VPNを使用しないVPNまたはSSHの型破りな使用に関するストーリー

ssh.comとWikipediaによると、SSHプロトコルの最初のバージョンと実装は1995年にリリースされました。 著者の仕事は、rlogin、telnet、およびrshの安全な代替手段を開発することでした。これらは、その後リモート管理に使用されました。 SSHプロトコルの出現が情報セキュリティインシデントによって促進されたことは興味深いです。その結果、攻撃者はサーバーからユーザー名/パスワードの印象的なデータベースを収集し、単に大学のネットワークを聞いて認証パケットを抽出しました（ユーザー名/パスワードのペアは暗号化されていない形式で送信されました）。



このプロトコルはすぐに人気を博し、長期間にわたる改良と改善の結果、2006年にIETFによって標準化されました。 それ以来、テキストコンソールシステムのリモートコントロールの事実上の標準になりました。 このプロトコルは、テキストコンソール自体に加えて、ファイル転送やポート転送など、他の便利な機能を多数提供します。 この記事で説明するのは、ポートフォワーディングとあまり明確でないアプリケーションについてです。



SSHプロトコルには、フォワードとリバースの2つのポート転送モードがあります。 ダイレクトモードを使用すると、SSHクライアント側でリスニングTCPポートを開き、このポートへのすべての接続をサーバー側に転送できます。







たとえば、リモートデスクトップサーバー（RDS）がSSHサーバーで実行されている場合、直接ネットワーク接続が不可能な場合（ファイアウォールによってブロックされている場合など）でも、SSHプロトコルを使用してこのサーバーに接続できます。 このように：







2番目のポート転送モード—リバース—では、SSHサーバーとクライアントの役割を交換できます（転送されるポートに適用されます）。 リバースモードでは、リッスンするTCPポートがSSHサーバー側で開き、このポートを提供するアプリケーションはSSHクライアント側にあります。 これはめったに役立ちませんが、原則として、非常に適切です。







これらの2つのモードとサンプルをリモートデスクトップサーバーと組み合わせると、次の構成を取得できます。







一見、冗長に見えます。 しかし、明らかな冗長性とともに、2つの重要な特性がありました。

1. このようなスキームが正しく機能するためにネットワークに必要なのは、SSHサーバーが配置されているホストのネットワークアドレスを確認することだけです。 RDSサーバーとクライアントが実行されているノードは、少なくとも1分ごとにネットワークアドレスを変更できます（またはプライベートネットワークにアドレスを持つことさえできます。発信NATのみが必要です。これはしばしば「インターネット接続」と呼ばれます）。
2. RDSサーバーはインターネット上のどこからでもアクセスできるという事実にもかかわらず、他のユーザーはそれに接続できません（SSHサーバーに脆弱性がない場合）。 また、RDSプロトコルには独自のアクセス制御があるため、SSHサーバーに対する攻撃が成功した場合でも、攻撃者はRDSに対して攻撃を実行する必要があります。 SSHサーバーの脆弱性とRDSサーバーの脆弱性の両方が存在する可能性は、各コンポーネントの個別の可能性よりもはるかに低いです。

よく見ると、この図には2つの独立したコンピューターネットワークがあります。 1つ-トランスポート-SSH接続を確立できます。 別の-内部-は適用目的に使用されます。 後続の記事のこの観察から、いくつかの興味深い結論を出そうとしますが、ここでは、実験に戻りましょう。

自宅のコンピューターに接続する

21世紀の中庭では、シベリアからカリフォルニアへのネットワークパケットの配信に0.1秒かかり、全世界がコンピューターネットワークに巻き込まれ、TCP / IPが歯ブラシにさえあります。 あらゆるものとあらゆるもののこのような接続性により、入力デバイスの近くの物理的な存在だけでなく、ネットワークを介してリモートでコンピューターを制御できるようになるはずです。 さらに、これには多くのテクノロジーとプロトコルがあります。 Microsoftリモートデスクトップ、* nixシステムのVNCバリエーション、Citrixソリューション、それらの何千もの...それにもかかわらず、これらのテクノロジーを使用して世界中のどこからでも自宅のコンピューターに接続できることを自慢できる人はほとんどいません。



