Cuando necesitamos administrar de manera remota un servidor, un router o un switch, normalmente podemos hacerlo a través del protocolo SSH de manera segura. Este protocolo no solo nos permite enviar comandos al host remoto, sino también transferir archivos a través de otros protocolos como SCP y SFTP. Otra característica interesante es la posibilidad de realizar túneles SSH, o también conocidos como SSH Tunneling.

¿Qué son los túneles SSH y para qué nos pueden servir?

Los túneles SSH nos va a permitir acceder de manera remota a una red, y podremos actuar como si estuviéramos realmente allí presentes. Estos túneles SSH son válidos tanto para entrar en nuestra red doméstica como también la red de la empresa (si tenemos un servidor SSH). Gracias al SSH Tunneling podremos redirigir todo nuestro tráfico al otro lado del túnel para que toda la información viaje completamente cifrada, ideal por si por ejemplo nos conectamos a redes Wi-Fi públicas.

Estos túneles SSH nos va a permitir atravesar cortafuegos y también NAT, ya que únicamente tendremos que redirigir el puerto de escucha de dicho servidor en el firewall. SSHv2 además tiene soporte SOCKS5, por lo que podremos configurar muy fácilmente un servidor Proxy completo y que todo el tráfico viaje totalmente cifrado, ideal para conectarnos a redes Wi-Fi públicas de manera segura.

En las empresas normalmente siempre tenemos sistemas de detección y prevención de intrusiones, software que analiza todo el tráfico de red y detecta si hay actividad inusual en función de unas reglas preestablecidas o definidas por nosotros mismos. Algunos software ampliamente conocidos son Suricata, Snort y BroIDS, sin embargo, estos IDS/IPS no son capaces de detectar un túnel SSH ya que todo el tráfico va totalmente cifrado.

Las conexiones SSH crean un flujo único de datos, por lo que a ojos de herramientas de detección de tráfico no se sabe si se está usando dicho SSH para subir/descargar archivos vía SCP/SFTP o realmente estamos realizando un túnel SSH.

Trisul: Detectando túneles SSH

La herramienta de pago Trisul va a permitir a los administradores de redes y sistemas de cualquier organización detectar estos túneles SSH. Este software nos va a permitir estudiar el flujo de datos a través del SSH de manera continua, en concreto, va a comprobar el volumen de datos tanto de descarga como de subida, la duración de la conexión, el puerto de origen de dichas conexiones SSH y también sus direcciones IP. Lo primero que deberemos hacer con esta herramienta es crear un perfil estadístico y un flujo para indicar la línea base en el que se supone que estamos realizando un tráfico SSH para gestionar y administrar, o para subir y descargar archivos, y no túneles SSH, de esta manera podremos “entrenar” a esta herramienta para detectarlo.

Podéis visitar la web oficial de Trisul donde tenéis un completo artículo de cómo es capaz detectar túneles SSH y realizar análisis de tráfico. Tal y como hemos comentado anteriormente, esta herramienta es de pago, de hecho, no es nada barata ya que su uso es principalmente empresarial. Los sistemas operativos compatibles son Ubuntu 16.04, Ubuntu 14.04, CentOS y RHEL 7.X, aunque es muy probable que la familia Debian también sea compatible.

¿Conocéis otra herramienta que sea capaz de detectar túneles SSH en función del flujo de tráfico?

Os recomendamos visitar nuestro manual de cómo realizar SSH Tunneling en vuestro hogar para tener acceso a todos los recursos sin necesidad de montar un servidor VPN.