/usr/share/doc/HOWTO/fr-html/MindTerm-SSH-HOWTO.html is in doc-linux-fr-html 2013.01-2.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 450 451 452 453 454 455 456 457 458 459 460 461 462 463 464 465 466 467 468 469 470 471 472 473 474 475 476 477 478 479 480 481 482 483 484 485 486 487 488 489 490 491 492 493 494 495 496 497 498 499 500 501 502 503 504 505 506 507 508 509 510 511 512 513 514 515 516 517 518 519 520 521 522 523 524 525 526 527 528 529 530 531 532 533 534 535 536 537 538 539 540 541 542 543 544 545 546 547 548 549 550 551 552 553 554 555 556 557 558 559 560 561 562 563 564 565 566 567 568 569 570 571 572 573 574 575 576 577 578 579 580 581 582 583 584 585 586 587 588 589 590 591 592 593 594 595 596 597 598 599 600 601 602 603 604 605 606 607 608 609 610 611 612 613 614 615 616 617 618 619 620 621 622 623 624 625 626 627 628 629 630 631 632 633 634 635 636 637 638 639 640 641 642 643 644 645 646 647 648 649 650 651 652 653 654 655 656 657 658 659 660 661 662 663 664 665 666 667 668 669 670 671 672 673 674 675 676 677 678 679 680 681 682 683 684 685 686 687 688 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux/x86 (vers 25 March 2009), see www.w3.org">
<title>Guide pratique des tunnels cryptés utilisant SSH et
MindTerm</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Guide pratique des
tunnels cryptés utilisant SSH et MindTerm</a></h1>
<h3 class="AUTHOR"><a name="AEN4" id="AEN4">Duane Dunston</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">
<code class="EMAIL"><<a href="mailto:duane@duane.yi.org">duane@duane.yi.org</a>></code><br>
</p>
</div>
</div>
<div class="REVHISTORY">
<table width="100%" border="0">
<tr>
<th align="left" valign="top" colspan="3"><b>Revision
History</b></th>
</tr>
<tr>
<td align="left">Revision 1.01</td>
<td align="left">2001-06-13</td>
<td align="left">Revised by: PDD</td>
</tr>
<tr>
<td align="left" colspan="3">Format de date modifié
(YYYY-MM-DD)</td>
</tr>
</table>
</div>
<div>
<div class="ABSTRACT"><a name="AEN16" id="AEN16"></a>
<p>Ce document décrit comment utiliser SSH et le programme
Java MindTerm pour créer des tunnels de type VPN rapides et
sécurisés sur des réseaux non
sécurisés.</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="intro" id="intro">Introduction</a></h2>
<p>Pour diverses raisons, cette toute nouvelle version a pour nom
de code la version <span class="emphasis"><i class=
"EMPHASIS">release</i></span>.</p>
<p>De nouveaux noms de code feront leur apparition selon les
directives des standards de l'industrie, pour mettre en valeur
l'aspect "état de l'art" du document.</p>
<p>J'ai écrit ce document suite à une suggestion qui
m'avait été faite de fournir un modèle
à remplir pour faire de nouveaux guides pratiques. Ce
modèle a été fait à l'origine en
extrayant la structure du guide pratique "Multi Disk HOWTO" qui est
un guide pratique plutôt volumineux. Ce modèle a
ensuite été largement révisé.</p>
<p>Ce petit rappel du contexte me permet de démarrer mon
introduction.</p>
<p>Tout d'abord, un peu de jargon juridique. L'évolution
récente montre que c'est assez important.</p>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="copyright" id="copyright">Informations
sur le copyright</a></h3>
<p>Le copyright de ce document est (c) 2001 Duane Dunston et il est
distribué sous la licence Linux Documentation Project (LDP)
mentionnée plus bas. <span class="emphasis"><i class=
"EMPHASIS">Il est demandé que toutes corrections et/ou
commentaires soient communiqués au responsable de suivi du
document.</i></span></p>
<p>Sauf mention contraire, le copyright des Guides pratiques Linux
(HOWTO) sont établis par leurs auteurs respectifs. Les
Guides pratiques Linux peuvent être reproduits ou
distribués en tout ou partie, sur tout support, qu'il soit
physique ou électronique, tant que ce copyright reste
mentionné sur toutes les copies. Les redistributions
commerciales sont autorisées et encouragées ;
cependant, l'auteur aimerait être notifié de toute
distribution de la sorte.</p>
<p>Toutes traductions, travaux dérivés ou tout
ensemble de travaux incorporant un des Guides pratiques Linux
doivent être explicitement couverts par ce copyright. Cela
veut dire que nul n'est autorisé à produire un
travail dérivé d'un guide pratique et imposer des
restrictions supplémentaires sur sa distribution. Des
exemptions à ces règles peuvent êtres
accordées sous certaines conditions ; veuillez prendre
contact avec le coordinateur du Guide pratique Linux à
l'adresse donnée plus bas.</p>
<p>En bref, nous souhaitons promouvoir la dissémination de
cette information par autant de canaux que possible. Cependant,
nous tenons à garder le copyright sur les guides pratiques,
et aimerions être notifiés de tout projet de
redistribution des Guides pratiques HOWTO.</p>
<p>Si vous avez des questions, veuillez contacter <code class=
"EMAIL"><<a href=
"mailto:duane@duane.yi.org">duane@duane.yi.org</a>></code></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="disclaimer" id="disclaimer">Avis de non
responsabilité</a></h3>
<p>Nous ne pouvons être tenus responsables du contenu de ce
document. Vous utilisez les concepts, exemples et autres contenus
à vos risques et périls. Comme il s'agit d'une
nouvelle révision de ce document, il se peut qu'il y ait des
erreurs et des inexactitudes qui peuvent bien sûr endommager
votre système. Agissez avec prudence, et bien que cela soit
tout à fait improbable que vous le fassiez, l'auteur
décline toute responsabilité quant à cela.</p>
<p>Sauf mention contraire, tous les copyrights sont détenus
par leurs auteurs respectifs. L'utilisation d'un terme dans ce
document ne doit pas être considérée comme
portant sur la validité d'une quelconque marque commerciale
ou de prestataire de service.</p>
<p>La mention de produits ou de marques particuliers ne doit pas
être considérée comme une publicité pour
ce produit ou cette marque.</p>
<p>Il vous est fortement conseillé d'effectuer une
sauvegarde de votre système avant toute installation
d'envergure ainsi que des sauvegardes à intervalles
réguliers.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="newversions" id="newversions">Nouvelles
versions</a></h3>
<p>Ce document a subi de nombreuses révisions puique je l'ai
entamé comme projet final pour la certification SANS
GIAC.</p>
<p>Le numéro de version le plus récent de ce document
peut être trouvé sur la page principale du <a href=
"http://www.linuxdoc.org/" target="_top">Linux Documentation
Project</a> ou sur <a href="http://cfcc.net/ddunston/mindterm.html"
target="_top">la page de l'auteur</a>.</p>
<p><span class="emphasis"><i class="EMPHASIS">Si vous êtes
compétent en la matière, ce serait bien de rendre le
guide pratique disponible dans un certain nombre de
formats.</i></span></p>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="credits" id=
"credits">Remerciements</a></h3>
<p>Dans cette version, j'ai le plaisir de remercier :</p>
<p>Patti Pitz pour sa révision et son aide dans
l'organisation de l'article. Doug Eymand pour le côté
technique de la révision.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="feedback" id="feedback">Vos
impressions</a></h3>
<p>Vos réactions sur ce document sont attendues avec le plus
grand intérêt. Sans vos propositions et vos
contributions, ce document n'aurait jamais existé. Je vous
prie d'envoyer les points que vous voudriez ajouter, vos
commentaires et vos critiques à l'adresse suivante :
<code class="EMAIL"><<a href=
"mailto:duane@duane.yi.org">duane@duane.yi.org</a>></code>.</p>
</div>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="before-start" id="before-start">Avant de
commencer</a></h2>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="mindterm-intro" id=
"mindterm-intro">Introduction à MindTerm et SSH</a></h3>
<p>De nos jours, les entreprises, les écoles, et les
particuliers ont plus que jamais besoin de services réseau
sécurisés. Le commerce en ligne s' accroissant, il y
a plus de gens qui continuent à avoir accès à
des données sensibles d'entreprise au travers de
réseaux non sécurisés. Les entreprises
utilisent Internet comme moyen principal pour communiquer avec
leurs employés en déplacement dans le pays et
à l'étranger, envoient des documents et des courriels
non cryptés à leurs agences et partenaires de par le
monde ; ces communications peuvent être riches en
informations que n'importe quelle personne mal intentionnée
peut potentiellement intercepter et vendre ou donner à une
entreprise rivale. De bonnes politiques de sécurité
à la fois pour les utilisateurs et les administrateurs
réseau peuvent aider à minimiser les problèmes
liés à l'interception ou au vol d'informations
à l'intérieur de leur organisation par des personnes
mal intentionnées. Dans cet article, nous allons aborder
l'utilisation de Secure Shell (SSH) et MindTerm pour
sécuriser la communication par Internet au sein d'une
organisation.</p>
<p>Les utilisateurs à domicile et les voyageurs d'affaires
accèdent à des données d'entreprise et
envoient des données sensibles au travers de réseaux
non sécurisés. <span class="emphasis"><i class=
"EMPHASIS">Cela crée toute une catégorie de nouveaux
problèmes de sécurité pour les administrateurs
système ("Securing the home office sensible and
securely")</i></span>, particulièrement depuis qu'on estime
que le nombre de personnes travaillant à domicile avec un
accès haut débit <span class="emphasis"><i class=
"EMPHASIS">"va plus que doubler, passant de 24 millions en 2000
à 55 millions en 2005" ("Broadband Access to Increase in
Workplace")</i></span>. <span class="emphasis"><i class=
"EMPHASIS">Le nombre d'aéroports et d'hôtels offrant
un accès Internet, en particulier un accès haut
débit, est en croissance et on s'attend à ce qu' il
grandisse dans l'avenir ("Broadband Moving On Up")</i></span>. Ceci
peut aussi laisser une porte grande ouverte à une personne
mal- intentionnée qui pourrait pirater ou voir le trafic
Internet d'autres personnes et accéder à leurs
entreprises. Cette personne malintentionnée peut ne pas
être intéressée par les travaux de
l'employé, mais veut seulement accéder à un
serveur très rapide pour lancer des attaques, stocker des
fichiers ou pour un autre usage. Les hommes d'affaires courent de
grands risques car ils ne savent pas qui surveille leur connexion
Internet à l'hôtel, à l'aéroport ou
n'importe où pendant leur déplacement. Les
utilisateurs des nouvelles connexions haut débit ne sont en
général pas formés à des protocoles de
sécurité adaptés, et certaines entreprises ne
disposent pas du personnel pour aider les utilisateurs à
domicile et les voyageurs d'affaires à mettre en place une
connexion sécurisée. Les particuliers et,
étonnamment, certaines entreprises ont cette
mentalité <span class="emphasis"><i class="EMPHASIS">"Je
n'ai rien qui pourrait intéresser les autres"</i></span>.
Ceci est très inquiétant quand on considère la
quantité d'informations sensibles qui voyage à
travers Internet depuis le domicile d'un employé ou lors de
déplacements. Ce qui est plus inquiétant est la
disponibilité de logiciels gratuits pour effectuer ce genre
d'attaques et la facilité d' utilisation de ces logiciels.
