Защита от хакеров корпоративных сетей - читать бесплатно онлайн полную версию книги автора Коллектив авторов (ч. 234)

Переадресация удаленного порта

Последний предусмотренный в протоколе SSH тип переадресации порта известен как переадресация (перенаправление) удаленного порта (remote port forward). Переадресация удаленного порта, так же как и переадресация динамического порта, позволяет эффективно импортировать сетевые ресурсы. Тем не менее внешний сервер системы групповых дискуссий в Интернете IRC (Internet Relay Chat – Интернетовские посиделки. Глобальная система, посредством которой пользователи могут общаться друг с другом в реальном масштабе времени) ставится в соответствие локальному хосту, а каждое приложение, обеспечивающее проведение переговоров, запускается по IP-адресу 127.0.0.1:1080. Фактически переадресация удаленного порта экспортирует клиентам доступную им возможность сетевого взаимодействия. Экспорт осуществляет через сервер, к которому этот клиент подключен. Сказанное поясняет приведенный ниже пример:

ssh -R listening_port:destination_host:destination_port user@forwarding_host

Все точно так же, как и в случае переадресации локального порта, но теперь слушающий порт находится на удаленной машине, а порты назначения являются портами, которые обычно видны клиенту.

Программа WinVNC является одним из наиболее полезных сервисов переадресации, особенно на платформе Windows (позднее будут обсуждены вопросы переадресации на платформе UNIX). Она доступна по адресу www.tightvnc.com. Программа предоставляет простой для удаленной настройки интерфейс управления. Другими словами, с ее помощью можно увидеть работающий удаленный компьютер и исправить на нем ошибки. Переадресация удаленного порта позволяет экспортировать адресату интерфейс компьютера за пределы защищаемой межсетевым экраном зоны.

Есть ли у читателя запущенный сервер виртуальной сетевой обработки данных VNC? Да, есть:

Dan@EFFUGAS ~

$ telnet 127.0.0.1 5900

Trying 127.0.0.1...

Connected to 127.0.0.1.

Escape character is “^]”.

RFB 003.003

telnet> quit

Connection closed.

Соединитесь с другой машиной, переадресуя ее порт 5900 к собственному порту 5900.

Dan@EFFUGAS ~

$ ssh -R5900:127.0.0.1:5900 effugas@10.0.1.11

effugas@10.0.1.11’s password:

FreeBSD 4.3-RELEASE (CURRENT-12-2-01) #1: Mon Dec 3

13:44:59 GMT 2001

Проверьте, будет ли удаленный компьютер видеть свой порт 5900. Проверку выполните точно так же, как и в случае тестирования собственного порта 5900 на локальном компьютере:

$ telnet 127.0.0.1 5900

Trying 127.0.0.1...

Connected to localhost.

Escape character is “^]”.

RFB 003.003

Обратите внимание на то, что удаленная переадресация порта не очень-то доступна. Другие машины с сетевым адресом 10.0.1.11 могут не увидеть порт 5900. Опция GatewayPorts программы SSHD позволяет решить это. Но как будет показано дальше, подобные установки необязательны.