Tuneles con SSH



La metodología desarrollada para este laboratorio consta de tres maquinas un servidor apache, un servicio ssh y un host de verificacion. Se describe graficamente a continuación.


Paso 1 Subir servicio Apache

Se muestra el estado del servicio apache arriba en la imagen 1, que corresponde al HOST apache.

 Imagen 1. Sevicio apache UP

Paso 2 Adicion de variable Sshgateway

Se incluye en el archivo de configuracion de SSH la instrucción gatewayports yes que permite efectuar el desarrollo de la practica sin problemas de puertas de enlace. Ver imagen 2.

Imagen 2. Adicion gatewayports yes

Paso 2 Shell de conexión en Tunel

Se muestra en la imagen 3 es shell creado en /etc/init.d/ que permite utilizar un puerto especifico para la conexión hacia el servidor apache.

 Imagen 3. Shell de conexión
  
Paso 3 Verificacion de archivo

En el directorio /init.d se muestra como lo indica la imagen 4 el script que permite ejecutar este tipo de tuneles.

 Imagen 4. Sshgateway en /init.d
  
Paso 4 Ejecucion de shell

En el servidor ssh se ejecuta el script que permite la conexión en tunel hacia el sevidor apache, esto se hace de una conexión “segura” a una “insegura”, y utilizando los puertos de conexión. 

Imagen 5. Ejecutando Shell
  
Paso 5 Servicio apache

En el servicio apache se encuentra el mensaje que se evidencia en la imagen 6. Donde tambien se muestra la IP configurada.

 Imagen 6. Mensaje servicio Apache

Paso 6 Conexión Tunel

Se hace una primera prueba de conexión a traves del localhost por https y por puerto 8080 como se muestra a continuacion, donde tambien se muestra la conexión en tunel hacia el servidor apache.

Imagen 6. Mensaje servicio Apache


Paso 7 Conexión Tunel externa

Se muestra en la siguiente imagen 7 el servicio desde el navegador del cliente como crea el tunel de forma correcta desde el servicio ssh al servicio apache.

 Imagen 7. Cliente a servicio apache a traves de ssh 

De esta forma no sólo se nos permite realizar conexiones seguras (todos los datos viajan encriptados), sino
que  también nos provee la posibilidad de tunelear a otras conexiones y hacer port forwarding. Ahora una 
conexión remota a una máquina que se encuentra en la intranet, con IP privada y detrás de un firewall es
 totalmente viable como mecanismo de seguridad perimetral aplicando esquemas como este.