افزایش امنیت و کارایی در سیستم‌های ویپ با استفاده از SSH Tunnel

معمولاً زمانی که نیاز به دسترسی از راه دور به سرورهای لینوکسی داریم، از یک اتصال SSH (Secure Shell Protocol – پروتکل پوسته امن) استفاده می‌کنیم که به ما دسترسی به ترمینال فرمان‌های سرور را می‌دهد و اجازه می‌دهد (با توجه به کاربران و مجوزهای اختصاص داده شده) عملیات‌هایی را روی آن انجام دهیم.
در ادامه یک مثال ساده از اتصال SSH به یک سرور که فیزیکی در محل دیگری است آورده شده است (همچنین می‌تواند در فضای ابری باشد).

دستور برای اجرا (پورت پیش‌فرض ۲۲)

به دلایل امنیتی، ممکن است پورت پیش‌فرض تغییر داده شود. فرض کنید پورت ۲۲ به ۲۰۲۰ تغییر داده شده است. دستور به این شکل خواهد بود:

تصویر زیر یک سناریوی کامل را نشان می‌دهد، جایی که سروری که می‌خواهیم به آن دسترسی پیدا کنیم، پشت یک فایروال (Firewall – دیوار آتش) قرار دارد و در یک شبکه محلی (LAN) با IP محلی خودش است.

در این مثال شرایط زیر برقرار است:

• IP عمومی در فایروال پیکربندی شده است.
• دسترسی به سرور فقط با استفاده از IP محلی آن امکان‌پذیر است.
• باید یک قانون Port Forwarding در فایروال وجود داشته باشد که اجازه دسترسی به سرور محلی را با استفاده از IP عمومی بدهد. (ما به جزئیات فنی یا تنظیمات فایروال نخواهیم پرداخت)

علاوه بر این، ما مشخص کردیم که کاربر دسترسی “root” باشد و پورت ۲۲ به ۲۰۲۰ تغییر داده شده است، و قانون Port Forwarding در فایروال اضافه شده است. دستور به این شکل خواهد بود:

تونل (TUNNEL)

استفاده از تونل SSH به ما این امکان را می‌دهد که به منابع یا دستگاه‌های دیگر موجود در شبکه محلی که سرور در آن قرار دارد دسترسی پیدا کنیم، در حالی که تنها دسترسی به سرور از طریق SSH داریم.

برای مثال:

• دسترسی به تنظیمات وب یک چاپگر (Printer)
• دسترسی به تنظیمات وب یک تلفن IP (IP Phone)
• دسترسی به پورت دیگری روی سرور

مثال ۱:

دسترسی به تنظیمات وب (پورت ۸۰) یک چاپگر (با IP محلی ۱۹۲.۱۶۸.۱۰.۱۰۱)

برای دسترسی به منبع فعال‌شده با تونل، از آدرس زیر در مرورگر وب استفاده کنید:

مثال ۲:

دسترسی به تنظیمات وب (پورت ۸۰) یک تلفن IP (با IP محلی ۱۹۲.۱۶۸.۱۰.۱۰۲)

برای دسترسی به منبع فعال‌شده با تونل، از آدرس زیر در مرورگر وب استفاده کنید:

مثال ۳:

دسترسی به سرویس وب (پورت ۴۴۳) همان سرور

برای دسترسی به منبع فعال‌شده با تونل، از آدرس زیر در مرورگر وب استفاده کنید:

همان‌طور که می‌بینید، با یک اتصال می‌توانید به هر سرویس دیگری روی سرور یا هر منبع دیگری که روی کامپیوتر دیگری در شبکه محلی قرار دارد دسترسی پیدا کنید.

به همین دلیل و به عنوان یک پیشنهاد، توصیه می‌شود سیاست‌های امنیتی مناسب را تنظیم کنید که این نوع دسترسی‌ها را در صورت نیاز کنترل کنند.

نکات فنی تکمیلی:

1. Port Forwarding در فایروال، یکی از مهم‌ترین بخش‌های این تنظیم است. بسته به نوع فایروال مورد استفاده، ممکن است تنظیمات متفاوتی داشته باشد.
2. استفاده از کلیدهای SSH (به جای رمز عبور) می‌تواند امنیت بیشتری برای اتصال SSH فراهم کند.
3. برای افزایش امنیت بیشتر، پیشنهاد می‌شود از جفت‌کلید‌های عمومی/خصوصی برای تأیید اعتبار استفاده کنید و همچنین احراز هویت چندمرحله‌ای (MFA) را نیز در نظر بگیرید.

 

مزایای استفاده از تونل SSH:

به عنوان یک متخصص ویپ (VoIP) و سیستم‌های تلفنی که با Asterisk کار می‌کنید، استفاده از تونل SSH می‌تواند در افزایش امنیت و انعطاف‌پذیری سیستم‌های شما نقش حیاتی داشته باشد. تونل SSH یکی از راهکارهای قدرتمند برای دسترسی ایمن به منابع داخلی شبکه است که از نظر امنیتی حساسیت بالایی دارند. این روش به شما اجازه می‌دهد بدون نیاز به باز کردن چندین پورت و در معرض خطر قرار دادن سرویس‌های مختلف، به منابع مختلف در شبکه دسترسی پیدا کنید.

1. افزایش امنیت: به‌جای اینکه پورت‌های مختلف را در شبکه عمومی باز کنید، تنها با یک پورت SSH به همه سرویس‌ها دسترسی پیدا می‌کنید، که خطر حملات را به‌طور قابل توجهی کاهش می‌دهد.
2. مدیریت متمرکز: از طریق یک اتصال SSH می‌توانید به دستگاه‌های مختلف مانند IP Phone‌ها، پرینترها و دیگر سرورها در شبکه دسترسی داشته باشید.
3. دسترسی به منابع داخلی از راه دور: بدون نیاز به باز کردن شبکه داخلی به اینترنت، می‌توانید از هرجای دنیا به سرویس‌های محلی دسترسی داشته باشید.
4. پشتیبانی از سیستم‌های تلفنی: در مواردی که سیستم‌های تلفنی یا سرویس‌های مبتنی بر استریسک در یک شبکه محلی باشند، می‌توان از تونل SSH برای دسترسی ایمن به رابط‌های مدیریتی یا سرویس‌های حساس آن‌ها استفاده کرد.

موارد کاربردی:

• مدیریت و پیکربندی از راه دور دستگاه‌های تلفنی IP یا PBX‌های مبتنی بر استریسک
• انجام عملیات پشتیبان‌گیری یا نظارت بر سیستم‌های تلفنی بدون نیاز به دسترسی مستقیم به شبکه
• فراهم کردن دسترسی امن برای تیم‌های پشتیبانی از راه دور

این نوع دسترسی به‌ویژه برای سیستم‌های ویپ که از پروتکل‌های حساس به امنیت استفاده می‌کنند، بسیار کارآمد است و به شما امکان مدیریت موثر و امن‌تر سیستم‌های خود را می‌دهد.