自分の自宅のコンピューターに接続することを自慢できない人がいて、お互いに接続されているのには2つの理由があります。 それらの1つは、グローバルネットワークに一般的なホームコンピューターアドレスがないことです。 この状況のルーツは1981年にさかのぼります。1981年にIPv4標準が最初に説明されましたが、今日では、インターネット上のほとんどのサイトをアドレス指定するために（単独で、変更および追加とともに）使用されています。 この規格の作成者は、37億アドレスの容量を持つアドレス空間は世界中のすべてのデバイスに十分であると判断しましたが、現実は厳しいことが判明しました。 IPv4インターネットは、2019年9月までに無料のアドレスを持つ予定はありません。



さらに、Webサイトをホストしていない一般的なインターネットユーザーは、グローバルネットワークのアドレスを持たずに文明のすべての利点を享受でき、代わりにプライベートネットワークとプロバイダーNATのアドレスに制限されます。 つまり、ほとんどのインターネットユーザーにとって、機器のグローバルIPアドレスの有無に違いはありません。 このような状況では、プロバイダーがグローバルネットワークでグローバルIPアドレスを発行するユーザーの数は急速に減少しています。 その結果、一般的なホームコンピューターはプライベートネットワーク上にあり、グローバルアドレスを持ちません。 プロバイダーがユーザー機器にグローバルネットワーク内のアドレスをまだ割り当てている場合でも、この機器はホームプライベートネットワークからNATを実行するホームルーターです。 もちろん、ユーザーはルーターの「ポートを転送」できますが、この最良の場合でも、ルーターのグローバルアドレスは日々変わる可能性があります。 はい、手頃な料金で「静的IP」サービスを提供するプロバイダーがありますが、実際には、この時間までにユーザーはゲームがろうそくに値しないことを認識します。電話する。



最も頑固な人は、この探求を最後までやり遂げ、インターネットを介して自分のコンピュータへのアクセスを開くことが、元気な人だけの娯楽であるという2番目の理由に出会うことができます。 この理由は当たり前です-情報セキュリティ。 グローバルネットワークはグローバルであり、遅かれ早かれ誰かが世界の反対側から悪意を持ってあなたのゲートをノックします。 リモートデスクトップサーバーが応答する開いているポートをスキャンするのはそれほど難しくありません。遅かれ早かれ、TCP SYNが中国の村から極秘ポート32167に到達することを確認してください。



SSHを使用したエキゾチックなポートフォワーディングに戻ると、その機能によりこれらの両方の理由が排除されていることがわかります。

TeamViewerを構築する

TeamViewerは非常に多くの非常に異なる機能を備えた大規模な製品であるということをすぐに予約する必要があります。 この記事の一部として、インターネット経由でリモートデスクトッププロトコルを介してNATの背後にあるコンピューターに安全に接続する方法のみを収集します。 それにもかかわらず、私は、インターネットにアクセスできるコンピューターに接続することがTeamViewerの主な際立った機能であることを提案しようと思います。 そして、この種の接続こそが、この記事の最初の部分のSSH構成を使用して、自分の手で実装できるものです。



そのため、タスク条件：両方ともWindows 10を実行しているホームコンピューターとラップトップがあります。ラップトップから、世界中のどこからでもリモートデスクトッププロトコルを使用してホームコンピューターにアクセスできるようにする必要があります。 システムには、ホームコンピューターのリモートデスクトップサーバー、リモートデスクトップクライアントを備えたラップトップ、およびSSHサーバーが含まれます。 SSHサーバーは、グローバルIPアドレスと永続的な可用性を必要とする唯一のコンポーネントです。 これらの要件を満たす最も簡単なオプションは、クラウドでSSHサーバーをホストすることです。 Yandex.Cloudは（主に価格設定ポリシーのため）優れているため、使用します。 結果は次のようになります。







自宅のコンピューターを準備することから始めましょう。 まず、リモートアクセスが一般に許可されていることを確認します。 これは、追加のシステム設定の[リモートアクセス]タブから実行できます。







2018年4月から、Windows 10には既にコマンドラインユーティリティの中にsshクライアントがあります。 これにより、さまざまなソフトウェアをインストールすることで気が散らず、すぐに業務に取りかかることができます。 最初に、SSHのキーを生成します。 PowerShellシェルを開き、「ssh-keygen」を実行します。 キーのパスワードについて尋ねられたら、空白のままにします。 キーを生成した後、コマンド 'cat $ HOME / .ssh / id_rsa.pub'を使用して、コンソールの開いている部分を表示します。 コマンドの結果は、クラウドでSSHサーバーを起動するのに役立ちます。 次のようなものが得られるはずです。







