Discussion :

[poussinvert]

Bonjour,
Je dispose d'un serveur ubuntu server avec open-ssh, et mySecureShell pour avoir une connexion SFTP via filezilla.
Je souhaiterais en quelque sorte "étendre" les échanges sécurisés à firefox.
La solution la plus logique pour moi serait de créer un tunnel SSH, puisque je travaille déjà en SSH.

Mais on a tous entendu parler des VPN aussi...

Je sais que ce sont deux choses complétement différentes, mais au final, laquelle des deux solutions est la plus sécurisante, autant sur le réseau local d'où le client se connecte, que sur le réseau étendu ?
Peut m'importe laquelle des deux est la plus simple a mettre en place, ce qui m’intéresse c'est la sécurité.

Merci pour vos éclaircissements =)

[Invité]

Salut,

laquelle des deux solutions est la plus sécurisante

a priori, SSH est autant sécurisé qu'un VPN.

SSH signifie Secure Shell, c'est un protocole qui permet de se connecter à une machine distante en encryptant le flot de données. Au fil du temps, on a embarqué d'autres services s'appuyant sur SSH, comme par exemple scp (Secure cp) ou sftp (Secure FTP) qui encryptent des sessions cp et FTP. En utilisant SSH, on se connecte donc à une machine individuelle en spécifiant éventuellement les ports TCP/UDP qu'on veut encrypter (on pourrait ainsi se connecter en SSH sur un host et simultanément faire un transfert de fichiers FTP non sécurisé sur ce même host).

Un VPN, Virtual Private Network, permet d'encrypter les données entre réseaux, quel que soit le traffic. La différence avec SSH, c'est que l'encryption est réalisée à des niveaux plus bas et il existe plusieurs façons de monter le tunnel sécurisé (IPSec étant la plus répandue). Pour reprendre l'exemple précédent, depuis une machine connectée à l'Internet, si j'ai monté un VPN entre mon réseau et un autre réseau distant, toutes les communications IP seront encryptées (ça n'empêche pas bien sûr de continuer à se connecter en SSH sur des hosts critiques au travers d'un VPN si on veut).

Dans ton cas, puisque tu maîtrises SSH, la solution naturelle serait de rester en SSH puisque l'extrémité de ta session sécurisée est une machine individuelle.

A noter que SSH est quelquefois utilisé pour monter un VPN... En installant un Squid sur ta machine Linux distante, il suffit alors de monter un tunnel TCP encrypté (avec Blowfish par exemple) à destination de la loopback sur un certain port TCP. Le Squid peut alors rediriger le traffic où bon te semble (c'est le principe utilisé par pas mal de "proxy publics"). Les amerlocks appellent ça le "poor man's VPN".

Steph

[poussinvert]

Très bien, j'ai l'impression d'être tombé sur une personne qui connait bien le domaine ! ça fait plaisir !
Tu me dis que pour le VPN, l'encryption est réalisé à un niveau plus bas... est ce que ça veut dire qu'il est plus difficile pour un hacker de percer le tunnel ?

Ensuite, visiblement tu présentes le VPN par SSH avec squid comme une solution à éviter... mais est ce que cette solution revient à ce que j'avais envisagé au début, c'est à dire le "tunnel SSH" ? Si c'est le cas, je me tourne directement vers le VPN... je suis pas un "poor man" moi

[Invité]

Tu me dis que pour le VPN, l'encryption est réalisé à un niveau plus bas... est ce que ça veut dire qu'il est plus difficile pour un hacker de percer le tunnel ?

La différence entre un VPN et SSH ne se situe pas vraiment dans la difficulté de hacking. Les objectifs sont simplement différents.

