Безопасное сетевое взаимодействие (часть 3)

Перенаправление порта TCP/IP

Запрос перенаправления порта

Участнику нет необходимости посылать явный запрос перенаправления своего конца на другой порт. Однако, если он хочет иметь соединение с портом на другой стороне, перенаправленное на локальную сторону, он должен сделать явный запрос с помощью следующего сообщения:

SSH_MSG_GLOBAL_REQUEST
"tcpip-forward"
ждать ответа
адрес для связывания
номер порта для связывания

"Адрес для связывания" и "порт для связывания" определяют IP-адрес и порт, к которому будет привязан сокет. Можно фильтровать соединения на основе информации, полученной в запросе открытия.

Перенаправление на привилегированные порты следует разрешать только в том случае, если пользователь аутентифицирован как привилегированный.

Реализации клиента должны отвергать эти сообщения; обычно они посылаются только клиентом серверу.

Порт перенаправления может быть отменен следующим сообщением. Запросы открытия канала могут быть получены до получения ответа на данное сообщение.

SSH_MSG_GLOBAL_REQUEST
"cancel-tcpip-forward"
ждать ответа
адрес для связывания
номер порта для связывания

Реализации клиента должны отвергать данное сообщение; обычно оно посылается только клиентом.

Обсуждение проблем безопасности

Данный протокол выполняется на верхнем уровне SSH. Предполагается, что аутентификация пользователя и защита против атак сетевого уровня обеспечивается протоколами нижнего уровня.

Данный протокол может использоваться для выполнения команд на удаленных машинах. Протокол также позволяет серверу выполнять команды на машине клиента. Реализации могут не допускать этого для предотвращения атак со стороны машины сервера на машину клиента.

Порты перенаправления могут потенциально допускать проникновение сквозь внешние границы безопасности, такие как firewalls.

Так как данный протокол обычно выполняется внутри зашифрованного туннеля, firewalls не имеют возможности просматривать трафик.