Una interfaz de l�nea de comandos segura es s�lo el inicio de las muchas maneras de usar SSH. Dada una cantidad apropiada de ancho de banda, las sesiones X11 se pueden dirigir por un canal SSH. O usando reenv�o TCP/IP, se pueden asignar conexiones de puerto entre sistemas que previamente eran inseguras a canales SSH espec�ficos.
20.5.1. Reenv�o por X11
Abrir una sesi�n X11 a trav�s de una conexi�n SSH establecida es tan f�cil como ejecutar un programa X en una m�quina local. Cuando un programa X se ejecuta desde un int�rprete de comandos de shell segura, el cliente y el servidor SSH crean un nuevo canal seguro dentro de la conexi�n SSH actual, y los datos del programa X se env�an a trav�s de ese canal a la m�quina cliente de forma transparente.
Como podr� imaginar, el reenv�o por X11 puede ser muy �til. Por ejemplo, se puede usar el reenv�o por X11 para crear una sesi�n segura e interactiva con up2date. Para hacer esto, con�ctese al servidor usando ssh y escriba:
Despu�s de proporcionar la contrase�a de root para el servidor, la Agente de actualizaci�n de Red Hat aparecer� y permitir� al usuario remoto actualizar con seguridad el sistema remoto.
20.5.2. Reenv�o del puerto
Con SSH puede asegurar los protocolos TCP/IP a trav�s del reenv�o de puertos. Cuando use esta t�cnica, el servidor SSH se convierte en un conducto encriptado para el cliente SSH.
El reenv�o de puertos funciona mediante el mapeado de un puerto local en el cliente a un puerto remoto en el servidor. SSH le permite mapear cualquier puerto desde el servidor a cualquier puerto en el cliente; y los n�meros de puerto no necesitan coincidir para que esto funcione.
Para crear un canal de reenv�o de puerto TCP/IP que escucha conexiones del host local, utilice el siguiente comando:
ssh -L local-port:remote-hostname:remote-port username@hostname |
| Nota |
---|
| La configuraci�n del reenv�o de puertos para que escuche puertos bajo 1024 requiere acceso de root. |
Si desea verificar su correo en el servidor llamado mail.example.comusando POP3 a trav�s de una conexi�n encriptada, use el comando siguiente:
ssh -L 1100:mail.example.com:110 mail.example.com |
Una vez que el canal de reenv�o de puerto est� entre la m�quina cliente y el servidor de correo, puede direccionar su cliente de correo POP3 para usar el puerto 1100 en su host local para comprobar el nuevo correo. Cualquier petici�n enviada al puerto 1100 en el sistema cliente ser� dirigida seguramente al servidor mail.example.com.
Si mail.example.com no est� ejecutando un servidor SSH, pero otra m�quina en la misma red si, SSH todav�a puede ser usado para asegurar parte de la conexi�n. Sin embargo, un comando ligeramente diferente es necesario:
ssh -L 1100:mail.example.com:110 other.example.com |
En este ejemplo, se est� reenviando las peticiones POP3 desde el puerto 1100 en la m�quina cliente a trav�s de una conexi�n SSH en el puerto 22 al servidor SSH, other.example.com. Luego, other.example.com se conecta al puerto 110 en mail.example.com para verificar nuevo correo. Observe que usando esta t�cnica, s�lo la conexi�n entre el sistema cliente y el servidor SSH other.example.com es segura.
El reenv�o del puerto se puede usar para obtener informaci�n segura a trav�s de los firewalls de red. Si el firewall est� configurado para permitir el tr�fico SSH a trav�s del puerto est�ndar (22) pero bloquea el acceso a trav�s de otros puertos, es posible todav�a una conexi�n entre dos hosts usando los puertos bloqueados al redireccionar la comunicaci�n sobre una conexi�n SSH establecida.
| Nota |
---|
| Mediante el uso del reenv�o de puerto para reenviar conexiones de este modo permiten a cualquier usuario en el sistema cliente conectarse a ese servicio. Si el cliente est� en riesgo o est� comprometido, un agresor puede tambi�n accesar los servicios reenviados. Los administradores del sistema preocupados por el reenv�o del puerto pueden deshabilitar esta funcionalidad en el servidor especificando un par�metro No para la l�nea AllowTcpForwarding en /etc/ssh/sshd_config y reiniciando el servicio sshd. |