Chapitre 11. Protocole SSH

Ce chapitre parle des avantages du protocole SSH™, de la séquence d'événements se produisant lors d'une connexion sécurisée à un système distant, des différentes couches de SSH et des méthodes pour assurer que les utilisateurs qui se connectent à votre système utilisent le protocole SSH.

Les méthodes communément utilisées pour se connecter à distance à un autre système au moyen d'un shell (telnet, rlogin ou rsh) ou pour copier des fichiers entre ordinateurs hôtes (ftp ou rcp) ne sont pas sécurisées et devraient donc être évitées. Vous devriez plutôt vous connecter à un ordinateur hôte distant au moyen d'un shell sécurisé ou d'un réseau privé virtuel chiffré. En utilisant des méthodes sécurisées pour vous connecter à distance à d'autres systèmes, vous réduisez les risques en matière de sécurité, pour votre système et le système distant.

Introduction

SSH (ou Secure SHell) est un protocole servant à créer une connexion sécurisée entre deux systèmes. Grâce à SSH, un ordinateur client peut initier une connexion avec un ordinateur serveur et profiter des mesures de sécurité suivantes :

Un serveur peut aussi tirer parti du protocole SSH, particulièrement s'il exécute de nombreux services. Si vous utilisez la retransmission de port, des protocoles normalement non sécurisés (comme POP par exemple) peuvent être chiffrés et envoyés en toute sécurité à des ordinateurs distants. Il est relativement facile avec SSH de crypter différents types d'informations échangées lors des communications qui sont habituellement envoyées de manière non sécurisée sur les réseaux publics.

La Red Hat Linux 7.1 contient le serveur OpenSSH (openssh-server) et les paquetages client (openssh-clients), ainsi que le paquetage OpenSSH général (openssh) qui doit être installé sur l'un des deux ordinateurs pour que le tout fonctionne. Veuillez vous reporter au Guide de personnalisation officiel Red Hat Linux pour avoir les instructions d'installation et d'utilisation d'OpenSSH sur votre système Red Hat Linux.

Les paquetages OpenSSH nécessitent le paquetage OpenSSL (openssl). OpenSSL installe de nombreuses bibliothèques cryptographiques importantes qui aident OpenSSH à chiffrer les communications. Vous devez installer le paquetage openssl avant d'installer tout autre paquetage OpenSSH.

Un grand nombre de programmes client et serveur peuvent utiliser le protocole SSH, dont de nombreuses applications sources ouvertes et disponibles gratuitement. Il existe plusieurs versions de clients SSH pour les principaux systèmes d'exploitation utilisés aujourd'hui. Donc, même si un utilisateur se connectant à votre système n'utilise pas Red Hat Linux, il peut tout de même avoir recours à un client SSH fait pour son propre système d'exploitation.

Pourquoi utiliser SSH ?

L'interception de paquets, la mystification[2] DNS et IP, ainsi que la diffusion de fausses informations de routage ne sont que quelques exemples des menaces qui planent lors des communications en réseau. En d'autres termes, nous pourrions catégoriser ces menaces de la façon suivante :

  • Interception d'une communication entre deux systèmes — ce scénario implique la présence d'un troisième élément quelque part sur le réseau entre les deux systèmes connectés qui copie l'information échangée entre eux. Celui-ci peut copier et garder l'information ou alors la modifier avant de l'envoyer au destinataire prévu.

  • Usurpation de l'identité d'un hôte — grâce à cette technique, un système intercepteur prétend être le destinataire désiré d'un message. Si cela fonctionne, le client ne s'en rend pas compte et continue de lui envoyer toute l'information, comme s'il était connecté au bon destinataire.

Dans les deux cas, l'information est interceptée (probablement pour des raisons hostiles). Le résultat peut être catastrophique, peu importe qu'il soit obtenu par l'interception de tous les paquets sur un réseau local d'entreprise ou au moyen d'un serveur DNS piraté qui pointe vers un hôte mal intentionné.

L'utilisation du protocole SSH pour effectuer une connexion shell à distance ou copier des fichiers permet de faire diminuer sensiblement ces menaces à la sécurité. La signature numérique d'un serveur fournit la vérification pour son identité. En outre, la communication complète entre un système client et un système serveur ne peut être utilisée si elle est interceptée car tous les paquets sont chiffrés. De plus, il n'est pas possible d'usurper l'identité d'un des deux systèmes, parce que les paquets sont chiffrés et leurs clés ne sont connues que par les systèmes local et distant.

Notes

[1]

X11 fait référence au système d'affichage de fenêtres X11R6, généralement appelé X. Red Hat Linux comprend XFree86, un système X Window sources ouvertes très utilisé, basé sur X11R6.

[2]

La mystification est l'acte de laisser croire aux autres que l'on est un système précis sans l'être véritablement.