Dsniff ( <a href="http://www.monkey.org/~dugsong/dsniff/" target=
"_top">http://www.monkey.org/~dugsong/dsniff/</a>) est un programme
disponible gratuitement qui possède des
fonctionnalités permettant à n'importe qui avec un
ordinateur connecté à un réseau de pirater un
réseau local et surveiller ce que les autres font et
récupérer des mots de passe et d'autres
données sensibles. Dans son livre "Secrets and Lies :
Digital Security in a Networked World", Bruce Schneier affirme que
la propagation des techniques et une des principales menaces
à la sécurité des réseaux :
<span class="emphasis"><i class="EMPHASIS">"Internet est [...] un
média parfait pour propager des outils d'attaque qui
marchent. Il suffit que le premier attaquant soit un
spécialiste ; tous les autres peuvent utiliser son logiciel"
(Schneier)</i></span>.</p>
<p>L'objectif de cet article n'est pas de savoir comment
sécuriser des ordinateurs, mais comment mettre en place des
tunnels virtuels pour effectuer des communications
sécurisées, que ce soit pour envoyer des documents ou
des courriels. Les voyageurs d'affaires devraient lire les articles
de <a href="http://www.sans.org/infosecFAQ/travel/travel_list.htm"
target="_top">Jim Purcell, Frank Reid, et Aaron Weissenfluh</a> sur
la sécurité au cours des déplacements. Les
utilisateurs à domicile ayant un accès haut
débit devraient lire <a href=
"http://www.sans.org/infosecFAQ/start/free.htm" target=
"_top">l'article</a> de Ted Tang pour avoir des informations sur la
façon de sécuriser un ordinateur avec accès
haut débit. Je recommanderais la nombreuse documentation
disponible sur <a href="http://www.sans.org" target=
"_top">www.sans.org</a>, <a href="http://%20www.securityfocus.com"
target="_top">www.securityfocus.com</a>, ou <a href=
"http://www.securityportal.com" target=
"_top">www.securityportal.com</a> avec des tutoriels sur la
façon de sécuriser vos ordinateurs et serveurs.</p>
<p>Le moyen pour s'assurer que les données sensibles sont
transmises de manière rapide et sécurisée est
d'utiliser des méthodes cryptées de transmission de
données. Cela peut se faire par le moyen d'un courriel
crypté, en utilisant des services web
sécurisés de messagerie électronique, ou en
établissant des tunnels cryptés entre deux
ordinateurs. De plus, un logiciel fiable et facile à
installer doit être utilisé pour permettre aux
utilisateurs inexpérimentés d'établir
rapidement des canaux de communication sécurisés.
<a href="http://www.ssh.com" target="_top">Secure Shell</a> et
<a href="http://www.mindbright.se" target="_top">MindBright</a>
Technology's MindTerm de Taten Ylonen sont une solution rapide,
facile d'utilisation et fiable pour sécuriser les
communications sur Internet.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="mindterm-ssh" id="mindterm-ssh">MindTerm
et SSH</a></h3>
<p>SSH (Secure Shell) peut remplacer en toute
sécurité les programmes de connexion à
distance et de transfert de fichiers comme telnet, rsh et ftp qui
transmettent les données en texte clair, lisible par toute
personne. SSH utilise une méthode d'authentification
à clé publique pour établir une connexion
cryptée et sécurisée entre la machine de
l'utilisateur et la machine distante. Une fois la connexion
sécurisée établie, les nom d'utilisateur, mot
de passe et toutes les autres informations sont envoyés au
travers de cette connexion sécurisée. Vous trouverez
plus d'informations sur la façon dont SSH fonctionne, les
algorithmes utilisés et les protocoles
implémentés pour qu'il reste à un haut niveau
de sécurité et de confiance sur le site web de ssh :
<a href="http://www.ssh.com" target="_top">www.ssh.com</a>.
L'équipe OpenBSD a créé un équivalent
libre qui s'appelle OpenSSH, disponible sur <a href=
"http://www.openssh.com" target="_top">www.openssh.com</a>. Il
conserve les normes élevées de sécurité
de l'équipe OpenBSD et des spécifications de l' IETF
pour Secure Shell (voir les <a href=
"http://www.ietf.org/ids.by.wg/secsh.html" target="_top">documents
de travail Secure Shell de l'IETF</a>), sauf qu'il utilise des
algorithmes libres du domaine public. SSH est en train de devenir
un standard pour l'administration de connexions à distance.
Il a rencontré un tel succès qu'il y a de nombreux
ports SSH pour diverses plateformes, et des clients gratuits
disponibles pour se connecter à un serveur SSH sous diverses
plateformes également. Voir <a href=
"http://linuxmafia.com/pub/linux/security/ssh-clients" target=
"_top">http://linuxmafia.com/pub/linux/security/ssh-clients</a>
pour avoir une liste des clients. Securityportal.com a un excellent
article en deux parties sur SSH et sur les liens vers des ports
pour différentes plateformes ; il est disponible sur
<a href="http://www.securityportal.com/research/ssh-part1.html"
target=
"_top">http://www.securityportal.com/research/ssh-part1.html</a>.
