doc-linux-fr-html 2013.01-3 / usr / share / doc / HOWTO / fr-html / MindTerm-SSH-HOWTO.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux (vers 25 March 2009), see www.w3.org">
<title>Guide pratique des tunnels crypt&eacute;s utilisant SSH et
MindTerm</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Guide pratique des
tunnels crypt&eacute;s utilisant SSH et MindTerm</a></h1>
<h3 class="AUTHOR"><a name="AEN4" id="AEN4">Duane Dunston</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<code class="EMAIL">&lt;<a href="mailto:duane@duane.yi.org">duane@duane.yi.org</a>&gt;</code><br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</p>
</div>
</div>
<div class="REVHISTORY">
<table width="100%" border="0">
<tr>
<th align="left" valign="top" colspan="3"><b>Revision
History</b></th>
</tr>
<tr>
<td align="left">Revision 1.01</td>
<td align="left">2001-06-13</td>
<td align="left">Revised by: PDD</td>
</tr>
<tr>
<td align="left" colspan="3">Format de date modifi&eacute;
(YYYY-MM-DD)</td>
</tr>
</table>
</div>
<div>
<div class="ABSTRACT"><a name="AEN16" id="AEN16"></a>
<p>Ce document d&eacute;crit comment utiliser SSH et le programme
Java MindTerm pour cr&eacute;er des tunnels de type VPN rapides et
s&eacute;curis&eacute;s sur des r&eacute;seaux non
s&eacute;curis&eacute;s.</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<h2 class="SECT1"><a name="INTRO" id="INTRO">Introduction</a></h2>
<p>Pour diverses raisons, cette toute nouvelle version a pour nom
de code la version <span class="emphasis"><i class=
"EMPHASIS">release</i></span>.</p>
<p>De nouveaux noms de code feront leur apparition selon les
directives des standards de l'industrie, pour mettre en valeur
l'aspect "&eacute;tat de l'art" du document.</p>
<p>J'ai &eacute;crit ce document suite &agrave; une suggestion qui
m'avait &eacute;t&eacute; faite de fournir un mod&egrave;le
&agrave; remplir pour faire de nouveaux guides pratiques. Ce
mod&egrave;le a &eacute;t&eacute; fait &agrave; l'origine en
extrayant la structure du guide pratique "Multi Disk HOWTO" qui est
un guide pratique plut&ocirc;t volumineux. Ce mod&egrave;le a
ensuite &eacute;t&eacute; largement r&eacute;vis&eacute;.</p>
<p>Ce petit rappel du contexte me permet de d&eacute;marrer mon
introduction.</p>
<p>Tout d'abord, un peu de jargon juridique. L'&eacute;volution
r&eacute;cente montre que c'est assez important.</p>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="COPYRIGHT" id="COPYRIGHT">Informations
sur le copyright</a></h3>
<p>Le copyright de ce document est (c) 2001 Duane Dunston et il est
distribu&eacute; sous la licence Linux Documentation Project (LDP)
mentionn&eacute;e plus bas. <span class="emphasis"><i class=
"EMPHASIS">Il est demand&eacute; que toutes corrections et/ou
commentaires soient communiqu&eacute;s au responsable de suivi du
document.</i></span></p>
<p>Sauf mention contraire, le copyright des Guides pratiques Linux
(HOWTO) sont &eacute;tablis par leurs auteurs respectifs. Les
Guides pratiques Linux peuvent &ecirc;tre reproduits ou
distribu&eacute;s en tout ou partie, sur tout support, qu'il soit
physique ou &eacute;lectronique, tant que ce copyright reste
mentionn&eacute; sur toutes les copies. Les redistributions
commerciales sont autoris&eacute;es et encourag&eacute;es ;
cependant, l'auteur aimerait &ecirc;tre notifi&eacute; de toute
distribution de la sorte.</p>
<p>Toutes traductions, travaux d&eacute;riv&eacute;s ou tout
ensemble de travaux incorporant un des Guides pratiques Linux
doivent &ecirc;tre explicitement couverts par ce copyright. Cela
veut dire que nul n'est autoris&eacute; &agrave; produire un
travail d&eacute;riv&eacute; d'un guide pratique et imposer des
restrictions suppl&eacute;mentaires sur sa distribution. Des
exemptions &agrave; ces r&egrave;gles peuvent &ecirc;tres
accord&eacute;es sous certaines conditions ; veuillez prendre
contact avec le coordinateur du Guide pratique Linux &agrave;
l'adresse donn&eacute;e plus bas.</p>
<p>En bref, nous souhaitons promouvoir la diss&eacute;mination de
cette information par autant de canaux que possible. Cependant,
nous tenons &agrave; garder le copyright sur les guides pratiques,
et aimerions &ecirc;tre notifi&eacute;s de tout projet de
redistribution des Guides pratiques HOWTO.</p>
<p>Si vous avez des questions, veuillez contacter <code class=
"EMAIL">&lt;<a href=
"mailto:duane@duane.yi.org">duane@duane.yi.org</a>&gt;</code></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="DISCLAIMER" id="DISCLAIMER">Avis de non
responsabilit&eacute;</a></h3>
<p>Nous ne pouvons &ecirc;tre tenus responsables du contenu de ce
document. Vous utilisez les concepts, exemples et autres contenus
&agrave; vos risques et p&eacute;rils. Comme il s'agit d'une
nouvelle r&eacute;vision de ce document, il se peut qu'il y ait des
erreurs et des inexactitudes qui peuvent bien s&ucirc;r endommager
votre syst&egrave;me. Agissez avec prudence, et bien que cela soit
tout &agrave; fait improbable que vous le fassiez, l'auteur
d&eacute;cline toute responsabilit&eacute; quant &agrave; cela.</p>
<p>Sauf mention contraire, tous les copyrights sont d&eacute;tenus
par leurs auteurs respectifs. L'utilisation d'un terme dans ce
document ne doit pas &ecirc;tre consid&eacute;r&eacute;e comme
portant sur la validit&eacute; d'une quelconque marque commerciale
ou de prestataire de service.</p>
<p>La mention de produits ou de marques particuliers ne doit pas
&ecirc;tre consid&eacute;r&eacute;e comme une publicit&eacute; pour
ce produit ou cette marque.</p>
<p>Il vous est fortement conseill&eacute; d'effectuer une
sauvegarde de votre syst&egrave;me avant toute installation
d'envergure ainsi que des sauvegardes &agrave; intervalles
r&eacute;guliers.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="NEWVERSIONS" id="NEWVERSIONS">Nouvelles
versions</a></h3>
<p>Ce document a subi de nombreuses r&eacute;visions puique je l'ai
entam&eacute; comme projet final pour la certification SANS
GIAC.</p>
<p>Le num&eacute;ro de version le plus r&eacute;cent de ce document
peut &ecirc;tre trouv&eacute; sur la page principale du <a href=
"http://www.linuxdoc.org/" target="_top">Linux Documentation
Project</a> ou sur <a href="http://cfcc.net/ddunston/mindterm.html"
target="_top">la page de l'auteur</a>.</p>
<p><span class="emphasis"><i class="EMPHASIS">Si vous &ecirc;tes
comp&eacute;tent en la mati&egrave;re, ce serait bien de rendre le
guide pratique disponible dans un certain nombre de
formats.</i></span></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="CREDITS" id=
"CREDITS">Remerciements</a></h3>
<p>Dans cette version, j'ai le plaisir de remercier :</p>
<p>Patti Pitz pour sa r&eacute;vision et son aide dans
l'organisation de l'article. Doug Eymand pour le c&ocirc;t&eacute;
technique de la r&eacute;vision.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="FEEDBACK" id="FEEDBACK">Vos
impressions</a></h3>
<p>Vos r&eacute;actions sur ce document sont attendues avec le plus
grand int&eacute;r&ecirc;t. Sans vos propositions et vos
contributions, ce document n'aurait jamais exist&eacute;. Je vous
prie d'envoyer les points que vous voudriez ajouter, vos
commentaires et vos critiques &agrave; l'adresse suivante :
<code class="EMAIL">&lt;<a href=
"mailto:duane@duane.yi.org">duane@duane.yi.org</a>&gt;</code>.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="BEFORE-START" id="BEFORE-START">Avant de
commencer</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="MINDTERM-INTRO" id=
"MINDTERM-INTRO">Introduction &agrave; MindTerm et SSH</a></h3>
<p>De nos jours, les entreprises, les &eacute;coles, et les
particuliers ont plus que jamais besoin de services r&eacute;seau
s&eacute;curis&eacute;s. Le commerce en ligne s' accroissant, il y
a plus de gens qui continuent &agrave; avoir acc&egrave;s &agrave;
des donn&eacute;es sensibles d'entreprise au travers de
r&eacute;seaux non s&eacute;curis&eacute;s. Les entreprises
utilisent Internet comme moyen principal pour communiquer avec
leurs employ&eacute;s en d&eacute;placement dans le pays et
&agrave; l'&eacute;tranger, envoient des documents et des courriels
non crypt&eacute;s &agrave; leurs agences et partenaires de par le
monde ; ces communications peuvent &ecirc;tre riches en
informations que n'importe quelle personne mal intentionn&eacute;e
peut potentiellement intercepter et vendre ou donner &agrave; une
entreprise rivale. De bonnes politiques de s&eacute;curit&eacute;
&agrave; la fois pour les utilisateurs et les administrateurs
r&eacute;seau peuvent aider &agrave; minimiser les probl&egrave;mes
li&eacute;s &agrave; l'interception ou au vol d'informations
&agrave; l'int&eacute;rieur de leur organisation par des personnes
mal intentionn&eacute;es. Dans cet article, nous allons aborder
l'utilisation de Secure Shell (SSH) et MindTerm pour
s&eacute;curiser la communication par Internet au sein d'une
organisation.</p>
<p>Les utilisateurs &agrave; domicile et les voyageurs d'affaires
acc&egrave;dent &agrave; des donn&eacute;es d'entreprise et
envoient des donn&eacute;es sensibles au travers de r&eacute;seaux
non s&eacute;curis&eacute;s. <span class="emphasis"><i class=
"EMPHASIS">Cela cr&eacute;e toute une cat&eacute;gorie de nouveaux
probl&egrave;mes de s&eacute;curit&eacute; pour les administrateurs
syst&egrave;me ("Securing the home office sensible and
securely")</i></span>, particuli&egrave;rement depuis qu'on estime
que le nombre de personnes travaillant &agrave; domicile avec un
acc&egrave;s haut d&eacute;bit <span class="emphasis"><i class=
"EMPHASIS">"va plus que doubler, passant de 24 millions en 2000
&agrave; 55 millions en 2005" ("Broadband Access to Increase in
Workplace")</i></span>. <span class="emphasis"><i class=
"EMPHASIS">Le nombre d'a&eacute;roports et d'h&ocirc;tels offrant
un acc&egrave;s Internet, en particulier un acc&egrave;s haut
d&eacute;bit, est en croissance et on s'attend &agrave; ce qu' il
grandisse dans l'avenir ("Broadband Moving On Up")</i></span>. Ceci
peut aussi laisser une porte grande ouverte &agrave; une personne
mal- intentionn&eacute;e qui pourrait pirater ou voir le trafic
Internet d'autres personnes et acc&eacute;der &agrave; leurs
entreprises. Cette personne malintentionn&eacute;e peut ne pas
&ecirc;tre int&eacute;ress&eacute;e par les travaux de
l'employ&eacute;, mais veut seulement acc&eacute;der &agrave; un
serveur tr&egrave;s rapide pour lancer des attaques, stocker des
fichiers ou pour un autre usage. Les hommes d'affaires courent de
grands risques car ils ne savent pas qui surveille leur connexion
Internet &agrave; l'h&ocirc;tel, &agrave; l'a&eacute;roport ou
n'importe o&ugrave; pendant leur d&eacute;placement. Les
utilisateurs des nouvelles connexions haut d&eacute;bit ne sont en
g&eacute;n&eacute;ral pas form&eacute;s &agrave; des protocoles de
s&eacute;curit&eacute; adapt&eacute;s, et certaines entreprises ne
disposent pas du personnel pour aider les utilisateurs &agrave;
domicile et les voyageurs d'affaires &agrave; mettre en place une
connexion s&eacute;curis&eacute;e. Les particuliers et,
&eacute;tonnamment, certaines entreprises ont cette
mentalit&eacute; <span class="emphasis"><i class="EMPHASIS">"Je
n'ai rien qui pourrait int&eacute;resser les autres"</i></span>.
Ceci est tr&egrave;s inqui&eacute;tant quand on consid&egrave;re la
quantit&eacute; d'informations sensibles qui voyage &agrave;
travers Internet depuis le domicile d'un employ&eacute; ou lors de
d&eacute;placements. Ce qui est plus inqui&eacute;tant est la
disponibilit&eacute; de logiciels gratuits pour effectuer ce genre
d'attaques et la facilit&eacute; d' utilisation de ces logiciels.
Dsniff ( <a href="http://www.monkey.org/~dugsong/dsniff/" target=
"_top">http://www.monkey.org/~dugsong/dsniff/</a>) est un programme
disponible gratuitement qui poss&egrave;de des
fonctionnalit&eacute;s permettant &agrave; n'importe qui avec un
ordinateur connect&eacute; &agrave; un r&eacute;seau de pirater un
r&eacute;seau local et surveiller ce que les autres font et
r&eacute;cup&eacute;rer des mots de passe et d'autres
donn&eacute;es sensibles. Dans son livre "Secrets and Lies :
Digital Security in a Networked World", Bruce Schneier affirme que
la propagation des techniques et une des principales menaces
&agrave; la s&eacute;curit&eacute; des r&eacute;seaux :
<span class="emphasis"><i class="EMPHASIS">"Internet est [...] un
m&eacute;dia parfait pour propager des outils d'attaque qui
marchent. Il suffit que le premier attaquant soit un
sp&eacute;cialiste ; tous les autres peuvent utiliser son logiciel"
(Schneier)</i></span>.</p>
<p>L'objectif de cet article n'est pas de savoir comment
s&eacute;curiser des ordinateurs, mais comment mettre en place des
tunnels virtuels pour effectuer des communications
s&eacute;curis&eacute;es, que ce soit pour envoyer des documents ou
des courriels. Les voyageurs d'affaires devraient lire les articles
de <a href="http://www.sans.org/infosecFAQ/travel/travel_list.htm"
target="_top">Jim Purcell, Frank Reid, et Aaron Weissenfluh</a> sur
la s&eacute;curit&eacute; au cours des d&eacute;placements. Les
utilisateurs &agrave; domicile ayant un acc&egrave;s haut
d&eacute;bit devraient lire <a href=
"http://www.sans.org/infosecFAQ/start/free.htm" target=
"_top">l'article</a> de Ted Tang pour avoir des informations sur la
fa&ccedil;on de s&eacute;curiser un ordinateur avec acc&egrave;s
haut d&eacute;bit. Je recommanderais la nombreuse documentation
disponible sur <a href="http://www.sans.org" target=
"_top">www.sans.org</a>, <a href="http://%20www.securityfocus.com"
target="_top">www.securityfocus.com</a>, ou <a href=
"http://www.securityportal.com" target=
"_top">www.securityportal.com</a> avec des tutoriels sur la
fa&ccedil;on de s&eacute;curiser vos ordinateurs et serveurs.</p>
<p>Le moyen pour s'assurer que les donn&eacute;es sensibles sont
transmises de mani&egrave;re rapide et s&eacute;curis&eacute;e est
d'utiliser des m&eacute;thodes crypt&eacute;es de transmission de
donn&eacute;es. Cela peut se faire par le moyen d'un courriel
crypt&eacute;, en utilisant des services web
s&eacute;curis&eacute;s de messagerie &eacute;lectronique, ou en
&eacute;tablissant des tunnels crypt&eacute;s entre deux
ordinateurs. De plus, un logiciel fiable et facile &agrave;
installer doit &ecirc;tre utilis&eacute; pour permettre aux
utilisateurs inexp&eacute;riment&eacute;s d'&eacute;tablir
rapidement des canaux de communication s&eacute;curis&eacute;s.
<a href="http://www.ssh.com" target="_top">Secure Shell</a> et
<a href="http://www.mindbright.se" target="_top">MindBright</a>
Technology's MindTerm de Taten Ylonen sont une solution rapide,
facile d'utilisation et fiable pour s&eacute;curiser les
communications sur Internet.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="MINDTERM-SSH" id="MINDTERM-SSH">MindTerm
et SSH</a></h3>
<p>SSH (Secure Shell) peut remplacer en toute
s&eacute;curit&eacute; les programmes de connexion &agrave;
distance et de transfert de fichiers comme telnet, rsh et ftp qui
transmettent les donn&eacute;es en texte clair, lisible par toute
personne. SSH utilise une m&eacute;thode d'authentification
&agrave; cl&eacute; publique pour &eacute;tablir une connexion
crypt&eacute;e et s&eacute;curis&eacute;e entre la machine de
l'utilisateur et la machine distante. Une fois la connexion
s&eacute;curis&eacute;e &eacute;tablie, les nom d'utilisateur, mot
de passe et toutes les autres informations sont envoy&eacute;s au
travers de cette connexion s&eacute;curis&eacute;e. Vous trouverez
plus d'informations sur la fa&ccedil;on dont SSH fonctionne, les
algorithmes utilis&eacute;s et les protocoles
impl&eacute;ment&eacute;s pour qu'il reste &agrave; un haut niveau
de s&eacute;curit&eacute; et de confiance sur le site web de ssh :
<a href="http://www.ssh.com" target="_top">www.ssh.com</a>.
L'&eacute;quipe OpenBSD a cr&eacute;&eacute; un &eacute;quivalent
libre qui s'appelle OpenSSH, disponible sur <a href=
"http://www.openssh.com" target="_top">www.openssh.com</a>. Il
conserve les normes &eacute;lev&eacute;es de s&eacute;curit&eacute;
de l'&eacute;quipe OpenBSD et des sp&eacute;cifications de l' IETF
pour Secure Shell (voir les <a href=
"http://www.ietf.org/ids.by.wg/secsh.html" target="_top">documents
de travail Secure Shell de l'IETF</a>), sauf qu'il utilise des
algorithmes libres du domaine public. SSH est en train de devenir
un standard pour l'administration de connexions &agrave; distance.
Il a rencontr&eacute; un tel succ&egrave;s qu'il y a de nombreux
ports SSH pour diverses plateformes, et des clients gratuits
disponibles pour se connecter &agrave; un serveur SSH sous diverses
plateformes &eacute;galement. Voir <a href=
"http://linuxmafia.com/pub/linux/security/ssh-clients" target=
"_top">http://linuxmafia.com/pub/linux/security/ssh-clients</a>
pour avoir une liste des clients. Securityportal.com a un excellent
article en deux parties sur SSH et sur les liens vers des ports
pour diff&eacute;rentes plateformes ; il est disponible sur
<a href="http://www.securityportal.com/research/ssh-part1.html"
target=
"_top">http://www.securityportal.com/research/ssh-part1.html</a>.
Il y a des programmes qui utilisent &eacute;galement un utilitaire
qui s'appelle Secure Copy (SCP) en fond qui fournit les m&ecirc;mes
fonctionnalit&eacute;s qu'un client FTP complet, tels que <a href=
"http://winscp.vse.cz" target="_top">WinSCP</a> et le <a href=
"http://www.isnetworks.com/ssh/" target="_top">client Java
SSH/SCP</a>, qui a une interface SCP modifi&eacute;e pour MindTerm.
Veuillez lire les licences avec pr&eacute;caution pour voir si vous
avez l'autorisation l&eacute;gale de t&eacute;l&eacute;charger SSH
dans votre pays. SSH est libre pour les &eacute;coles et les
universit&eacute;s. Veuillez lire les licences disponibles sur le
site web ssh.com.</p>
<p>MindTerm est un client SSH &eacute;crit enti&egrave;rement en
Java par MindBright Technology. Une des pratiques cl&eacute;s dans
le d&eacute;veloppement de logiciels de s&eacute;curit&eacute; est
une impl&eacute;mentation ad&eacute;quate des algorithmes
sous-jacents et des protocoles utilis&eacute;s. MindBright
Technology a tr&egrave;s bien impl&eacute;ment&eacute; le protocole
SSH dans ce petit fichier d'application. C'est une archive autonome
qui n&eacute;cessite juste d'&ecirc;tre d&eacute;compress&eacute;e
dans un r&eacute;pertoire de votre choix, et qui est pr&ecirc;te
&agrave; &ecirc;tre utilis&eacute;e. Le client peut &ecirc;tre
utilis&eacute; comme programme autonome ou comme applet de page
web, ou les deux. Il est disponible sur : <a href=
"http://www.mindbright.se/download/" target=
"_top">http://www.mindbright.se/download/</a>. MindTerm est un
client excellent et peu co&ucirc;teux pour s&eacute;curiser les
communications vers et depuis un emplacement local et distant. Le
programme MindTerm situ&eacute; &agrave; l'adresse de
t&eacute;l&eacute;chargement pr&eacute;c&eacute;dente est
disponible gratuitement pour une utilisation non commerciale et
dans l'enseignement, la possibilit&eacute; d'une utilisation
commerciale &eacute;tant &eacute;tudi&eacute;e au cas par cas.
Cependant, les modifications apport&eacute;es par <a href=
"http://www.isnetworks.net" target="_top">ISNetwork</a>
<span class="emphasis"><i class="EMPHASIS">"sont bas&eacute;es sur
le code source de MindTerm 1.21, que MindBright a publi&eacute;
sous GPL [General Public Licence - voir <a href=
"http://www.gnu.org" target="_top">http://www.gnu.org</a>]. Comme
notre version a &eacute;t&eacute; publi&eacute;e sous GPL, vous
pouvez l'utiliser gratuitement &agrave; des fins commerciales"
(Eckels)</i></span>. L'impl&eacute;mentation d'ISNetworks a toutes
les fonctionnalit&eacute;s du MindTerm de MindBright,
except&eacute; qu'elle a une interface SCP plus sympathique pour
des transferts de fichier plus conviviaux. MindTerm a
quand-m&ecirc;me l'inconv&eacute;nient de ne pas prendre en charge
les tunnels UDP. Pour s&eacute;curiser le trafic UDP, un programme
qui s'appelle Zebedee ( <a href="http://www.winton.org.uk/zebedee/"
target="_top">http://www.winton.org.uk/zebedee/</a>) fera
tr&egrave;s bien l'affaire. Les programmes serveur et client de
Zebedee sont disponibles pour les plateformes Windows et Linux. Il
est distribu&eacute; gratuitement sous licence GPL
&eacute;galement. Vous pouvez vous connecter aussi bien aux
machines Windows que Linux avec Zebedee. MindTerm ne
v&eacute;rifiera pas si votre syst&egrave;me est
s&eacute;curis&eacute;. C'est aux administrateurs et aux
utilisateurs de prendre le soin de s&eacute;curiser leurs
syst&egrave;mes informatiques. Il est facile &agrave;
impl&eacute;menter et il est tr&egrave;s efficace pour ce qui est
de garder le haut niveau de s&eacute;curit&eacute;
impl&eacute;ment&eacute; dans le protocole SSH. Nous verrons dans
cet article &agrave; quel point cela est facile de mettre en place
et d'&eacute;tablir des canaux de communication
s&eacute;curis&eacute;s pour et par quasiment n'importe quel
utilisateur. Les documents, courriels et autres communications de
donn&eacute;es peuvent &ecirc;tre envoy&eacute;s facilement et en
toute s&eacute;curit&eacute; &agrave; des utilisateurs &agrave; l'
autre bout du monde ou &agrave; quelques pas de l&agrave;.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="MINDTERM-WORK" id=
"MINDTERM-WORK">Comment MindTerm et SSH fonctionnent
ensemble</a></h3>
<p>SSH et MindTerm fonctionneront ensemble pour utiliser une
technique appel&eacute;e redirection de port [port forwarding]. La
redirection de port consiste &agrave; rediriger du trafic d'un
h&ocirc;te et un port donn&eacute;s, vers un autre h&ocirc;te et
port. En d'autres termes, l'application MindTerm va ouvrir un port
sur la machine du client (machine locale) et toute connexion
&agrave; ce port local est redirig&eacute;e vers l'h&ocirc;te
distant et son port d'&eacute;coute au travers d'une session SSH
crypt&eacute;e. Le fait que la connexion soit accept&eacute;e ou
pas d&eacute;pend du type de requ&ecirc;te qu'on envoie &agrave;
l'h&ocirc;te distant. Par exemple, on ne redirigerait pas des
requ&ecirc;tes POP vers un h&ocirc;te distant &eacute;coutant sur
le port 21, car le port 21 est r&eacute;serv&eacute; aux
requ&ecirc;tes FTP. La redirection de port est &eacute;galement
utilis&eacute;e pour permettre la connexion &agrave; un serveur
situ&eacute; derri&egrave;re un pare-feu et/ou qui a une adresse IP
priv&eacute;e. Essentiellement, cela s'appelle cr&eacute;er un
r&eacute;seau virtuel priv&eacute; [Virtual Private Network] (VPN).
