/usr/share/doc/HOWTO/fr-html/MindTerm-SSH-HOWTO.html is in doc-linux-fr-html 2013.01-3ubuntu1.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 450 451 452 453 454 455 456 457 458 459 460 461 462 463 464 465 466 467 468 469 470 471 472 473 474 475 476 477 478 479 480 481 482 483 484 485 486 487 488 489 490 491 492 493 494 495 496 497 498 499 500 501 502 503 504 505 506 507 508 509 510 511 512 513 514 515 516 517 518 519 520 521 522 523 524 525 526 527 528 529 530 531 532 533 534 535 536 537 538 539 540 541 542 543 544 545 546 547 548 549 550 551 552 553 554 555 556 557 558 559 560 561 562 563 564 565 566 567 568 569 570 571 572 573 574 575 576 577 578 579 580 581 582 583 584 585 586 587 588 589 590 591 592 593 594 595 596 597 598 599 600 601 602 603 604 605 606 607 608 609 610 611 612 613 614 615 616 617 618 619 620 621 622 623 624 625 626 627 628 629 630 631 632 633 634 635 636 637 638 639 640 641 642 643 644 645 646 647 648 649 650 651 652 653 654 655 656 657 658 659 660 661 662 663 664 665 666 667 668 669 670 671 672 673 674 675 676 677 678 679 680 681 682 683 684 685 686 687 688 689 690 691 692 693 694 695 696 697 698 699 700 701 702 703 704 705 706 707 708 709 710 711 712 713 714 715 716 717 718 719 720 721 722 723 724 725 726 727 728 729 730 731 732 733 734 735 736 737 738 739 740 741 742 743 744 745 746 747 748 749 750 751 752 753 754 755 756 757 758 759 760 761 762 763 764 765 766 767 768 769 770 771 772 773 774 775 776 777 778 779 780 781 782 783 784 785 786 787 788 789 790 791 792 793 794 795 796 797 798 799 800 801 802 803 804 805 806 807 808 809 810 811 812 813 814 815 816 817 818 819 820 821 822 823 824 825 826 827 828 829 830 831 832 833 834 835 836 837 838 839 840 841 842 843 844 845 846 847 848 849 850 851 852 853 854 855 856 857 858 859 860 861 862 863 864 865 866 867 868 869 870 871 872 873 874 875 876 877 878 879 880 881 882 883 884 885 886 887 888 889 890 891 892 893 894 895 896 897 898 899 900 901 902 903 904 905 906 907 908 909 910 911 912 913 914 915 916 917 918 919 920 921 922 923 924 925 926 927 928 929 930 931 932 933 934 935 936 937 938 939 940 941 942 943 944 945 946 947 948 949 950 951 952 953 954 955 956 957 958 959 960 961 962 963 964 965 966 967 968 969 970 971 972 973 974 975 976 977 978 979 980 981 982 983 984 985 986 987 988 989 990 991 992 993 994 995 996 997 998 999 1000 1001 1002 1003 1004 1005 1006 1007 1008 1009 1010 1011 1012 1013 1014 1015 1016 1017 1018 1019 1020 1021 1022 1023 1024 1025 1026 1027 1028 1029 1030 1031 1032 1033 1034 1035 1036 1037 1038 1039 1040 1041 1042 1043 1044 1045 1046 1047 1048 1049 1050 1051 1052 1053 1054 1055 1056 1057 1058 1059 1060 1061 1062 1063 1064 1065 1066 1067 1068 1069 1070 1071 1072 1073 1074 1075 1076 1077 1078 1079 1080 1081 1082 1083 1084 1085 1086 1087 1088 1089 1090 1091 1092 1093 1094 1095 1096 1097 1098 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for HTML5 for Linux version 5.2.0">
<title>Guide pratique des tunnels crypt�s utilisant SSH et
MindTerm</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Guide pratique des
tunnels crypt�s utilisant SSH et MindTerm</a></h1>
<h3 class="AUTHOR"><a name="AEN4" id="AEN4">Duane Dunston</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">
<code class="EMAIL"><<a href="mailto:duane@duane.yi.org">duane@duane.yi.org</a>></code><br>
</p>
</div>
</div>
<div class="REVHISTORY">
<table width="100%" border="0">
<tr>
<th align="left" valign="top" colspan="3"><b>Revision
History</b></th>
</tr>
<tr>
<td align="left">Revision 1.01</td>
<td align="left">2001-06-13</td>
<td align="left">Revised by: PDD</td>
</tr>
<tr>
<td align="left" colspan="3">Format de date modifi�
(YYYY-MM-DD)</td>
</tr>
</table>
</div>
<div>
<div class="ABSTRACT"><a name="AEN16" id="AEN16"></a>
<p>Ce document d�crit comment utiliser SSH et le programme Java
MindTerm pour cr�er des tunnels de type VPN rapides et s�curis�s
sur des r�seaux non s�curis�s.</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<h2 class="SECT1"><a name="INTRO" id="INTRO">Introduction</a></h2>
<p>Pour diverses raisons, cette toute nouvelle version a pour nom
de code la version <span class="emphasis"><i class=
"EMPHASIS">release</i></span>.</p>
<p>De nouveaux noms de code feront leur apparition selon les
directives des standards de l'industrie, pour mettre en valeur
l'aspect "�tat de l'art" du document.</p>
<p>J'ai �crit ce document suite � une suggestion qui m'avait �t�
faite de fournir un mod�le � remplir pour faire de nouveaux guides
pratiques. Ce mod�le a �t� fait � l'origine en extrayant la
structure du guide pratique "Multi Disk HOWTO" qui est un guide
pratique plut�t volumineux. Ce mod�le a ensuite �t� largement
r�vis�.</p>
<p>Ce petit rappel du contexte me permet de d�marrer mon
introduction.</p>
<p>Tout d'abord, un peu de jargon juridique. L'�volution r�cente
montre que c'est assez important.</p>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="COPYRIGHT" id="COPYRIGHT">Informations
sur le copyright</a></h3>
<p>Le copyright de ce document est (c) 2001 Duane Dunston et il est
distribu� sous la licence Linux Documentation Project (LDP)
mentionn�e plus bas. <span class="emphasis"><i class="EMPHASIS">Il
est demand� que toutes corrections et/ou commentaires soient
communiqu�s au responsable de suivi du document.</i></span></p>
<p>Sauf mention contraire, le copyright des Guides pratiques Linux
(HOWTO) sont �tablis par leurs auteurs respectifs. Les Guides
pratiques Linux peuvent �tre reproduits ou distribu�s en tout ou
partie, sur tout support, qu'il soit physique ou �lectronique, tant
que ce copyright reste mentionn� sur toutes les copies. Les
redistributions commerciales sont autoris�es et encourag�es ;
cependant, l'auteur aimerait �tre notifi� de toute distribution de
la sorte.</p>
<p>Toutes traductions, travaux d�riv�s ou tout ensemble de travaux
incorporant un des Guides pratiques Linux doivent �tre
explicitement couverts par ce copyright. Cela veut dire que nul
n'est autoris� � produire un travail d�riv� d'un guide pratique et
imposer des restrictions suppl�mentaires sur sa distribution. Des
exemptions � ces r�gles peuvent �tres accord�es sous certaines
conditions ; veuillez prendre contact avec le coordinateur du Guide
pratique Linux � l'adresse donn�e plus bas.</p>
<p>En bref, nous souhaitons promouvoir la diss�mination de cette
information par autant de canaux que possible. Cependant, nous
tenons � garder le copyright sur les guides pratiques, et aimerions
�tre notifi�s de tout projet de redistribution des Guides pratiques
HOWTO.</p>
<p>Si vous avez des questions, veuillez contacter <code class=
"EMAIL"><<a href=
"mailto:duane@duane.yi.org">duane@duane.yi.org</a>></code></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="DISCLAIMER" id="DISCLAIMER">Avis de non
responsabilit�</a></h3>
<p>Nous ne pouvons �tre tenus responsables du contenu de ce
document. Vous utilisez les concepts, exemples et autres contenus �
vos risques et p�rils. Comme il s'agit d'une nouvelle r�vision de
ce document, il se peut qu'il y ait des erreurs et des
inexactitudes qui peuvent bien s�r endommager votre syst�me.
Agissez avec prudence, et bien que cela soit tout � fait improbable
que vous le fassiez, l'auteur d�cline toute responsabilit� quant �
cela.</p>
<p>Sauf mention contraire, tous les copyrights sont d�tenus par
leurs auteurs respectifs. L'utilisation d'un terme dans ce document
ne doit pas �tre consid�r�e comme portant sur la validit� d'une
quelconque marque commerciale ou de prestataire de service.</p>
<p>La mention de produits ou de marques particuliers ne doit pas
�tre consid�r�e comme une publicit� pour ce produit ou cette
marque.</p>
<p>Il vous est fortement conseill� d'effectuer une sauvegarde de
votre syst�me avant toute installation d'envergure ainsi que des
sauvegardes � intervalles r�guliers.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="NEWVERSIONS" id="NEWVERSIONS">Nouvelles
versions</a></h3>
<p>Ce document a subi de nombreuses r�visions puique je l'ai entam�
comme projet final pour la certification SANS GIAC.</p>
<p>Le num�ro de version le plus r�cent de ce document peut �tre
trouv� sur la page principale du <a href="http://www.linuxdoc.org/"
target="_top">Linux Documentation Project</a> ou sur <a href=
"http://cfcc.net/ddunston/mindterm.html" target="_top">la page de
l'auteur</a>.</p>
<p><span class="emphasis"><i class="EMPHASIS">Si vous �tes
comp�tent en la mati�re, ce serait bien de rendre le guide pratique
disponible dans un certain nombre de formats.</i></span></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="CREDITS" id=
"CREDITS">Remerciements</a></h3>
<p>Dans cette version, j'ai le plaisir de remercier :</p>
<p>Patti Pitz pour sa r�vision et son aide dans l'organisation de
l'article. Doug Eymand pour le c�t� technique de la r�vision.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="FEEDBACK" id="FEEDBACK">Vos
impressions</a></h3>
<p>Vos r�actions sur ce document sont attendues avec le plus grand
int�r�t. Sans vos propositions et vos contributions, ce document
n'aurait jamais exist�. Je vous prie d'envoyer les points que vous
voudriez ajouter, vos commentaires et vos critiques � l'adresse
suivante : <code class="EMAIL"><<a href=
"mailto:duane@duane.yi.org">duane@duane.yi.org</a>></code>.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="BEFORE-START" id="BEFORE-START">Avant de
commencer</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="MINDTERM-INTRO" id=
"MINDTERM-INTRO">Introduction � MindTerm et SSH</a></h3>
<p>De nos jours, les entreprises, les �coles, et les particuliers
ont plus que jamais besoin de services r�seau s�curis�s. Le
commerce en ligne s' accroissant, il y a plus de gens qui
continuent � avoir acc�s � des donn�es sensibles d'entreprise au
travers de r�seaux non s�curis�s. Les entreprises utilisent
Internet comme moyen principal pour communiquer avec leurs employ�s
en d�placement dans le pays et � l'�tranger, envoient des documents
et des courriels non crypt�s � leurs agences et partenaires de par
le monde ; ces communications peuvent �tre riches en informations
que n'importe quelle personne mal intentionn�e peut potentiellement
intercepter et vendre ou donner � une entreprise rivale. De bonnes
politiques de s�curit� � la fois pour les utilisateurs et les
administrateurs r�seau peuvent aider � minimiser les probl�mes li�s
� l'interception ou au vol d'informations � l'int�rieur de leur
organisation par des personnes mal intentionn�es. Dans cet article,
nous allons aborder l'utilisation de Secure Shell (SSH) et MindTerm
pour s�curiser la communication par Internet au sein d'une
organisation.</p>
<p>Les utilisateurs � domicile et les voyageurs d'affaires acc�dent
� des donn�es d'entreprise et envoient des donn�es sensibles au
travers de r�seaux non s�curis�s. <span class="emphasis"><i class=
"EMPHASIS">Cela cr�e toute une cat�gorie de nouveaux probl�mes de
s�curit� pour les administrateurs syst�me ("Securing the home
office sensible and securely")</i></span>, particuli�rement depuis
qu'on estime que le nombre de personnes travaillant � domicile avec
un acc�s haut d�bit <span class="emphasis"><i class="EMPHASIS">"va
plus que doubler, passant de 24 millions en 2000 � 55 millions en
2005" ("Broadband Access to Increase in Workplace")</i></span>.
<span class="emphasis"><i class="EMPHASIS">Le nombre d'a�roports et
d'h�tels offrant un acc�s Internet, en particulier un acc�s haut
d�bit, est en croissance et on s'attend � ce qu' il grandisse dans
l'avenir ("Broadband Moving On Up")</i></span>. Ceci peut aussi
laisser une porte grande ouverte � une personne mal- intentionn�e
qui pourrait pirater ou voir le trafic Internet d'autres personnes
et acc�der � leurs entreprises. Cette personne malintentionn�e peut
ne pas �tre int�ress�e par les travaux de l'employ�, mais veut
seulement acc�der � un serveur tr�s rapide pour lancer des
attaques, stocker des fichiers ou pour un autre usage. Les hommes
d'affaires courent de grands risques car ils ne savent pas qui
surveille leur connexion Internet � l'h�tel, � l'a�roport ou
n'importe o� pendant leur d�placement. Les utilisateurs des
nouvelles connexions haut d�bit ne sont en g�n�ral pas form�s � des
protocoles de s�curit� adapt�s, et certaines entreprises ne
disposent pas du personnel pour aider les utilisateurs � domicile
et les voyageurs d'affaires � mettre en place une connexion
s�curis�e. Les particuliers et, �tonnamment, certaines entreprises
ont cette mentalit� <span class="emphasis"><i class="EMPHASIS">"Je
n'ai rien qui pourrait int�resser les autres"</i></span>. Ceci est
tr�s inqui�tant quand on consid�re la quantit� d'informations
sensibles qui voyage � travers Internet depuis le domicile d'un
employ� ou lors de d�placements. Ce qui est plus inqui�tant est la
disponibilit� de logiciels gratuits pour effectuer ce genre
d'attaques et la facilit� d' utilisation de ces logiciels. Dsniff (
<a href="http://www.monkey.org/~dugsong/dsniff/" target=
"_top">http://www.monkey.org/~dugsong/dsniff/</a>) est un programme
disponible gratuitement qui poss�de des fonctionnalit�s permettant
� n'importe qui avec un ordinateur connect� � un r�seau de pirater
un r�seau local et surveiller ce que les autres font et r�cup�rer
des mots de passe et d'autres donn�es sensibles. Dans son livre
"Secrets and Lies : Digital Security in a Networked World", Bruce
Schneier affirme que la propagation des techniques et une des
principales menaces � la s�curit� des r�seaux : <span class=
"emphasis"><i class="EMPHASIS">"Internet est [...] un m�dia parfait
pour propager des outils d'attaque qui marchent. Il suffit que le
premier attaquant soit un sp�cialiste ; tous les autres peuvent
utiliser son logiciel" (Schneier)</i></span>.</p>
<p>L'objectif de cet article n'est pas de savoir comment s�curiser
des ordinateurs, mais comment mettre en place des tunnels virtuels
pour effectuer des communications s�curis�es, que ce soit pour
envoyer des documents ou des courriels. Les voyageurs d'affaires
devraient lire les articles de <a href=
"http://www.sans.org/infosecFAQ/travel/travel_list.htm" target=
"_top">Jim Purcell, Frank Reid, et Aaron Weissenfluh</a> sur la
s�curit� au cours des d�placements. Les utilisateurs � domicile
ayant un acc�s haut d�bit devraient lire <a href=
"http://www.sans.org/infosecFAQ/start/free.htm" target=
"_top">l'article</a> de Ted Tang pour avoir des informations sur la
fa�on de s�curiser un ordinateur avec acc�s haut d�bit. Je
recommanderais la nombreuse documentation disponible sur <a href=
"http://www.sans.org" target="_top">www.sans.org</a>, <a href=
"http://%20www.securityfocus.com" target=
"_top">www.securityfocus.com</a>, ou <a href=
"http://www.securityportal.com" target=
"_top">www.securityportal.com</a> avec des tutoriels sur la fa�on
de s�curiser vos ordinateurs et serveurs.</p>
<p>Le moyen pour s'assurer que les donn�es sensibles sont
transmises de mani�re rapide et s�curis�e est d'utiliser des
m�thodes crypt�es de transmission de donn�es. Cela peut se faire
par le moyen d'un courriel crypt�, en utilisant des services web
s�curis�s de messagerie �lectronique, ou en �tablissant des tunnels
crypt�s entre deux ordinateurs. De plus, un logiciel fiable et
facile � installer doit �tre utilis� pour permettre aux
utilisateurs inexp�riment�s d'�tablir rapidement des canaux de
communication s�curis�s. <a href="http://www.ssh.com" target=
"_top">Secure Shell</a> et <a href="http://www.mindbright.se"
target="_top">MindBright</a> Technology's MindTerm de Taten Ylonen
sont une solution rapide, facile d'utilisation et fiable pour
s�curiser les communications sur Internet.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="MINDTERM-SSH" id="MINDTERM-SSH">MindTerm
et SSH</a></h3>
<p>SSH (Secure Shell) peut remplacer en toute s�curit� les
programmes de connexion � distance et de transfert de fichiers
comme telnet, rsh et ftp qui transmettent les donn�es en texte
clair, lisible par toute personne. SSH utilise une m�thode
d'authentification � cl� publique pour �tablir une connexion
crypt�e et s�curis�e entre la machine de l'utilisateur et la
machine distante. Une fois la connexion s�curis�e �tablie, les nom
d'utilisateur, mot de passe et toutes les autres informations sont
envoy�s au travers de cette connexion s�curis�e. Vous trouverez
plus d'informations sur la fa�on dont SSH fonctionne, les
algorithmes utilis�s et les protocoles impl�ment�s pour qu'il reste
� un haut niveau de s�curit� et de confiance sur le site web de ssh
: <a href="http://www.ssh.com" target="_top">www.ssh.com</a>.
L'�quipe OpenBSD a cr�� un �quivalent libre qui s'appelle OpenSSH,
disponible sur <a href="http://www.openssh.com" target=
"_top">www.openssh.com</a>. Il conserve les normes �lev�es de
s�curit� de l'�quipe OpenBSD et des sp�cifications de l' IETF pour
Secure Shell (voir les <a href=
"http://www.ietf.org/ids.by.wg/secsh.html" target="_top">documents
de travail Secure Shell de l'IETF</a>), sauf qu'il utilise des
algorithmes libres du domaine public. SSH est en train de devenir
un standard pour l'administration de connexions � distance. Il a
rencontr� un tel succ�s qu'il y a de nombreux ports SSH pour
diverses plateformes, et des clients gratuits disponibles pour se
connecter � un serveur SSH sous diverses plateformes �galement.
Voir <a href="http://linuxmafia.com/pub/linux/security/ssh-clients"
target=
"_top">http://linuxmafia.com/pub/linux/security/ssh-clients</a>
pour avoir une liste des clients. Securityportal.com a un excellent
article en deux parties sur SSH et sur les liens vers des ports
pour diff�rentes plateformes ; il est disponible sur <a href=
"http://www.securityportal.com/research/ssh-part1.html" target=
"_top">http://www.securityportal.com/research/ssh-part1.html</a>.
Il y a des programmes qui utilisent �galement un utilitaire qui
s'appelle Secure Copy (SCP) en fond qui fournit les m�mes
fonctionnalit�s qu'un client FTP complet, tels que <a href=
"http://winscp.vse.cz" target="_top">WinSCP</a> et le <a href=
"http://www.isnetworks.com/ssh/" target="_top">client Java
SSH/SCP</a>, qui a une interface SCP modifi�e pour MindTerm.
Veuillez lire les licences avec pr�caution pour voir si vous avez
l'autorisation l�gale de t�l�charger SSH dans votre pays. SSH est
libre pour les �coles et les universit�s. Veuillez lire les
licences disponibles sur le site web ssh.com.</p>
<p>MindTerm est un client SSH �crit enti�rement en Java par
MindBright Technology. Une des pratiques cl�s dans le d�veloppement
de logiciels de s�curit� est une impl�mentation ad�quate des
algorithmes sous-jacents et des protocoles utilis�s. MindBright
Technology a tr�s bien impl�ment� le protocole SSH dans ce petit
fichier d'application. C'est une archive autonome qui n�cessite
juste d'�tre d�compress�e dans un r�pertoire de votre choix, et qui
est pr�te � �tre utilis�e. Le client peut �tre utilis� comme
programme autonome ou comme applet de page web, ou les deux. Il est
disponible sur : <a href="http://www.mindbright.se/download/"
target="_top">http://www.mindbright.se/download/</a>. MindTerm est
un client excellent et peu co�teux pour s�curiser les
communications vers et depuis un emplacement local et distant. Le
programme MindTerm situ� � l'adresse de t�l�chargement pr�c�dente
est disponible gratuitement pour une utilisation non commerciale et
dans l'enseignement, la possibilit� d'une utilisation commerciale
�tant �tudi�e au cas par cas. Cependant, les modifications
apport�es par <a href="http://www.isnetworks.net" target=
"_top">ISNetwork</a> <span class="emphasis"><i class=
"EMPHASIS">"sont bas�es sur le code source de MindTerm 1.21, que
MindBright a publi� sous GPL [General Public Licence - voir
<a href="http://www.gnu.org" target="_top">http://www.gnu.org</a>].
Comme notre version a �t� publi�e sous GPL, vous pouvez l'utiliser
gratuitement � des fins commerciales" (Eckels)</i></span>.
L'impl�mentation d'ISNetworks a toutes les fonctionnalit�s du
MindTerm de MindBright, except� qu'elle a une interface SCP plus
sympathique pour des transferts de fichier plus conviviaux.
MindTerm a quand-m�me l'inconv�nient de ne pas prendre en charge
les tunnels UDP. Pour s�curiser le trafic UDP, un programme qui
s'appelle Zebedee ( <a href="http://www.winton.org.uk/zebedee/"
target="_top">http://www.winton.org.uk/zebedee/</a>) fera tr�s bien
l'affaire. Les programmes serveur et client de Zebedee sont
disponibles pour les plateformes Windows et Linux. Il est distribu�
gratuitement sous licence GPL �galement. Vous pouvez vous connecter
aussi bien aux machines Windows que Linux avec Zebedee. MindTerm ne
v�rifiera pas si votre syst�me est s�curis�. C'est aux
administrateurs et aux utilisateurs de prendre le soin de s�curiser
leurs syst�mes informatiques. Il est facile � impl�menter et il est
tr�s efficace pour ce qui est de garder le haut niveau de s�curit�
impl�ment� dans le protocole SSH. Nous verrons dans cet article �
quel point cela est facile de mettre en place et d'�tablir des
canaux de communication s�curis�s pour et par quasiment n'importe
quel utilisateur. Les documents, courriels et autres communications
de donn�es peuvent �tre envoy�s facilement et en toute s�curit� �
des utilisateurs � l' autre bout du monde ou � quelques pas de
l�.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="MINDTERM-WORK" id=
"MINDTERM-WORK">Comment MindTerm et SSH fonctionnent
ensemble</a></h3>
<p>SSH et MindTerm fonctionneront ensemble pour utiliser une
technique appel�e redirection de port [port forwarding]. La
redirection de port consiste � rediriger du trafic d'un h�te et un
port donn�s, vers un autre h�te et port. En d'autres termes,
l'application MindTerm va ouvrir un port sur la machine du client
(machine locale) et toute connexion � ce port local est redirig�e
vers l'h�te distant et son port d'�coute au travers d'une session
SSH crypt�e. Le fait que la connexion soit accept�e ou pas d�pend
du type de requ�te qu'on envoie � l'h�te distant. Par exemple, on
ne redirigerait pas des requ�tes POP vers un h�te distant �coutant
sur le port 21, car le port 21 est r�serv� aux requ�tes FTP. La
redirection de port est �galement utilis�e pour permettre la
connexion � un serveur situ� derri�re un pare-feu et/ou qui a une
adresse IP priv�e. Essentiellement, cela s'appelle cr�er un r�seau
virtuel priv� [Virtual Private Network] (VPN). Un VPN est
<span class="emphasis"><i class="EMPHASIS">"un r�seau de donn�es
priv�es faisant usage de l' infrastructure de t�l�communications
publique, en prot�geant la vie priv�e par l'emploi d'un protocole
de tunnel et de proc�dures de s�curit�"</i></span> (<a href=
"http://www.whatis.com" target="_top">www.whatis.com</a>). La
redirection de port ne peut �tre effectu�e qu'avec des services
TCP.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="SOFTWARE-INSTALL" id=
"SOFTWARE-INSTALL">Installation du logiciel</a></h2>
<p>Pour pouvoir suivre ce tutoriel, vous devrez installer quelques
paquetages [packages]. Ce tutoriel part du principe que SSH est
d�j� install� sur votre serveur ou station de travail. Si ce n'est
pas le cas vous pouvez lire la documentation livr�e avec le
paquetage SSH ou OpenSSH pour avoir des instructions d'installation
pour votre plateforme. Pour les exemples suivants, OpenSSH a �t�
install� sur un serveur RedHat 7.0 et sur une station de travail.
OpenSSH a �t� install� sur RedHat 6.0 � 7.0 et fonctionne de la
m�me fa�on. La machine client utilis�e dans ce tutoriel est une
machine Windows 2000. Des stations de travail Windows 95/98, NT
4.0, NT 5.0, RedHat 6.0-7.0 ont toutes �t� test�es comme machines
client et ont fonctionn� de la m�me fa�on. Entre parenth�ses,
exactement la m�me archive JAR MindTerm a �t� utilis�e sur tous les
syst�mes client test�s.</p>
<ul>
<li>
<p>SSH ou OpenSSH</p>
</li>
<li>
<p>MindTerm</p>
</li>
<li>
<p>Client FTP - N'importe quel client FTP devrait marcher pour ce
tutoriel. Ws-FTP et Leech-FTP sont les deux plus populaires pour
Windows.</p>
</li>
<li>
<p>Netscape Communicator - ou n'importe quel autre client de
messagerie devrait marcher.</p>
</li>
<li>
<p>Optionnel: <a href="http://www.ntop.org" target=
"_top">NTOP</a></p>
</li>
<li>
<p>Optionnel: <a href=
"http://www.redhat.com/swr/src/vlock-1.3-3.src.html" target=
"_top">vlock</a></p>
</li>
</ul>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="CONFIGURATIONS" id=
"CONFIGURATIONS">Configurations du serveur et du client</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="SERVER-CONFIG" id=
"SERVER-CONFIG">Configuration du serveur</a></h3>
<p>D'abord, assurez-vous que votre serveur est s�curis�. Bien que
le trafic soit crypt� pendant qu'il circule sur Internet, il peut
�tre renifl� si quelqu'un a un acc�s root sur la machine locale et
utilise un programme tel que <a href=
"http://www.packetfactory.net/Projects/ngrep" target=
"_top">ngrep</a> pour renifler le trafic sur une machine locale.
Par exemple, utilis�e conjointement avec le programme DSniff
mentionn� plus haut, la commande suivante pourrait renifler tout le
trafic sur le r�seau d'interface locale : <b class="COMMAND">ngrep
-d lo</b>. Cependant, la s�curisation du serveur n'entre pas dans
le cadre de cet article.</p>
<p>Nous utiliserons les services POP (port 110), IMAP (port 143),
SMTP (port 25), VNC (Virtual Network Computing) (5901+), et NTOP
(port 3000 par d�faut) pour cet exemple. Tout le trafic sera
redirig� vers le port respectif de chaque service sur l'h�te
distant o� tourne le serveur SSH. Tous les services �coutant sur
l'h�te distant �coutent sur toutes les interfaces, � moins que le
service soit li� � un port par d�faut ou qu'il soit configur�
manuellement. Pour montrer � quel point cette technique de tunnel
SSH est efficace, nous n'autoriserons que des services pr�cis �
�couter sur l'interface locale.</p>
<p>Cependant,vous n'avez pas � changer vos configurations de
s�curit� courantes. Nous utiliserons tcp_wrappers, qui est install�
par d�faut sur RedHat 7.0 (et les versions pr�c�dentes), pour nous
connecter aux services r�seau. Dans le fichier <tt class=
"FILENAME">/etc/hosts.deny</tt>, ajoutez la ligne suivante :</p>
<pre class="PROGRAMLISTING">ALL : ALL</pre>
<p>Et dans votre fichier <tt class="FILENAME">/etc/hosts.allow</tt>
ajoutez les lignes suivantes :</p>
<pre class="PROGRAMLISTING"> sshd : ALL
in.ftpd : 127.0.0.1
ipop3d : 127.0.0.1
imapd : 127.0.0.1
</pre>
<p>Avec ce param�trage, sshd (le serveur SSH) autorisera les
connexions depuis n'importe quelle adresse IP. Les autres services
n'autorisent les connexions que depuis l'interface locale. On peut
v�rifier cela tout de suite en configurant un client de messagerie
pour qu'il se connecte au serveur POP ou IMAP distant, et/ou un
client FTP pour qu'il se connecte au serveur FTP. La connexion ne
sera pas autoris�e. Il faudra �galement param�trer tout compte
utilisateur devant avoir acc�s � ces services.(Note : le
param�trage ci-dessus n'est utile que si les services sont pour un
usage interne uniquement, et que les utilisateurs distants ont
besoin d'acc�der � des services internes pour envoyer et recevoir
des courriels ou transf�rer des fichiers. Les services peuvent �tre
disponibles pour un usage publique et �tre crypt�s avec SSH et
MindTerm.) En vue d'une utilisation de MindTerm sur le web pour
cr�er des tunnels ou utiliser les fonctionnalit�s GUI de Secure
Copy, un environnement d'ex�cution Java (JRE) devra �galement �tre
install� sur le serveur o� tourne SSH.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="CLIENT-CONFIG" id=
"CLIENT-CONFIG">Configuration du client</a></h3>
<p>La seule configuration n�cessaire pour le client est de
s'assurer qu'un JRE est install� sur votre plateforme. Windows et
MacOS 8 et plus ont d�j� un JRE install�. Il est recommand�
d'installer le JRE de Sun sur Windows. IBM a une liste des ports
des JRE des diff�rentes plateformes : <a href=
"http://www-105.ibm.com/developerworks/tools.nsf/dw/java-devkits-byname"
target=
"_top">http://www-105.ibm.com/developerworks/tools.nsf/dw/java-devkits-byname</a>
, ainsi que Sun : <a href=
"http://java.sun.com/cgi-bin/java-ports.cgi" target=
"_top">http://java.sun.com/cgi-bin/java-ports.cgi.</a> (Vous n'avez
pas besoin de tout le paquetage Java avec les d�bogueurs et les
compilateurs, juste la machine virtuelle Java (JVM) pour lancer des
applications Java.) De plus, pour le tutoriel qui suit,
d�compressez l'archive MindTerm, impl�mentation MindBright ou
ISNetwork, dans <tt class="FILENAME">c:\mindterm</tt> pour
Windows.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="CREATING-TUNNELS" id=
"CREATING-TUNNELS">Cr�ation des tunnels</a></h2>
<p>MindTerm peut �tre d�marr� de plusieurs mani�res. Si vous avez
JRE install�, alors vous pouvez double-cliquer sur le fichier
d'application mindtermfull.jar. Une autre mani�re consiste � ouvrir
une invite de commande DOS et � taper la commande :</p>
<pre class="PROGRAMLISTING">
jview -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm</pre>
<p>ou</p>
<pre class="PROGRAMLISTING">
javaw -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm</pre>
<p>ou</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm</pre>
<p><span class="emphasis"><i class="EMPHASIS">(jview s'utilise si
vous �tes sous Windows et que vous n'avez pas t�l�charg� le JRE.
Javaw est livr� avec le t�l�chargement de JRE sous Windows et est
utilis� car une invite de commande DOS n'est pas n�cessaire pour
lancer MindTerm, ce qui fait une fen�tre ouverte en
moins)</i></span></p>
<p>MindTerm 2.0 est maintenant disponible. L'argument pour le
lancer a l�g�rement chang�. A la place de la commande ci-dessus
:</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm</pre>
<p>cela d�marrera MindTerm en ligne de commande :</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar com.mindbright.application.MindTerm</pre>
<p>Seul le "com." a �t� ajout� au param�tre de l'applet.</p>
<p>Cela d�marrera le programme MindTerm et ensuite vous pourrez
taper le nom du serveur quand vous y serez invit� et on vous
demandera ensuite "<a href="minddialog.jpg" target="_top">Save as
Alias</a>" (enregistrer en tant qu' alias). Vous pouvez entrer un
nom de serveur court, comme �a quand vous lancerez l'applet �
nouveau vous n'aurez qu'� taper l'<b class="COMMAND">Alias</b> que
vous aurez cr��. On vous demandera ensuite votre identifiant de
connexion. Apr�s l'avoir tap�, tapez Entr�e et une bo�te de
dialogue appara�tra pour vous informer que l'h�te n'existe pas et
vous demandera d'en cr�er un. Cliquez sur <b class=
"COMMAND">Yes</b>. Une autre bo�te appara�tra pour vous demander si
vous voulez ajouter cet h�te � votre fichier <tt class=
"FILENAME">known_host</tt>. Cliquez sur <b class="COMMAND">Yes</b>.
On vous demande ensuite votre mot de passe. Tapez votre mot de
passe puis Entr�e. Si vous avez entr� l'identifiant et le mot de
passe ad�quats, vous devriez vous trouver en ligne de commande sur
le serveur que vous avez sp�cifi�.</p>
<p>Nous allons d'abord cr�er un tunnel vers le serveur POP et SMTP.
Quand vous serez connect� avec succ�s (et aurez �ventuellement
activ� vlock), cliquez sur <a href="tunnelmenu.jpg" target=
"_top">Tunnels</a> dans le menu et ensuite sur <a href=
"tunnelmenubasic" target="_top">Basic</a>. Une bo�te de dialogue
appara�tra. Ajoutez respectivement les r�glages suivants dans
chaque bo�te :</p>
<ul>
<li>
<p>Local port: <b class="COMMAND">2010</b></p>
</li>
<li>
<p>Remote Hosts: <span class="emphasis"><i class="EMPHASIS">Votre
h�te distant (�a devrait �tre le serveur sur lequel tourne
sshd)</i></span>.</p>
</li>
<li>
<p>Remote port: <b class="COMMAND">110</b></p>
</li>
</ul>
<p>Maintenant cliquez sur <b class="COMMAND">Add</b> (ajouter). Il
devrait appara�tre une bo�te de dialogue disant "<a href=
"tunnelconfirm.jpg" target="_top">The tunnel is now open and
operational (le tunnel est maintenant ouvert et op�rationnel)</a>
". <span class="emphasis"><i class="EMPHASIS">(Remarque : si vous
s�lectionnez un port d�j� ouvert, un message d' erreur vous dira
<a href="tunnelerror.jpg" target="_top">Could not open tunnel.
Error creating tunnel. Error setting up local forward on port XXXX,
Address in use - Le tunnel n'as pas pu �tre ouvert. Erreur lors de
la cr�ation du tunnel. Erreur lors de la mise en place de la
redirection local sur le port XXXX, Adresse en cours
d'utilisation.</a>)</i></span> Cliquez sur <b class=
"COMMAND">OK</b> et la configuration du tunnel devrait maintenant
appara�tre dans une bo�te. Cliquez sur <b class="COMMAND">Close
Dialog</b> (fermer la bo�te de dialogue). Ouvrez le menu des
options ou pr�f�rences de votre client de messagerie. Nous
utiliserons Netscape Messenger pour cet exemple.</p>
<ol type="1">
<li>
<p>Ouvrez Netscape</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Edit -> Preferences</b>.</p>
</li>
<li>
<p>Sur la colonne de gauche cliquez sur <b class="COMMAND">Mail "
Newsgroups</b> , si le contenu n'est pas d�j� affich�.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Identity</b> et entrez vos
informations dans chaque bo�te.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Mail Servers</b> dans la colonne
de gauche. L'installation par d�faut de Netscape affiche "mail"
dans la bo�te en-dessous de "Incoming mail servers" (serveurs de
r�ception de mails)</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">mail</b>.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Edit</b> � droite de cette bo�te
et une bo�te de dialogue devrait appara�tre.</p>
</li>
<li>
<p>Si POP n'est pas d�j� s�lectionn� dans cette bo�te d�roulante,
s�lectionnez-le maintenant.</p>
</li>
<li>
<p>Dans la bo�te "Server Name" tapez <b class=
"COMMAND">localhost:2010</b> <span class="emphasis"><i class=
"EMPHASIS">(rappelez-vous qu'on a choisi ce port local dans le menu
de cr�ation de tunnel de MindTerm pour rediriger vers le port POP
(110) des serveurs distants)</i></span> et ensuite votre nom
d'utilisateur. R�glez toute option qui vous semble convenir.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">OK</b>.</p>
</li>
<li>
<p>Dans la bo�te <b class="COMMAND">Outgoing mail (SMTP) server</b>
(serveur d' envoi de messages) tapez le nom de votre serveur SMTP
et en-dessous tapez votre nom d'utilisateur pour le serveur de
messages sortants.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">OK</b>. <span class=
"emphasis"><i class="EMPHASIS">(Ne touchez pas � l'option "Use
Secure Socket Layer (SSL) or TLS for outgoing messages" - utiliser
SSL ou TLS pour les messages sortants)</i></span>.</p>
</li>
<li>
<p>Maintenant cliquez sur <b class="COMMAND">Communicator</b> dans
le menu.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Messenger</b>.</p>
</li>
<li>
<p>Vous devriez ensuite �tre invit� � entrer votre mot de passe.
Tapez votre mot de passe puis Entr�e. Si vous avez du courrier,
vous devriez maintenant �tre en mesure de le lire.</p>
</li>
</ol>
<p>Tant que vous avez une session SSH MindTerm ouverte, cela
devrait marcher avec quasiment tous les clients de messagerie.
Rappelez-vous que le nom du serveur distant ou du serveur POP sera
"localhost:". Si l'on vous demande le serveur POP et le port
s�par�ment, alors ajoutez-les en cons�quence. Dans cet exemple,
toute connexion au port local 2010 sera redirig�e vers le port 110
de l'h�te distant. Si vous configurez un client FTP pour se
connecter au port 2010 de l' h�te local, �a ne marcherait pas.
