SSH™ (ou Secure SHell) est un protocole qui facilite les connexions sécurisées entre deux systèmes à l'aide d'une architecture client/serveur et permet aux utilisateurs de se connecter à distance à des systèmes hôte de serveurs.Toutefois, contrairement à d'autres protocoles de communication à distance, tels que FTP ou Telnet, SSH crypte la session de connexion et empêche ainsi tout agresseur de recueillir des mots de passe non-cryptés.
SSH est conçu pour remplacer les applications de terminal plus anciennes et moins sécurisées qui sont utilisées pour se connecter à des hôtes distants, comme telnet ou rsh. Un programme similaire appelé scp remplace des programmes moins récents conçus pour copier des fichiers entre des hôtes, tels que rcp. Étant donné que ces applications plus anciennes ne cryptent pas les mots de passe entre le client et le serveur, il est recommandé d'éviter autant que possible de les utiliser. En effet, l'utilisation de méthodes sécurisées pour se connecter à des systèmes distants, réduit les risques aussi bien pour le système client que pour l'hôte distant.
SSH offre les précautions suivantes au niveau de la sécurité :
Après avoir effectué une connexion initiale, le client peut s'assurer que sa connexion est établie avec le même serveur que lors de sa session précédente.
Le client transmet ses données d'authentification au serveur au moyen d'un cryptage solide 128 bits.
Toutes les données envoyées et reçues lors d'une session sont transférées au moyen d'un cryptage 128 bits, rendant ainsi le décryptage et la lecture de toute transmission interceptée extrêmement difficile.
Le client peut retransmettre des applications X11[1] depuis le serveur. Cette technique appelée retransmission X11, fournit un moyen d'utiliser en toute sécurité des applications graphiques sur un réseau.
Étant donné que le protocole SSH crypte tout ce qu'il envoie et reçoit, il peut être utilisé pour sécuriser des protocoles autrement vulnérables. Grâce à la technique de retransmission de port, un serveur SSH peut être employé pour sécuriser des protocoles non-sécurisés tels que POP, augmentant ainsi la sécurité globale du système et de ses données.
Red Hat Enterprise Linux inclut le paquetage général OpenSSH (openssh) ainsi que les paquetages serveur OpenSSH (openssh-server) et client OpenSSH (openssh-clients). Consultez le chapitre intitulé OpenSSH du Guide d'administration système de Red Hat Enterprise Linux pour obtenir des instructions sur l'installation et le déploiement d'OpenSSH. Notez également que les paquetages OpenSSH ont besoin du paquetage OpenSSL (openssl) qui installe de nombreuses bibliothèques cryptographiques importantes permettant à OpenSSH de fournir des communications cryptées.
Les utilisateurs d'ordinateurs malintentionnés disposent d'une variété d'outils pour interrompre, intercepter et réacheminer le trafic réseau afin de s'octroyer l'accès à un système. D'une manière générale, ces menaces peuvent être répertoriées de la manière suivante :
Interception d'une communication entre deux systèmes — Dans ce scénario, le pirate peut se trouver quelque part sur le réseau entre les entités qui communiqueent, pouvant ainsi copier toute information qui est transmise entre elles. Le pirate peut intercepter et garder les informations ou peut les modifier avant de les envoyer au destinataire prévu.
Cette attaque peut être orchestrée en utilisant un programme renifleur — un utilitaire réseau courant.
Usurpation de l'identité d'un hôte — Grâce à cette technique, le système d'un agresseur est configuré de telle manière qu'il apparaît comme étant le destinataire souhaité d'une transmission. Si cette stratégie fonctionne, le système de l'utilisateur ne détecte pas qu'il communique en fait avec le mauvais hôte.
Ce type d'attaque peut être organisé grâce à l'utilisation de techniques appelées empoisonnements DNS[2] ou usurpation d'adresse IP[3].
Ces deux techniques permettent d'intercepter des informations potentiellement confidentielles et si cette interception est effectuée pour des raisons hostiles, le résultat peut être catastrophique.
L'utilisation du protocole SSH pour effectuer une connexion au shell à distance ou pour copier des fichiers permet de réduire considérablement ces menaces au niveau de la sécurité. En effet, le client et serveur SSH utilisent des signatures numériques pour vérifier leur identité respectives. En outre, toute communication entre le système client et le système serveur est cryptée. Toute tentative d'usurpation d'identité à une extrémité ou à une autre de la communication est difficilement possible puisque chaque paquet est crypté à l'aide d'une clé connue seulement par le système local et le système distant.
| [1] | X11 fait référence au système d'affichage de fenêtres X11R6.7, généralement appelé X Window System ou X. Red Hat Enterprise Linux inclut XFree86, un système X Window System Open Source. |
| [2] | L'empoisonnement DNS a lieu lorsqu'un intrus pénètre dans un serveur DNS, dirigeant les systèmes client vers la copie d'un hôte avec une intention malveillante. |
| [3] | L'usurpation d'adresse IP se produit lorsqu'un intrus envoie des paquets réseau qui apparaissent faussement comme provenant d'un hôte de confiance du réseau. |
| Précédent | Sommaire | Suivant |
| Ressources supplémentaires | Niveau supérieur | Versions du protocole SSH |