This file is indexed.

/usr/share/doc/HOWTO/fr-html/MindTerm-SSH-HOWTO.html is in doc-linux-fr-html 2013.01-2.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below.

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux/x86 (vers 25 March 2009), see www.w3.org">
<title>Guide pratique des tunnels crypt&eacute;s utilisant SSH et
MindTerm</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Guide pratique des
tunnels crypt&eacute;s utilisant SSH et MindTerm</a></h1>
<h3 class="AUTHOR"><a name="AEN4" id="AEN4">Duane Dunston</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<code class="EMAIL">&lt;<a href="mailto:duane@duane.yi.org">duane@duane.yi.org</a>&gt;</code><br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</p>
</div>
</div>
<div class="REVHISTORY">
<table width="100%" border="0">
<tr>
<th align="left" valign="top" colspan="3"><b>Revision
History</b></th>
</tr>
<tr>
<td align="left">Revision 1.01</td>
<td align="left">2001-06-13</td>
<td align="left">Revised by: PDD</td>
</tr>
<tr>
<td align="left" colspan="3">Format de date modifi&eacute;
(YYYY-MM-DD)</td>
</tr>
</table>
</div>
<div>
<div class="ABSTRACT"><a name="AEN16" id="AEN16"></a>
<p>Ce document d&eacute;crit comment utiliser SSH et le programme
Java MindTerm pour cr&eacute;er des tunnels de type VPN rapides et
s&eacute;curis&eacute;s sur des r&eacute;seaux non
s&eacute;curis&eacute;s.</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="intro" id="intro">Introduction</a></h2>
<p>Pour diverses raisons, cette toute nouvelle version a pour nom
de code la version <span class="emphasis"><i class=
"EMPHASIS">release</i></span>.</p>
<p>De nouveaux noms de code feront leur apparition selon les
directives des standards de l'industrie, pour mettre en valeur
l'aspect "&eacute;tat de l'art" du document.</p>
<p>J'ai &eacute;crit ce document suite &agrave; une suggestion qui
m'avait &eacute;t&eacute; faite de fournir un mod&egrave;le
&agrave; remplir pour faire de nouveaux guides pratiques. Ce
mod&egrave;le a &eacute;t&eacute; fait &agrave; l'origine en
extrayant la structure du guide pratique "Multi Disk HOWTO" qui est
un guide pratique plut&ocirc;t volumineux. Ce mod&egrave;le a
ensuite &eacute;t&eacute; largement r&eacute;vis&eacute;.</p>
<p>Ce petit rappel du contexte me permet de d&eacute;marrer mon
introduction.</p>
<p>Tout d'abord, un peu de jargon juridique. L'&eacute;volution
r&eacute;cente montre que c'est assez important.</p>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="copyright" id="copyright">Informations
sur le copyright</a></h3>
<p>Le copyright de ce document est (c) 2001 Duane Dunston et il est
distribu&eacute; sous la licence Linux Documentation Project (LDP)
mentionn&eacute;e plus bas. <span class="emphasis"><i class=
"EMPHASIS">Il est demand&eacute; que toutes corrections et/ou
commentaires soient communiqu&eacute;s au responsable de suivi du
document.</i></span></p>
<p>Sauf mention contraire, le copyright des Guides pratiques Linux
(HOWTO) sont &eacute;tablis par leurs auteurs respectifs. Les
Guides pratiques Linux peuvent &ecirc;tre reproduits ou
distribu&eacute;s en tout ou partie, sur tout support, qu'il soit
physique ou &eacute;lectronique, tant que ce copyright reste
mentionn&eacute; sur toutes les copies. Les redistributions
commerciales sont autoris&eacute;es et encourag&eacute;es ;
cependant, l'auteur aimerait &ecirc;tre notifi&eacute; de toute
distribution de la sorte.</p>
<p>Toutes traductions, travaux d&eacute;riv&eacute;s ou tout
ensemble de travaux incorporant un des Guides pratiques Linux
doivent &ecirc;tre explicitement couverts par ce copyright. Cela
veut dire que nul n'est autoris&eacute; &agrave; produire un
travail d&eacute;riv&eacute; d'un guide pratique et imposer des
restrictions suppl&eacute;mentaires sur sa distribution. Des
exemptions &agrave; ces r&egrave;gles peuvent &ecirc;tres
accord&eacute;es sous certaines conditions ; veuillez prendre
contact avec le coordinateur du Guide pratique Linux &agrave;
l'adresse donn&eacute;e plus bas.</p>
<p>En bref, nous souhaitons promouvoir la diss&eacute;mination de
cette information par autant de canaux que possible. Cependant,
nous tenons &agrave; garder le copyright sur les guides pratiques,
et aimerions &ecirc;tre notifi&eacute;s de tout projet de
redistribution des Guides pratiques HOWTO.</p>
<p>Si vous avez des questions, veuillez contacter <code class=
