Kaie"s Blog 2.0 beta!
Back to "Top"

My Secret Notebook
Show "Table of Contents"
Contact Me
Subscribe to my Posts feed
Subscribe to my Comments feed
My Flickr
Back to "Top"
My Secret Notebook
Show "Table of Contents"
Contact Me
Subscribe to my Posts feed
Subscribe to my Comments feed
My Flickr

Tuesday, November 28, 2006

[Security] PuTTY - SSH Tunnel Usage

之前就有使用SSH Tunnel的相關應用,只是一直偷懶沒有記錄在Blog裡頭,在網路上看到Jamyy這位仁兄的文章,整理得很棒,將文章轉載於底下。
.文章出處:
Jamyy's Weblog -> PuTTY - SSH Tunnel 運用備忘
.相關好文收錄:
heath's Daemon Castle : sshd on win32
※文章開始:
PuTTY除了能讓 Windows 平台以 ssh 通訊協定連入 Unix-Like 作業系統之外, ssh 連線後的通道還能達成許多目的, 如: 突破防火牆封鎖、防止網路封包竊聽、遠端存取防火牆內資源等等. 例如員工出差透過 ssh 安全通道連回公司存取資料, 以確保資料安全.

常見的 SSH Tunnel 運用如下:

  1. 透過 proxy 安全上網、讓 msn 突破防火牆封鎖
  2. 連入 smtp、pop3、vnc (遠端桌面)、samba (網路上的芳鄰)

ssh server 環境:

client pc 環境:

  • 下載 PuTTY, 將 putty.exe 置於 C:\Windows\System32 目錄中, "開始"→"執行" 或 "命令提示字元模式" 中輸入 putty 即可執行

實例一: 使用 proxy (代理伺服器)

目的: 避免被監聽 URL、蒐集密碼

↓啟動 PuTTY, 輸入 sshd host 網址

↓切換到 Connection -> SSH -> Tunnels 畫面, 輸入 Source port: 8080 (自訂), Destination: proxy server 的 IP 和 Port, 輸入完畢記得按 "Add"

↓如有需要, 可回到 Session 畫面儲存 (Save) 設定值, 以後執行 PuTTY 時可直接讀取 (Load) 設定值. 在任何畫面按 "Open" 即可以目前設定進行連線.

↓登入 sshd host 後, 將視窗縮到最小, 保持 ssh 連線

↓開啟瀏覽器, 設定 proxy 為: localhost:8080 以 IE 為例: 工具→網際網路選項→連線→區域網路設定

設定完畢回到瀏覽器主畫面, 開始透過 ssh 安全通道瀏覽網頁

實例二: MSN Messenger

目的: 突破公司防火牆限制、避免被側錄聊天內容

↓PuTTY 設定: Source port: 1080; Destination: 空白, Dynamic 設定完畢記得按 "Add" (其他 PuTTY 操作同上述)

↓MSN Messenger 設定: 工具→選項→連線→進階設定→只勾選 SOCKS 5 版, 伺服器: localhost, 連接埠: 1080

實例三: Outlook Express

目的: 避免被攔截信件內容、蒐集密碼

↓PuTTY 依序設定: Source: 25, Destination: smtp.host.ip:25; Source: 110, Destination: pop3.host.ip:110 (都是 Local)

↓Outlook Express 設定: POP3: localhost; SMTP: localhost

實例四: 網路上的芳鄰

目的: 存取遠端檔案分享資源

↓新增硬體: 網路介面卡 -> Microsoft -> Microsoft Loopback Adapter

↓取消勾選 "File and Printer Sharing for Microsoft Networks", 點選 "Internet Protocol (TCP/IP)" -> "內容" 進行下一步設定

↓設定 Loopback Adapter IP 位址為: 10.0.0.1 / 255.255.255.0, 點選 "進階" 進行下一步設定

↓點選 "停用 [NetBIOS over TCP/IP]", 按確定完成所有設定後, 重新啟動電腦.

↓PuTTY 設定: Source port: 10.0.0.1:139; Destination: samba.server.ip:139 或 其他 windows 分享電腦 : 埠號 139

↓連線網路磁碟機: 直接把 10.0.0.1 當成一般 Windows 分享電腦即可


後記:

  • 若遭防火牆擋 22 port, 可將 ssh server 改成 80 port
  • 若要防止公司內部人員使用 PuTTY + ssh 通道搞怪, 可於 Linux NAT + Layer 7 防火牆 擋掉 ssh 通訊協定:
    iptables -A FORWARD -m layer7 --l7proto ssh -j DROP

參考資料:

Tags:

Posted by Unknown This entry was posted on Tuesday, November 28, 2006 at 10:41 AM You can skip to the end and leave a response.  

1 Comment:

1
Who: Anonymous Class:
When: December 27, 2006 12:41 PM  

您可留下您的意請輸入上圖所見符號。 見 以使用某些 HTML 標記

Plz Post a Comment / 拜託你留個言啦...^^"

Subscribe to: Post Comments (Atom)