Il y a des programmes qui utilisent également un utilitaire
qui s'appelle Secure Copy (SCP) en fond qui fournit les mêmes
fonctionnalités qu'un client FTP complet, tels que <a href=
"http://winscp.vse.cz" target="_top">WinSCP</a> et le <a href=
"http://www.isnetworks.com/ssh/" target="_top">client Java
SSH/SCP</a>, qui a une interface SCP modifiée pour MindTerm.
Veuillez lire les licences avec précaution pour voir si vous
avez l'autorisation légale de télécharger SSH
dans votre pays. SSH est libre pour les écoles et les
universités. Veuillez lire les licences disponibles sur le
site web ssh.com.</p>
<p>MindTerm est un client SSH écrit entièrement en
Java par MindBright Technology. Une des pratiques clés dans
le développement de logiciels de sécurité est
une implémentation adéquate des algorithmes
sous-jacents et des protocoles utilisés. MindBright
Technology a très bien implémenté le protocole
SSH dans ce petit fichier d'application. C'est une archive autonome
qui nécessite juste d'être décompressée
dans un répertoire de votre choix, et qui est prête
à être utilisée. Le client peut être
utilisé comme programme autonome ou comme applet de page
web, ou les deux. Il est disponible sur : <a href=
"http://www.mindbright.se/download/" target=
"_top">http://www.mindbright.se/download/</a>. MindTerm est un
client excellent et peu coûteux pour sécuriser les
communications vers et depuis un emplacement local et distant. Le
programme MindTerm situé à l'adresse de
téléchargement précédente est
disponible gratuitement pour une utilisation non commerciale et
dans l'enseignement, la possibilité d'une utilisation
commerciale étant étudiée au cas par cas.
Cependant, les modifications apportées par <a href=
"http://www.isnetworks.net" target="_top">ISNetwork</a>
<span class="emphasis"><i class="EMPHASIS">"sont basées sur
le code source de MindTerm 1.21, que MindBright a publié
sous GPL [General Public Licence - voir <a href=
"http://www.gnu.org" target="_top">http://www.gnu.org</a>]. Comme
notre version a été publiée sous GPL, vous
pouvez l'utiliser gratuitement à des fins commerciales"
(Eckels)</i></span>. L'implémentation d'ISNetworks a toutes
les fonctionnalités du MindTerm de MindBright,
excepté qu'elle a une interface SCP plus sympathique pour
des transferts de fichier plus conviviaux. MindTerm a
quand-même l'inconvénient de ne pas prendre en charge
les tunnels UDP. Pour sécuriser le trafic UDP, un programme
qui s'appelle Zebedee ( <a href="http://www.winton.org.uk/zebedee/"
target="_top">http://www.winton.org.uk/zebedee/</a>) fera
très bien l'affaire. Les programmes serveur et client de
Zebedee sont disponibles pour les plateformes Windows et Linux. Il
est distribué gratuitement sous licence GPL
également. Vous pouvez vous connecter aussi bien aux
machines Windows que Linux avec Zebedee. MindTerm ne
vérifiera pas si votre système est
sécurisé. C'est aux administrateurs et aux
utilisateurs de prendre le soin de sécuriser leurs
systèmes informatiques. Il est facile à
implémenter et il est très efficace pour ce qui est
de garder le haut niveau de sécurité
implémenté dans le protocole SSH. Nous verrons dans
cet article à quel point cela est facile de mettre en place
et d'établir des canaux de communication
sécurisés pour et par quasiment n'importe quel
utilisateur. Les documents, courriels et autres communications de
données peuvent être envoyés facilement et en
toute sécurité à des utilisateurs à l'
autre bout du monde ou à quelques pas de là.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="mindterm-work" id=
"mindterm-work">Comment MindTerm et SSH fonctionnent
ensemble</a></h3>
<p>SSH et MindTerm fonctionneront ensemble pour utiliser une
technique appelée redirection de port [port forwarding]. La
redirection de port consiste à rediriger du trafic d'un
hôte et un port donnés, vers un autre hôte et
port. En d'autres termes, l'application MindTerm va ouvrir un port
sur la machine du client (machine locale) et toute connexion
à ce port local est redirigée vers l'hôte
distant et son port d'écoute au travers d'une session SSH
cryptée. Le fait que la connexion soit acceptée ou
pas dépend du type de requête qu'on envoie à
l'hôte distant. Par exemple, on ne redirigerait pas des
requêtes POP vers un hôte distant écoutant sur
le port 21, car le port 21 est réservé aux
requêtes FTP. La redirection de port est également
utilisée pour permettre la connexion à un serveur
situé derrière un pare-feu et/ou qui a une adresse IP
privée. Essentiellement, cela s'appelle créer un
réseau virtuel privé [Virtual Private Network] (VPN).