Pourquoi? Le protocole POP ne comprend pas le protocole FTP. Pour
que le tunnel aboutisse, seuls les clients POP peuvent �tre
redirig�s vers le port 2010 de l'h�te local. Un serveur POP ne sert
� rien si vous n'avez pas de serveur SMTP. Si vous avez un
programme de messagerie comme Postfix ( <a href=
"http://www.postfix.net" target="_top">www.postfix.net</a>), Qmail
( <a href="http://www.qmail.org" target="_top">www.qmail.org</a>),
ou Sendmail ( <a href="http://www.sendmail.org" target=
"_top">www.sendmail.org</a>) un tunnel s�curis� peut �tre �galement
cr��.</p>
<p>Le client MindTerm tournant encore, cliquez sur "Tunnels" �
nouveau, puis sur "Basic" et ajouter ces r�glages.</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2025</b><span class=
"emphasis"><i class="EMPHASIS">(vous pouvez �craser les r�glages
d'avant)</i></span></p>
</li>
<li>
<p>Remote Host: <span class="emphasis"><i class="EMPHASIS">Votre
serveur SMTP distant</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">25</b></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Cliquez ensuite sur
<b class="COMMAND">OK</b> dans le menu de confirmation. Maintenant
SMTP devrait �tre ajout� � la liste en-dessous des r�glages pour
POP. Dans les r�glages du serveur de messagerie dans Netscape
Messenger, ajoutez : <b class="COMMAND">localhost:2025</b> comme
�tant votre <span class="emphasis"><i class="EMPHASIS">Outgoing
mail (SMTP) server</i></span> (serveur de messages sortants). Tous
les courriels que vous enverrez � l'h�te distant seront crypt�s.
Cependant, si vous envoyer un message � quelqu'un en-dehors du
serveur de messagerie de l' h�te distant, votre courriel sera
crypt� seulement de votre machine locale � votre serveur SMTP
distant. Du serveur SMTP distant � n'importe quel autre h�te, il ne
sera pas crypt�, � moins que vous ayez configur� un tunnel vers les
autres h�tes.</p>
<p>Pour permettre des sessions FTP crypt�es, ajoutez ces
informations � un nouveau tunnel.</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2021</b> <span class=
"emphasis"><i class="EMPHASIS">(vous pouvez �craser les r�glages
d'avant)</i></span></p>
</li>
<li>
<p>Remote Host: <span class="emphasis"><i class="EMPHASIS">Votre
serveur FTP distant</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">21</b></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Ensuite cliquez sur
<b class="COMMAND">OK</b> dans le menu de confirmation. Maintenant
FTP (voir <a href="leech.jpg" target="_top">l'exemple leech ftp</a>
et wsftp - <a href="wsftp.jpg" target="_top">image 1</a> et
<a href="wsftpadvanced.jpg" target="_top">image 2</a>) devrait �tre
ajout� � la liste en-dessous des r�glages SMTP.</p>
<p>R�glages Imap :</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2043</b> <span class=
"emphasis"><i class="EMPHASIS">(vous pouvez �craser les r�glages
d'avant)</i></span></p>
</li>
<li>
<p>Remote Host: <span class="emphasis"><i class="EMPHASIS">Votre
serveur IMAP distant</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">143</b></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Ensuite cliquez sur
<b class="COMMAND">OK</b> dans le menu de configuration. Maintenant
IMAP devrait �tre ajout� � la liste en-dessous des r�glages
SMTP.</p>
<p>Tous ces r�glages peuvent �tre automatis�s dans un fichier
batch. Ajoutez simplement ce qui suit dans un script de d�marrage
pour cr�er automatiquement un tunnel vers votre serveur POP apr�s
authentification :</p>
<pre class="PROGRAMLISTING">
jview (ou java ou javaw) -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
-server -local0 2010:localhost:110</pre>
<p>Voici un exemple bas� sur ce que nous avons fait plus haut.
Ajoutez ce qui suit � un fichier dans un �diteur :</p>
<pre class="PROGRAMLISTING">
jview (ou java ou javaw) -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
-server -local0 2010:localhost:110 -local1 2025:localhost:25 -local2 /ftp/2021:localhost:21
-local3 2043:localhost:143</pre>
<p>Maintenant sauvegardez-le avec une extension <tt class=
"FILENAME">.bat</tt>. Double-cliquez dessus. On devrait vous
demander votre identifiant de connexion lorsque MindTerm d�marre,
ensuite entrez votre mot de passe. Apr�s vous �tre authentifi�,
cliquez sur le menu <b class="COMMAND">Tunnels</b> puis sur
<b class="COMMAND">Basic</b>. Vous devriez voir les tunnels dans la
bo�te qui s' ouvre. C'est une mani�re simple de permettre � des
utilisateurs distants de d�marrer les tunnels sans trop de
configuration de leur part. Ils n'ont qu'� double-cliquer sur le
fichier <tt class="FILENAME">.bat</tt> et entrer leur nom d'
utilisateur et mot de passe, et accessoirement lancer vlock. Leur
logiciel client peut �tre pr�-configur� pour les profils distants
qui se connectent aux tunnels automatiquement.</p>
<p>Quand vous avez fini d'utiliser MindTerm, veillez � bien fermer
toutes les applications utilisant un tunnel. Si vous oubliez de
fermer les programmes utilisant un tunnel, MindTerm affichera un
message lorsque vous essaierez de quitter depuis la console ou de
quitter le programme.</p>
<p>Qu'en est-il de VNC et NTOP? Ces services fonctionnent de la
m�me fa�on. Ici, le serveur VNC tournait sur une station de travail
RedHat 7.0. Quand vous d�marrez le serveur VNC, il commence par
�couter sur le port 5901, puis chaque serveur suivant incr�mente
d'un port, de telle fa�on que la 2�me instance de VNC �coutera sur
le port 5902, la 3�me sur 5903, etc. Sous Linux, vous pouvez lancer
plusieurs serveurs VNC et les gens peuvent se connecter
indiff�remment � chaque serveur VNC. Dans MindTerm, vous pouvez
ajouter un tunnel VNC simplement, avec les r�glages suivants :</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2001</b></p>
</li>
<li>
<p>Remote Host: <span class="emphasis"><i class="EMPHASIS">Le nom
de votre serveur VNC distant</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">5901</b> <span class=
"emphasis"><i class="EMPHASIS">(s'il s'agit de la 1�re instance de
serveur qui tourne)</i></span></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Cliquez ensuite sur
<b class="COMMAND">OK</b> dans le menu de confirmation.</p>
<p>Lancez l'application vncviewer sur votre machine locale et tapez
: <b class="COMMAND">localhost:2001</b>, puis, quand cela est
demand�, le mot de passe pour le bureau VNC, et vous avez une
session VNC crypt�e.</p>
<p>NTOP fonctionne de la m�me mani�re. Si vous voulez ex�cuter NTOP
en mode web en tant que moniteur r�seau, vous pouvez faire
emprunter aux connexions un tunnel vers votre machine locale et
visualiser les statistiques dans votre navigateur local, sans avoir
� installer un serveur web ou ouvrir le port 3000 sur votre serveur
distant. Par d�faut, NTOP en mode web �coute sur le port 3000 et
attend une connexion HTTP pour afficher des statistiques r�seau.
Cr�ez simplement un tunnel vers le serveur ex�cutant le serveur SSH
et NTOP. Ex�cutez d'abord NTOP en mode web : ntop -d -w 3000 . Puis
ajoutez ces r�glages au tunnel MindTerm :</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2080</b></p>
</li>
<li>
<p>Host: <span class="emphasis"><i class="EMPHASIS">Serveur
ex�cutant NTOP</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">3000</b></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Cliquez ensuite sur
<b class="COMMAND">OK</b> dans le menu de confirmation.</p>
<p>Ouvrez ensuite votre navigateur web et tapez dans la barre d'URL
: <b class="COMMAND">http://localhost:2080</b> Vous devriez
maintenant voir les pages de statistiques r�seau pour NTOP (voir le
manuel NTOP pour ajouter un acc�s prot�g� par mot de passe �
l'affichage NTOP). Idem, si vous voulez installer un serveur web
pour utiliser les applications web pour pouvoir contr�ler votre
serveur ou pare-feu, cr�ez simplement un tunnel vers le port 80.
Vous n'avez pas � ouvrir un port sur l'interface publique. Il faut
simplement relier le serveur web � l'interface locale et cr�er un
tunnel vers le port 80 de l'h�te distant. Pour Apache, �ditez le
fichier <tt class="FILENAME">httpd.conf</tt> et remplacez l'option
<span class="emphasis"><i class="EMPHASIS">BindAddress *</i></span>
par <b class="COMMAND">BindAddress 127.0.0.1</b>. Ajoutez ensuite
<b class="COMMAND">localhost</b> � la directive <span class=
"emphasis"><i class="EMPHASIS">ServerName</i></span> : <b class=
"COMMAND">ServerName localhost</b>. Enfin, remplacez la directive
<span class="emphasis"><i class="EMPHASIS">Listen</i></span> par :
<b class="COMMAND">Listen 127.0.0.1:80</b> Comme vous pouvez le
voir � pr�sent, MindTerm peut s�curiser � peu pr�s n'importe quel
service TCP. Il peut �tre utilis� sur un serveur distant pour
ex�cuter <a href="http://www.webmin.com/webmin" target=
"_top">Webmin</a>, qui est une excellente application web pour
administrer vos serveurs. Celle-ci est livr�e avec ses propres
serveurs web bas�s sur du perl, et �coute par d�faut sur le port
10000. Cr�ez simplement un tunnel vers celui-ci en utilisant
MindTerm et �a devrait marcher sans modifier votre application
Webmin ou votre navigateur web local. Le fichier zip MindTerm en
t�l�chargement contient de nombreux exemples utiles, comme son
utilisation depuis une ligne de commande ou une explication de
toutes les options du menu. MindTerm poss�de plus de
fonctionnalit�s que ce qui est d�crit dans ce tutoriel, mais
l'option concernant le tunnel vaut vraiment la peine d'y passer du
temps.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="MINDTERM-WEB" id="MINDTERM-WEB">MindTerm
sur le web</a></h2>
<p>MindTerm peut �tre �galement utilis� sur le web. Les
utilisateurs n'ont pas � t�l�charger l'application. Copiez
simplement le fichier <tt class="FILENAME">mindtermfull.jar</tt>
dans un r�pertoire du r�pertoire web et les utilisateur pourront
l'utiliser simplement comme une application int�gr�e ou comme une
applet Java autonome. Par exemple, cr�ez un dossier nomm�
<tt class="FILENAME">mindterm</tt> dans votre r�pertoire web.
Copiez le fichier <tt class="FILENAME">mindtermfull.jar</tt>
utilis� plus haut, dans le dossier <tt class=
"FILENAME">mindterm</tt> du r�pertoire web. Ajoutez ensuite le
fichier <tt class="FILENAME">index.html</tt> dans le r�pertoire
avec le contenu suivant (repris du <tt class="FILENAME">README</tt>
) :</p>
<p class="LITERALLAYOUT"><span class="emphasis"><i class=
"EMPHASIS"><html> <head></head> <body>
<applet archive="mindtermfull.jar"
code=mindbright.application.MindTerm width=700 height=400>
<param name=server value="<nom de votre serveur>">
<param name=port value="22"> <param name=cipher
value="blowfish"> <param name=te value="xterm-color">
</applet> </body> </html></i></span></p>
<p>MindTerm 2.0 est maintenant disponible. L'argument pour d�marrer
l'applet web a l�g�rement chang�. A la place des param�tres
d'applet ci-dessus, et de l' exemple de code ci-dessous, modifiez
la ligne :</p>
<pre class="PROGRAMLISTING"><applet archive="mindtermfull.jar"
code=mindbright.application.MindTerm width=700 height=400></pre>
<p>comme ceci :</p>
<pre class="PROGRAMLISTING"><applet archive="mindtermfull.jar"
code=com.mindbright.application.MindTerm width=700 height=400></pre>
<p>Seul le <span class="emphasis"><i class=
"EMPHASIS">com.</i></span> doit �tre ajout� au param�tre
<span class="emphasis"><i class="EMPHASIS">code=</i></span> de
l'applet. Le code ci-dessous sera donc modifi� comme ceci :</p>
<pre class="PROGRAMLISTING">
<applet archive="mindterm_ns.jar" code=com.mindbright.application.MindTerm.class width=1
height=1></pre>
<p>Naviguez jusqu'� l'emplacement du r�pertoire dans votre
navigateur web <span class="emphasis"><i class=
"EMPHASIS">(http://<nom de votre
serveur>/mindterm/index.html)</i></span>, assurez-vous que Java
est activ� dans votre navigateur et vous devriez pouvoir vous
connecter au serveur maintenant.</p>
<p>Pour pouvoir cr�er des tunnels, la version la plus r�cente de
MindTerm doit �tre t�l�charg�e depuis le site web de MindBright,
version 1.99. Cette archive contient une applet sign�e par
MindBright qui peut �tre utilis�e dans votre page web pour cr�er
des tunnels comme expliqu� plus haut. Apr�s avoir t�l�charg� la
version la plus r�cente, ajoutez le fichier <tt class=
"FILENAME">mindterm_ns.jar</tt> au r�pertoire <tt class=
"FILENAME">mindterm</tt> dans votre serveur web. Maintenant ajoutez
un fichier qui s'appelle <tt class="FILENAME">standapplet.html</tt>
au r�pertoire <tt class="FILENAME">mindterm</tt> et ajoutez le code
suivant pour d�marrer MindTerm comme client � part pour cr�er des
tunnels. (<span class="emphasis"><i class="EMPHASIS">Remarque :
l'archive contient une applet pour � la fois Netscape et
Explorer</i></span>)</p>
<p class="LITERALLAYOUT"><span class="emphasis"><i class=
"EMPHASIS"><html> <head></head> <body>
<applet archive="mindterm_ns.jar"
code=mindbright.application.MindTerm.class width=1 height=1>
<param name=server value="<nom de votre serveur>">
<param name=port value="22"> <param name=cipher
value="blowfish"> <param name=sepframe
value="true"><!-- ex�cuter dans un cadre s�par� ou pas -->
<param name=autoprops value="both"><!-- activer/d�sactiver
sauvegarde/chargement automatique des r�glages -->
</applet> </body> </html></i></span></p>
<p>Maintenant naviguez jusqu'� l'emplacement du r�pertoire dans
votre navigateur web <span class="emphasis"><i class=
"EMPHASIS">(http://<lt;nom de votre
serveur>/mindterm/standapplet.html)</i></span> . Cela d�marrera
MindTerm en tant qu'applet Java autonome, comme si elle �tait
lanc�e depuis une ligne de commande. Des tunnels peuvent �tre cr��s
en utilisant les balises de l'applet de fa�on � ce que les
utilisateurs n'aient rien d'autre � faire que naviguer jusqu'� la
page et se connecter. Ensuite il auraient acc�s � leurs services
comme expliqu� dans les exemples pr�c�dents. Ils peuvent cependant
cr�er leurs propres tunnels ou de nouveaux tunnels depuis le menu
<span class="emphasis"><i class="EMPHASIS">Tunnels</i></span> comme
