Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - CentOS Enterprise Linux Guide de reference - Protocole SSH

Chapitre 20. Protocole SSH

SSH™ (ou Secure SHell) est un protocole qui facilite les connexions s�curis�es entre deux syst�mes � l'aide d'une architecture client/serveur et permet aux utilisateurs de se connecter � distance � des syst�mes h�te de serveurs.Toutefois, contrairement � d'autres protocoles de communication � distance, tels que FTP ou Telnet, SSH crypte la session de connexion et emp�che ainsi tout agresseur de recueillir des mots de passe non-crypt�s.

SSH est con�u pour remplacer les applications de terminal plus anciennes et moins s�curis�es qui sont utilis�es pour se connecter � des h�tes distants, comme telnet ou rsh. Un programme similaire appel� scp remplace des programmes moins r�cents con�us pour copier des fichiers entre des h�tes, tels que rcp. �tant donn� que ces applications plus anciennes ne cryptent pas les mots de passe entre le client et le serveur, il est recommand� d'�viter autant que possible de les utiliser. En effet, l'utilisation de m�thodes s�curis�es pour se connecter � des syst�mes distants, r�duit les risques aussi bien pour le syst�me client que pour l'h�te distant.

20.1. Fonctionnalit�s de SSH

SSH offre les pr�cautions suivantes au niveau de la s�curit� �:

  • Apr�s avoir effectu� une connexion initiale, le client peut s'assurer que sa connexion est �tablie avec le m�me serveur que lors de sa session pr�c�dente.

  • Le client transmet ses donn�es d'authentification au serveur au moyen d'un cryptage solide 128 bits.

  • Toutes les donn�es envoy�es et re�ues lors d'une session sont transf�r�es au moyen d'un cryptage 128 bits, rendant ainsi le d�cryptage et la lecture de toute transmission intercept�e extr�mement difficile.

  • Le client peut retransmettre des applications X11[1] depuis le serveur. Cette technique appel�e retransmission X11, fournit un moyen d'utiliser en toute s�curit� des applications graphiques sur un r�seau.

�tant donn� que le protocole SSH crypte tout ce qu'il envoie et re�oit, il peut �tre utilis� pour s�curiser des protocoles autrement vuln�rables. Gr�ce � la technique de retransmission de port, un serveur SSH peut �tre employ� pour s�curiser des protocoles non-s�curis�s tels que POP, augmentant ainsi la s�curit� globale du syst�me et de ses donn�es.

Red Hat Enterprise Linux inclut le paquetage g�n�ral OpenSSH (openssh) ainsi que les paquetages serveur OpenSSH (openssh-server) et client OpenSSH (openssh-clients). Consultez le chapitre intitul� OpenSSH du Guide d'administration syst�me de Red Hat Enterprise Linux pour obtenir des instructions sur l'installation et le d�ploiement d'OpenSSH. Notez �galement que les paquetages OpenSSH ont besoin du paquetage OpenSSL (openssl) qui installe de nombreuses biblioth�ques cryptographiques importantes permettant � OpenSSH de fournir des communications crypt�es.

20.1.1. Pourquoi utiliser SSH�?

Les utilisateurs d'ordinateurs malintentionn�s disposent d'une vari�t� d'outils pour interrompre, intercepter et r�acheminer le trafic r�seau afin de s'octroyer l'acc�s � un syst�me. D'une mani�re g�n�rale, ces menaces peuvent �tre r�pertori�es de la mani�re suivante�:

  • Interception d'une communication entre deux syst�mes — Dans ce sc�nario, le pirate peut se trouver quelque part sur le r�seau entre les entit�s qui communiqueent, pouvant ainsi copier toute information qui est transmise entre elles. Le pirate peut intercepter et garder les informations ou peut les modifier avant de les envoyer au destinataire pr�vu.

    Cette attaque peut �tre orchestr�e en utilisant un programme renifleur — un utilitaire r�seau courant.

  • Usurpation de l'identit� d'un h�te — Gr�ce � cette technique, le syst�me d'un agresseur est configur� de telle mani�re qu'il appara�t comme �tant le destinataire souhait� d'une transmission. Si cette strat�gie fonctionne, le syst�me de l'utilisateur ne d�tecte pas qu'il communique en fait avec le mauvais h�te.

    Ce type d'attaque peut �tre organis� gr�ce � l'utilisation de techniques appel�es empoisonnements DNS[2] ou usurpation d'adresse IP[3].

Ces deux techniques permettent d'intercepter des informations potentiellement confidentielles et si cette interception est effectu�e pour des raisons hostiles, le r�sultat peut �tre catastrophique.

L'utilisation du protocole SSH pour effectuer une connexion au shell � distance ou pour copier des fichiers permet de r�duire consid�rablement ces menaces au niveau de la s�curit�. En effet, le client et serveur SSH utilisent des signatures num�riques pour v�rifier leur identit� respectives. En outre, toute communication entre le syst�me client et le syst�me serveur est crypt�e. Toute tentative d'usurpation d'identit� � une extr�mit� ou � une autre de la communication est difficilement possible puisque chaque paquet est crypt� � l'aide d'une cl� connue seulement par le syst�me local et le syst�me distant.

Notes

[1]

X11 fait r�f�rence au syst�me d'affichage de fen�tres X11R6.7, g�n�ralement appel� X Window System ou X. Red Hat Enterprise Linux inclut XFree86, un syst�me X Window System Open Source.

[2]

L'empoisonnement DNS a lieu lorsqu'un intrus p�n�tre dans un serveur DNS, dirigeant les syst�mes client vers la copie d'un h�te avec une intention malveillante.

[3]

L'usurpation d'adresse IP se produit lorsqu'un intrus envoie des paquets r�seau qui apparaissent faussement comme provenant d'un h�te de confiance du r�seau.

 
 
  Published under the terms of the GNU General Public License Design by Interspire