Un VPN est <span class="emphasis"><i class="EMPHASIS">"un
r&eacute;seau de donn&eacute;es priv&eacute;es faisant usage de l'
infrastructure de t&eacute;l&eacute;communications publique, en
prot&eacute;geant la vie priv&eacute;e par l'emploi d'un protocole
de tunnel et de proc&eacute;dures de
s&eacute;curit&eacute;"</i></span> (<a href="http://www.whatis.com"
target="_top">www.whatis.com</a>). La redirection de port ne peut
&ecirc;tre effectu&eacute;e qu'avec des services TCP.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="SOFTWARE-INSTALL" id=
"SOFTWARE-INSTALL">Installation du logiciel</a></h2>
<p>Pour pouvoir suivre ce tutoriel, vous devrez installer quelques
paquetages [packages]. Ce tutoriel part du principe que SSH est
d&eacute;j&agrave; install&eacute; sur votre serveur ou station de
travail. Si ce n'est pas le cas vous pouvez lire la documentation
livr&eacute;e avec le paquetage SSH ou OpenSSH pour avoir des
instructions d'installation pour votre plateforme. Pour les
exemples suivants, OpenSSH a &eacute;t&eacute; install&eacute; sur
un serveur RedHat 7.0 et sur une station de travail. OpenSSH a
&eacute;t&eacute; install&eacute; sur RedHat 6.0 &agrave; 7.0 et
fonctionne de la m&ecirc;me fa&ccedil;on. La machine client
utilis&eacute;e dans ce tutoriel est une machine Windows 2000. Des
stations de travail Windows 95/98, NT 4.0, NT 5.0, RedHat 6.0-7.0
ont toutes &eacute;t&eacute; test&eacute;es comme machines client
et ont fonctionn&eacute; de la m&ecirc;me fa&ccedil;on. Entre
parenth&egrave;ses, exactement la m&ecirc;me archive JAR MindTerm a
&eacute;t&eacute; utilis&eacute;e sur tous les syst&egrave;mes
client test&eacute;s.</p>
<ul>
<li>
<p>SSH ou OpenSSH</p>
</li>
<li>
<p>MindTerm</p>
</li>
<li>
<p>Client FTP - N'importe quel client FTP devrait marcher pour ce
tutoriel. Ws-FTP et Leech-FTP sont les deux plus populaires pour
Windows.</p>
</li>
<li>
<p>Netscape Communicator - ou n'importe quel autre client de
messagerie devrait marcher.</p>
</li>
<li>
<p>Optionnel: <a href="http://www.ntop.org" target=
"_top">NTOP</a></p>
</li>
<li>
<p>Optionnel: <a href=
"http://www.redhat.com/swr/src/vlock-1.3-3.src.html" target=
"_top">vlock</a></p>
</li>
</ul>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="CONFIGURATIONS" id=
"CONFIGURATIONS">Configurations du serveur et du client</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="SERVER-CONFIG" id=
"SERVER-CONFIG">Configuration du serveur</a></h3>
<p>D'abord, assurez-vous que votre serveur est
s&eacute;curis&eacute;. Bien que le trafic soit crypt&eacute;
pendant qu'il circule sur Internet, il peut &ecirc;tre
renifl&eacute; si quelqu'un a un acc&egrave;s root sur la machine
locale et utilise un programme tel que <a href=
"http://www.packetfactory.net/Projects/ngrep" target=
"_top">ngrep</a> pour renifler le trafic sur une machine locale.
Par exemple, utilis&eacute;e conjointement avec le programme DSniff
mentionn&eacute; plus haut, la commande suivante pourrait renifler
tout le trafic sur le r&eacute;seau d'interface locale : <b class=
"COMMAND">ngrep -d lo</b>. Cependant, la s&eacute;curisation du
serveur n'entre pas dans le cadre de cet article.</p>
<p>Nous utiliserons les services POP (port 110), IMAP (port 143),
SMTP (port 25), VNC (Virtual Network Computing) (5901+), et NTOP
(port 3000 par d&eacute;faut) pour cet exemple. Tout le trafic sera
redirig&eacute; vers le port respectif de chaque service sur
l'h&ocirc;te distant o&ugrave; tourne le serveur SSH. Tous les
services &eacute;coutant sur l'h&ocirc;te distant &eacute;coutent
sur toutes les interfaces, &agrave; moins que le service soit
li&eacute; &agrave; un port par d&eacute;faut ou qu'il soit
configur&eacute; manuellement. Pour montrer &agrave; quel point
cette technique de tunnel SSH est efficace, nous n'autoriserons que
des services pr&eacute;cis &agrave; &eacute;couter sur l'interface
locale.</p>
<p>Cependant,vous n'avez pas &agrave; changer vos configurations de
s&eacute;curit&eacute; courantes. Nous utiliserons tcp_wrappers,
qui est install&eacute; par d&eacute;faut sur RedHat 7.0 (et les
versions pr&eacute;c&eacute;dentes), pour nous connecter aux
services r&eacute;seau. Dans le fichier <tt class=
"FILENAME">/etc/hosts.deny</tt>, ajoutez la ligne suivante :</p>
<pre class="PROGRAMLISTING">
ALL : ALL
</pre>
<p>Et dans votre fichier <tt class="FILENAME">/etc/hosts.allow</tt>
ajoutez les lignes suivantes :</p>
<pre class="PROGRAMLISTING">
 sshd : ALL
   in.ftpd : 127.0.0.1
   ipop3d : 127.0.0.1
   imapd : 127.0.0.1
  
</pre>
<p>Avec ce param&eacute;trage, sshd (le serveur SSH) autorisera les
connexions depuis n'importe quelle adresse IP. Les autres services
n'autorisent les connexions que depuis l'interface locale. On peut
v&eacute;rifier cela tout de suite en configurant un client de
messagerie pour qu'il se connecte au serveur POP ou IMAP distant,
et/ou un client FTP pour qu'il se connecte au serveur FTP. La
connexion ne sera pas autoris&eacute;e. Il faudra &eacute;galement
param&eacute;trer tout compte utilisateur devant avoir acc&egrave;s
&agrave; ces services.(Note : le param&eacute;trage ci-dessus n'est
utile que si les services sont pour un usage interne uniquement, et
que les utilisateurs distants ont besoin d'acc&eacute;der &agrave;
des services internes pour envoyer et recevoir des courriels ou
transf&eacute;rer des fichiers. Les services peuvent &ecirc;tre
disponibles pour un usage publique et &ecirc;tre crypt&eacute;s
avec SSH et MindTerm.) En vue d'une utilisation de MindTerm sur le
web pour cr&eacute;er des tunnels ou utiliser les
fonctionnalit&eacute;s GUI de Secure Copy, un environnement
d'ex&eacute;cution Java (JRE) devra &eacute;galement &ecirc;tre
install&eacute; sur le serveur o&ugrave; tourne SSH.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="CLIENT-CONFIG" id=
"CLIENT-CONFIG">Configuration du client</a></h3>
<p>La seule configuration n&eacute;cessaire pour le client est de
s'assurer qu'un JRE est install&eacute; sur votre plateforme.
Windows et MacOS 8 et plus ont d&eacute;j&agrave; un JRE
install&eacute;. Il est recommand&eacute; d'installer le JRE de Sun
sur Windows. IBM a une liste des ports des JRE des
diff&eacute;rentes plateformes : <a href=
"http://www-105.ibm.com/developerworks/tools.nsf/dw/java-devkits-byname"
target=
"_top">http://www-105.ibm.com/developerworks/tools.nsf/dw/java-devkits-byname</a>
, ainsi que Sun : <a href=
"http://java.sun.com/cgi-bin/java-ports.cgi" target=
"_top">http://java.sun.com/cgi-bin/java-ports.cgi.</a> (Vous n'avez
pas besoin de tout le paquetage Java avec les d&eacute;bogueurs et
les compilateurs, juste la machine virtuelle Java (JVM) pour lancer
des applications Java.) De plus, pour le tutoriel qui suit,
d&eacute;compressez l'archive MindTerm, impl&eacute;mentation
MindBright ou ISNetwork, dans <tt class="FILENAME">c:\mindterm</tt>
pour Windows.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="CREATING-TUNNELS" id=
"CREATING-TUNNELS">Cr&eacute;ation des tunnels</a></h2>
<p>MindTerm peut &ecirc;tre d&eacute;marr&eacute; de plusieurs
mani&egrave;res. Si vous avez JRE install&eacute;, alors vous
pouvez double-cliquer sur le fichier d'application
mindtermfull.jar. Une autre mani&egrave;re consiste &agrave; ouvrir
une invite de commande DOS et &agrave; taper la commande :</p>
<pre class="PROGRAMLISTING">
jview -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>ou</p>
<pre class="PROGRAMLISTING">
javaw -cp  c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>ou</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p><span class="emphasis"><i class="EMPHASIS">(jview s'utilise si
vous &ecirc;tes sous Windows et que vous n'avez pas
t&eacute;l&eacute;charg&eacute; le JRE. Javaw est livr&eacute; avec
le t&eacute;l&eacute;chargement de JRE sous Windows et est
utilis&eacute; car une invite de commande DOS n'est pas
n&eacute;cessaire pour lancer MindTerm, ce qui fait une
fen&ecirc;tre ouverte en moins)</i></span></p>
<p>MindTerm 2.0 est maintenant disponible. L'argument pour le
lancer a l&eacute;g&egrave;rement chang&eacute;. A la place de la
commande ci-dessus :</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
</pre>
<p>cela d&eacute;marrera MindTerm en ligne de commande :</p>
<pre class="PROGRAMLISTING">
java -cp c:\mindterm\mindtermfull.jar com.mindbright.application.MindTerm
</pre>
<p>Seul le "com." a &eacute;t&eacute; ajout&eacute; au
param&egrave;tre de l'applet.</p>
<p>Cela d&eacute;marrera le programme MindTerm et ensuite vous
pourrez taper le nom du serveur quand vous y serez invit&eacute; et
on vous demandera ensuite "<a href="minddialog.jpg" target=
"_top">Save as Alias</a>" (enregistrer en tant qu' alias). Vous
pouvez entrer un nom de serveur court, comme &ccedil;a quand vous
lancerez l'applet &agrave; nouveau vous n'aurez qu'&agrave; taper
l'<b class="COMMAND">Alias</b> que vous aurez cr&eacute;&eacute;.
On vous demandera ensuite votre identifiant de connexion.
Apr&egrave;s l'avoir tap&eacute;, tapez Entr&eacute;e et une
bo&icirc;te de dialogue appara&icirc;tra pour vous informer que
l'h&ocirc;te n'existe pas et vous demandera d'en cr&eacute;er un.
Cliquez sur <b class="COMMAND">Yes</b>. Une autre bo&icirc;te
appara&icirc;tra pour vous demander si vous voulez ajouter cet
h&ocirc;te &agrave; votre fichier <tt class=
"FILENAME">known_host</tt>. Cliquez sur <b class="COMMAND">Yes</b>.
On vous demande ensuite votre mot de passe. Tapez votre mot de
passe puis Entr&eacute;e. Si vous avez entr&eacute; l'identifiant
et le mot de passe ad&eacute;quats, vous devriez vous trouver en
ligne de commande sur le serveur que vous avez
sp&eacute;cifi&eacute;.</p>
<p>Nous allons d'abord cr&eacute;er un tunnel vers le serveur POP
et SMTP. Quand vous serez connect&eacute; avec succ&egrave;s (et
aurez &eacute;ventuellement activ&eacute; vlock), cliquez sur
<a href="tunnelmenu.jpg" target="_top">Tunnels</a> dans le menu et
ensuite sur <a href="tunnelmenubasic" target="_top">Basic</a>. Une
bo&icirc;te de dialogue appara&icirc;tra. Ajoutez respectivement
les r&eacute;glages suivants dans chaque bo&icirc;te :</p>
<ul>
<li>
<p>Local port: <b class="COMMAND">2010</b></p>
</li>
<li>
<p>Remote Hosts: <span class="emphasis"><i class="EMPHASIS">Votre
h&ocirc;te distant (&ccedil;a devrait &ecirc;tre le serveur sur
lequel tourne sshd)</i></span>.</p>
</li>
<li>
<p>Remote port: <b class="COMMAND">110</b></p>
</li>
</ul>
<p>Maintenant cliquez sur <b class="COMMAND">Add</b> (ajouter). Il
devrait appara&icirc;tre une bo&icirc;te de dialogue disant
"<a href="tunnelconfirm.jpg" target="_top">The tunnel is now open
and operational (le tunnel est maintenant ouvert et
op&eacute;rationnel)</a> ". <span class="emphasis"><i class=
"EMPHASIS">(Remarque : si vous s&eacute;lectionnez un port
d&eacute;j&agrave; ouvert, un message d' erreur vous dira <a href=
"tunnelerror.jpg" target="_top">Could not open tunnel. Error
creating tunnel. Error setting up local forward on port XXXX,
Address in use - Le tunnel n'as pas pu &ecirc;tre ouvert. Erreur
lors de la cr&eacute;ation du tunnel. Erreur lors de la mise en
place de la redirection local sur le port XXXX, Adresse en cours
d'utilisation.</a>)</i></span> Cliquez sur <b class=
"COMMAND">OK</b> et la configuration du tunnel devrait maintenant
appara&icirc;tre dans une bo&icirc;te. Cliquez sur <b class=
"COMMAND">Close Dialog</b> (fermer la bo&icirc;te de dialogue).
Ouvrez le menu des options ou pr&eacute;f&eacute;rences de votre
client de messagerie. Nous utiliserons Netscape Messenger pour cet
exemple.</p>
<ol type="1">
<li>
<p>Ouvrez Netscape</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Edit -&gt; Preferences</b>.</p>
</li>
<li>
<p>Sur la colonne de gauche cliquez sur <b class="COMMAND">Mail "
Newsgroups</b> , si le contenu n'est pas d&eacute;j&agrave;
affich&eacute;.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Identity</b> et entrez vos
informations dans chaque bo&icirc;te.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Mail Servers</b> dans la colonne
de gauche. L'installation par d&eacute;faut de Netscape affiche
"mail" dans la bo&icirc;te en-dessous de "Incoming mail servers"
(serveurs de r&eacute;ception de mails)</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">mail</b>.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Edit</b> &agrave; droite de cette
bo&icirc;te et une bo&icirc;te de dialogue devrait
appara&icirc;tre.</p>
</li>
<li>
<p>Si POP n'est pas d&eacute;j&agrave; s&eacute;lectionn&eacute;
dans cette bo&icirc;te d&eacute;roulante, s&eacute;lectionnez-le
maintenant.</p>
</li>
<li>
<p>Dans la bo&icirc;te "Server Name" tapez <b class=
"COMMAND">localhost:2010</b> <span class="emphasis"><i class=
"EMPHASIS">(rappelez-vous qu'on a choisi ce port local dans le menu
de cr&eacute;ation de tunnel de MindTerm pour rediriger vers le
port POP (110) des serveurs distants)</i></span> et ensuite votre
nom d'utilisateur. R&eacute;glez toute option qui vous semble
convenir.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">OK</b>.</p>
</li>
<li>
<p>Dans la bo&icirc;te <b class="COMMAND">Outgoing mail (SMTP)
server</b> (serveur d' envoi de messages) tapez le nom de votre
serveur SMTP et en-dessous tapez votre nom d'utilisateur pour le
serveur de messages sortants.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">OK</b>. <span class=
"emphasis"><i class="EMPHASIS">(Ne touchez pas &agrave; l'option
"Use Secure Socket Layer (SSL) or TLS for outgoing messages" -
utiliser SSL ou TLS pour les messages sortants)</i></span>.</p>
</li>
<li>
<p>Maintenant cliquez sur <b class="COMMAND">Communicator</b> dans
le menu.</p>
</li>
<li>
<p>Cliquez sur <b class="COMMAND">Messenger</b>.</p>
</li>
<li>
<p>Vous devriez ensuite &ecirc;tre invit&eacute; &agrave; entrer
votre mot de passe. Tapez votre mot de passe puis Entr&eacute;e. Si
vous avez du courrier, vous devriez maintenant &ecirc;tre en mesure
de le lire.</p>
</li>
</ol>
<p>Tant que vous avez une session SSH MindTerm ouverte, cela
devrait marcher avec quasiment tous les clients de messagerie.
Rappelez-vous que le nom du serveur distant ou du serveur POP sera
"localhost:". Si l'on vous demande le serveur POP et le port
s&eacute;par&eacute;ment, alors ajoutez-les en cons&eacute;quence.
Dans cet exemple, toute connexion au port local 2010 sera
redirig&eacute;e vers le port 110 de l'h&ocirc;te distant. Si vous
configurez un client FTP pour se connecter au port 2010 de l'
h&ocirc;te local, &ccedil;a ne marcherait pas. Pourquoi? Le
protocole POP ne comprend pas le protocole FTP. Pour que le tunnel
aboutisse, seuls les clients POP peuvent &ecirc;tre
redirig&eacute;s vers le port 2010 de l'h&ocirc;te local. Un
serveur POP ne sert &agrave; rien si vous n'avez pas de serveur
SMTP. Si vous avez un programme de messagerie comme Postfix (
<a href="http://www.postfix.net" target=
"_top">www.postfix.net</a>), Qmail ( <a href="http://www.qmail.org"
target="_top">www.qmail.org</a>), ou Sendmail ( <a href=
"http://www.sendmail.org" target="_top">www.sendmail.org</a>) un
tunnel s&eacute;curis&eacute; peut &ecirc;tre &eacute;galement
cr&eacute;&eacute;.</p>
<p>Le client MindTerm tournant encore, cliquez sur "Tunnels"
&agrave; nouveau, puis sur "Basic" et ajouter ces
r&eacute;glages.</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2025</b><span class=
"emphasis"><i class="EMPHASIS">(vous pouvez &eacute;craser les
r&eacute;glages d'avant)</i></span></p>
</li>
<li>
<p>Remote Host: <span class="emphasis"><i class="EMPHASIS">Votre
serveur SMTP distant</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">25</b></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Cliquez ensuite sur
<b class="COMMAND">OK</b> dans le menu de confirmation. Maintenant
SMTP devrait &ecirc;tre ajout&eacute; &agrave; la liste en-dessous
des r&eacute;glages pour POP. Dans les r&eacute;glages du serveur
de messagerie dans Netscape Messenger, ajoutez : <b class=
"COMMAND">localhost:2025</b> comme &eacute;tant votre <span class=
"emphasis"><i class="EMPHASIS">Outgoing mail (SMTP)
server</i></span> (serveur de messages sortants). Tous les
courriels que vous enverrez &agrave; l'h&ocirc;te distant seront
crypt&eacute;s. Cependant, si vous envoyer un message &agrave;
quelqu'un en-dehors du serveur de messagerie de l' h&ocirc;te
distant, votre courriel sera crypt&eacute; seulement de votre
machine locale &agrave; votre serveur SMTP distant. Du serveur SMTP
distant &agrave; n'importe quel autre h&ocirc;te, il ne sera pas
crypt&eacute;, &agrave; moins que vous ayez configur&eacute; un
tunnel vers les autres h&ocirc;tes.</p>
<p>Pour permettre des sessions FTP crypt&eacute;es, ajoutez ces
informations &agrave; un nouveau tunnel.</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2021</b> <span class=
"emphasis"><i class="EMPHASIS">(vous pouvez &eacute;craser les
r&eacute;glages d'avant)</i></span></p>
</li>
<li>
<p>Remote Host: <span class="emphasis"><i class="EMPHASIS">Votre
serveur FTP distant</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">21</b></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Ensuite cliquez sur
<b class="COMMAND">OK</b> dans le menu de confirmation. Maintenant
FTP (voir <a href="leech.jpg" target="_top">l'exemple leech ftp</a>
et wsftp - <a href="wsftp.jpg" target="_top">image 1</a> et
<a href="wsftpadvanced.jpg" target="_top">image 2</a>) devrait
&ecirc;tre ajout&eacute; &agrave; la liste en-dessous des
r&eacute;glages SMTP.</p>
<p>R&eacute;glages Imap :</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2043</b> <span class=
"emphasis"><i class="EMPHASIS">(vous pouvez &eacute;craser les
r&eacute;glages d'avant)</i></span></p>
</li>
<li>
<p>Remote Host: <span class="emphasis"><i class="EMPHASIS">Votre
serveur IMAP distant</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">143</b></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Ensuite cliquez sur
<b class="COMMAND">OK</b> dans le menu de configuration. Maintenant
IMAP devrait &ecirc;tre ajout&eacute; &agrave; la liste en-dessous
des r&eacute;glages SMTP.</p>
<p>Tous ces r&eacute;glages peuvent &ecirc;tre automatis&eacute;s
dans un fichier batch. Ajoutez simplement ce qui suit dans un
script de d&eacute;marrage pour cr&eacute;er automatiquement un
tunnel vers votre serveur POP apr&egrave;s authentification :</p>
<pre class="PROGRAMLISTING">
jview (ou java ou javaw) -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
  -server -local0 2010:localhost:110
</pre>
<p>Voici un exemple bas&eacute; sur ce que nous avons fait plus
haut. Ajoutez ce qui suit &agrave; un fichier dans un
&eacute;diteur :</p>
<pre class="PROGRAMLISTING">
jview (ou java ou javaw) -cp c:\mindterm\mindtermfull.jar mindbright.application.MindTerm
   -server -local0 2010:localhost:110 -local1 2025:localhost:25 -local2 /ftp/2021:localhost:21
  -local3 2043:localhost:143
</pre>
<p>Maintenant sauvegardez-le avec une extension <tt class=
"FILENAME">.bat</tt>. Double-cliquez dessus. On devrait vous
demander votre identifiant de connexion lorsque MindTerm
d&eacute;marre, ensuite entrez votre mot de passe. Apr&egrave;s
vous &ecirc;tre authentifi&eacute;, cliquez sur le menu <b class=
"COMMAND">Tunnels</b> puis sur <b class="COMMAND">Basic</b>. Vous
devriez voir les tunnels dans la bo&icirc;te qui s' ouvre. C'est
une mani&egrave;re simple de permettre &agrave; des utilisateurs
distants de d&eacute;marrer les tunnels sans trop de configuration
de leur part. Ils n'ont qu'&agrave; double-cliquer sur le fichier
<tt class="FILENAME">.bat</tt> et entrer leur nom d' utilisateur et
mot de passe, et accessoirement lancer vlock. Leur logiciel client
peut &ecirc;tre pr&eacute;-configur&eacute; pour les profils
distants qui se connectent aux tunnels automatiquement.</p>
<p>Quand vous avez fini d'utiliser MindTerm, veillez &agrave; bien
fermer toutes les applications utilisant un tunnel. Si vous oubliez
de fermer les programmes utilisant un tunnel, MindTerm affichera un
message lorsque vous essaierez de quitter depuis la console ou de
quitter le programme.</p>
<p>Qu'en est-il de VNC et NTOP? Ces services fonctionnent de la
m&ecirc;me fa&ccedil;on. Ici, le serveur VNC tournait sur une
station de travail RedHat 7.0. Quand vous d&eacute;marrez le
serveur VNC, il commence par &eacute;couter sur le port 5901, puis
chaque serveur suivant incr&eacute;mente d'un port, de telle
fa&ccedil;on que la 2&egrave;me instance de VNC &eacute;coutera sur
le port 5902, la 3&egrave;me sur 5903, etc. Sous Linux, vous pouvez
lancer plusieurs serveurs VNC et les gens peuvent se connecter
indiff&eacute;remment &agrave; chaque serveur VNC. Dans MindTerm,
vous pouvez ajouter un tunnel VNC simplement, avec les
r&eacute;glages suivants :</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2001</b></p>
</li>
<li>
<p>Remote Host: <span class="emphasis"><i class="EMPHASIS">Le nom
de votre serveur VNC distant</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">5901</b> <span class=
"emphasis"><i class="EMPHASIS">(s'il s'agit de la 1&egrave;re
instance de serveur qui tourne)</i></span></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Cliquez ensuite sur
<b class="COMMAND">OK</b> dans le menu de confirmation.</p>
<p>Lancez l'application vncviewer sur votre machine locale et tapez
: <b class="COMMAND">localhost:2001</b>, puis, quand cela est
demand&eacute;, le mot de passe pour le bureau VNC, et vous avez
une session VNC crypt&eacute;e.</p>
<p>NTOP fonctionne de la m&ecirc;me mani&egrave;re. Si vous voulez
ex&eacute;cuter NTOP en mode web en tant que moniteur
r&eacute;seau, vous pouvez faire emprunter aux connexions un tunnel
vers votre machine locale et visualiser les statistiques dans votre
navigateur local, sans avoir &agrave; installer un serveur web ou
ouvrir le port 3000 sur votre serveur distant. Par d&eacute;faut,
NTOP en mode web &eacute;coute sur le port 3000 et attend une
connexion HTTP pour afficher des statistiques r&eacute;seau.
Cr&eacute;ez simplement un tunnel vers le serveur ex&eacute;cutant
le serveur SSH et NTOP. Ex&eacute;cutez d'abord NTOP en mode web :
ntop -d -w 3000 . Puis ajoutez ces r&eacute;glages au tunnel
MindTerm :</p>
<ul>
<li>
<p>Local Port: <b class="COMMAND">2080</b></p>
</li>
<li>
<p>Host: <span class="emphasis"><i class="EMPHASIS">Serveur
ex&eacute;cutant NTOP</i></span>.</p>
</li>
<li>
<p>Remote Port: <b class="COMMAND">3000</b></p>
</li>
</ul>
<p>Cliquez sur <b class="COMMAND">Add</b>. Cliquez ensuite sur
<b class="COMMAND">OK</b> dans le menu de confirmation.</p>
<p>Ouvrez ensuite votre navigateur web et tapez dans la barre d'URL
: <b class="COMMAND">http://localhost:2080</b> Vous devriez
maintenant voir les pages de statistiques r&eacute;seau pour NTOP
(voir le manuel NTOP pour ajouter un acc&egrave;s
prot&eacute;g&eacute; par mot de passe &agrave; l'affichage NTOP).
Idem, si vous voulez installer un serveur web pour utiliser les
applications web pour pouvoir contr&ocirc;ler votre serveur ou
pare-feu, cr&eacute;ez simplement un tunnel vers le port 80. Vous
n'avez pas &agrave; ouvrir un port sur l'interface publique. Il
faut simplement relier le serveur web &agrave; l'interface locale
et cr&eacute;er un tunnel vers le port 80 de l'h&ocirc;te distant.
Pour Apache, &eacute;ditez le fichier <tt class=
"FILENAME">httpd.conf</tt> et remplacez l'option <span class=
"emphasis"><i class="EMPHASIS">BindAddress *</i></span> par
<b class="COMMAND">BindAddress 127.0.0.1</b>. Ajoutez ensuite
<b class="COMMAND">localhost</b> &agrave; la directive <span class=
"emphasis"><i class="EMPHASIS">ServerName</i></span> : <b class=
"COMMAND">ServerName localhost</b>. Enfin, remplacez la directive
<span class="emphasis"><i class="EMPHASIS">Listen</i></span> par :
<b class="COMMAND">Listen 127.0.0.1:80</b> Comme vous pouvez le
voir &agrave; pr&eacute;sent, MindTerm peut s&eacute;curiser
&agrave; peu pr&egrave;s n'importe quel service TCP. Il peut
&ecirc;tre utilis&eacute; sur un serveur distant pour
ex&eacute;cuter <a href="http://www.webmin.com/webmin" target=
"_top">Webmin</a>, qui est une excellente application web pour
administrer vos serveurs. Celle-ci est livr&eacute;e avec ses
propres serveurs web bas&eacute;s sur du perl, et &eacute;coute par
d&eacute;faut sur le port 10000. Cr&eacute;ez simplement un tunnel
vers celui-ci en utilisant MindTerm et &ccedil;a devrait marcher
sans modifier votre application Webmin ou votre navigateur web
local. Le fichier zip MindTerm en t&eacute;l&eacute;chargement
contient de nombreux exemples utiles, comme son utilisation depuis
une ligne de commande ou une explication de toutes les options du
menu. MindTerm poss&egrave;de plus de fonctionnalit&eacute;s que ce
qui est d&eacute;crit dans ce tutoriel, mais l'option concernant le
tunnel vaut vraiment la peine d'y passer du temps.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="MINDTERM-WEB" id="MINDTERM-WEB">MindTerm
sur le web</a></h2>
<p>MindTerm peut &ecirc;tre &eacute;galement utilis&eacute; sur le
web. Les utilisateurs n'ont pas &agrave; t&eacute;l&eacute;charger
l'application. Copiez simplement le fichier <tt class=
"FILENAME">mindtermfull.jar</tt> dans un r&eacute;pertoire du
r&eacute;pertoire web et les utilisateur pourront l'utiliser
simplement comme une application int&eacute;gr&eacute;e ou comme
une applet Java autonome. Par exemple, cr&eacute;ez un dossier
nomm&eacute; <tt class="FILENAME">mindterm</tt> dans votre
r&eacute;pertoire web. Copiez le fichier <tt class=
"FILENAME">mindtermfull.jar</tt> utilis&eacute; plus haut, dans le
dossier <tt class="FILENAME">mindterm</tt> du r&eacute;pertoire
web. Ajoutez ensuite le fichier <tt class=
"FILENAME">index.html</tt> dans le r&eacute;pertoire avec le
contenu suivant (repris du <tt class="FILENAME">README</tt> ) :</p>
<p class="LITERALLAYOUT"><span class="emphasis"><i class=
"EMPHASIS">&lt;html&gt; &lt;head&gt;&lt;/head&gt; &lt;body&gt;
&lt;applet archive="mindtermfull.jar"
code=mindbright.application.MindTerm width=700 height=400&gt;
&lt;param name=server value="&lt;nom de votre serveur&gt;"&gt;
&lt;param name=port value="22"&gt; &lt;param name=cipher
value="blowfish"&gt; &lt;param name=te value="xterm-color"&gt;
&lt;/applet&gt; &lt;/body&gt; &lt;/html&gt;</i></span></p>
<p>MindTerm 2.0 est maintenant disponible. L'argument pour
d&eacute;marrer l'applet web a l&eacute;g&egrave;rement
chang&eacute;. A la place des param&egrave;tres d'applet ci-dessus,
et de l' exemple de code ci-dessous, modifiez la ligne :</p>
<pre class="PROGRAMLISTING">
&lt;applet archive="mindtermfull.jar"
  code=mindbright.application.MindTerm width=700 height=400&gt;
</pre>
<p>comme ceci :</p>
<pre class="PROGRAMLISTING">
&lt;applet archive="mindtermfull.jar"
  code=com.mindbright.application.MindTerm width=700 height=400&gt;
</pre>
<p>Seul le <span class="emphasis"><i class=
"EMPHASIS">com.</i></span> doit &ecirc;tre ajout&eacute; au
param&egrave;tre <span class="emphasis"><i class=
"EMPHASIS">code=</i></span> de l'applet. Le code ci-dessous sera
donc modifi&eacute; comme ceci :</p>
<pre class="PROGRAMLISTING">
&lt;applet archive="mindterm_ns.jar" code=com.mindbright.application.MindTerm.class width=1
  height=1&gt;
</pre>
<p>Naviguez jusqu'&agrave; l'emplacement du r&eacute;pertoire dans
votre navigateur web <span class="emphasis"><i class=
"EMPHASIS">(http://&lt;nom de votre
serveur&gt;/mindterm/index.html)</i></span>, assurez-vous que Java
est activ&eacute; dans votre navigateur et vous devriez pouvoir
vous connecter au serveur maintenant.</p>
<p>Pour pouvoir cr&eacute;er des tunnels, la version la plus
r&eacute;cente de MindTerm doit &ecirc;tre
t&eacute;l&eacute;charg&eacute;e depuis le site web de MindBright,
version 1.99. Cette archive contient une applet sign&eacute;e par
MindBright qui peut &ecirc;tre utilis&eacute;e dans votre page web
pour cr&eacute;er des tunnels comme expliqu&eacute; plus haut.
Apr&egrave;s avoir t&eacute;l&eacute;charg&eacute; la version la
plus r&eacute;cente, ajoutez le fichier <tt class=
"FILENAME">mindterm_ns.jar</tt> au r&eacute;pertoire <tt class=
"FILENAME">mindterm</tt> dans votre serveur web. Maintenant ajoutez
un fichier qui s'appelle <tt class="FILENAME">standapplet.html</tt>
au r&eacute;pertoire <tt class="FILENAME">mindterm</tt> et ajoutez
le code suivant pour d&eacute;marrer MindTerm comme client &agrave;
part pour cr&eacute;er des tunnels. (<span class=
"emphasis"><i class="EMPHASIS">Remarque : l'archive contient une
applet pour &agrave; la fois Netscape et Explorer</i></span>)</p>
<p class="LITERALLAYOUT"><span class="emphasis"><i class=
"EMPHASIS">&lt;html&gt; &lt;head&gt;&lt;/head&gt; &lt;body&gt;
&lt;applet archive="mindterm_ns.jar"
code=mindbright.application.MindTerm.class width=1 height=1&gt;
&lt;param name=server value="&lt;nom de votre serveur&gt;"&gt;
&lt;param name=port value="22"&gt; &lt;param name=cipher
value="blowfish"&gt; &lt;param name=sepframe
value="true"&gt;&lt;!-- ex&eacute;cuter dans un cadre
s&eacute;par&eacute; ou pas --&gt; &lt;param name=autoprops
value="both"&gt;&lt;!-- activer/d&eacute;sactiver
sauvegarde/chargement automatique des r&eacute;glages --&gt;
&lt;/applet&gt; &lt;/body&gt; &lt;/html&gt;</i></span></p>
<p>Maintenant naviguez jusqu'&agrave; l'emplacement du
r&eacute;pertoire dans votre navigateur web <span class=
"emphasis"><i class="EMPHASIS">(http://&lt;lt;nom de votre
serveur&gt;/mindterm/standapplet.html)</i></span> . Cela
d&eacute;marrera MindTerm en tant qu'applet Java autonome, comme si
elle &eacute;tait lanc&eacute;e depuis une ligne de commande. Des
tunnels peuvent &ecirc;tre cr&eacute;&eacute;s en utilisant les
balises de l'applet de fa&ccedil;on &agrave; ce que les
utilisateurs n'aient rien d'autre &agrave; faire que naviguer
jusqu'&agrave; la page et se connecter. Ensuite il auraient
acc&egrave;s &agrave; leurs services comme expliqu&eacute; dans les
exemples pr&eacute;c&eacute;dents. Ils peuvent cependant
cr&eacute;er leurs propres tunnels ou de nouveaux tunnels depuis le
menu <span class="emphasis"><i class="EMPHASIS">Tunnels</i></span>
comme expliqu&eacute; plus haut. Le <tt class=
"FILENAME">README</tt> livr&eacute; avec l'archive zip MindTerm
poss&egrave;de de nombreux autres param&egrave;tres d'applet qui
peuvent &ecirc;tre ajout&eacute;s. Quand vous cr&eacute;ez des
tunnels, vous pouvez alors cliquer sur <b class="COMMAND">File</b>
puis sur <b class="COMMAND">Save</b> pour que les tunnels que vous
