vérifier bon fonctionnement tunnel ssh

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

vérifier bon fonctionnement tunnel ssh

Messagepar tuxpux » 26 Fév 2007 15:49

Bonjour a tous
j'ai mis en place sur 2 machines windows cygwin avec openssh pour faire du tunneling ssh pour la vnc.
la redirection de ports fonctionne bien (en vnc mais aussi en pop ou autre protocole), mais j'ai voulu savoir si cela fonctionnait bien (cryptage)
j'ai utilisé ethereal pour faire une capture de mes packets sortants de l'interface réseau de mon client et surprise, je vois mes mots de passes en clair dans ces captures.
je me demande si ce n'est pas normal (genre mes packets sont capturés avant le tunnelling) mais j'aimerais avoir une "preuve" du bon fonctionnement de ce tunnel et ainsi apporter une preuve de "l'efficacité" de cette mise en place.

merci d'avance à vous pour vos éclairages.
tuxpux
Matelot
Matelot
 
Messages: 6
Inscrit le: 30 Jan 2006 17:12

Messagepar tomtom » 26 Fév 2007 16:05

filtre ton ethereal sur le port 22 et tu sauras si des paquets partent en clair ou en chiffré ;)

Pas de raison que ça ne fonctionne pas, sauf erreur de configuration !

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar fred-info » 26 Fév 2007 16:20

Bonjour,

Tu vois des password en clair c'est sur que t'es pas crypté. ...
Je vois même pas comment tu peux te poser la question.

Dans ethereal la colonne info affiche en premier soit le nom du proto associé à un port (s'il est connu) soit le numéro du port.

Si tu peux d'écrire ton archi. ça peut aider à comprendre. D'où sont faites les captures, quels ports sont redirigés et vers quoi, etc...

Regarde aussi du coté d'Ultravnc, perso j'ai opté pour en utilisant leur module de cryptage.

Et surtout passe en version vnc 4.1.2 gros trou de sécurité sinon.

A+
fred-info
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Oct 2006 14:57

Messagepar Walkyrie_II » 27 Fév 2007 10:10

A moins d'avoir mis l'algo à NULL, impossible. (Ou d'avoir une version backdoorée mais ca aurait été plus discret)

je me demande si ce n'est pas normal (genre mes packets sont capturés avant le tunnelling)

OpenSSH ne fonctionne pas avec un interface tun il n'y a pas de notion de tunneling par une interface. C'est l'application qui CHIFFRE. (grrrr crypter n'existe pas en francais :roll: ) http://fr.wikipedia.org/wiki/Chiffrement#.C2.AB_Cryptage_.C2.BB_.3F

PS / pourquoi installer cygwin ?? Il y a une version toute faite/compiler sur sourceforge en 3.8... http://sshwindows.sourceforge.net/
PS2 / tu n'aurais pas fait un ssh sur le port telnet par megarde ?
Walkyrie_II
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 04 Fév 2006 21:33
Localisation: Paris

Messagepar fabzz007 » 27 Fév 2007 10:19

Juste une piste au cas où : Est-ce que tu utilise véritablement ton tunnel pour la communication ? Je m'explique si tu fais tes test sur un lan peut être que tu ne contact pas l'autre machine via la tunnel mais via le lan...

si tu fais un tunnel comme suit : L5000 192.168.1.1:3389 il faut bien utiliser 127.0.0.1:5000 pour passer par le tunnel...

Mes excuses si ma remarque est idiote mais on ne sait jamais ;)

courage @+
Avatar de l’utilisateur
fabzz007
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 339
Inscrit le: 13 Mai 2004 14:36
Localisation: Lyon

Messagepar tuxpux » 27 Fév 2007 19:48

alors je viens aux news
fabz007 non j'utilise bien le tunnel et non pas le lan

A moins d'avoir mis l'algo à NULL, impossible. (Ou d'avoir une version backdoorée mais ca aurait été plus discret)

la je ne comprend pas !
PS / pourquoi installer cygwin ??
car d'apres ce que je lis les dernieres news datent de 2004 alors qu'avec cygwin je peux faire des mises a jours
et je n'ai pas fais de ssh sur le port telnet ;-)

par contre chose que je ne comprend pas et qui va petre vous indiquer une mauvaise manip de ma part mais lors de mes test hors lan qui fonctionnent (enfin la vnc fonctionne le cryptage j'ai pas pu verifier)
j'avais le port vnc d'ouvert sur mon routeur (le port 5905 pour etre exact, ceci afin de m'aider a mettre en place mon test)
une fois que j'ai crée la connexion de mon client vers le serveur

L111(pourquoi pas!) ladresseipdemonserveur:5905 et en me connectant en vnc sur localhost:111
cela fonctionne bien
mais je me suis dit, je vais virer ma regle de routeur qui redirige le port 5905 vers l'ip locale de mon serveur car comme j'utilise le tunnel ssh je ne dois pas avoir besoin de cette regle.....
et paf impossible de me reconnecter
alors je ne comprends pas bien ce qui se passe si ce n'est que je dois faire une mauvaise manip (je trouverais dommageable qu'il faille rediriger et le ssh et le vnc vers l'ip du serveur en local)
merci encore a vous pour le temps passé sur mon probleme mais je débute et merci de bien vous mettre a mon niveau
:D
tuxpux
Matelot
Matelot
 
Messages: 6
Inscrit le: 30 Jan 2006 17:12

Messagepar Walkyrie_II » 28 Fév 2007 03:29

tuxpux a écrit:
A moins d'avoir mis l'algo à NULL, impossible. (Ou d'avoir une version backdoorée mais ca aurait été plus discret)

la je ne comprend pas !


Openssl te permet d'utiliser
- eNULL, NULL
the ``NULL'' ciphers that is those offering no encryption. Because these offer no encryption at all and are a security risk they are disabled unless explicitly included.
- aNULL
the cipher suites offering no authentication. This is currently the anonymous DH algorithms. These cipher suites are vulnerable to a ``man in the middle'' attack and so their use is normally discouraged.

SSL v3.0 cipher suites.

SSL_RSA_WITH_NULL_MD5 NULL-MD5
SSL_RSA_WITH_NULL_SHA NULL-SHA
..............................
SSL_FORTEZZA_KEA_WITH_RC4_128_SHA Not implemented.

TLS v1.0 cipher suites.

TLS_RSA_WITH_NULL_MD5 NULL-MD5
TLS_RSA_WITH_NULL_SHA NULL-SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5
...............................
TLS_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA


Du fait de la compilation avec la lib d'openssl, on peut théoriquement à des fins de test utiliser des algo a null à moins que Openssh bloc donc son code ce type d'algo.
http://www.openssl.org/docs/apps/ciphers.html
Walkyrie_II
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 04 Fév 2006 21:33
Localisation: Paris

Messagepar tuxpux » 28 Fév 2007 09:41

en effet mais moi a part avoir installé openssh via cygwin je n'ai touché a rien comme options.
tuxpux
Matelot
Matelot
 
Messages: 6
Inscrit le: 30 Jan 2006 17:12

Messagepar S0l0 » 28 Fév 2007 11:07

Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar tuxpux » 28 Fév 2007 13:10

merci pour le lien mais j'aimerais utiliser la solution cygwin openssh plutot que de refaire toute une installation avec les softs utilisé dans cet exemple
ma question était de vérifier si ma connexion était bien cryptée!
j'en profite pour rajouter que lorsque je me connecte en vnc avec putty, des que je coupe putty la connexion vnc se clot immédiatement
c'est bien un signe que la vnc emprunte le tunnel non ?
merci
tuxpux
Matelot
Matelot
 
Messages: 6
Inscrit le: 30 Jan 2006 17:12


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron