Túneis cifrados com SSH

elgio

Deseja acessar de forma segura o seu banco de dados e sem precisar abrir porta no firewall? Túnel. Acessar a porta 25 fazendo relay sem mudar as configurações do Postfix? Túnel. Existem inúmeras vantagens do uso de um túnel, inclusive a implantação de uma VPN é feita utilizando-se um túnel. Este artigo destina-se a explicar como usar o recurso de tunelamento existente no próprio SSH.

[ Hits: 140.524 ]

Por: Elgio Schlemer em 31/07/2009 | Blog: https://profelgio.duckdns.org/~elgio

5 0

Denuncie Favoritos Indicar Impressora

O que é e como funciona um túnel?

Um túnel nada mais é do que dois programas ligados um no outro. Um deles será a entrada do túnel e o outro será a saída. Os dados podem ser cifrados ao entrar no túnel e decifrados ao sair dele, mas um túnel não precisa realmente usar criptografia. Na maioria dos casos é uma insanidade não usar criptografia, mas não existe obrigatoriedade em seu uso.

Uma VPN (Virtual Private Network) não é o mesmo que túnel. Contudo, a VPN, para criar a ilusão de máquinas distantes estarem na mesma rede, faz uso de túneis, preferencialmente cifrados. No caso se abre uma entrada da VPN, digamos, na porta 4000 UDP do roteador. Tudo que entrar na porta 4000 será cifrado e levado até a porta 4000 de outro roteador distante. Lá este roteador irá decifrar o pacote e injetá-lo na rede local destino (existem diversas formas de se criar uma VPN. Este não é o único exemplo).

Existe muitos programas para a criação e manutenção de túneis, alguns até bem sofisticados, como é o caso do todo poderoso stunnel. Ele permite até mesmo negociar certificados SSL, ou seja, podes ter o teu servidor HTTP normal, que não sabe nada de SSL, mas por stunnel dar aos usuários da Internet acesso seguro via SSL. Neste caso o cliente negocia SSL com o stunnel e este repassa os dados decifrados ao servidor HTTP. Muito útil quando o servidor é antigo e não suporta SSL, ou quando ele é lento, havendo problemas de desempenho ao se implantar SSL. Pode ser útil também quando o servidor HTTP é gerenciado por outra pessoa e você não deseja dar a esta pessoa seu certificado e a chave privada dele.

Mas não é realmente necessário usar programas específicos para criar um túnel. Certamente é conveniente usá-los, pois eles já tem recursos próprios para isto, mas para casos mais simples e rápidos, muitas outras formas, até criativas, podem ser usadas para este fim. Bastaria um programa que escutasse em uma porta e que permitisse enviar dados para outra, e pronto, tem-se os ingredientes para criar um túnel.

Para provar esta teoria, mais com a intenção de ser didático do que ser prático, que tal criar um túnel no braço usando o netcat?

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. O que é e como funciona um túnel?
   3. Construindo um túnel tosco com netcat
   4. Usando o recurso de túnel do SSH
   5. Situações práticas onde um túnel SSH pode ser uma saída
   6. Conclusão e referências
   7. ANEXO: script que uso para realizar um túnel SMTP

Outros artigos deste autor

Guerra Infinita, uma análise da Ciência da Computação

Fundamentos da criptografia assimétrica

Cuidado com números em Ponto Flutuante

Estrutura do Iptables

Estrutura do IPTables 2: a tabela nat

Leitura recomendada

Autenticação por desafio e resposta no SSH

Ajustes finos no Bind (servidor DNS)

Servidor de DNS com DNS reverso, DHCP3 e wpad.dat

SSH Blindado - Protegendo o seu sistema de ataques SSH

Hardering com Red Hat 5

Comentários

[1] Comentário enviado por cesar em 31/07/2009 - 08:38h

Boa elgio!

[]'s

0 0

[2] Comentário enviado por marcolinux em 31/07/2009 - 09:58h

Simplesmente dEStruIU! Parabéns excelente artigO!

0 0

[3] Comentário enviado por marciomarkes em 31/07/2009 - 11:56h

Meu caro Elgio... Sem comentários... Parabéns..

Abs..