"EMAIL">&lt;<a href=
"mailto:duane@duane.yi.org">duane@duane.yi.org</a>&gt;</code></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="disclaimer" id="disclaimer">Avis de non
responsabilit&eacute;</a></h3>
<p>Nous ne pouvons &ecirc;tre tenus responsables du contenu de ce
document. Vous utilisez les concepts, exemples et autres contenus
&agrave; vos risques et p&eacute;rils. Comme il s'agit d'une
nouvelle r&eacute;vision de ce document, il se peut qu'il y ait des
erreurs et des inexactitudes qui peuvent bien s&ucirc;r endommager
votre syst&egrave;me. Agissez avec prudence, et bien que cela soit
tout &agrave; fait improbable que vous le fassiez, l'auteur
d&eacute;cline toute responsabilit&eacute; quant &agrave; cela.</p>
<p>Sauf mention contraire, tous les copyrights sont d&eacute;tenus
par leurs auteurs respectifs. L'utilisation d'un terme dans ce
document ne doit pas &ecirc;tre consid&eacute;r&eacute;e comme
portant sur la validit&eacute; d'une quelconque marque commerciale
ou de prestataire de service.</p>
<p>La mention de produits ou de marques particuliers ne doit pas
&ecirc;tre consid&eacute;r&eacute;e comme une publicit&eacute; pour
ce produit ou cette marque.</p>
<p>Il vous est fortement conseill&eacute; d'effectuer une
sauvegarde de votre syst&egrave;me avant toute installation
d'envergure ainsi que des sauvegardes &agrave; intervalles
r&eacute;guliers.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="newversions" id="newversions">Nouvelles
versions</a></h3>
<p>Ce document a subi de nombreuses r&eacute;visions puique je l'ai
entam&eacute; comme projet final pour la certification SANS
GIAC.</p>
<p>Le num&eacute;ro de version le plus r&eacute;cent de ce document
peut &ecirc;tre trouv&eacute; sur la page principale du <a href=
"http://www.linuxdoc.org/" target="_top">Linux Documentation
Project</a> ou sur <a href="http://cfcc.net/ddunston/mindterm.html"
target="_top">la page de l'auteur</a>.</p>
<p><span class="emphasis"><i class="EMPHASIS">Si vous &ecirc;tes
comp&eacute;tent en la mati&egrave;re, ce serait bien de rendre le
guide pratique disponible dans un certain nombre de
formats.</i></span></p>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="credits" id=
"credits">Remerciements</a></h3>
<p>Dans cette version, j'ai le plaisir de remercier :</p>
<p>Patti Pitz pour sa r&eacute;vision et son aide dans
l'organisation de l'article. Doug Eymand pour le c&ocirc;t&eacute;
technique de la r&eacute;vision.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="feedback" id="feedback">Vos
impressions</a></h3>
<p>Vos r&eacute;actions sur ce document sont attendues avec le plus
grand int&eacute;r&ecirc;t. Sans vos propositions et vos
contributions, ce document n'aurait jamais exist&eacute;. Je vous
prie d'envoyer les points que vous voudriez ajouter, vos
commentaires et vos critiques &agrave; l'adresse suivante :
<code class="EMAIL">&lt;<a href=
"mailto:duane@duane.yi.org">duane@duane.yi.org</a>&gt;</code>.</p>
</div>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="before-start" id="before-start">Avant de
commencer</a></h2>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="mindterm-intro" id=
"mindterm-intro">Introduction &agrave; MindTerm et SSH</a></h3>
<p>De nos jours, les entreprises, les &eacute;coles, et les
particuliers ont plus que jamais besoin de services r&eacute;seau
s&eacute;curis&eacute;s. Le commerce en ligne s' accroissant, il y
a plus de gens qui continuent &agrave; avoir acc&egrave;s &agrave;
des donn&eacute;es sensibles d'entreprise au travers de
r&eacute;seaux non s&eacute;curis&eacute;s. Les entreprises
utilisent Internet comme moyen principal pour communiquer avec
leurs employ&eacute;s en d&eacute;placement dans le pays et
&agrave; l'&eacute;tranger, envoient des documents et des courriels
non crypt&eacute;s &agrave; leurs agences et partenaires de par le
monde ; ces communications peuvent &ecirc;tre riches en
informations que n'importe quelle personne mal intentionn&eacute;e
peut potentiellement intercepter et vendre ou donner &agrave; une
entreprise rivale. De bonnes politiques de s&eacute;curit&eacute;
&agrave; la fois pour les utilisateurs et les administrateurs
r&eacute;seau peuvent aider &agrave; minimiser les probl&egrave;mes
li&eacute;s &agrave; l'interception ou au vol d'informations
&agrave; l'int&eacute;rieur de leur organisation par des personnes
mal intentionn&eacute;es. Dans cet article, nous allons aborder
l'utilisation de Secure Shell (SSH) et MindTerm pour
s&eacute;curiser la communication par Internet au sein d'une
organisation.</p>
<p>Les utilisateurs &agrave; domicile et les voyageurs d'affaires
acc&egrave;dent &agrave; des donn&eacute;es d'entreprise et
envoient des donn&eacute;es sensibles au travers de r&eacute;seaux
non s&eacute;curis&eacute;s. <span class="emphasis"><i class=
"EMPHASIS">Cela cr&eacute;e toute une cat&eacute;gorie de nouveaux
probl&egrave;mes de s&eacute;curit&eacute; pour les administrateurs
syst&egrave;me ("Securing the home office sensible and
securely")</i></span>, particuli&egrave;rement depuis qu'on estime
que le nombre de personnes travaillant &agrave; domicile avec un
acc&egrave;s haut d&eacute;bit <span class="emphasis"><i class=
"EMPHASIS">"va plus que doubler, passant de 24 millions en 2000
&agrave; 55 millions en 2005" ("Broadband Access to Increase in
Workplace")</i></span>. <span class="emphasis"><i class=
"EMPHASIS">Le nombre d'a&eacute;roports et d'h&ocirc;tels offrant
un acc&egrave;s Internet, en particulier un acc&egrave;s haut
d&eacute;bit, est en croissance et on s'attend &agrave; ce qu' il
grandisse dans l'avenir ("Broadband Moving On Up")</i></span>. Ceci
peut aussi laisser une porte grande ouverte &agrave; une personne
mal- intentionn&eacute;e qui pourrait pirater ou voir le trafic
Internet d'autres personnes et acc&eacute;der &agrave; leurs
entreprises. Cette personne malintentionn&eacute;e peut ne pas
&ecirc;tre int&eacute;ress&eacute;e par les travaux de
l'employ&eacute;, mais veut seulement acc&eacute;der &agrave; un
serveur tr&egrave;s rapide pour lancer des attaques, stocker des
fichiers ou pour un autre usage. Les hommes d'affaires courent de
grands risques car ils ne savent pas qui surveille leur connexion
Internet &agrave; l'h&ocirc;tel, &agrave; l'a&eacute;roport ou
n'importe o&ugrave; pendant leur d&eacute;placement. Les
utilisateurs des nouvelles connexions haut d&eacute;bit ne sont en
g&eacute;n&eacute;ral pas form&eacute;s &agrave; des protocoles de
s&eacute;curit&eacute; adapt&eacute;s, et certaines entreprises ne
disposent pas du personnel pour aider les utilisateurs &agrave;
domicile et les voyageurs d'affaires &agrave; mettre en place une
connexion s&eacute;curis&eacute;e. Les particuliers et,
&eacute;tonnamment, certaines entreprises ont cette
mentalit&eacute; <span class="emphasis"><i class="EMPHASIS">"Je
n'ai rien qui pourrait int&eacute;resser les autres"</i></span>.
Ceci est tr&egrave;s inqui&eacute;tant quand on consid&egrave;re la
quantit&eacute; d'informations sensibles qui voyage &agrave;
travers Internet depuis le domicile d'un employ&eacute; ou lors de
d&eacute;placements. Ce qui est plus inqui&eacute;tant est la
disponibilit&eacute; de logiciels gratuits pour effectuer ce genre
d'attaques et la facilit&eacute; d' utilisation de ces logiciels.
Dsniff ( <a href="http://www.monkey.org/~dugsong/dsniff/" target=
"_top">http://www.monkey.org/~dugsong/dsniff/</a>) est un programme
disponible gratuitement qui poss&egrave;de des
fonctionnalit&eacute;s permettant &agrave; n'importe qui avec un
ordinateur connect&eacute; &agrave; un r&eacute;seau de pirater un
r&eacute;seau local et surveiller ce que les autres font et
r&eacute;cup&eacute;rer des mots de passe et d'autres
donn&eacute;es sensibles. Dans son livre "Secrets and Lies :
Digital Security in a Networked World", Bruce Schneier affirme que
la propagation des techniques et une des principales menaces
&agrave; la s&eacute;curit&eacute; des r&eacute;seaux :
<span class="emphasis"><i class="EMPHASIS">"Internet est [...] un
m&eacute;dia parfait pour propager des outils d'attaque qui
marchent. Il suffit que le premier attaquant soit un
sp&eacute;cialiste ; tous les autres peuvent utiliser son logiciel"
(Schneier)</i></span>.</p>
<p>L'objectif de cet article n'est pas de savoir comment
s&eacute;curiser des ordinateurs, mais comment mettre en place des
tunnels virtuels pour effectuer des communications
s&eacute;curis&eacute;es, que ce soit pour envoyer des documents ou
des courriels. Les voyageurs d'affaires devraient lire les articles
de <a href="http://www.sans.org/infosecFAQ/travel/travel_list.htm"
target="_top">Jim Purcell, Frank Reid, et Aaron Weissenfluh</a> sur
la s&eacute;curit&eacute; au cours des d&eacute;placements. Les
utilisateurs &agrave; domicile ayant un acc&egrave;s haut
d&eacute;bit devraient lire <a href=
"http://www.sans.org/infosecFAQ/start/free.htm" target=
"_top">l'article</a> de Ted Tang pour avoir des informations sur la
fa&ccedil;on de s&eacute;curiser un ordinateur avec acc&egrave;s
haut d&eacute;bit. Je recommanderais la nombreuse documentation
disponible sur <a href="http://www.sans.org" target=
"_top">www.sans.org</a>, <a href="http://%20www.securityfocus.com"
target="_top">www.securityfocus.com</a>, ou <a href=
"http://www.securityportal.com" target=
"_top">www.securityportal.com</a> avec des tutoriels sur la
fa&ccedil;on de s&eacute;curiser vos ordinateurs et serveurs.</p>
<p>Le moyen pour s'assurer que les donn&eacute;es sensibles sont
transmises de mani&egrave;re rapide et s&eacute;curis&eacute;e est
d'utiliser des m&eacute;thodes crypt&eacute;es de transmission de
donn&eacute;es. Cela peut se faire par le moyen d'un courriel
crypt&eacute;, en utilisant des services web
s&eacute;curis&eacute;s de messagerie &eacute;lectronique, ou en
&eacute;tablissant des tunnels crypt&eacute;s entre deux
ordinateurs. De plus, un logiciel fiable et facile &agrave;
installer doit &ecirc;tre utilis&eacute; pour permettre aux
utilisateurs inexp&eacute;riment&eacute;s d'&eacute;tablir
rapidement des canaux de communication s&eacute;curis&eacute;s.
<a href="http://www.ssh.com" target="_top">Secure Shell</a> et
<a href="http://www.mindbright.se" target="_top">MindBright</a>
Technology's MindTerm de Taten Ylonen sont une solution rapide,
facile d'utilisation et fiable pour s&eacute;curiser les
communications sur Internet.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="mindterm-ssh" id="mindterm-ssh">MindTerm
et SSH</a></h3>
<p>SSH (Secure Shell) peut remplacer en toute
s&eacute;curit&eacute; les programmes de connexion &agrave;
distance et de transfert de fichiers comme telnet, rsh et ftp qui
transmettent les donn&eacute;es en texte clair, lisible par toute
personne. SSH utilise une m&eacute;thode d'authentification
&agrave; cl&eacute; publique pour &eacute;tablir une connexion
crypt&eacute;e et s&eacute;curis&eacute;e entre la machine de
l'utilisateur et la machine distante. Une fois la connexion
s&eacute;curis&eacute;e &eacute;tablie, les nom d'utilisateur, mot
de passe et toutes les autres informations sont envoy&eacute;s au
travers de cette connexion s&eacute;curis&eacute;e. Vous trouverez
plus d'informations sur la fa&ccedil;on dont SSH fonctionne, les
algorithmes utilis&eacute;s et les protocoles
impl&eacute;ment&eacute;s pour qu'il reste &agrave; un haut niveau
de s&eacute;curit&eacute; et de confiance sur le site web de ssh :
<a href="http://www.ssh.com" target="_top">www.ssh.com</a>.
L'&eacute;quipe OpenBSD a cr&eacute;&eacute; un &eacute;quivalent
libre qui s'appelle OpenSSH, disponible sur <a href=
"http://www.openssh.com" target="_top">www.openssh.com</a>. Il
conserve les normes &eacute;lev&eacute;es de s&eacute;curit&eacute;
de l'&eacute;quipe OpenBSD et des sp&eacute;cifications de l' IETF
pour Secure Shell (voir les <a href=
"http://www.ietf.org/ids.by.wg/secsh.html" target="_top">documents
de travail Secure Shell de l'IETF</a>), sauf qu'il utilise des
algorithmes libres du domaine public. SSH est en train de devenir
un standard pour l'administration de connexions &agrave; distance.
Il a rencontr&eacute; un tel succ&egrave;s qu'il y a de nombreux
ports SSH pour diverses plateformes, et des clients gratuits
disponibles pour se connecter &agrave; un serveur SSH sous diverses
plateformes &eacute;galement. Voir <a href=
"http://linuxmafia.com/pub/linux/security/ssh-clients" target=
"_top">http://linuxmafia.com/pub/linux/security/ssh-clients</a>
pour avoir une liste des clients. Securityportal.com a un excellent
article en deux parties sur SSH et sur les liens vers des ports
pour diff&eacute;rentes plateformes ; il est disponible sur
<a href="http://www.securityportal.com/research/ssh-part1.html"
target=
"_top">http://www.securityportal.com/research/ssh-part1.html</a>.
Il y a des programmes qui utilisent &eacute;galement un utilitaire
qui s'appelle Secure Copy (SCP) en fond qui fournit les m&ecirc;mes
fonctionnalit&eacute;s qu'un client FTP complet, tels que <a href=
"http://winscp.vse.cz" target="_top">WinSCP</a> et le <a href=
"http://www.isnetworks.com/ssh/" target="_top">client Java
SSH/SCP</a>, qui a une interface SCP modifi&eacute;e pour MindTerm.
Veuillez lire les licences avec pr&eacute;caution pour voir si vous
avez l'autorisation l&eacute;gale de t&eacute;l&eacute;charger SSH
dans votre pays. SSH est libre pour les &eacute;coles et les
universit&eacute;s. Veuillez lire les licences disponibles sur le
site web ssh.com.</p>
<p>MindTerm est un client SSH &eacute;crit enti&egrave;rement en
Java par MindBright Technology. Une des pratiques cl&eacute;s dans
le d&eacute;veloppement de logiciels de s&eacute;curit&eacute; est
une impl&eacute;mentation ad&eacute;quate des algorithmes
sous-jacents et des protocoles utilis&eacute;s. MindBright
Technology a tr&egrave;s bien impl&eacute;ment&eacute; le protocole
SSH dans ce petit fichier d'application. C'est une archive autonome
qui n&eacute;cessite juste d'&ecirc;tre d&eacute;compress&eacute;e
dans un r&eacute;pertoire de votre choix, et qui est pr&ecirc;te
&agrave; &ecirc;tre utilis&eacute;e. Le client peut &ecirc;tre
utilis&eacute; comme programme autonome ou comme applet de page
web, ou les deux. Il est disponible sur : <a href=
"http://www.mindbright.se/download/" target=
"_top">http://www.mindbright.se/download/</a>. MindTerm est un
client excellent et peu co&ucirc;teux pour s&eacute;curiser les
communications vers et depuis un emplacement local et distant. Le
programme MindTerm situ&eacute; &agrave; l'adresse de
t&eacute;l&eacute;chargement pr&eacute;c&eacute;dente est
disponible gratuitement pour une utilisation non commerciale et
dans l'enseignement, la possibilit&eacute; d'une utilisation
commerciale &eacute;tant &eacute;tudi&eacute;e au cas par cas.
Cependant, les modifications apport&eacute;es par <a href=
"http://www.isnetworks.net" target="_top">ISNetwork</a>
<span class="emphasis"><i class="EMPHASIS">"sont bas&eacute;es sur
le code source de MindTerm 1.21, que MindBright a publi&eacute;
sous GPL [General Public Licence - voir <a href=
"http://www.gnu.org" target="_top">http://www.gnu.org</a>]. Comme
notre version a &eacute;t&eacute; publi&eacute;e sous GPL, vous
pouvez l'utiliser gratuitement &agrave; des fins commerciales"
(Eckels)</i></span>. L'impl&eacute;mentation d'ISNetworks a toutes
les fonctionnalit&eacute;s du MindTerm de MindBright,
except&eacute; qu'elle a une interface SCP plus sympathique pour
des transferts de fichier plus conviviaux. MindTerm a
quand-m&ecirc;me l'inconv&eacute;nient de ne pas prendre en charge
les tunnels UDP. Pour s&eacute;curiser le trafic UDP, un programme
qui s'appelle Zebedee ( <a href="http://www.winton.org.uk/zebedee/"
target="_top">http://www.winton.org.uk/zebedee/</a>) fera
tr&egrave;s bien l'affaire. Les programmes serveur et client de
Zebedee sont disponibles pour les plateformes Windows et Linux. Il
est distribu&eacute; gratuitement sous licence GPL
&eacute;galement. Vous pouvez vous connecter aussi bien aux
machines Windows que Linux avec Zebedee. MindTerm ne
v&eacute;rifiera pas si votre syst&egrave;me est
s&eacute;curis&eacute;. C'est aux administrateurs et aux
utilisateurs de prendre le soin de s&eacute;curiser leurs
syst&egrave;mes informatiques. Il est facile &agrave;
impl&eacute;menter et il est tr&egrave;s efficace pour ce qui est
de garder le haut niveau de s&eacute;curit&eacute;
impl&eacute;ment&eacute; dans le protocole SSH. Nous verrons dans
cet article &agrave; quel point cela est facile de mettre en place
et d'&eacute;tablir des canaux de communication
s&eacute;curis&eacute;s pour et par quasiment n'importe quel
utilisateur. Les documents, courriels et autres communications de
donn&eacute;es peuvent &ecirc;tre envoy&eacute;s facilement et en
toute s&eacute;curit&eacute; &agrave; des utilisateurs &agrave; l'
autre bout du monde ou &agrave; quelques pas de l&agrave;.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="mindterm-work" id=
"mindterm-work">Comment MindTerm et SSH fonctionnent
ensemble</a></h3>
<p>SSH et MindTerm fonctionneront ensemble pour utiliser une
technique appel&eacute;e redirection de port [port forwarding]. La
redirection de port consiste &agrave; rediriger du trafic d'un
h&ocirc;te et un port donn&eacute;s, vers un autre h&ocirc;te et
port. En d'autres termes, l'application MindTerm va ouvrir un port
sur la machine du client (machine locale) et toute connexion
&agrave; ce port local est redirig&eacute;e vers l'h&ocirc;te
distant et son port d'&eacute;coute au travers d'une session SSH
crypt&eacute;e. Le fait que la connexion soit accept&eacute;e ou
pas d&eacute;pend du type de requ&ecirc;te qu'on envoie &agrave;
l'h&ocirc;te distant. Par exemple, on ne redirigerait pas des
requ&ecirc;tes POP vers un h&ocirc;te distant &eacute;coutant sur
le port 21, car le port 21 est r&eacute;serv&eacute; aux
requ&ecirc;tes FTP. La redirection de port est &eacute;galement
utilis&eacute;e pour permettre la connexion &agrave; un serveur
situ&eacute; derri&egrave;re un pare-feu et/ou qui a une adresse IP
priv&eacute;e. Essentiellement, cela s'appelle cr&eacute;er un
r&eacute;seau virtuel priv&eacute; [Virtual Private Network] (VPN).
Un VPN est <span class="emphasis"><i class="EMPHASIS">"un
r&eacute;seau de donn&eacute;es priv&eacute;es faisant usage de l'
infrastructure de t&eacute;l&eacute;communications publique, en
prot&eacute;geant la vie priv&eacute;e par l'emploi d'un protocole
de tunnel et de proc&eacute;dures de
s&eacute;curit&eacute;"</i></span> (<a href="http://www.whatis.com"
target="_top">www.whatis.com</a>). La redirection de port ne peut
&ecirc;tre effectu&eacute;e qu'avec des services TCP.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="software-install" id=
"software-install">Installation du logiciel</a></h2>
<p>Pour pouvoir suivre ce tutoriel, vous devrez installer quelques
paquetages [packages]. Ce tutoriel part du principe que SSH est
d&eacute;j&agrave; install&eacute; sur votre serveur ou station de
travail. Si ce n'est pas le cas vous pouvez lire la documentation
livr&eacute;e avec le paquetage SSH ou OpenSSH pour avoir des
instructions d'installation pour votre plateforme. Pour les
exemples suivants, OpenSSH a &eacute;t&eacute; install&eacute; sur
un serveur RedHat 7.0 et sur une station de travail. OpenSSH a
&eacute;t&eacute; install&eacute; sur RedHat 6.0 &agrave; 7.0 et
fonctionne de la m&ecirc;me fa&ccedil;on. La machine client
utilis&eacute;e dans ce tutoriel est une machine Windows 2000. Des
stations de travail Windows 95/98, NT 4.0, NT 5.0, RedHat 6.0-7.0
ont toutes &eacute;t&eacute; test&eacute;es comme machines client
et ont fonctionn&eacute; de la m&ecirc;me fa&ccedil;on. Entre
parenth&egrave;ses, exactement la m&ecirc;me archive JAR MindTerm a
&eacute;t&eacute; utilis&eacute;e sur tous les syst&egrave;mes
client test&eacute;s.</p>
<ul>
<li>
<p>SSH ou OpenSSH</p>
</li>
<li>
<p>MindTerm</p>
</li>
<li>
<p>Client FTP - N'importe quel client FTP devrait marcher pour ce
tutoriel. Ws-FTP et Leech-FTP sont les deux plus populaires pour
Windows.</p>
</li>
<li>
<p>Netscape Communicator - ou n'importe quel autre client de
messagerie devrait marcher.</p>
</li>
<li>
<p>Optionnel: <a href="http://www.ntop.org" target=
"_top">NTOP</a></p>
</li>
<li>
<p>Optionnel: <a href=
"http://www.redhat.com/swr/src/vlock-1.3-3.src.html" target=
"_top">vlock</a></p>
</li>
</ul>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="configurations" id=
"configurations">Configurations du serveur et du client</a></h2>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="server-config" id=
"server-config">Configuration du serveur</a></h3>
<p>D'abord, assurez-vous que votre serveur est
s&eacute;curis&eacute;. Bien que le trafic soit crypt&eacute;
pendant qu'il circule sur Internet, il peut &ecirc;tre
renifl&eacute; si quelqu'un a un acc&egrave;s root sur la machine
locale et utilise un programme tel que <a href=
"http://www.packetfactory.net/Projects/ngrep" target=
"_top">ngrep</a> pour renifler le trafic sur une machine locale.
Par exemple, utilis&eacute;e conjointement avec le programme DSniff
mentionn&eacute; plus haut, la commande suivante pourrait renifler
tout le trafic sur le r&eacute;seau d'interface locale : <b class=
"COMMAND">ngrep -d lo</b>. Cependant, la s&eacute;curisation du
serveur n'entre pas dans le cadre de cet article.</p>
<p>Nous utiliserons les services POP (port 110), IMAP (port 143),
SMTP (port 25), VNC (Virtual Network Computing) (5901+), et NTOP
(port 3000 par d&eacute;faut) pour cet exemple. Tout le trafic sera
redirig&eacute; vers le port respectif de chaque service sur
l'h&ocirc;te distant o&ugrave; tourne le serveur SSH. Tous les
services &eacute;coutant sur l'h&ocirc;te distant &eacute;coutent
sur toutes les interfaces, &agrave; moins que le service soit
li&eacute; &agrave; un port par d&eacute;faut ou qu'il soit
configur&eacute; manuellement. Pour montrer &agrave; quel point
cette technique de tunnel SSH est efficace, nous n'autoriserons que
des services pr&eacute;cis &agrave; &eacute;couter sur l'interface
locale.</p>
<p>Cependant,vous n'avez pas &agrave; changer vos configurations de
s&eacute;curit&eacute; courantes. Nous utiliserons tcp_wrappers,
qui est install&eacute; par d&eacute;faut sur RedHat 7.0 (et les
versions pr&eacute;c&eacute;dentes), pour nous connecter aux
services r&eacute;seau. Dans le fichier <tt class=
"FILENAME">/etc/hosts.deny</tt>, ajoutez la ligne suivante :</p>
<pre class="PROGRAMLISTING">
ALL : ALL
</pre>
<p>Et dans votre fichier <tt class="FILENAME">/etc/hosts.allow</tt>
ajoutez les lignes suivantes :</p>
<pre class="PROGRAMLISTING">
 sshd : ALL
   in.ftpd : 127.0.0.1
   ipop3d : 127.0.0.1
   imapd : 127.0.0.1
  
</pre>
<p>Avec ce param&eacute;trage, sshd (le serveur SSH) autorisera les
connexions depuis n'importe quelle adresse IP. Les autres services
n'autorisent les connexions que depuis l'interface locale. On peut
v&eacute;rifier cela tout de suite en configurant un client de
messagerie pour qu'il se connecte au serveur POP ou IMAP distant,
et/ou un client FTP pour qu'il se connecte au serveur FTP. La
connexion ne sera pas autoris&eacute;e. Il faudra &eacute;galement
param&eacute;trer tout compte utilisateur devant avoir acc&egrave;s
&agrave; ces services.(Note : le param&eacute;trage ci-dessus n'est
utile que si les services sont pour un usage interne uniquement, et
que les utilisateurs distants ont besoin d'acc&eacute;der &agrave;
des services internes pour envoyer et recevoir des courriels ou
transf&eacute;rer des fichiers. Les services peuvent &ecirc;tre
disponibles pour un usage publique et &ecirc;tre crypt&eacute;s
avec SSH et MindTerm.) En vue d'une utilisation de MindTerm sur le
web pour cr&eacute;er des tunnels ou utiliser les
fonctionnalit&eacute;s GUI de Secure Copy, un environnement
d'ex&eacute;cution Java (JRE) devra &eacute;galement &ecirc;tre
install&eacute; sur le serveur o&ugrave; tourne SSH.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="client-config" id=
"client-config">Configuration du client</a></h3>
<p>La seule configuration n&eacute;cessaire pour le client est de
s'assurer qu'un JRE est install&eacute; sur votre plateforme.
Windows et MacOS 8 et plus ont d&eacute;j&agrave; un JRE
install&eacute;. Il est recommand&eacute; d'installer le JRE de Sun
sur Windows. IBM a une liste des ports des JRE des
diff&eacute;rentes plateformes : <a href=
"http://www-105.ibm.com/developerworks/tools.nsf/dw/java-devkits-byname"
target=
"_top">http://www-105.ibm.com/developerworks/tools.nsf/dw/java-devkits-byname</a>
, ainsi que Sun : <a href=
"http://java.sun.com/cgi-bin/java-ports.cgi" target=
"_top">http://java.sun.com/cgi-bin/java-ports.cgi.</a> (Vous n'avez
pas besoin de tout le paquetage Java avec les d&eacute;bogueurs et
les compilateurs, juste la machine virtuelle Java (JVM) pour lancer
des applications Java.) De plus, pour le tutoriel qui suit,
d&eacute;compressez l'archive MindTerm, impl&eacute;mentation
MindBright ou ISNetwork, dans <tt class="FILENAME">c:\mindterm</tt>
pour Windows.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="creating-tunnels" id=
"creating-tunnels">Cr&eacute;ation des tunnels</a></h2>
<p>MindTerm peut &ecirc;tre d&eacute;marr&eacute; de plusieurs
mani&egrave;res. Si vous avez JRE install&eacute;, alors vous
pouvez double-cliquer sur le fichier d'application
