Segurança de um túnel SSH

Question

Segurança de um túnel SSH

#1 resposta do (0 votos)

0

Temos um cluster (atualmente 10 máquinas) atrás de um NAT. Existe um gateway NAT / jump-host entre a rede privada e a rede normal da empresa.

Os usuários podem ssh para o host de salto e depois entrar em qualquer outra máquina atrás do NAT.

Eu gostaria de fornecer um script fácil que os ajude a tunelar as interfaces web por trás do NAT para suas máquinas locais.

Então, minhas primeiras sugestões foram: usar um proxy de socks SSH e encapsular as interfaces para seu host local.

Então, minha pergunta é: Se eu criar esses dois túneis (um do computador local de meus colegas de trabalho para o host de salto e aquele do host de salto para a máquina correspondente atrás do NAT) - quão seguro é este túnel?

Imagine worker1 , que está fazendo isso:

ssh -t [email protected] -L 10001:localhost:33388 ssh -t hostxyz.behindnat.tld

Existe uma porta aberta 33388 na máquina host de salto que está escutando na interface de loopback. Se worker2 apenas efetuar login no host de salto e usar a porta do host local 33388 também para a conexão já encapsulada, ele não deverá autenticar novamente para o hostxyz.behindnat.tld , certo?

Isso parece uma grande falha de segurança para mim, existe uma solução melhor?

ssh tunneling ssh-tunneling

por Smoki 21.11.2017 / 14:15

1 resposta

Tags ssh tunneling ssh-tunneling

Como verificar quem pode su para o meu usuário Por que não consigo consertar o som do KDE?

score 0 · Answer 1

Suponho que o seu cenário implica uma sessão ssh preexistente entre jumphost e hostxyz, que estaria aberta a todos com acesso à porta de escuta do jumphost.

Você mencionou meias e túneis, que são tecnicamente duas coisas diferentes.

Configure o proxy de meias do worker1 assim: ssh [email protected] -D 127.0.0.1:10001

Defina o navegador worker1 para usar meias localhost:10001 para navegar pelo jumphost.tld

Se você quiser ssh diretamente de worker1 para hostxyz, você pode fazer algo como o seguinte.

  ssh [email protected] -L localhost:10001:hostxyz:22
  ssh user@localhost:10001

Isso é o que eu faço. Eu uso um arquivo .ssh / config para manter tudo organizado. Eu recomendo ler o seguinte para informações sobre o arquivo de configuração e o tunelamento. link Assista Michael W Lucas falar no openssh para uma outra boa cartilha.