04 janvier 2007
Informatique: Mise en place d'un tunnel SSH
Pourquoi
Un tunnel SSH peut permettre à une machine, située dans un réseau peu sûr, de communiquer avec une ressource qui est elle située dans un réseau protégé (par exemple, l'interface WEB d'un routeur ADSL). La sécurité du flux de données échangé sera assurée par cryptage.
Comment
Prenons un exemple:
A une extrémité du tunnel, on a un client SSH qui écoute et transfère les requêtes réseau concernées vers le serveur SSH qui se trouve à l'autre bout. Une fois reçues, le serveur SSH effectue de son côté ces requêtes dans le réseau protégé vers le serveur sécurisé concerné. Il achemine enfin les résultats via le tunnel vers la machine cliente.
Pour ce faire, on considèrera qu'un serveur SSH est déjà présent sur le firewall (ou une autre machine sur laquelle on peut rediriger les requêtes SSH). Utiliser un port autre que le port 22 standard permet d'éviter les bombardements intempestifs de la part de robots douteux.
La commande à lancer sur la machine cliente est la suivante dans le cas de notre exemple:
ssh -4 -C -N -p 22 -L 8000:10.0.0.23:3128 utilisateur@224.13.68.200
Voici la signification des différentes options passées au client SSH:
-4 Utilisation d'IPV4 (facultatif).
-C Compression du flux de données (facultatif).
-N Pas de lancement du shell.
-p 22 Port SSH sur lequel on se connecte (facultatif).
-L 8000:10.0.0.23:3128 Le serveur SSH écoute sur le port 8000 de la machine cliente, et transmet les requêtes effectuées sur ce port vers le port 3128 de la machine ayant pour IP 10.0.0.23.
utilisateur@224.13.68.200 Connexion au serveur SSH ayant pour IP 224.13.68.200 via le login "utilisateur".
Il suffit ensuite de se connecter sur la machine cliente à localhost:8000 pour accéder au service réseau distant via le tunnel.
Conclusion
La mise en place d'un tunnel SSH parait dans certains cas plus simple et plus rapide que le déploiement d'un VPN pour l'accès ponctuel à des services réseau protégés précis.
Un tunnel SSH peut permettre à une machine, située dans un réseau peu sûr, de communiquer avec une ressource qui est elle située dans un réseau protégé (par exemple, l'interface WEB d'un routeur ADSL). La sécurité du flux de données échangé sera assurée par cryptage.
Comment
Prenons un exemple:
A une extrémité du tunnel, on a un client SSH qui écoute et transfère les requêtes réseau concernées vers le serveur SSH qui se trouve à l'autre bout. Une fois reçues, le serveur SSH effectue de son côté ces requêtes dans le réseau protégé vers le serveur sécurisé concerné. Il achemine enfin les résultats via le tunnel vers la machine cliente.
Pour ce faire, on considèrera qu'un serveur SSH est déjà présent sur le firewall (ou une autre machine sur laquelle on peut rediriger les requêtes SSH). Utiliser un port autre que le port 22 standard permet d'éviter les bombardements intempestifs de la part de robots douteux.
La commande à lancer sur la machine cliente est la suivante dans le cas de notre exemple:
ssh -4 -C -N -p 22 -L 8000:10.0.0.23:3128 utilisateur@224.13.68.200
Voici la signification des différentes options passées au client SSH:
-4 Utilisation d'IPV4 (facultatif).
-C Compression du flux de données (facultatif).
-N Pas de lancement du shell.
-p 22 Port SSH sur lequel on se connecte (facultatif).
-L 8000:10.0.0.23:3128 Le serveur SSH écoute sur le port 8000 de la machine cliente, et transmet les requêtes effectuées sur ce port vers le port 3128 de la machine ayant pour IP 10.0.0.23.
utilisateur@224.13.68.200 Connexion au serveur SSH ayant pour IP 224.13.68.200 via le login "utilisateur".
Il suffit ensuite de se connecter sur la machine cliente à localhost:8000 pour accéder au service réseau distant via le tunnel.
Conclusion
La mise en place d'un tunnel SSH parait dans certains cas plus simple et plus rapide que le déploiement d'un VPN pour l'accès ponctuel à des services réseau protégés précis.
Libellés : informatique, unix
// philou @ 8:20 PM 
Commentaires:
<< Home
Tous les matins !
euh non en fait, bien faire attention a ne pas tout ouvrir derriere, pas de sur-evaluation de la securite pour qui n'a pas le temps de surveiller ses logs de temps a autre.
Enregistrer un commentaire
euh non en fait, bien faire attention a ne pas tout ouvrir derriere, pas de sur-evaluation de la securite pour qui n'a pas le temps de surveiller ses logs de temps a autre.
# posted by 
: 7:50 AM
: 7:50 AM << Home