Un VPN est <span class="emphasis"><i class="EMPHASIS">"un
réseau de données privées faisant usage de l'
infrastructure de télécommunications publique, en
protégeant la vie privée par l'emploi d'un protocole
de tunnel et de procédures de
sécurité"</i></span> (<a href="http://www.whatis.com"
target="_top">www.whatis.com</a>). La redirection de port ne peut
être effectuée qu'avec des services TCP.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="software-install" id=
"software-install">Installation du logiciel</a></h2>
<p>Pour pouvoir suivre ce tutoriel, vous devrez installer quelques
paquetages [packages]. Ce tutoriel part du principe que SSH est
déjà installé sur votre serveur ou station de
travail. Si ce n'est pas le cas vous pouvez lire la documentation
livrée avec le paquetage SSH ou OpenSSH pour avoir des
instructions d'installation pour votre plateforme. Pour les
exemples suivants, OpenSSH a été installé sur
un serveur RedHat 7.0 et sur une station de travail. OpenSSH a
été installé sur RedHat 6.0 à 7.0 et
fonctionne de la même façon. La machine client
utilisée dans ce tutoriel est une machine Windows 2000. Des
stations de travail Windows 95/98, NT 4.0, NT 5.0, RedHat 6.0-7.0
ont toutes été testées comme machines client
et ont fonctionné de la même façon. Entre
parenthèses, exactement la même archive JAR MindTerm a
été utilisée sur tous les systèmes
client testés.</p>
<ul>
<li>
<p>SSH ou OpenSSH</p>
</li>
<li>
<p>MindTerm</p>
</li>
<li>
<p>Client FTP - N'importe quel client FTP devrait marcher pour ce
tutoriel. Ws-FTP et Leech-FTP sont les deux plus populaires pour
Windows.</p>
</li>
<li>
<p>Netscape Communicator - ou n'importe quel autre client de
messagerie devrait marcher.</p>
</li>
<li>
<p>Optionnel: <a href="http://www.ntop.org" target=
"_top">NTOP</a></p>
</li>
<li>
<p>Optionnel: <a href=
"http://www.redhat.com/swr/src/vlock-1.3-3.src.html" target=
"_top">vlock</a></p>
</li>
</ul>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="configurations" id=
"configurations">Configurations du serveur et du client</a></h2>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="server-config" id=
"server-config">Configuration du serveur</a></h3>
<p>D'abord, assurez-vous que votre serveur est
sécurisé. Bien que le trafic soit crypté
pendant qu'il circule sur Internet, il peut être
reniflé si quelqu'un a un accès root sur la machine
locale et utilise un programme tel que <a href=
"http://www.packetfactory.net/Projects/ngrep" target=
"_top">ngrep</a> pour renifler le trafic sur une machine locale.
