En ocasiones puede suceder que haya firewalls que estén configurados para permitir únicamente el acceso SSH (puerto TCP/22 por defecto) a un host o una red. Pues bien, existe la posibilidad de “engañar” a estos firewalls encapsulando el tráfico con destino a otro puerto (y por tanto otro servicio) mediante un túnel SSH.

Para el ejemplo, supongamos que queremos acceder a una máquina mediante VNC (puerto TCP/5900 por defecto) en una red protegida por un firewall que sólo nos permite el tráfico SSH (puerto 22). Supondremos también que en esa red hay un servidor SSH, claro.
Pues bien, si lo que queremos es, una vez establecido el túnel SSH conectarnos mediante VNC saltándonos las restricciones del firewall, tendremos que configurar el cliente SSH, Putty en este caso, como figura en la imagen:

putty


Dicho de otra forma, configuramos el Putty de tal forma que el puerto local 5900 se redirija al puerto 5900 del equipo en la red remota. Y nada más, una vez establecida la conexión, bastará abrir el cliente VNC y como destino de la conexión indicarle localhost:5900 , y con esto estableceremos la sesión VNC en el equipo remoto indicado en la redirección configurada anteriormente en Putty. Como los paquetes van encapsulados mediante SSH, el firewall sólo verá tráfico TCP con destino al puerto 22, con lo que nos dejará acceso libre.

En este artículo lo explican muy bien, incluso atravesando un proxy:

http://www.eslomas.com/index.php/archives/2006/07/05/conexion-remota-vnc-proxy-firewall-tunel-ssh/

Por supuesto, la misma técnica podría utilizarse para conectarse a cualquier otro servicio o puerto, por ejemplo Terminal Server configurando como puerto destino el TCP/3389.

¿Cómo evitar esto? en este artículo proponen unificar las conexiones SSH en un proxy controlado dentro de una DMZ:

http://www.informit.com/articles/article.aspx?p=602977&seqNum=4

Fuente DocSharing

Etiquetado como: | Guardado en: Tutoriales

Otras noticias relacionadas