SSHキーのプライベート部分をラップトップにコピーする必要があります。 キーのこの部分は、ファイル '$ HOME / .ssh / id_rsa'（接尾辞 ".pub"なし）にあり、通常のファイルとしてコピーできます。 たとえば、USBフラッシュドライブを使用します（ドライブFとしてマウントされていると仮定します:)

copy $HOME/.ssh/id_rsa f:\
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、SSHサーバーを実行します。 Yandex.Cloudで仮想マシン（VM）を作成しましょう。 ここでは、1つのvCPUと0.5ギガバイトのRAMを備えた「ライト」VMを選択できます。 [ネットワーク設定]セクションで、自動IPアドレスを持つデフォルトネットワークを選択します。 「アクセス」セクションで、ログインとして「home」と入力し、SSHキーの入力フィールドに、前のステップでコンソールに表示されたものをコピーします。







[VMの作成]をクリックして、完了を待ちます。 仮想マシンの作成が完了したら、そのIPアドレスを確認する必要があります。







ホームコンピューターとラップトップでSSHクライアントを実行するには、仮想マシンのIPアドレスが必要です。 この方法でコンピューターで実行します（このコマンドおよび次のコマンドでは、84.201.141.36をVMのIPアドレスに置き換える必要があります）。

 ssh -NR 3389:localhost:3389 home@84.201.141.36
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

不明なサーバーへの接続について尋ねられたら、「はい」と答えます。 その後、コンソールにテキストが表示されない場合は、すべてがうまくいきました。 次に、ラップトップを構成します。 フラッシュドライブから秘密キーをコピーします。

  mkdir -Force $HOME/.ssh copy f:\id_rsa $HOME/.ssh/id_rsa
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

SSHクライアントを実行します。

 ssh -NL 1025:localhost:3389 home@84.201.141.36
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで、接続アドレスとしてlocalhost：1025を指定して、ラップトップでリモートデスクトップアクセスクライアント（mstsc.exe）を実行できます。 やれやれ！



またはほとんど動作します。 自宅のコンピューターでSSHプロセスを停止すると、接続できなくなります。 システムの起動時にこのプロセスを自動的に開始し、接続が切断されたときに再起動する必要があります。 これは、たとえば、PowerShellスクリプトを作成し、コンピューターの起動時にグループポリシーで実行するために必須として登録することで実現できます。 システムアカウントに代わって起動されることを考慮する必要があります。つまり、システムアカウントでSSHキーが利用可能であることを確認する必要があります。



最初にキーについて説明しましょう。 PowerShellを管理者として実行し、次のコマンドを実行します。

 copy $HOME/.ssh/id_rsa "$(gwmi win32_userprofile | where {$_.SID -eq "S-1-5-18"} | select -ExpandProperty LocalPath)/rds_id_rsa" icacls "$(gwmi win32_userprofile | where {$_.SID -eq "S-1-5-18"} | select -ExpandProperty LocalPath)/rds_id_rsa" /reset
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

同時に、同じPowerShellウィンドウで、スクリプトの実行を有効にします。

 Set-ExecutionPolicy RemoteSigned
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、実際のスクリプトを作成します。 お気に入りのテキストエディター（メモ帳も適しています）を開いて、このスクリプトを記述します（SSHサーバーのIPアドレスをYandexから提供されたものに置き換えてください）。

 while (1) { & $(get-command ssh |select -expandproperty Path) ` -i "$(gwmi win32_userprofile | where {$_.SID -eq "S-1-5-18"} | select -ExpandProperty LocalPath)/rds_id_rsa" ` -o StrictHostKeyChecking=accept-new -o ExitOnForwardFailure=yes ` -NR 3389:localhost:3389 home@84.201.141.36 Start-Sleep -Seconds 15 }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

好きなディレクトリにスクリプトを保存します。 最後に、自動実行用に登録します。 これを行うには、グループポリシーエディター（Win + R→gpedit.msc）を実行し、「コンピューターの構成」→「Windowsの構成」→「スクリプト（開始/終了）」→「スタートアップ」の項目を開きます。 [PowerShellスクリプト]タブで、[追加]ボタンを使用して、保存したスクリプトへのパスを指定します。