Par exemple, utilisée conjointement avec le programme DSniff
mentionné plus haut, la commande suivante pourrait renifler
tout le trafic sur le réseau d'interface locale : <b class=
"COMMAND">ngrep -d lo</b>. Cependant, la sécurisation du
serveur n'entre pas dans le cadre de cet article.</p>
<p>Nous utiliserons les services POP (port 110), IMAP (port 143),
SMTP (port 25), VNC (Virtual Network Computing) (5901+), et NTOP
(port 3000 par défaut) pour cet exemple. Tout le trafic sera
redirigé vers le port respectif de chaque service sur
l'hôte distant où tourne le serveur SSH. Tous les
services écoutant sur l'hôte distant écoutent
sur toutes les interfaces, à moins que le service soit
lié à un port par défaut ou qu'il soit
configuré manuellement. Pour montrer à quel point
cette technique de tunnel SSH est efficace, nous n'autoriserons que
des services précis à écouter sur l'interface
locale.</p>
<p>Cependant,vous n'avez pas à changer vos configurations de
sécurité courantes. Nous utiliserons tcp_wrappers,
qui est installé par défaut sur RedHat 7.0 (et les
versions précédentes), pour nous connecter aux
services réseau. Dans le fichier <tt class=
"FILENAME">/etc/hosts.deny</tt>, ajoutez la ligne suivante :</p>
<pre class="PROGRAMLISTING">
ALL : ALL
</pre>
<p>Et dans votre fichier <tt class="FILENAME">/etc/hosts.allow</tt>
ajoutez les lignes suivantes :</p>
<pre class="PROGRAMLISTING">
sshd : ALL
in.ftpd : 127.0.0.1
ipop3d : 127.0.0.1
imapd : 127.0.0.1
</pre>
<p>Avec ce paramétrage, sshd (le serveur SSH) autorisera les
connexions depuis n'importe quelle adresse IP. Les autres services
n'autorisent les connexions que depuis l'interface locale. On peut
vérifier cela tout de suite en configurant un client de
messagerie pour qu'il se connecte au serveur POP ou IMAP distant,
et/ou un client FTP pour qu'il se connecte au serveur FTP. La
connexion ne sera pas autorisée. Il faudra également
paramétrer tout compte utilisateur devant avoir accès
à ces services.(Note : le paramétrage ci-dessus n'est
utile que si les services sont pour un usage interne uniquement, et
que les utilisateurs distants ont besoin d'accéder à
des services internes pour envoyer et recevoir des courriels ou
transférer des fichiers. Les services peuvent être
disponibles pour un usage publique et être cryptés
avec SSH et MindTerm.) En vue d'une utilisation de MindTerm sur le
web pour créer des tunnels ou utiliser les
fonctionnalités GUI de Secure Copy, un environnement
d'exécution Java (JRE) devra également être
installé sur le serveur où tourne SSH.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="client-config" id=
"client-config">Configuration du client</a></h3>
<p>La seule configuration nécessaire pour le client est de
s'assurer qu'un JRE est installé sur votre plateforme.
Windows et MacOS 8 et plus ont déjà un JRE
installé. Il est recommandé d'installer le JRE de Sun
sur Windows. IBM a une liste des ports des JRE des
différentes plateformes : <a href=
"http://www-105.ibm.com/developerworks/tools.nsf/dw/java-devkits-byname"
target=
"_top">http://www-105.ibm.com/developerworks/tools.nsf/dw/java-devkits-byname</a>
, ainsi que Sun : <a href=
"http://java.sun.com/cgi-bin/java-ports.cgi" target=
"_top">http://java.sun.com/cgi-bin/java-ports.cgi.</a> (Vous n'avez
pas besoin de tout le paquetage Java avec les débogueurs et
les compilateurs, juste la machine virtuelle Java (JVM) pour lancer
des applications Java.) De plus, pour le tutoriel qui suit,
décompressez l'archive MindTerm, implémentation
MindBright ou ISNetwork, dans <tt class="FILENAME">c:\mindterm</tt>
pour Windows.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="creating-tunnels" id=
"creating-tunnels">Création des tunnels</a></h2>
<p>MindTerm peut être démarré de plusieurs
manières. Si vous avez JRE installé, alors vous
pouvez double-cliquer sur le fichier d'application
mindtermfull.jar. Une autre manière consiste à ouvrir
une invite de commande DOS et à taper la commande :</p>
<pre class="PROGRAMLISTING">
jview -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>ou</p>
<pre class="PROGRAMLISTING">
javaw -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>ou</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p><span class="emphasis"><i class="EMPHASIS">(jview s'utilise si
vous êtes sous Windows et que vous n'avez pas
téléchargé le JRE. Javaw est livré avec
le téléchargement de JRE sous Windows et est
utilisé car une invite de commande DOS n'est pas
nécessaire pour lancer MindTerm, ce qui fait une
fenêtre ouverte en moins)</i></span></p>
<p>MindTerm 2.0 est maintenant disponible. L'argument pour le
lancer a légèrement changé. A la place de la
commande ci-dessus :</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>cela démarrera MindTerm en ligne de commande :</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar com.mindbright.application.MindTerm
</pre>
<p>Seul le "com." a été ajouté au
paramètre de l'applet.</p>
<p>Cela démarrera le programme MindTerm et ensuite vous
pourrez taper le nom du serveur quand vous y serez invité et
on vous demandera ensuite "<a href="minddialog.jpg" target=
"_top">Save as Alias</a>" (enregistrer en tant qu' alias). Vous
pouvez entrer un nom de serveur court, comme ça quand vous
lancerez l'applet à nouveau vous n'aurez qu'à taper
l'<b class="COMMAND">Alias</b> que vous aurez créé.