Voici le cas de figure typique d'un VPN :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
                   <- VPN IPSEC  ->
             +----+                +----+
réseau 1 ----| R1 |---(INTERNET)---| R2 |---- réseau 2
    |        +----+                +----+        |
   PC1         |                                PC2
               |
            réseau 3
               |
              PC3

R1 et R2 sont connectés sur l'Internet (ou bien encore un réseau de transit "untrusted"). On monte un tunnel IPSec entre ces équipements.
R1 et R2 peuvent être
- soit des "routeurs purs" munis d'un bout de code qui fait de l'IPSec,
- soit des firewalls ou des hosts Linux.
Puis ensuite on décide ce qui est éligible pour l'encryption.
Par configuration des "crypto-engines" qui tournent sur R1 et R2, je peux décider par exemple que :
- tout le traffic entre PC1 et PC2 est encrypté,
- tout le traffic entre PC3 et PC2 n'est pas encrypté.
Les solutions très performantes permettent de faire des choses encore plus granulaires... Par exemple :
- tout le traffic entre PC1 et PC2 est encrypté,
- tout le traffic entre PC3 et PC2 n'est pas encrypté hormis si c'est du FTP...
En conclusion, avec le VPN, on "joue" avec des réseaux entiers et leurs ressources en construisant un tunnel vu comme un lien Point-to-Point. D'ailleurs, dans l'exemple que je donne, si je fais un traceroute depuis PC1 vers PC2, je ne verrai que 2 gateways (R1 et R2).


Le SSH, comparé au VPN, est plus du ressort des couches applicatives et c'est généralement pour "taper" une machine isolée. Dès lors que j'ai deux machines connectées à Internet par exemple (ou tout autre réseau de transit "untrusted"), je peux sécuriser du cp ou du ftp comme j'expliquais dans mon post précédent.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
PC1 -----(INTERNET)----- PC2
   <--- Secure Shell --->

Quant à l'IPSec/SSH hacking, ça n'est pas à la portée du premier venu, c'est même quasiment impossible sous l'angle d'une attaque "Man-in-the-Middle" et les seuls exemples de hacking que j'ai vus relevaient de "compromissions venant de l'intérieur" (fichiers de config et/ou clés fournis à des tiers)...

Ensuite, visiblement tu présentes le VPN par SSH avec squid comme une solution à éviter... mais est ce que cette solution revient à ce que j'avais envisagé au début, c'est à dire le "tunnel SSH" ? Si c'est le cas, je me tourne directement vers le VPN... je suis pas un "poor man" moi

Je me suis mal exprimé. L'expression "poor man's VPN" n'était pas péjorative... Et si c'est fait dans les règles de l'art, c'est aussi robuste qu'un "vrai VPN". Mais comme c'est une solution uniquement basée sur de l'Open Source, je pense que c'était intéressant de l'évoquer.

Evidemment, si tu as le budget pour une solution plus sophistiquée, alors n'hésites pas à investir dans des bons modèles de routeurs. Certains modèles Cisco par exemple sont performants et très accessibles financièrement.

Steph

[poussinvert]

Eh bien d'accord maintenant tout est clair.
Non je n'ai pas beaucoup de moyen même si j'ai déjà travaillé sur du matériel CISCO et je sais ô quel point ça coûte cher.

Bref, tu m'as bien montré les différences entre les deux solutions, et mon choix est fait : Je n'ai pas besoin de VPN, SSH me suffit amplement.

Tu as raison d'insister sur le côté open-source (ce que je n'avais pas compris au début..), car on a bien là la preuve qu'on peut faire des choses puissantes quand même.

Merci pour tout !

[Invité]

Non je n'ai pas beaucoup de moyen même si j'ai déjà travaillé sur du matériel CISCO et je sais ô quel point ça coûte cher.

Détrompes-toi.

Regardes ce modèle :

http://www.materiel.net/firewall/cis...00n-80843.html

160€

Il y a d'autres routeurs Wifi sur le marché qui coûtent aussi chers et qui ne font que 60% de ce que sait faire cette bête de course (IGMP, RIP, VPN IPSec, routage inter-VPN, QoS, détection d'intrusion, firewall embarqué, techno MIMO, etc, etc)

Steph

[nagamé]

A titre perso, j'aime bien le WRT54GL.
C'est un routeur dont on peut remplacer, en 3 cliques, le firmware d'origine. On le replace généralement par DD-WRT. Un vrai petit linux avec une interface web simple et très très complet en fonctionnalité.

Au boulot, on utilise des Cisco ASA. Le premier prix de cette famille vaut ~300€. Au premier abord, l'interface est plus complexe... mais c'est du Cisco !