ラップトップでも同じことを行います。 まず、管理者としてのPowerShell：

 copy $HOME/.ssh/id_rsa "$(gwmi win32_userprofile | where {$_.SID -eq "S-1-5-18"} | select -ExpandProperty LocalPath)/rds_id_rsa" icacls "$(gwmi win32_userprofile | where {$_.SID -eq "S-1-5-18"} | select -ExpandProperty LocalPath)/rds_id_rsa" /reset Set-ExecutionPolicy RemoteSigned
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、テキストエディターでスクリプトを準備します（前のスクリプトとは少し異なりますが、以前と同様に、IPアドレスをYandexから発行されたものに置き換えます）。

 while (1) { & $(get-command ssh |select -expandproperty Path) ` -i "$(gwmi win32_userprofile | where {$_.SID -eq "S-1-5-18"} | select -ExpandProperty LocalPath)/rds_id_rsa" ` -o StrictHostKeyChecking=accept-new -o ExitOnForwardFailure=yes ` -NL 1025:localhost:3389 home@84.201.141.36 Start-Sleep -Seconds 15 }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

非エンドは、「gpedit.msc」を使用して起動時に開始するように登録します。 コンピューターとラップトップをリブートして（すべてが正しく起動することを確認するため）、出来上がり！ これで、ホームコンピューターとラップトップは永遠に相互に接続されます（Yandex.Cloudの仮想マシンがオンになり、アクセス可能になっている限り）。

まあ？

まあそれは素晴らしいことではありませんか？ どの空港のどのカフェでも、家に接続して猫とお気に入りの写真を見ることができます。 または、ベートーベンの第5交響曲をフルボリュームでお楽しみください。 または、マイニングファームの成功に興味を持ってください。 または、ウェブカメラで自宅で何が起こっているかを確認します。 しかし、このような「テレポート」の機会を持つアプリケーションはいくつありますか？ しかし、このソリューションには欠点もあります。



まず、接続の設定は最も簡単で楽しいプロセスではありません。 また、何か問題が発生した場合、デバッグは初期セットアップよりも少し複雑です。 もちろん、この問題は忍耐と忍耐によって解決されますが、費やす必要のあるわずかな労働力でさえ、努力の実行可能性について疑問を投げかけることができます。



第二に、クラウド内の仮想マシンには費用がかかります。 Yandexの場合、あなたが頼りにすることができる最低額は1ヶ月あたり480ルーブルです。 もちろん、これは法外なお金ではなく、人の汗で稼いだものです。 このお金の猫と一緒に写真を見る価値があるかどうかは、誰でも決めることができますが、私たちのソリューションのすべての利点が彼の価格によって相殺される可能性が非常に高いでしょう。



友人や志を同じくする人々と費用を分担することで、価格の問題を大幅に解消できます。 仮想マシンは、顕著な計算能力を必要としないタスクに使用されるため、パフォーマンスの低下はほとんどありません。 そして経済的効果は顕著です。10人で仮想マシンをレンタルすれば、誰もが月に48ルーブルしか支払う必要がなくなります。 確かに、この場合、信頼の問題によって調和に違反する可能性があります。志を同じくする人は、SSHサーバーを介して仲間のコンピューターに接続する機会があります。 全員が自分のアカウントに強力なパスワードを持っている場合、これは問題ではありません。 しかし、率直に言って、自宅のコンピューターに入るための強力なパスワードは、規則というよりも例外です。

続く

したがって、10人の志を同じくする人々を集め、上記のようにすべてをセットアップし、すべてがすべての人に役立つと仮定します。 猫と一緒に写真を撮る私たちのクラブは、登録やSMSなしで、月にたった48ルーブルでインターネットを介して自宅に安全に行くことができます。誰もが幸せです。 問題は、私たちの「テクノロジー」の可能性は猫だけに限定されており、それをもっと深刻なものに使用することは可能でしょうか？



もちろんできます。 私たちの推論で、「ホームコンピューター」を「クラウド内のサーバーの構築」に置き換え、「ラップトップ」を「オフィス内の作業コンピューター」に置き換えると、「開発インフラストラクチャへのアクセスシステム」というタイトルにふさわしいものが得られます。 そして、ビルドサーバーの代わりにIPカメラがあり、稼働中のコンピューターの代わりにセキュリティポストがある場合、「ビデオ監視システム」を取得します。



ただし、どちらの場合も、アクセス制御の問題により注意を払う必要があります。 特に、複数のユーザーがSSHサーバーを共有する場合、これらのユーザーを互いに分離したいと思います。 また、この共有を使用しても、各ユーザーの個別のリソースに独自の個別のTCPポートを割り当て、その番号を記憶する必要があります。 番号によるアドレス指定はすぐに非常に面倒になる可能性があるため、リソースに意味のある名前を割り当てることができるようにしたいと思います。 ただし、次の記事で状況を改善する方法について説明します。



それまでの間、ご清聴ありがとうございました。コメントでご意見をお聞かせください。