On vous demandera ensuite votre identifiant de connexion.
Après l'avoir tapé, tapez Entrée et une
boîte de dialogue apparaîtra pour vous informer que
l'hôte n'existe pas et vous demandera d'en créer un.
Cliquez sur <b class="COMMAND">Yes</b>. Une autre boîte
apparaîtra pour vous demander si vous voulez ajouter cet
hôte à votre fichier <tt class=
"FILENAME">known_host</tt>. Cliquez sur <b class="COMMAND">Yes</b>.
On vous demande ensuite votre mot de passe. Tapez votre mot de
passe puis Entrée. Si vous avez entré l'identifiant
et le mot de passe adéquats, vous devriez vous trouver en
ligne de commande sur le serveur que vous avez
spécifié.</p>
<p>Nous allons d'abord créer un tunnel vers le serveur POP
et SMTP. Quand vous serez connecté avec succès (et
aurez éventuellement activé vlock), cliquez sur
<a href="tunnelmenu.jpg" target="_top">Tunnels</a> dans le menu et
ensuite sur <a href="tunnelmenubasic" target="_top">Basic</a>. Une
boîte de dialogue apparaîtra. Ajoutez respectivement
les réglages suivants dans chaque boîte :</p>
<ul>
<li>
<p>Local port: <b class="COMMAND">2010</b></p>
</li>
<li>
<p>Remote Hosts: <span class="emphasis"><i class="EMPHASIS">Votre
hôte distant (ça devrait être le serveur sur
lequel tourne sshd)</i></span>.</p>
</li>
<li>
<p>Remote port: <b class="COMMAND">110</b></p>
</li>
</ul>
<p>Maintenant cliquez sur <b class="COMMAND">Add</b> (ajouter). Il
devrait apparaître une boîte de dialogue disant
"<a href="tunnelconfirm.jpg" target="_top">The tunnel is now open
and operational (le tunnel est maintenant ouvert et
opérationnel)</a> ". <span class="emphasis"><i class=
"EMPHASIS">(Remarque : si vous sélectionnez un port
déjà ouvert, un message d' erreur vous dira <a href=
"tunnelerror.jpg" target="_top">Could not open tunnel. Error
creating tunnel. Error setting up local forward on port XXXX,
Address in use - Le tunnel n'as pas pu être ouvert. Erreur
lors de la création du tunnel. Erreur lors de la mise en
place de la redirection local sur le port XXXX, Adresse en cours
d'utilisation.</a>)</i></span> Cliquez sur <b class=
"COMMAND">OK</b> et la configuration du tunnel devrait maintenant
apparaître dans une boîte. Cliquez sur <b class=
"COMMAND">Close Dialog</b> (fermer la boîte de dialogue).
Ouvrez le menu des options ou préférences de votre
client de messagerie. Nous utiliserons Netscape Messenger pour cet
exemple.</p>
<ol type="1"></ol>
</div>
</div>
</body>
</html>
|