SSH™ (ou Secure SHell) est un protocole qui facilite les connexions sécurisées entre deux systèmes à l'aide d'une architecture client/serveur et permet aux utilisateurs de se connecter à distance à dessystèmes hôte de serveurs . Toutefois, contrairement à des protocoles tels que FTP ou Telnet, SSH crypte la session de connexion et empêche ainsi tout agresseur de recueillir des mots de passe non cryptés.
SSH est conçu pour remplacer les applications de terminal plus anciennes et moins sécurisées qui sont utilisées pour se connecter à des hôtes distants, comme telnet ou rsh. Un programme similaire appelé scp remplace des programmes moins récents conçus pour copier les fichiers entre les différents hôtes, tels que rcp. Étant donné que ces applications plus anciennes ne cryptent pas les mots de passe entre le client et le serveur, il est recommandé d'éviter autant que possible leur utilisation. En effet, grâce à l'utilisation de méthodes sécurisées pour toute connexion à distance à d'autres systèmes, les risques en matière de sécurité, aussi bien pour le système client que pour l'hôte distant, sont considérablement réduits.
SSH offre les garanties de sécurité suivantes :
Après avoir effectué une connexion initiale, le client peut s'assurer que sa connexion est établie avec le même serveur que lors de sa session précédente.
Le client transmet ses données d'authentification au serveur au moyen d'un cryptage solide 128 bits.
Toutes les données envoyées et reçues lors d'une session sont transférées au moyen d'un cryptage 128 bits, rendant ainsi le décryptage et la lecture de toute transmission interceptée extrêmement difficile.
Le client peut retransmettre des applications X11 [1] à partir du serveur. Cette technique, appelée retransmission X11, fournit un moyen sécurisé pour l'utilisation d'applications graphiques sur un réseau.
Étant donné que le protocole SSH crypte tout ce qu'il envoie et reçoit, il peut être utilisé pour sécuriser des protocoles autrement vulnérables. Grâce à la technique de retransmission de port, un serveur SSH peut être employé pour sécuriser des protocoles non-sécurisés tels que POP, augmentant ainsi la sécurité globale du système et de ses données.
Red Hat Enterprise Linux contient le paquetage général OpenSSH, (openssh) aussi bien que les paquetages serveur OpenSSH (openssh-server) et client OpenSSH (openssh-clients). Consultez le chapitre intitulé OpenSSH du Guide d'administration système de Red Hat Enterprise Linux pour obtenir des instructions sur l'installation et le déploiement d'OpenSSH. Notez également que les paquetages OpenSSH ont besoin du paquetage OpenSSL (openssl). qui installe de nombreuses bibliothèques cryptographiques importantes permettant à OpenSSH de crypter les communications.
Les utilisateurs malveillants d'ordinateurs disposent d'une variété d'outils pour interrompre, intercepter et réacheminer le trafic de réseaux afin de s'octroyer l'accès à un système. De manière générale, ces menaces peuvent être répertoriées comme suit :
Interception d'une communication entre deux systèmes — Dans ce scénario, le pirate peut se trouver quelquepart sur le réseau entre les entités qui communiquement et peut copier les informations qu'elles se transmettent. Le pirate peut intercepter et garder les informations ou peut les modifier avant de les envoyer au destinataire prévu lors de l'envoi original.
Cette attaque peut être orchestrée en utilisant un programme renifleur — un utilitaire réseau courant.
Usurpation de l'identité d'un hôte — grâce à cette technique, le système d'un pirate prétend être le destinataire souhaité d'une transmission. Si cette stratégie fonctionne, le système de l'utilisateur ne détectera pas qu'il communique en fait avec un hôte faux.
Ce type d'attaque peut être organisé grâce à l'utilisation de techniques connues sous le nom d'empoisonnements DNS [2] ou usurpation d'adresse IP [3].
Ces deux techniques permettent d'intercepter potentiellement des informations confidentielles et si cette interception est effectuée pour des raisons hostiles, le résultat peut être catastrophique.
L'utilisation du protocole SSH pour effectuer une connexion shell à distance ou copier des fichiers permet de faire réduire considérablement ces atteintes à la sécurité. La signature numérique d'un serveur fournit la vérification pour son identité. En outre, la communication complète entre un système client et un système serveur ne peut être utilisée si elle est interceptée, car tous les paquets sont cryptés. De plus, il n'est pas possible d'usurper l'identité d'un des deux systèmes, parce que les paquets sont cryptés et leurs clés ne sont connues que par le système local et le système distant.
[1] | X11 fait référence au système d'affichage de fenêtres X11R6, généralement appelé X Window System ou X.Red Hat Enterprise Linux, y compris XFree86, un système X Window System Open Source |
[2] | L'empoisonnement DNS a lieu lorsqu'un intrus pénètre dans un serveur DNS, dirigeant les systèmes client vers la copie d'un hôte avec une intention malveillante. |
[3] | L'usurpation d'adresse IP se produit lorsqu'un intrus envoie des paquets réseau qui apparaissent faussement comme provenant d'un hôte de confiance.du réseau |
Précédent | Sommaire | Suivant |
Ressources supplémentaires | Niveau supérieur | Versions du protocole SSH |