Для простоты (мне проще запомнить имена, чем произвольные буквы), я буду обходиться без букв и использовать имена для обозначения машин в этом сценарии.

Скажем, у меня есть две машины, applejack и pinkie-pie , каждая в своей отдельной локальной сети, а не в одном физическом месте. У меня также есть сервер cadance с прямым выходом в Интернет. Я хочу скопировать файл из applejack в pinkie-pie , поэтому, чтобы избежать переадресации портов и т.п., я настроил ssh-туннель от pinkie-pie до cadance (ssh -R т.д. cadance). Теперь я могу подключиться к pinkie-pie из любого места, подключившись к cadance и указав альтернативный порт для использования. Я также могу легко скопировать файлы в pinkie-pie с помощью scp -P $that_port $some_file cadance:$some_path .

Мое понимание того, как это работает, таково:

  1. Безопасное соединение сделано от applejack до cadance
  2. Я заверен в cadance
  3. Защищенное соединение выполняется от applejack до pinkie-pie которое охватывает существующий обратный туннель и новое соединение, начиная с шага 1.
  4. Я заверен до pinkie-pie
  5. По этой связи файлы копируются напрямую из applejack в pinkie-pie .

Я прав здесь? Насколько безопасен этот подход?

Если я не прав ... файлы, скопированные таким образом, расшифровываются на cadance перед передачей в pinkie-pie? Есть ли вероятность того, что следы незашифрованных данных могут остаться на cadance?

2 ответа2

0

В любом туннеле будет временное хранение данных, в котором данные могут быть перехвачены, но если промежуточный сервер собирает зашифрованные данные и передает их, он не сможет ничего с этим поделать. Так что да, есть момент, когда средний человек получает данные, потому что иначе он не был бы средним человеком.

0

На самом деле ваше понимание не совсем верно. Если я правильно понял, вы выполняете эту последнюю команду (scp -P $that_port $some_file cadance:$some_path) из applejack . В этом случае вы не проходите аутентификацию на cadance (шаг 2), а просто подключаетесь к обратному туннелю к pinkie-pie .

Безопасное соединение идет напрямую от applejack к pinkie-pie ; нет безопасного соединения между applejack и cadance (шаг 1). cadance способен читать открытый текст , проходящий через обратный туннель, но этот открытый текст сам по себе является еще одним зашифрованным каналом, поэтому его придется разорвать.

Таким образом, у вас есть сквозной зашифрованный канал между applejack и pinkie-pie , как будто вы подключили их напрямую. Обратный туннель просто служит запутанным способом маршрутизации трафика.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .