제목 : ssh 터널링의 취약점에 관해 질문드립니다

제목 : ssh 터널링의 취약점에 관해 질문드립니다.

매일 글만 보고가다가
용기를 내어 이렇게 글을 올립니다.

상황설명 및 배경 : 현재 작업하고 있는 곳에서 특정사이트의 접속이 제한되었습니다.
꼭 필요한것은 아니지만, 점심시간이나 근무 외 시간에 간간히 접속해 보고 싶은데,
여의치가 않네요.
때문에 집에 있는 리눅스 서버에 설치된[color=#0000FF:3pwvopw6] ssh (putty+터널링)[/color:3pwvopw6]을 통해 해당 사이트를
접속해서 서핑을 하려고 합니다.

아래는 위치별 설정내역 입니다.

[color=#BF8040:3pwvopw6]아래에 1)번은 집에 있는 리눅스 pc 입니다.
그 아래 35)번 이라고 명명한 것은 작업실 pc입니다.

  • 35번)이 1번)ssh (putty+터널링)을 통해 사용중입니다.[/color:3pwvopw6]
    ============================================
    [color=#4000FF:3pwvopw6][1단계]집 설정 : [/color:3pwvopw6]
    인터넷회선-> 공유기 -> DMZ ->1번) 192.168.0.2 리눅스(쿠분투 10.10) + ssh (터널링) + APM + 사용하는 포트만 open
    ============================================
    [color=#4000FF:3pwvopw6][2단계]작업실 설정 : [/color:3pwvopw6]
    인터넷회선->잘모르겠습니다.(방화벽,라우터,기타등등) -> 35번) 192.168.xxx.xxx (windows)일반 데스크탑 (특정사이트 접속 차단됨)
    ============================================
    [color=#4000FF:3pwvopw6]* [3단계] 35번) 설정 전 접속경로 :[/color:3pwvopw6]
    35번) 특정사이트 접속 -> 접속 차단.
    ============================================
    [color=#4000FF:3pwvopw6]* [4단계] 35번) 설정 후 터널링 접속경로 :[/color:3pwvopw6]
    35번) 에서 1번)의 ssh접속 (putty+터널링)
    35번) 의 브라우저에 proxy설정에서 약속된 1번)의 설정을 Source Port 통해 특정사이트 접속 -> [color=#0000FF:3pwvopw6][u:3pwvopw6][b:3pwvopw6]접속 성공[/b:3pwvopw6][/u:3pwvopw6].[/color:3pwvopw6]
    ============================================

특별히 리눅스 서버에 proxy서버를 설정한것이 아니고
유틸 - putty의 터널링 옵션을 통해 연결함 : ssh의 계정은 [1]집 리눅스에 등록된 개인사용자 계정입니다.
유틸 - putty창을 강제로 닫거나, 연결을 종료하면 해당 특정사이트의 접속도 연결이 해제가 됩니다.(터널링 종료)
때문에 필요할때만 접속해서 쓰고, [color=#BF8000:3pwvopw6]그렇지 않을때는 연결을 하지 않습니다.[/color:3pwvopw6]

아울러 windows)-CMD-) netstat -an 명령어를 통해 차단되었던 사이트에 접속된 후 정보를 확인해 보니,
ssh 터널링시 입력해 두었던 Source Port를 통해 접속하고 있는것을 확인했습니다.

예)putty : Source Port = D5000 이라면
…중략…
[color=#00BF00:3pwvopw6] TCP 127.0.0.1:52095 127.0.0.1:5000 TIME_WAIT
TCP 127.0.0.1:52096 127.0.0.1:5000 TIME_WAIT
TCP 127.0.0.1:52097 127.0.0.1:5000 TIME_WAIT
TCP 127.0.0.1:52098 127.0.0.1:5000 TIME_WAIT
TCP 127.0.0.1:52099 127.0.0.1:5000 TIME_WAIT[/color:3pwvopw6]
…중략…

============================================

이상태에서 몇가지 의문점이 생겨 이렇게 글을 남깁니다.

[color=#FF0000:3pwvopw6]질문1) putty+터널링 이 보안상 취약한가요? [/color:3pwvopw6]
-> 일명 패킷 스니퍼(Packet Sniffers:표현이 맞는지는 모르겠습니다) 를 통해
외부에서 현재 통신중인 내용에 대한 해석이 가능한지가 궁금합니다.
(1)그렇다
(2)가능은 하지만 무슨 정보가 오고가는지는 불분명 하다
(3)그때그때 다르다
(4)기타의견

[color=#FF0000:3pwvopw6]질문2) 단순히 집에는 ssh만 설정해 두었는데요.[/color:3pwvopw6]
[color=#FF0000:3pwvopw6]퇴근 후 집에 돌아와 어떤 사이트들을 오고 갔는지등 관리자 권한으로 알수있을까요?[/color:3pwvopw6]
(구체적으로 로그 같은 정보가 남는지, 남는다면 어느위치에 있는지 궁금합니다.)
[color=#4000FF:3pwvopw6](*필요없는 부분이라면 crontab에서 간단한 쉘을 불러 해당 로그를 주기적으로 삭제하면 어떨까 해서요.)[/color:3pwvopw6]
-쿠분투10.10
[color=#4000FF:3pwvopw6]-ssh (기본 포트는 사용하지 않습니다.그외 설정은 그대로 사용합니다.)[/color:3pwvopw6]
-apm (기본 포트는 사용하지 않습니다.)
-ftp (기본 포트는 사용하지 않습니다.)
-그외 다른 특별한 서비스 포트는 close.

[color=#FF0000:3pwvopw6]질문3) putty+터널링 사용시 주의점 또는 기타 부과적인 설정사항.[/color:3pwvopw6]
(-이정도는 염두하시고 사용했으면 합니다. 등의 권장하는 부분,
-또는 생각해볼만한 문제이고, 이 부분은 이런식으로 하는게 어떨까요? 등 입니다.)

[color=#4000FF:3pwvopw6]그외 기타의견 대환영 합니다.[/color:3pwvopw6]

이상입니다.
얼마전 openVPN을 통해 우회해서 쓰다가, 붙었다? 말았다? 하는 현상이 있어서 과감히 포기하고
다른 방법을 찾다가 시도를 해보았습니다.

[color=#BF0000:3pwvopw6]초면에 두서없는 글을 올려 대단히 죄송스럽니다.
다소 표현이 잘못되었거나, 게시판의 성격에 맞지 않는 부분을 지적해 주시면
고치겠습니다.[/color:3pwvopw6]

[b:3pwvopw6]끝까지 읽어주셔서 감사합니다.[/b:3pwvopw6]

인터넷이 되는환경 (웹브라우징)

이기만하면 터널은 뚤리지만

질문1
관리자가 일일이 확인한다면 누가 속까만 짓을 위해 무엇을 써서 어디로 접속하는지 정도는 알수 있습니다.(클라이언트 -> 홈서버)
회사라면 언젠가 관리자랑 면담을 해야할 상황이 오기도 하겠지요??
대량의 패킷이 왓다갓다한다면(혹은 관리자에게 영향을 미칠만한 행동) 더 빨리 눈치를 채지 않을까 싶습니다.

질문2
ssh로그이외에 다른건 남는지 잘 모르겠습니다;

소중한 답변 대단히 감사합니다.

  1. ssh를 이용한 터널링에는 기본적으로 암호화가 포함되게 되어 있기 때문에 데이터를 확인할 수는 없습니다. 단지 ssh를 통해서 데이터를 주고 받았다 정도의 기록이 남게 되겠지요.

  2. ssh서버의 설정에 따라서 다르니 확인해 보시면 될 듯 합니다. 터널링을 사용해 보신 이후 집 서버의 log파일을 검색해 보시면 되겠죠.

  3. 별달리 조언할 만한 내용은 떠오르지가 않네요.

답변 대단히 감사합니다.
숙지하겠습니다.