SSH™ permet aux utilisateurs de se connecter à distance à d'autres systèmes hôtes. Contrairement à des protocoles tels que FTP ou Telnet, SSH crypte session de connexion et empêche ainsi tout agresseurs d'amasser des mots de passe en texte clair.
SSH est conçu pour remplacer les applications de terminal plus anciennes et moins sécurisées au moyen desquelles il est possible de se connecter à des hôtes distants, comme telnet ou rsh. Un programme similaire appelé scp remplace des programmes moins récents conçus pour copier les fichiers entre les différents hôtes, tels que rcp. Étant donné que ces applications ne cryptent pas les mots de passe entre le client et le serveur, il est recommandé d'éviter autant que possible leur utilisation. En ayant recours à des méthodes sécurisées pour vous connecter à distance à d'autres systèmes, les risques en matière de sécurité, aussi bien pour le système client que pour l'hôte distant sont considérablement réduits.
SSH (ou Secure SHell) est un protocole servant à créer une connexion sécurisée entre deux systèmes utilisant une architecture serveur/client.
SSH offre les garanties de sécurité suivantes:
Après avoir effectué une connexion initiale, le client peut s'assurer que sa connexion est établie avec le même serveur que lors de sa session précédente.
Le client transmet ses données d'authentification au serveur au moyen d'un cryptage 128 bits.
Toutes les données envoyées et reçues lors d'une session sont transférés au moyen d'un cryptage 128 bits, rendant par là-même le décryptage et la lecture de toute transmission interceptée extrêmement difficile.
Le client a la possibilité d'utiliser des applications X11 [1] à partir du serveur. Cette technique, appelée retransmission X11, fournit un moyen sécurisé pour l'utilisation d'applications graphiques sur un réseau.
Étant donné que le protocole SSH crypte tout ce qu'il envoie et reçoit, il peut être utilisé pour sécuriser des protocoles non-sûrs. Grâce à la technique de retransmission de port, un serveur SSH peut être employé pour sécuriser des protocoles non-sûrs, tel que POP, augmentant ainsi la sécurité du système et de ses données.
Red Hat Linux contient le paquetage OpenSSH général, (openssh), les paquetages serveur OpenSSH (openssh-server) et client OpenSSH (openssh-clients). Veuillez consultez le chapitre intitulé OpenSSH du Guide de personnalisation de Red Hat Linux pour obtenir des instructions d'installation et d'utilisation d'OpenSSH. Notez également que les paquetages OpenSSH ont besoin du paquetage OpenSSL (openssl). OpenSSL installe de nombreuses bibliothèques cryptographiques importantes qui permettent à OpenSSH de crypter les communications.
Un grand nombre de programmes client et serveur peuvent utiliser le protocole SSH. Il existe des applications SSH clients pour presque tous les systèmes d'exploitation utilisés à l'heure actuelle.
Les dangereux utilisateurs d'ordinateurs disposent d'une variété d'outils pour désorganiser, intercepter et réacheminer le trafic de réseaux et forcer l'accès à votre système. De manière générale, ces menaces peuvent être répertoriées comme suit:
Interception d'une communication entre deux systèmes — Ce scénario implique que le pirate peut se trouver n'importe où sur le réseau entre les entités qui communiquement, et peut copier les informations qu'elles se transmettent. Le pirate peut copier et garder les informations ou peut les modifier avant de les envoyer au destinataire prévu.
Cette attaque peut être orchestrée en utilisant un programme renifleur — un utilitaire réseau courant.
Usurpation de l'identité d'un hôte — grâce à cette technique, un système intercepteur prétend être le destinataire désiré d'un message. Si cet abus d'identité fonctionne, le client ne s'en rend pas compte et continue de lui envoyer toutes les informations, comme s'il était connecté au bon destinataire.
Ce type d'attaque peut être organisé grâce à l'utilisation de techniques connues sous le nom d'empoisonnements DNS [2] ou usurpation d'adresse IP [3].
Ces deux techniques interceptent potentiellement des informations confidentielles et si cette interception est effectuée pour des raisons hostiles, le résultat peut être catastrophique.
L'utilisation du protocole SSH pour effectuer une connexion shell à distance ou copier des fichiers permet de faire réduire considérablement ces atteintes à la sécurité. La signature numérique d'un serveur fournit la vérification pour son identité. En outre, la communication complète entre un système client et un système serveur ne peut être utilisée si elle est interceptée, car tous les paquets sont cryptés. De plus, il n'est pas possible d'usurper l'identité d'un des deux systèmes, parce que les paquets sont cryptés et leurs clés ne sont connues que par le système local et le système distant.
[1] | X11 fait référence au système d'affichage de fenêtres X11R6, généralement appelé X. Red Hat Linux comprend XFree86, un système X Window Open Source très utilisé, basé sur X11R6. |
[2] | L'empoisonnement DNS a lieu lorsqu'un intrus pénètre sur un serveur DNS, dirigeant les systèmes client vers un hôte double avec une intention malveillante. |
[3] | L'usurpation d'adresse IP se produit lorsqu'un intrus envoie des paquets réseau qui apparaissent faussement sur le réseau, comme provenant d'un hôte de confiance. |