Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Desmitificando el reenvío de puertos SSH: Explicación de los túneles locales, remotos y dinámicos

Desbloquee el poder del reenvío de puertos SSH con esta guía completa. Aprenda a crear túneles seguros utilizando el reenvío local, remoto y dinámico. Comprenda casos de uso prácticos, desde acceder a bases de datos restringidas hasta navegar de forma segura en Wi-Fi público, y domine los comandos esenciales para mejorar su seguridad de red y sus capacidades de acceso.

44 vistas

Desmitificando el Reenvío de Puertos SSH: Túneles Locales, Remotos y Dinámicos Explicados

Secure Shell (SSH) es la piedra angular del acceso remoto seguro, proporcionando canales de comunicación cifrados para administrar servidores y transferir archivos. Más allá de su funcionalidad principal, SSH ofrece una característica potente pero a menudo infrautilizada: el reenvío de puertos. Esta técnica le permite crear túneles seguros, extendiendo el cifrado de SSH a otro tráfico de red, accediendo a servicios que no están expuestos directamente a Internet o conectando segmentos de red de forma segura.

Este artículo profundiza en las complejidades del reenvío de puertos SSH, desglosando sus tres formas principales: local, remoto y dinámico. Exploraremos cómo funciona cada tipo, sus casos de uso específicos y proporcionaremos ejemplos prácticos para ayudarlo a aprovechar esta capacidad avanzada de SSH para mejorar la seguridad y la flexibilidad de la red.

Comprendiendo los Fundamentos: ¿Qué es el Reenvío de Puertos?

En esencia, el reenvío de puertos SSH, también conocido como túnel SSH, redirige el tráfico de red de una interfaz de red y un puerto a otro. En lugar de establecer una conexión directa a un servicio en una máquina remota, establece una conexión SSH y luego le indica a SSH que reenvíe el tráfico enviado a un puerto local a un puerto de destino específico en una máquina remota (o viceversa), todo dentro del canal SSH cifrado.

Esto ofrece varias ventajas:

  • Seguridad: Cifra el tráfico que de otro modo no estaría cifrado entre su cliente y el servicio de destino.
  • Control de Acceso: Permite el acceso a servicios que se ejecutan en redes privadas o detrás de cortafuegos que no son directamente accesibles desde su ubicación actual.
  • Conexión de Redes: Conecta diferentes segmentos de red de forma segura.

1. Reenvío de Puertos Locales (-L)

El reenvío de puertos locales es el tipo más común. Le permite reenviar conexiones desde un puerto en su máquina local a un puerto en una máquina remota, a través de un servidor SSH. Esencialmente, hace que un servicio que se ejecuta en la red remota parezca que se está ejecutando en su máquina local.

Cómo funciona:

  1. Inicia un cliente SSH en su máquina local.
  2. Especifica un puerto local (local_port) en el que SSH escuchará.
  3. Cualquier conexión realizada a local_port en su máquina local se reenvía a través de la conexión SSH al remote_host y remote_port.

Sintaxis:

ssh -L [local_bind_address:]local_port:remote_host:remote_port [user@]ssh_server_host
  • local_bind_address: (Opcional) La dirección en su máquina local a la que se enlazará el puerto de escucha. Por defecto es localhost.
  • local_port: El puerto en su máquina local en el que SSH escuchará.
  • remote_host: El nombre de host o la dirección IP de la máquina de destino a la que se conectará el servidor SSH.
  • remote_port: El puerto en el remote_host al que se dirigirá el tráfico.
  • user@ssh_server_host: Su nombre de usuario y el nombre de host/dirección IP del servidor SSH al que se está conectando.

Caso de Uso Práctico: Acceder a un servidor de bases de datos que se ejecuta en la dirección IP privada de un servidor remoto.