mindtermfull.jar. Une autre mani&egrave;re consiste &agrave; ouvrir
une invite de commande DOS et &agrave; taper la commande :</p>
<pre class="PROGRAMLISTING">
jview -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>ou</p>
<pre class="PROGRAMLISTING">
javaw -cp  c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>ou</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p><span class="emphasis"><i class="EMPHASIS">(jview s'utilise si
vous &ecirc;tes sous Windows et que vous n'avez pas
t&eacute;l&eacute;charg&eacute; le JRE. Javaw est livr&eacute; avec
le t&eacute;l&eacute;chargement de JRE sous Windows et est
utilis&eacute; car une invite de commande DOS n'est pas
n&eacute;cessaire pour lancer MindTerm, ce qui fait une
fen&ecirc;tre ouverte en moins)</i></span></p>
<p>MindTerm 2.0 est maintenant disponible. L'argument pour le
lancer a l&eacute;g&egrave;rement chang&eacute;. A la place de la
commande ci-dessus :</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>cela d&eacute;marrera MindTerm en ligne de commande :</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar com.mindbright.application.MindTerm
</pre>
<p>Seul le "com." a &eacute;t&eacute; ajout&eacute; au
param&egrave;tre de l'applet.</p>
<p>Cela d&eacute;marrera le programme MindTerm et ensuite vous
pourrez taper le nom du serveur quand vous y serez invit&eacute; et
on vous demandera ensuite "<a href="minddialog.jpg" target=
"_top">Save as Alias</a>" (enregistrer en tant qu' alias). Vous
pouvez entrer un nom de serveur court, comme &ccedil;a quand vous
lancerez l'applet &agrave; nouveau vous n'aurez qu'&agrave; taper
l'<b class="COMMAND">Alias</b> que vous aurez cr&eacute;&eacute;.
On vous demandera ensuite votre identifiant de connexion.
Apr&egrave;s l'avoir tap&eacute;, tapez Entr&eacute;e et une
bo&icirc;te de dialogue appara&icirc;tra pour vous informer que
l'h&ocirc;te n'existe pas et vous demandera d'en cr&eacute;er un.
Cliquez sur <b class="COMMAND">Yes</b>. Une autre bo&icirc;te
appara&icirc;tra pour vous demander si vous voulez ajouter cet
h&ocirc;te &agrave; votre fichier <tt class=
"FILENAME">known_host</tt>. Cliquez sur <b class="COMMAND">Yes</b>.
On vous demande ensuite votre mot de passe. Tapez votre mot de
passe puis Entr&eacute;e. Si vous avez entr&eacute; l'identifiant
et le mot de passe ad&eacute;quats, vous devriez vous trouver en
ligne de commande sur le serveur que vous avez
sp&eacute;cifi&eacute;.</p>
<p>Nous allons d'abord cr&eacute;er un tunnel vers le serveur POP
et SMTP. Quand vous serez connect&eacute; avec succ&egrave;s (et
aurez &eacute;ventuellement activ&eacute; vlock), cliquez sur
<a href="tunnelmenu.jpg" target="_top">Tunnels</a> dans le menu et
ensuite sur <a href="tunnelmenubasic" target="_top">Basic</a>. Une
bo&icirc;te de dialogue appara&icirc;tra. Ajoutez respectivement
les r&eacute;glages suivants dans chaque bo&icirc;te :</p>
<ul>
<li>
<p>Local port: <b class="COMMAND">2010</b></p>
</li>
<li>
<p>Remote Hosts: <span class="emphasis"><i class="EMPHASIS">Votre
h&ocirc;te distant (&ccedil;a devrait &ecirc;tre le serveur sur
lequel tourne sshd)</i></span>.</p>
</li>
<li>
<p>Remote port: <b class="COMMAND">110</b></p>
</li>
</ul>
<p>Maintenant cliquez sur <b class="COMMAND">Add</b> (ajouter). Il
devrait appara&icirc;tre une bo&icirc;te de dialogue disant
"<a href="tunnelconfirm.jpg" target="_top">The tunnel is now open
and operational (le tunnel est maintenant ouvert et
op&eacute;rationnel)</a> ". <span class="emphasis"><i class=
"EMPHASIS">(Remarque : si vous s&eacute;lectionnez un port
d&eacute;j&agrave; ouvert, un message d' erreur vous dira <a href=
"tunnelerror.jpg" target="_top">Could not open tunnel. Error
creating tunnel. Error setting up local forward on port XXXX,
Address in use - Le tunnel n'as pas pu &ecirc;tre ouvert. Erreur
lors de la cr&eacute;ation du tunnel. Erreur lors de la mise en
place de la redirection local sur le port XXXX, Adresse en cours
d'utilisation.</a>)</i></span> Cliquez sur <b class=
"COMMAND">OK</b> et la configuration du tunnel devrait maintenant
appara&icirc;tre dans une bo&icirc;te. Cliquez sur <b class=
"COMMAND">Close Dialog</b> (fermer la bo&icirc;te de dialogue).
Ouvrez le menu des options ou pr&eacute;f&eacute;rences de votre
client de messagerie. Nous utiliserons Netscape Messenger pour cet
exemple.</p>
<ol type="1"></ol>
</div>
</div>
</body>
</html>