SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

1. 要約

職場では、パブリック クラウド ホスト上で実行される一連のサービスを維持する必要があることがよくあります。セキュリティ上の理由から、外部に開かれるポートは通常、SSH (ポート 22) サービスのみです。運用・保守時にセキュリティポリシーを変更することで、他のサービスポートを一時的に解放することは可能ですが、時間のかかるトラブルシューティング操作の場合、機密ポートを長時間公開するとセキュリティ上のリスクが高まります。 SSH トンネル テクノロジーにより、セキュリティ ポリシーを変更することなく、クラウド ホストのサービス ポートをローカル操作にマッピングできます。これにより、送信されるデータが暗号化されるだけでなく、ツールやブラウザを介してローカルで対象サービスにアクセスできるようになり、便利で安全になります。

2. SSHトンネルの原理

この記事における SSH トンネル技術の適用シナリオは次のとおりです。

写真

SSH トンネルを正常に確立するには、次の前提条件を満たす必要があります。

• パーソナルコンピュータには SSH プロトコルをサポートするソフトウェアをインストールする必要があり、Windows システムには Cygwin などのソフトウェアをインストールする必要がある場合があります。
• クラウド ホストのファイアウォール セキュリティ ポリシーでは、SSH プロトコルで使用されるデフォルト ポートであるポート 22 へのアクセスを許可する必要があります。
• クラウド ホストでは、リモート ホストが SSH プロトコルを使用して正常にログインできるように、SSH プロトコルをサポートするソフトウェア パッケージもインストールする必要があります。

SSH トンネルは主にパソコンから確立されます。上図によると、SSH トンネルの確立プロセスは次のようになります。

• パソコン上でカスタム ポートを開きます。ここではポート5478が選択されています。このポートには特別な要件はありません。他のポートと競合しない限り、実際の状況に応じて選択できます。ポート 5478 はトンネルの始まりと考えることができます。
• トンネルリモート接続を確立するには、リモート ホストの SSH ログイン アカウントとパスワードを入力します。接続を正常に確立するには、ファイアウォールのポート 22 が開いている必要があります。ここでの SSH リモート ログインは、パーソナル コンピューターのポート 5478 から始まり、リモート クラウド ホストのポート 22 まで拡張されたトンネルの延長として見ることができます。
• リモート ホストの実際のサービス ポートをローカル トンネルの開始ポート 5478 にマップします。マッピング関係は、トンネルの仕上げ作業と見なすことができます。クラウド ホストのポート 22 からトンネルが接続された後、リモート ホストのローカル サービス ポートとの接続を確立する必要があります。ローカル サービスにポート 3306 のデータベース サービスがあると仮定すると、最終的にはポート 5478 とパーソナル コンピューターのポート 3306 間の接続が開かれ、ファイアウォールの背後にあるクラウド ホスト サービスへのローカル アクセスが実現します。

3. 実用化

SSH トンネルを確立する上記のプロセスは、SSH ツールによって提供されるコマンドを使用して、パーソナル コンピューター上で完了できます。完全なコマンドは次のとおりです。

ssh -CfNg -L 5478:localhost:3306 [email protected]

コマンドパラメータの意味は次のとおりです。

-C: は圧縮伝送を意味し、伝送速度を上げることができます。

-f: SSH 転送をバックグラウンド実行に転送します。これにより、現在のシェルが占有されなくなります。

-N: サイレント接続を確立し、特定のセッションは表示されません

-g: リモートホストがローカルポート転送に接続できるようにする

-L: ローカルポート転送

5478:localhost:3306 このパラメータはポート マッピング関係を確立するために使用されます。 5478 はローカル ポートを表し、localhost:3306 はリモート ホストのポート 3306 を表します。

注意: localhost と xx.xx.177.122 は同じリモート マシンを表しますが、ここでは xx.xx.177.122 ではなく localhost を必ず記入してください。

[email protected] パラメータは、リモート SSH ログインのプロセスです。最終的にトンネル接続を完了するには、SSH パスワードを入力する必要があります。

コマンドの実行に失敗した場合は、図に示すように、まずローカルでポートが占有されているかどうかを確認できます。

写真

コマンド実行によってプロセス ID が返される場合、ローカル転送ポート 5478 がプロセスによって占有されていることを意味します。プロセス ID を強制終了するか、別のポートを変更してください。

コマンドを正常に実行すると、ssh のバックグラウンド プロセスが表示され、図に示すように、プロセスがトンネルが正常に確立されたことを示していることがわかります。

写真

データベース ソフトウェアを介してローカルでポート 5478 に接続してみると、図に示すように、リモート データベースが正常に接続されていることがわかります。

写真