολοκληρωθεί η σύνδεση, θα πρέπει να δείτε κάτι σαν αυτό που βλέπετε παρακάτω ...

7.- Τέλος, χωρίς να κλείσετε το PuTTY, ανοίξτε και διαμορφώστε τον Firefox (ή το αγαπημένο σας πρόγραμμα περιήγησης) για να συνδεθείτε στο Διαδίκτυο μέσω του PuTTY.