Saltarse un firewall mediante túneles SSH

22 02 2009

En ocasiones puede suceder que haya firewalls que estén configurados para permitir únicamente el acceso SSH (puerto TCP/22 por defecto) a un host o una red. Pues bien, existe la posibilidad de “engañar” a estos firewalls encapsulando el tráfico con destino a otro puerto (y por tanto otro servicio) mediante un túnel SSH.Tuneles SSH

Para el ejemplo, supongamos que queremos acceder a una máquina mediante VNC (puerto TCP/5900 por defecto) en una red protegida por un firewall que sólo nos permite el tráfico SSH (puerto 22). Supondremos también que en esa red hay un servidor SSH, claro.

Pues bien, si lo que queremos es, una vez establecido el túnel SSH conectarnos mediante VNC saltándonos las restricciones del firewall, tendremos que configurar el cliente SSH, Putty en este caso, como figura en la imagen:

Tunel SSH

Dicho de otra forma, configuramos el Putty de tal forma que el puerto local 5900 se redirija al puerto 5900 del equipo en la red remota. Y nada más, una vez establecida la conexión, bastará abrir el cliente VNC y como destino de la conexión indicarle localhost:5900 , y con esto estableceremos la sesión VNC en el equipo remoto indicado en la redirección configurada anteriormente en Putty. Como los paquetes van encapsulados mediante SSH, el firewall sólo verá tráfico TCP con destino al puerto 22, con lo que nos dejará acceso libre.

En este artículo lo explican muy bien, incluso atravesando un proxy:

http://www.eslomas.com/index.php/archives/2006/07/05/conexion-remota-vnc-proxy-firewall-tunel-ssh/

Por supuesto, la misma técnica podría utilizarse para conectarse a cualquier otro servicio o puerto, por ejemplo Terminal Server configurando como puerto destino el TCP/3389.

¿Cómo evitar esto? en este artículo proponen unificar las conexiones SSH en un proxy controlado dentro de una DMZ:

http://www.informit.com/articles/article.aspx?p=602977&seqNum=4


Acciones

Information

5 responses

22 02 2009
Saltarse firewalls y proxys mediante HTTPort y HTTHost « Doc::Sharing

[…] Saltarse firewalls y proxys mediante HTTPort y HTTHost Este artículo es similar al anterior, Saltarse un firewall mediante túneles SSH […]

22 02 2009
Rastreador

Es una buena técnica. Yo la suelo utilizar y funciona muy bien. Puedes incluso unir varios túneles para saltarte varios firewalls diferentes.

Saludos.

23 02 2009
Luis Miguel

En el ejemplo, si el ordenador desde el que ejecutas el putty tiene un servidor de vnc, estará funcionando por defecto en el puerto 5.900, por lo que hay que usar otro, o te fallará el túnel. Generalmente uso el 5901, 5902, etc. porque suelo abrir varios clientes de vnc a la vez dentro de la misma red. De este modo, en lugar de abrir n puertos en el router, uno por cada ordenador, sólo abres uno, el 22. Otra ventaja es que ya no uso el vnc repeater (http://www.uvnc.com/addons/repeater.html), y además encriptas la comunicación.

Por cierto, uso el putty connection manager (http://puttycm.free.fr) para gestionar varios clientes de ssh simultáneamente, y un cliente de ultravnc con pestañas (http://sc.uvnc.com/V2/tabbed_viewer/) para tener abiertos varios clientes con un único programa.

15 03 2009
19 11 2009
Linux

Muy buen manual si necesitan hacerlo desde linux tambien es posible con el solo servicio de ssh en cliente y servidor como dice aqui http://unidadlocal.com/Como_hacer_un_Tunel_de_SSH_en_Unix_Linux_Mac

Espero les sea de utilidad yo lo utilizo para abrir MSN con el pidgin desde la escuela que esta bloqueado

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: