sécurité tunnel ssh & rdp

par **Zitoirz** » 03 Avr 2005 23:58

Bonjour,
Je ne sais pas si je poste au bon endroit (sécu réseau ou Ipcop)... donc excusez moi d'avance.

Voila, je possède un IpCop 1.4.4 placé derrière un routeur dans ma société.
J'aurais besoin de mettre en place un accès distant sécurisé à un serveur RDP (terminal server krosoft) & un telnet.

J'ai d'abord pensé à mettre en place un tunnel SSH en activant le forward tcp dans le serveur SSH d'IpCop & en utilisant putty coté client. Qu'en pensez vous ? pour cette solution que conseillez vous pour renforcer la sécurité ? Je ne suis pas un expert linux ni en sécurité, c'est pourquoi je vous demande votre avis.

J'ai aussi pensez a un vpn mais ça a l'aire un peut compliquer quant un routeur viens s'intercaller entre le Wan et le LAN, Ipsec n'aime pas trop le NAT. De plus il faut que cette solution fonctionne à la fois quand le client est relié directement à internet ou quand lui aussi passe par de la translation d'adresse. Un peut casse tête donc...

Dites moi ce que vous en pensez ou si vous avez de meilleurs idée.

Merci d'avance,
Zitoirz.

par **benoitg** » 05 Avr 2005 11:42

Bonjour,

le probleme du tunnel ssh avec un client rdp est que le point d'entree du tunnel est un port local de ta machine. Donc si tu ouvres le client RDP de windows et que tu lui dis "localhost" (puisque tu forwardes ton port localhost), il te repondra qu'il est deja connecté sur cette console... Merci Windows...

Pour IPSec, il existe en general une option NAT-Transversal, qui en fait encapsule les packets IPSec dans un port UDP.

Benoit.

par **olive007** » 06 Avr 2005 23:56

Je serais toi :
1) deja j utliserai SSH qui est crypter et pas telnet.
2) Si tu veux pas de VPN alors mettre la machine sur laquelle on se connect en SSH ou RDP en DMZ car pour la securité c mieux, ca l isole de ton reseau.
3) Ensuite il faut transferer les ports 3389 (RDP) et 22 (SSH)sur ta machine a atteindre et la tu peux modifier les numeros de ports en faisant par exemple transfert de port 498 vers 3389 de ton serveur à atteindre comme ca les petits malins qui scqnne les ports ouverts il verront pas que le port 3389 est ouvert mais le port 498 (ou autre d ailleurs c'est 1 exemple) comme ca tu sais pas que c'est pour RDP.

par **West** » 07 Avr 2005 01:33

j'utilise le server ssh de ipcop avec putty sur un portable au boulot pour faire du tse, vnc, ssh !! quasiement n'importa quoi sans probleme, là, juste par curiosité je tente le smb over nbt (partage smb "netbios"). c'est un peu plus compliqué mais c'est aussi faisable, afin d'acceder au partage de mon serveur samba de l'exterieur, c'est sur que faire un vpn type roadwarrior est plus simple (apres config de celui ci) mais c'est surtout par curiosité technique ds mon cas.

sur le fichier sshd_config penses a mettre "yes" pour le tcpforwarding, et activé ton serveur ssh ds le gui et aussi ajouter l'acces externe du port 222, c'est tout au niveau de ipcop.

Coté putty, rien de particulier à part la création du tunnel
ds source port tu tapes un port non utilissé sur ton poste (3399 par ex)
et ds destination l'ip suivi du port tse du poste auquel tu veux acceder sur le reseau local (vert ou orange)
ex:
si ton serveur tse a l'adresse 192.168.1.2, dc tu mets ds destination: 192.168.1.2:3389

t'accedes donc a ton tse apres avoir ouvert une session ssh en tapant : loclahost:3399 ou 127.X.X.X:3399 depuis "bureau a distance"

t'enregistre et c'est tout, enfin presque. pour le pb de bouclage en sp2 il ya ce patch :
http://www.clubic.com/actualite-16485-x ... ge-ip.html
tu reboot et tout devrais fonctionner sans pb, le tse fonctionne tres bien sans lag ou pb d'affichage etc..

En procedant de cette maniere cela t'évites d'ouvrir un tas de ports sur ton ipcop, t'as juste un port ouvert ssh et c'est tout, t'accedes au reste du reseau en passant par ce tunnel ssh.
tu px aussi faire un .bat qui lance ta session enregistrée dans putty avec plink(ligne de cmd de putty) avec le mot de passe et le user en clair ds le fichier bat ( dc attention aux acces à ton poste). tu cliques juste sur le .bat, 3 sec apres ton tunnel est pres.

par **Zitoirz** » 15 Avr 2005 11:34

cela fonctionne parfaitement. Par contre pour le RDP il faut prendre le clients de version inferieur à celui fournit dans Xp. Sinon cela ne fonctionne pas, fameux message "Il y a dejà une connexion à la console.."
Merci à tous.

par **schlouf** » 19 Avr 2005 06:15

Pour que le client rdp de xp fontionne, il suffit de copier mstsc.exe et mstscex.dll dans un repertoire autre que le system32, dans les proprietes de l'exe activer le mode de compatibilite win98 et creer un shortcut vers ce dernier. Apres cette modif, meme le client rdp de xp voudra bien se connecter sur localhost.

par **leso** » 19 Avr 2005 09:29

West a écrit:
sur le fichier sshd_config penses a mettre "yes" pour le tcpforwarding, et activé ton serveur ssh ds le gui et aussi ajouter l'acces externe du port 222, c'est tout au niveau de ipcop.

Coté putty, rien de particulier à part la création du tunnel
ds source port tu tapes un port non utilissé sur ton poste (3399 par ex)
et ds destination l'ip suivi du port tse du poste auquel tu veux acceder sur le reseau local (vert ou orange)
ex:
si ton serveur tse a l'adresse 192.168.1.2, dc tu mets ds destination: 192.168.1.2:3389

t'accedes donc a ton tse apres avoir ouvert une session ssh en tapant : loclahost:3399 ou 127.X.X.X:3399 depuis "bureau a distance"

et le tunnel est ouvert tant que putty est ouvert c'est ca?
Faut forwader les ports ou pas (ca m'étonnerait mais bon)
Ca marche vers une adresse de orange?

par **West** » 19 Avr 2005 11:36

pour le rdp, j'ai utilisé le client rdp de XP sans plus, l'executable se trouve dans le system32, ca marche sans probleme.

il y a pas besoin de faire de transfert de port, sauf pour le port ssh ou il faut le mettre ds acces externe comme je l'ai ecrit ainsi que la modif du script du server ssh, mais ds la 1.4.5 tu px faire cette modif depuis le gui.

il faut laisser putty ouvert tant que tu te connecte au vpn léger (le mieux est d'utilisé plink de putty c'est plus rapide)

oui tu px te connecter à l'orange faut juste mettre l'ip de l'orange avec le bon port ds putty

par **leso** » 19 Avr 2005 12:23

oki pour toutes ces réponses

par **leso** » 19 Avr 2005 15:08

encore une petite question si on est sur un poste distant et qu'on veut accéder au tse d'un machine en dmz chez soi, a quel endroit faut entrer l'ip externe de l'ipcop ? et celle de l'ip interne du post qu'on veut accéder?

par **leso** » 19 Avr 2005 15:11

c'est bon j'ai rien dit j'ai trouvé

sécurité tunnel ssh & rdp

sécurité tunnel ssh & rdp

Qui est en ligne ?