retour d'expérience protocoles sécur SSH,OPEN_SSH, IPSec,..

[tipi]

Recherche tout avis concernant le choix et la mise en oeuvre pour des cas concrets des protocoles sécurisés dans l'objectif de réaliser pour mon mémoire un comparatif le plus juste aujourd'hui sur l'emploi notamment de SSH; OPENSSH,IPSec, HTTPS,.. et bien évidement l'intégration des uns dans les autres suivant les besoins pour des plateformes type linux et windows. Ce que j'ai trouvé sur le web n'est pas suffisant.N'hésitez pas à me donner des liens si vous avez une meilleure "vue"...Merci

[vanvan]

Mise en place d'un vpn sous linux.
Il s'agit d'un bouquin qui t'indiquera les comparatifs sur ce que tu as besoins. Je m'en suis servi pour la même chose que toi.

Sinon t'as fait une recherche google avec pdf en plus de tes mots clés ?
car la plupart des docs que j'avais trouvé sur le sujet ( intéressante bien sur ) étaient dans ce format.

[tipi]

Mise en place d'un vpn sous linux.
Il s'agit d'un bouquin qui t'indiquera les comparatifs sur ce que tu as besoins. Je m'en suis servi pour la même chose que toi.

Sinon t'as fait une recherche google avec pdf en plus de tes mots clés ?
car la plupart des docs que j'avais trouvé sur le sujet ( intéressante bien sur ) étaient dans ce format.

Merci pour les infos .
Il me reste encore des points à éclaircir notamment les avantages et inconvénients des protocoles seuls, de leurs modes de fonctionnement, de l'éventail des algo possibles ( leurs apports, solidité, fiabilité,..), des couches touchées et détails des encapsulations sans oublier les protocoles auxiliaires de transport et des implications que cela entraine sur la confidentialité, l'intégrité et l'authentification.
Puis séparement il reste à trouver les avantages et inconvénients des outils d'implémentation, qu'ils apportent selon les plate_formes linux et windows.
La difficulté majeure dans ma recherche est la confusion que font certains rédacteurs entre protocole, outil et modes et bien évidement aussi le manque de doc ou contact.
Please help, je lance à nouveau un SOS car l'échéance pour moi se rapproche pour mon rendu de doc.
Merci d'avance

[iffefroi]

A l'heure actuelle, tous les protocoles de sécurisation se valent ...
Ils gèrent tous l'authentification des pairs, la vérification de l'intégrité des données, et la confidentialité des données.
Je pense que tu as déjà pu voir que IPSec était au niveau IP, SSL et entre TCP et une couche du sessus (HTTP par exemple qui donne de l'HTTPS) et SSH et openSSH est un protocole basé sur SSL qui est une application à part entière.
La plupart des implémentations de ces 3 protocoles sont encore en développement ce qui entraîne que les implémentations se rôdent de plus en plus.
En ce qui concerne les algorithmes utilisés pour la cryptographie, la plupart des implémentations gèrent le 3DES (qui suffit si on est pas parano) et de plus en plus d'implémentations gère l'AES, selon les versions.

IPSec:
-------
outil
-----
linux
- FreeSWan
- SuperFreeSwan
- OpenSWan
- StrongSWan
windows
- Windows 2003 Server (à vérifier)
solution matériel
- toutes les marques de firewall qui existen

client
linux :
- les mêmes
windows :
- windows XP SP2 par défaut si si
y en a des tripotées : un par constructeur

principaux problèmes :
-----------------------
assez compliqué à mettre en place
souvent des implémentations qui ne passent pas les NAT et les masquage d'adresse IP

principaux avantages :
-----------------------
selon les implémentations : on fait partie du réseau à part entière
une fois mis en place les modifications de politiques de sécurisation se changent aussi facilement qu'une règle de firewall

SSL
----
principaux inconvénients :
------------------------------
souvent une implémentation par protocoles à sécuriser, sauf dans le cas des wrappers
ne sécurise pas de l'UDP

principaux avantages :
--------------------------
soit disant plus facile à mettre en place ...(sauf que j'ai jamais réussi à comprendre les man de openssl )

SSH :
------
outil :
------
linux:
- openSSH
windows:
client : putty
serveur : cygwin+OpenSSH

principal inconvénient :
---------------------------
très lourd pour les tunnels (ce n'est pas fait pour à la base)
utilisation des tunnels spécial : joindre le localhost pour joindre le distant

principal avantage :
-----------------------
simple, pratique facile à mettre en place entre openSSH et putty
très pratique pour le ssh, le sftp et le scp proprement dit


Voilà
J'ai répondu un peu rapidement, si tu veux essayer d'avoir des réponses claires; pose les une par une. Ce sera plus simple pour moi.

Iffefroi

[maestro1303]

Bonjour tout le monde,

Est ce que quelqu'un peut m'aider à :

1) mettre en place un serveur SSH sous windows 2003 server: Est ce qu'en natif ce service peut être activé sous windows 2003 server.
2) Télécharger cygwin sur une machine puis transférer le package sur le vrai serveur ayant windows 2003 server puis l'installer étant entendu que cette machine ne peut être connecté à Internet, car sur le réseau d'un ami qui est particulièrement paranoïaque et dont le réseau a réellement des données trop sensibles.

Merci de votre aide.

[fabzz007]

J'avais poster e message un jour sur un autre forum... ce n'est pas de moi au départ mais j'avais ajouter certains détails... ça date un peu mais je pense que ça devrait tout de même aider

@+++

[align=center]Installer un serveur ssh sous WINDOWS[/align]

Cet article va vous expliquer comment installer et configurer un serveur ssh sous Windows et provient de l'url http://www.commentcamarche.net/forum/af ... erveur-ssh

Nécessite:
- Windows 2000, XP ou 2003. (Cette installation n'est pas faisable sous Windows 95/98/ME.)

Outils utilisés:
- OpenSSH (par le shell et l'installeur Cygwin)
[hr]
ETAPE 1 - Installation de Cygwin :

1) téléchargez l'installeur Cygwin (setup.exe) de http://www.cygwin.com/ et lancez-le.

1.a) Fenêtre "Choose installation type": Choisissez "Install from internet"

1.b) Fenêtre "Choose Installation Directory": Laissez toutes les valeurs par défaut.

1.c) Fenêtre "Select Local Package directory": Laissez les valeurs par défaut. (Les fichiers d'installe cygwin seront placés dans un sous-répertoire de setup.exe)

1.d) Fenêtre "Selection connection type": Entrez d'éventuels paramètres de proxy si vous en utilisez un.

1.e) Fenêtre "Choose Download Site(s)": Choisissez un site de téléchargement proche de chez vous. Par exemple, en Belgique, choisissez les serveurs en .be. En France, choisissez les serveurs en .fr. Au pire, choisissez des serveurs dans des pays voisins (exemple: .de (Allemagne) pour la France.)

1.f) Fenêtre "Select packages", cliquez sur le bouton "View" pour voir la liste des paquets. Descendez dans la liste pour trouver "openssh: The OpenSSH server and client programs" et cliquez sur le mot "Skip" pour sélectionner ce package. Le mot "Skip" doit alors être remplacé par la version d'openssh (pa exemple "4.2p1-1") D'autres packages vont automatiquement être sélectionnés. Cliquez sur "Next": Le Téléchargement commence. (Il va télécharger environ 17 Mo de fichiers.)

1.g) Fenêtre "Create icons": cliquez sur "Finish".

L'installation de Cygwin est terminée
[hr]


ETAPE 2 - Configuration du serveur ssh

2.1) Modification de l'environnement:

- faites un clic-droit sur le poste de travail > "Propriétés" > "Avancé"
> "Variables d'environnement" > "Variables système".

- Cliquer sur "Nouveau", et entrer la variable: CYGWIN valeur: ntsec tty

- Sélectionnez PATH dans la liste, cliquez "Editer" et ajoutez: ;C:\Cygwin\bin à la fin du chemin.

2.2) Création des groupes et utilisateurs : Ouvrez la fenêtre Cygwin.

2.2.a) Créez les users et les groupes:
- Users : mkpasswd -l > /etc/passwd
- Groupes: mkgroup -l > /etc/group

Cela va prendre les users et groupes de Windows et les créer dans les fichiers correspondants Cygwin.

Pour utiliser les groupes/users du domaine (au lieu de local), remplacez -l par -d

Pour ajouter un user précis, utilisez -u. Exemple: mkpasswd -u johnny -l > /etc/passwd

Pour ajouter un group précis, utilisez -g. Exemple: mkgroup -g utilisateurs -l > /etc/group

2.2.b) Lancez: ssh-host-config -y

Il est possible qu'il demande un mot de passe pour la création d'un user "sshd_server"
(par exemple sous Windows 2003). C'est le user qui sera utilisé pour faire tourner
le service sshd.

Quand il demande "CYGWIN=", entrez: ntsec tty

Cela va créer le service sshd dans Windows.
Il apparaîtra sous le nom "CYGWIN sshd" dans la liste des services.
Il est en principe configuré pour démarrer automatiquement, mais il n'est pas encore démarré.

[hr]
ETAPE 3 - Lancement du service sshd et test

3.a) Démarrez le service avec la commande: net start sshd ou: cygrunsrv -S sshd

(Notez que le service démarrera automatiquement au prochain redémarrage de Windows: Vous n'aurez donc plus à taper cette commande.)

3.b) Testez le service.
Utilisez le client ssh fourni avec cygwin: ssh monlogin@localhost ou bien Putty (client ssh gratuit): http://www.chiark.greenend.org.uk/~sgtatham/putty/

A la première connexion, le client ssh va probablement vous demander de confirmer la clé.

Ensuite, après l'entrée du mot de passe, vous devez obtenir un shell.

Vous pouvez voir la connexion en tapant: echo $SSH_CONNECTION (Port 22 = votre serveur ssh)

[hr]
REMARQUES

Gestion des utilisateurs

Tout utilisateur déclaré dans /etc/passwd pourra se loguer sur le serveur ssh. Vous pouvez donc limiter la liste des utilisateurs pouvant se connecter sur le serveur ssh en modifiant le fichier C:\cygwin\etc\passwd

Note: vous devez laisser les users sshd et sshd_server. Le serveur ssh en a besoin.

Accès aux disques Windows

N'oubliez pas que sous le shell Cygwin, vous pouvez accéder à vos disques Windows:
Par exemple, /cygdrive/c pour accéder à C: (et ainsi de suite pour les autres lecteurs.)

Utilisations

En plus du shell, vous avez bien entendu la possibilité d'utiliser votre serveur ssh pour le transfer sécurisé de fichiers (scp/sftp).
Sous Windows, on trouve des clients scp/sftp gratuits:
- pscp/psftp : http://www.chiark.greenend.org.uk/~sgtatham/putty/
- WinSCP : http://winscp.net/

Le serveur SSH peut également tunneller pour vous tout protocole basé sur TCP. (Pour être précis, c'est équivalent à un port-forwarding distant).
Exemple, pour établir un tunnel:
Votre machine -----> client ssh local (port 777) -----> serveur ssh (port 22) ----> pop.free.fr (port 110).

On entrerait:
ssh -L 777:pop.free.fr:110 monLogin@monServeurSsh

Puis il suffit de connecter votre logiciel de mail sur localhost:777 au lieu de pop.free.fr:110 : ssh tunnellera tout cela vers pop.free.fr, port 110.
Vous pourrez donc lire votre courrier sur localhost:777.
Cela peut être utile pour traverser des réseaux non sûrs (par exemple tout ce qu'il y a entre votre machine et le serveur ssh).

Sécurité

Pour compléter cette installation, il faudrait ajuster les droits d'accès aux fichiers du user utilisé pour lancer le service sshd afin d'améliorer la sécurité.

Pensez à lancer de temps en temps l'installeur Cygwin pour mettre à jour openssh et openssl. (Arrêtez le service avant de faire cette mise à jour.).
Cela vous permettra de bénéficier des mises à jour de sécurité d'openssh et openssl.

Et Voilà ©

--EDIT

Comment désinstaller Cygwin

CygWin ne possède pas de déinstalleur intégré, mais ce logiciel étant propre, il n'éparpille pas ses fichiers sur le disque.
Il est facile à déinstaller à la main.

Voici les étapes:

Etape 1

IMPORTANT: Si vous aviez installé des services (tels que Apache ou sshd par exemple), il est très important d'arrêter ces services et les déinstaller avant de déinstaller cygwin.

Pour arrêter un service:

Code: Tout sélectionner

cygrunsrv -E nomDuService

ou bien passez par le panneau de configuration de Windows.

Puis pour supprimer le service:

Code: Tout sélectionner

cygrunsrv -R nomDuService

Etape 2

Supprimez le répertoire c:\cygwin et tout ce qu'il contient.


Etape 3

Supprimez le sous-répertoire qui se trouve juste en dessous de setup.exe : il contient tout ce que l'installeur cygwin a téléchargé.

Ce répertoire porte un nom long qui correspond au miroir que vous avez utilisé pour télécharger Cygwin.
Par exemple: http%3a%2f%2fcygwin.cict.fr


Etape 4

Prenez Regedit et supprimez les 2 entrées suivantes en base de registre:

HKEY_LOCAL_MACHINE\SOFTWARE\Cygnus Solutions
et
HKEY_CURRENT_USER\Software\Cygnus Solutions

Etape 5

Retirez les raccourcis que Cygwin a créé sur votre bureau et dans le menu Démarrer.


Etape 6

Eventuellement, retirer le chemin c:\cygwin ou c:\cygwin\bin qui aurait été ajouté à la variable d'environnement PATH.
(Clic-droit sur le poste de travail > Propriétés > onglet "Avancé" > Variables d'environnement)

C'est terminé.

[maestro1303]

Merci beaucoup de ton aide.

Ce que tu m'as envoyé est d'une utilité inestimable pour moi.

Je dispose de 7 serveurs sous Wind2003 et je veux que certaines personnes dans un autre pays puissent s'y connecter et faire certaines opérations de maintenance, les 7 machines sont dans le même rack et sont dans le même espace d'adressage privé. Avec Nat elles ont chacune une adresse publique fixe.

Avec ce que tu me donne j'ai pu installer openssh sur l'un d'eux et il est accessible depuis l'extérieur, donc très bien.

Sur les autres j'arrive à suivre la procédure et à installer ssh jusqu'au lancement. et le même utilisateur qu'au premier serveur, il m'affiche:

-Permission denied bad password
-Permission denied (publickey,password,keyboard-interactive).

Pour le compte admin il ne pose pas le même problème et il accepte l'authentification.


Mais pour l'extérieur je veux ce compte limité qui ne marche plus que sur le premier serveur.

Lors de l'install, j'ai remarqué à la fin qu'il me parle de "separate privilege ..." c'est peut être dû à cela.

Pourtant cet utilisateur existe bien et son password est correct. Il doit me manquer quelque chose ou des fichiers de conf doit être revus.

Autres chose je remarque q'il me crée dans win 2003 2 autres users: SSH(qqchose) et sshd

Je suis perdu. Aidez moi comme vous l'avez si bien fait déjà.

[fabzz007]

c'est surement du^à ton fichier /etc/passwd de cygwin...

Es-ce que ton utilisateurs apparait dans ce fichier ou pas ? sinon reporte toi à la section 2.2) du HOW-TO


Si malgré tout tu n'y arrive toujours pas supprime complètement le fichier passwd et recommence 2.2)


Pour les users ssh(qqchose) et sshd c'est normale ce sont des users créés lors de l'installation de sshd (service ssh). Ils sont utilie au bon fonctionnement de ton serveur ssh.

Pour le message concernant les "separate privilege" il me semble que c'est une question du genre "do you want to use separate privileges" il faut dire Yes de mémoire...

Courage à plus

[maestro1303]

Merci beaucoup de votre aide,

ça marche à présent.

Merci!

[maestro1303]

Bonjour tout le monde,

Tout d'abord (re)Merci pour toute votre aide sur le sujet "Retour Expérience, SSH....", car ça m'a permi de bien installer et configurer Cygwin et OpenSSH sur mes serveurs.

J'ai vu un peu partout qu'il y a une documentation sur la possibilité de mettre en place un tunnel ssh et de lire son mail, faire du ftp dans ce même tunnel. j'avoue que j'ai lu plein de doc sur ce sujet, mais que je n'ai pas pu aller jusqu'au bout. En d'autre terme je n' ai pas pu lire mes mails à travers ce tunnel, à l'inverse de ce qui est dans la documentation.

Alors si quelqu'un peut m'aider à :

1) Enclencher une discussion à ce sujet

2) Me fournir une doc qui détaille pas à pas la mise en place d'une telle solution.


Merci d'avance!