expliqu� plus haut. Le <tt class="FILENAME">README</tt> livr� avec
l'archive zip MindTerm poss�de de nombreux autres param�tres
d'applet qui peuvent �tre ajout�s. Quand vous cr�ez des tunnels,
vous pouvez alors cliquer sur <b class="COMMAND">File</b> puis sur
<b class="COMMAND">Save</b> pour que les tunnels que vous avez
cr��s soient conserv�s quand vous vous identifiez � nouveau.</p>
<p>Quelques consignes de s�curit� : vous ne pouvez pas vous
connecter � un autre serveur en utilisant l'applet d'identification
initiale. Vous ne pouvez vous connecter que sur le serveur o�
l'applet est situ�e. Cependant, apr�s vous �tre connect� avec
succ�s, vous pouvez alors vous connecter sur un autre serveur en
ligne de commande. De plus, cette applet MindTerm est sign�e par
MindBright, donc il faut contacter <a href=
"mailto:sales@mindbright.se" target="_top">le d�partement de
ventes</a> chez MindBright pour obtenir une signature
cryptographique pour votre organisation. Cela dit, si c'est
n�cessaire.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="SECURITY" id="SECURITY">Remarques sur la
s�curit�</a></h2>
<p>Lorsqu'une session SSH d�marre, les cl�s publiques sont envoy�es
au travers d'une connexion non s�curis�e jusqu'� ce que le proc�d�
d'authentification soit �tabli. Cela peut permettre � une personne
d'intercepter une session SSH et de placer sa propre cl� publique
dans le processus de connexion. SSH est con�u pour avertir
l'utilisateur si une cl� publique a chang� par rapport � ce qui
existe dans son propre fichier known_host. L'avertissement donn� ne
passe pas du tout inaper�u et SSH annulera la connexion si les cl�s
publiques sont diff�rentes, mais l'utilisateur peut quand m�me
faire confiance au certificat car il peut penser que son entreprise
a chang� les cl�s publiques du serveur. Ce type d'attaque n'est pas
difficile car le paquetage dsniff mentionn� plus t�t contient les
outils pour l'effectuer. Cette attaque est plus commun�ment appel�e
<span class="emphasis"><i class="EMPHASIS">"attaque de l'homme du
milieu" [man-in-the-middle attack] (The End of SSL and
SSH)</i></span>.</p>
<p>Un correctif temporaire et facile pour cela consiste � d'abord
apprendre � l'utilisateur comment reconna�tre les signes indiquant
que la cl� de l'h�te a chang�, et comment faire pour r�cup�rer la
bonne cl� publique. Deuxi�mement, il faudrait poster la cl�
publique du serveur SSH sur un site web, serveur FTP ou la
distribuer d'une autre fa�on pour que les utilisateurs puissent y
avoir acc�s n'importe quand.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="CONCLUSION" id=
"CONCLUSION">Conclusion</a></h2>
<p>SSH et MindTerm ensemble peuvent fournir aux utilisateurs locaux
et distants un haut niveau de s�curit� � l'aide d'une simple petite
application qui se lance sans installation pr�alable. Ils peuvent
�galement �tre utilis�s depuis � peu pr�s n'importe quelle
plateforme disponible. Java a �t� choisi pour son interop�rabilit�
entre plateformes. S'il existe un JRE disponible pour une
plateforme utilis�e par une personne, cette personne peut utiliser
l' application MindTerm pour communiquer de mani�re s�re sur de
longues distances. Comme SSH est en train de devenir le standard
pour l'administration et l'identification � distance, bient�t
quasiment toutes les plateformes seront capables de faire tourner
un serveur SSH. MindBright travaille actuellement sur un serveur
SSH Java.</p>
<p>Ce tutoriel montre �galement comment quelqu'un peut faire un
tunnel au travers d'un pare-feu. Ce n'est pas du tout le but de cet
article. On esp�re que les gens l'utiliseront comme un rempla�ant
de type VPN s�r, rapide et gratuit pour l'administration �
distance, pour les gens en voyage d'affaire ; on esp�re aussi que
d'autres secteurs verront l'utilit� de cet excellent programme.
Tant que vous serez autoris� � effectuer des connexions SSH vous
pourrez faire passer des services vers une machine distante au
travers d'un tunnel. Les administrateurs syst�me et s�curit�
devraient �tablir une politique contre la cr�ation de tunnels au
travers des pare-feu car cela peut causer des br�ches de s�curit�
internes en cas de mauvaise utilisation. Rappelez-vous que la
communication est s�curis�e, mais que les commandes et fichiers
auxquels vous acc�dez et/ou t�l�chargez sont quand-m�me ex�cut�s
sur vos machines locale et distante. De plus, toute commande que
vous tapez est �galement journalis�e sur la plupart des serveurs.
SSH prot�ge les donn�es sur le r�seau ou l'Internet, mais ce qui
est fait sur les machines distantes peut �tre journalis�. SSH et
MindTerm ne prot�geront pas contre quelqu'un essayant d'obtenir
l'acc�s � l'ordinateur d'un utilisateur distant, et installant des
programmes enregistreurs de frappe ou d'autres outils de
surveillance.</p>
<p>Il est tr�s simple et rapide d'�tablir une communication
s�curis�e, mais le seul moyen pour les utilisateurs d'accro�tre
l'utilisation de communications s�curis�es est d'encourager leurs
entreprises, les institutions financi�res, les services m�dicaux et
autres entreprises � offrir des services s�curis�s.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="REFERENCES" id=
"REFERENCES">R�f�rences</a></h2>
<p>Broadband Access to Increase in Workplace. 25 Jan. 2001.
CyberAtlas. 12 Mar. 2001 <<a href=
"http://cyberatlas.internet.com/markets/broadband/article/0,,10099_570571,00.html"
target=
"_top">http://cyberatlas.internet.com/markets/broadband/article/0,,10099_570571,00.html</a>>.</p>
<p>Broadband Moving On Up. 10 Jan. 2001. CyberAtlas. 12 Mar. 2001.
<<a href=
"http://cyberatlas.internet.com/markets/broadband/article/0,,10099_556391,00.html"
target="_top">.
http://cyberatlas.internet.com/markets/broadband/article/0,,10099_556391,00.html</a>>.</p>
<p>Connolly, P.J. "Secure the home office sensible and easily"
Infoworld. 8 Mar. 2001. 22 Mar. 2001. <<a href=
"http://www.infoworld.com/articles/tc/xml/01/03/12/010312tcsoho.xml"
target=
"_top">http://www.infoworld.com/articles/tc/xml/01/03/12/010312tcsoho.xml</a>>.</p>
<p>Eckels, Josh. "Commercial Use" E-mail to Josh Eckels. 13 Mar.
2001</p>
<p>MindTerm: README. MindBright Technology. 3 March 2001
<<a href="http://www.mindbright.se/documentation/README" target=
"_top">. http://www.mindbright.se/documentation/README</a>>.
Schneier, Bruce. Secrets and Lies: Digital Security in a Networked
World. New York:Wiley & Sons, 2000.</p>
<p>Seifried, Kurt. "The End of SSL and SSH" 18 Dec. 2000.
SecurityPortal. 12 March 2001 <<a href=
"http://www.securityportal.com/cover/coverstory20001218.html"
target=
"_top">http://www.securityportal.com/cover/coverstory20001218.html</a>>.</p>
<p>virtual private network: [Definition]. 6 Oct. 2000. Whatis.com.
15 Mar. 2001. <<a href=
"http://whatis.techtarget.com/definitionsSearchResults/1,289878,sid9,00.html?query=virtual+private+network"
target=
"_top">http://whatis.techtarget.com/definitionsSearchResults/1,289878,sid9,00.html?query=virtual+private+network</a>>.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="FAQ" id="FAQ">Foire Aux
Questions</a></h2>
<p>Rien pour l'instant.</p>
</div>
</div>
</body>
</html>
|