Imagine un servidor de bases de datos (por ejemplo, PostgreSQL en 192.168.1.100:5432) que solo es accesible desde la red interna de su empresa. Puede usar el reenvío de puertos locales para acceder a él desde su portátil en casa:

ssh -L 5433:192.168.1.100:5432 your_user@your_ssh_server.com
  • Este comando lo conecta a your_ssh_server.com.
  • Abre el puerto 5433 en su máquina local (por defecto localhost).
  • Cualquier conexión a localhost:5433 se reenviará a través de your_ssh_server.com a 192.168.1.100:5432.

Ahora, puede configurar su cliente de base de datos local para conectarse a localhost:5433, y el tráfico se canalizará de forma segura al servidor de bases de datos remoto.

Consejo: Use ssh -N para crear un túnel sin ejecutar un comando remoto. Esto es útil para túneles en segundo plano.

ssh -N -L 5433:192.168.1.100:5432 your_user@your_ssh_server.com

2. Reenvío de Puertos Remotos (-R)

El reenvío de puertos remotos le permite reenviar conexiones desde un puerto en el servidor SSH remoto a un puerto en su máquina local o en otra máquina accesible desde su máquina local. Esto es útil para hacer que un servicio que se ejecuta en su máquina local sea accesible para el servidor remoto o su red.

Cómo funciona:

  1. Inicia un cliente SSH en su máquina local.
  2. Especifica un puerto remoto (remote_port) en el servidor SSH en el que SSH escuchará.
  3. Cualquier conexión realizada a remote_port en el servidor SSH se reenvía a través de la conexión SSH de regreso a su máquina local y luego a un destination_host y destination_port especificados.

Sintaxis:

ssh -R [remote_bind_address:]remote_port:destination_host:destination_port [user@]ssh_server_host
  • remote_bind_address: (Opcional) La dirección en el servidor SSH a la que se enlazará el puerto de escucha. Por defecto es localhost (lo que significa que solo el propio servidor SSH puede conectarse a este puerto). Use 0.0.0.0 o * para permitir que otras máquinas en la red remota se conecten.
  • remote_port: El puerto en el servidor SSH en el que SSH escuchará.
  • destination_host: El nombre de host o la dirección IP de la máquina de destino a la que se conectará su cliente SSH (a menudo localhost si el servicio está en su máquina local).
  • destination_port: El puerto en el destination_host al que se dirigirá el tráfico.
  • user@ssh_server_host: Su nombre de usuario y el nombre de host/dirección IP del servidor SSH al que se está conectando.

Caso de Uso Práctico: Exponer un servidor web local a una red remota.

Suponga que está desarrollando una aplicación web en su portátil y desea mostrársela a un colega que solo tiene acceso a la red interna de su empresa, y usted tiene un servidor SSH (your_ssh_server.com) accesible desde esa red.

En su portátil, ejecutaría:

ssh -R 8080:localhost:3000 your_user@your_ssh_server.com
  • Este comando lo conecta a your_ssh_server.com.
  • Le indica a your_ssh_server.com que escuche en el puerto 8080.
  • Cualquier conexión a your_ssh_server.com:8080 se reenviará a través del túnel SSH a su portátil (localhost) en el puerto 3000 (donde se está ejecutando su servidor web).

Ahora, su colega puede acceder a su aplicación web navegando a http://your_ssh_server.com:8080 en su navegador. El tráfico va de su navegador al servidor SSH, a través del túnel a su portátil y luego a su servidor web.

Advertencia: Por defecto, el remote_port se enlaza a localhost en el servidor SSH. Para permitir que otras máquinas en la red remota accedan al puerto reenviado, debe establecer explícitamente remote_bind_address a 0.0.0.0 o * y asegurarse de que la configuración del servidor SSH (GatewayPorts yes en sshd_config) lo permita.

ssh -R 0.0.0.0:8080:localhost:3000 your_user@your_ssh_server.com

3. Reenvío de Puertos Dinámico (-D)

El reenvío de puertos dinámico crea un proxy SOCKS en su máquina local. Este es posiblemente el tipo más flexible, ya que le permite canalizar cualquier aplicación que admita proxies SOCKS a través de su conexión SSH. En lugar de reenviar un puerto específico, SSH escucha en un puerto local y actúa como un servidor proxy SOCKS.

Cómo funciona:

  1. Inicia un cliente SSH en su máquina local.
  2. Especifica un puerto local (local_port) en el que SSH escuchará como proxy SOCKS.
  3. Configura sus aplicaciones (navegador web, etc.) para usar localhost:local_port como su proxy SOCKS.
  4. Cuando una aplicación realiza una solicitud a través de este proxy, SSH reenvía el tráfico al servidor SSH, que luego realiza la conexión al destino final en nombre de su aplicación.

Sintaxis:

ssh -D [local_bind_address:]local_port [user@]ssh_server_host
  • local_bind_address: (Opcional) La dirección en su máquina local a la que se enlazará el puerto del proxy SOCKS de escucha. Por defecto es localhost.
  • local_port: El puerto en su máquina local en el que SSH escuchará como proxy SOCKS.
  • user@ssh_server_host: Su nombre de usuario y el nombre de host/dirección IP del servidor SSH al que se está conectando.

Caso de Uso Práctico: Navegar por la web de forma segura desde una Wi-Fi pública.

Cuando está conectado a una red Wi-Fi pública no confiable, su tráfico es vulnerable. Puede usar el reenvío de puertos dinámico para canalizar todo su tráfico de navegación web a través de una conexión SSH cifrada a un servidor de confianza.

En su portátil, ejecute:

ssh -D 1080 your_user@your_trusted_server.com
  • Este comando lo conecta a your_trusted_server.com.
  • Abre el puerto 1080 en su máquina local, actuando como un proxy SOCKS.

A continuación, configure su navegador web (u otras aplicaciones) para usar un proxy SOCKS en localhost en el puerto 1080.

Ahora, todas las solicitudes de Internet de su navegador se enviarán a su servidor SSH, que luego obtendrá los datos y se los enviará de regreso, todo dentro del túnel SSH cifrado. Esto hace que parezca que su tráfico web se origina en your_trusted_server.com.

Consejo: Puede combinar -D con -C para la compresión, lo que puede ser beneficioso en enlaces de red más lentos.

ssh -C -D 1080 your_user@your_trusted_server.com

Consideraciones Avanzadas y Mejores Prácticas

  • Configuración del Servidor SSH (sshd_config): Algunas características de reenvío de puertos, especialmente el reenvío remoto que permite conexiones externas (GatewayPorts), requieren configuraciones específicas en el servidor SSH. Asegúrese de que GatewayPorts yes esté descomentado y configurado en /etc/ssh/sshd_config si necesita que el reenvío remoto sea accesible desde otras máquinas en la red del servidor SSH.
  • Cortafuegos: Recuerde que los cortafuegos en el cliente, el servidor o las redes intermedias pueden bloquear las conexiones SSH o los puertos utilizados para el reenvío. Asegúrese de que los puertos necesarios (generalmente 22 para SSH) estén abiertos.
  • Seguridad: Si bien el reenvío de puertos cifra el tráfico, la seguridad del túnel depende de la seguridad de su servidor SSH. Use claves SSH fuertes, deshabilite la autenticación por contraseña y mantenga su servidor SSH actualizado.
  • Persistencia: Para túneles de larga duración, considere usar herramientas como autossh, que pueden monitorear y reiniciar automáticamente los túneles SSH si se caen.

Conclusión

El reenvío de puertos SSH es una herramienta versátil que amplía significativamente la utilidad del protocolo Secure Shell. Al dominar el reenvío local, remoto y dinámico, puede mejorar la seguridad, acceder a recursos restringidos y crear puentes seguros entre redes. Ya sea que necesite asegurar tráfico no cifrado, acceder a servicios internos o simplemente navegar de forma segura en una Wi-Fi pública, el reenvío de puertos SSH proporciona una solución elegante y potente.

Experimente con estas técnicas para integrarlas en su flujo de trabajo diario para operaciones de red más seguras y flexibles.