0 0

[4] Comentário enviado por cytron em 03/08/2009 - 01:23h

É! Dá pra ver que ssh não tem limites kkkkk

0 0

[5] Comentário enviado por danlsgiga em 03/08/2009 - 22:22h

Excelente... dicas práticas e diretas. Parabéns!! Adorei o artigo.

0 0

[6] Comentário enviado por andre.vmatos em 04/08/2009 - 18:23h

Muito bom, novamente, Elgio. Artigo explendido, simplesmente didaticamente perfeito. Continue assim, por favor, nos enriquecendo com seu conhecimento. Só uma dúvida. No título da página 5, vc quis dizer SSH ou SSL mesmo? É pq não encontrei menção ao protocolo SSL na página, e sim ao SSH, motivo do artigo. Abçss
Atenciosamente,

0 0

[7] Comentário enviado por elgio em 04/08/2009 - 19:21h

Obrigado André.

Realmente, foi um erro meu.
Apesar de SSL ão ser completamente errado, estou falando do SSH.

Já foi corrigido. Obrigado pelo aviso.

0 0

[8] Comentário enviado por rsscwb em 17/09/2009 - 14:13h

Elgio,

Parabéns por seus artigos, são Excelentes!!! Não apenas este, mas todos!

Agora estou utilizando este túnel para acessar o webmin no meu servidor. Eu bloqueei o acesso externo na porta 10000 pelo iptables e, cada vez que eu precisava acessar o webmin, tinha que rodar um script pelo ssh liberando a porta pro meu ip local atual (que é dinâmico).

Agora apenas crio o túnel na minha máquina local e pronto! Nem tenho o trabalho de digitar minha senha, pois configurei a autenticação por desafio e resposta, conforme vc explicou em outro artigo. Simples e fácil!

Att,
Robson

0 0

[9] Comentário enviado por ikichl em 23/09/2009 - 09:23h

Bom dia
estou com um grande problema aqui tenho um sistema em php que faz conexoes
automaticas atravez e chave de seguranca, instalada na maquina remota, porem cada
nova conexao ele pede a confirmacao antes e conectar a primeira vez:

Are you sure you want to continue connecting (yes/no)?

ja tentei diversos meio para auto aceitar a conexao, mas sempre sem sucesso
echo -e "yes" | ssh root@200.175.121.18

0 0

[10] Comentário enviado por ikichl em 23/09/2009 - 09:42h

Acho que descobri como fazer, ele adiciona automaticamente a chave sem confirmar.

ssh root@200.175.121.18 -p 22 -o StrictHostKeyChecking=no

Obrigado

0 0

[11] Comentário enviado por removido em 04/10/2009 - 23:39h

Buenas tchê.
Estava afastado da TI e do VOL, ao retornar encontro este artigo muito bem escrito, com um assunto palpável e com exemplos que realmente funcionam. Estas de parabéns.
Sei que existem alguns de meus usuários, os mais espertos, tunelando conexões em uma porta bem conhecida que meu firewall necessita deixar passar mas, estou estudando as técnicas disponíveis e em busca de soluções.

0 0

[12] Comentário enviado por _m4n14c_2 em 20/10/2011 - 04:06h

Só lembrando, o própro ssh possui uma switch para passar os dados pelo gzip (-C). Como voce propos usar o tar seria mais vantajoso usar algoritmo bzip no lugar do gzip, bastar usar a switch j no lugar do z. Assim ganha-se um pouco de velocidade na transmissão dos dados, já que o bzip é mais eficiente que o gzip:

tar cj dados/ | ssh root@172.20.1.132 "tar xj && echo SUCESSO na cópia. SCP é para os fracos"

0 0

[13] Comentário enviado por emtudo em 31/08/2012 - 22:00h

Cara, preciso dizer:

excelente artigo...

0 0

[14] Comentário enviado por jwolff em 18/12/2012 - 16:47h

Eu iria criar um Artigo com Script sobre Tunelamento por SSH para burlar firewall e squid. Mas você mostrou todos os pontos fracos neste Post e seria em vão meu Artigo.
O que me resta é lhe dar os Parabéns,você é muito bom!

0 0

[15] Comentário enviado por c4rnivor3 em 18/02/2013 - 21:39h

Otimo artigo. Muito grato pelo conhecimento! Se possível, faz um sobre o Netcat. Ficar no aguardo!

0 0