avez cr&eacute;&eacute;s soient conserv&eacute;s quand vous vous
identifiez &agrave; nouveau.</p>
<p>Quelques consignes de s&eacute;curit&eacute; : vous ne pouvez
pas vous connecter &agrave; un autre serveur en utilisant l'applet
d'identification initiale. Vous ne pouvez vous connecter que sur le
serveur o&ugrave; l'applet est situ&eacute;e. Cependant,
apr&egrave;s vous &ecirc;tre connect&eacute; avec succ&egrave;s,
vous pouvez alors vous connecter sur un autre serveur en ligne de
commande. De plus, cette applet MindTerm est sign&eacute;e par
MindBright, donc il faut contacter <a href=
"mailto:sales@mindbright.se" target="_top">le d&eacute;partement de
ventes</a> chez MindBright pour obtenir une signature
cryptographique pour votre organisation. Cela dit, si c'est
n&eacute;cessaire.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="SECURITY" id="SECURITY">Remarques sur la
s&eacute;curit&eacute;</a></h2>
<p>Lorsqu'une session SSH d&eacute;marre, les cl&eacute;s publiques
sont envoy&eacute;es au travers d'une connexion non
s&eacute;curis&eacute;e jusqu'&agrave; ce que le
proc&eacute;d&eacute; d'authentification soit &eacute;tabli. Cela
peut permettre &agrave; une personne d'intercepter une session SSH
et de placer sa propre cl&eacute; publique dans le processus de
connexion. SSH est con&ccedil;u pour avertir l'utilisateur si une
cl&eacute; publique a chang&eacute; par rapport &agrave; ce qui
existe dans son propre fichier known_host. L'avertissement
donn&eacute; ne passe pas du tout inaper&ccedil;u et SSH annulera
la connexion si les cl&eacute;s publiques sont diff&eacute;rentes,
mais l'utilisateur peut quand m&ecirc;me faire confiance au
certificat car il peut penser que son entreprise a chang&eacute;
les cl&eacute;s publiques du serveur. Ce type d'attaque n'est pas
difficile car le paquetage dsniff mentionn&eacute; plus t&ocirc;t
contient les outils pour l'effectuer. Cette attaque est plus
commun&eacute;ment appel&eacute;e <span class="emphasis"><i class=
"EMPHASIS">"attaque de l'homme du milieu" [man-in-the-middle
attack] (The End of SSL and SSH)</i></span>.</p>
<p>Un correctif temporaire et facile pour cela consiste &agrave;
d'abord apprendre &agrave; l'utilisateur comment reconna&icirc;tre
les signes indiquant que la cl&eacute; de l'h&ocirc;te a
chang&eacute;, et comment faire pour r&eacute;cup&eacute;rer la
bonne cl&eacute; publique. Deuxi&egrave;mement, il faudrait poster
la cl&eacute; publique du serveur SSH sur un site web, serveur FTP
ou la distribuer d'une autre fa&ccedil;on pour que les utilisateurs
puissent y avoir acc&egrave;s n'importe quand.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="CONCLUSION" id=
"CONCLUSION">Conclusion</a></h2>
<p>SSH et MindTerm ensemble peuvent fournir aux utilisateurs locaux
et distants un haut niveau de s&eacute;curit&eacute; &agrave;
l'aide d'une simple petite application qui se lance sans
installation pr&eacute;alable. Ils peuvent &eacute;galement
&ecirc;tre utilis&eacute;s depuis &agrave; peu pr&egrave;s
n'importe quelle plateforme disponible. Java a &eacute;t&eacute;
choisi pour son interop&eacute;rabilit&eacute; entre plateformes.
S'il existe un JRE disponible pour une plateforme utilis&eacute;e
par une personne, cette personne peut utiliser l' application
MindTerm pour communiquer de mani&egrave;re s&ucirc;re sur de
longues distances. Comme SSH est en train de devenir le standard
pour l'administration et l'identification &agrave; distance,
bient&ocirc;t quasiment toutes les plateformes seront capables de
faire tourner un serveur SSH. MindBright travaille actuellement sur
un serveur SSH Java.</p>
<p>Ce tutoriel montre &eacute;galement comment quelqu'un peut faire
un tunnel au travers d'un pare-feu. Ce n'est pas du tout le but de
cet article. On esp&egrave;re que les gens l'utiliseront comme un
rempla&ccedil;ant de type VPN s&ucirc;r, rapide et gratuit pour
l'administration &agrave; distance, pour les gens en voyage
d'affaire ; on esp&egrave;re aussi que d'autres secteurs verront
l'utilit&eacute; de cet excellent programme. Tant que vous serez
autoris&eacute; &agrave; effectuer des connexions SSH vous pourrez
faire passer des services vers une machine distante au travers d'un
tunnel. Les administrateurs syst&egrave;me et
s&eacute;curit&eacute; devraient &eacute;tablir une politique
contre la cr&eacute;ation de tunnels au travers des pare-feu car
cela peut causer des br&egrave;ches de s&eacute;curit&eacute;
internes en cas de mauvaise utilisation. Rappelez-vous que la
communication est s&eacute;curis&eacute;e, mais que les commandes
et fichiers auxquels vous acc&eacute;dez et/ou
t&eacute;l&eacute;chargez sont quand-m&ecirc;me
ex&eacute;cut&eacute;s sur vos machines locale et distante. De
plus, toute commande que vous tapez est &eacute;galement
journalis&eacute;e sur la plupart des serveurs. SSH prot&egrave;ge
les donn&eacute;es sur le r&eacute;seau ou l'Internet, mais ce qui
est fait sur les machines distantes peut &ecirc;tre
journalis&eacute;. SSH et MindTerm ne prot&eacute;geront pas contre
quelqu'un essayant d'obtenir l'acc&egrave;s &agrave; l'ordinateur
d'un utilisateur distant, et installant des programmes
enregistreurs de frappe ou d'autres outils de surveillance.</p>
<p>Il est tr&egrave;s simple et rapide d'&eacute;tablir une
communication s&eacute;curis&eacute;e, mais le seul moyen pour les
utilisateurs d'accro&icirc;tre l'utilisation de communications
s&eacute;curis&eacute;es est d'encourager leurs entreprises, les
institutions financi&egrave;res, les services m&eacute;dicaux et
autres entreprises &agrave; offrir des services
s&eacute;curis&eacute;s.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="REFERENCES" id=
"REFERENCES">R&eacute;f&eacute;rences</a></h2>
<p>Broadband Access to Increase in Workplace. 25 Jan. 2001.
CyberAtlas. 12 Mar. 2001 &lt;<a href=
"http://cyberatlas.internet.com/markets/broadband/article/0,,10099_570571,00.html"
target=
"_top">http://cyberatlas.internet.com/markets/broadband/article/0,,10099_570571,00.html</a>&gt;.</p>
<p>Broadband Moving On Up. 10 Jan. 2001. CyberAtlas. 12 Mar. 2001.
&lt;<a href=
"http://cyberatlas.internet.com/markets/broadband/article/0,,10099_556391,00.html"
target="_top">.
http://cyberatlas.internet.com/markets/broadband/article/0,,10099_556391,00.html</a>&gt;.</p>
<p>Connolly, P.J. "Secure the home office sensible and easily"
Infoworld. 8 Mar. 2001. 22 Mar. 2001. &lt;<a href=
"http://www.infoworld.com/articles/tc/xml/01/03/12/010312tcsoho.xml"
target=
"_top">http://www.infoworld.com/articles/tc/xml/01/03/12/010312tcsoho.xml</a>&gt;.</p>
<p>Eckels, Josh. "Commercial Use" E-mail to Josh Eckels. 13 Mar.
2001</p>
<p>MindTerm: README. MindBright Technology. 3 March 2001
&lt;<a href="http://www.mindbright.se/documentation/README" target=
"_top">. http://www.mindbright.se/documentation/README</a>&gt;.
Schneier, Bruce. Secrets and Lies: Digital Security in a Networked
World. New York:Wiley &amp; Sons, 2000.</p>
<p>Seifried, Kurt. "The End of SSL and SSH" 18 Dec. 2000.
SecurityPortal. 12 March 2001 &lt;<a href=
"http://www.securityportal.com/cover/coverstory20001218.html"
target=
"_top">http://www.securityportal.com/cover/coverstory20001218.html</a>&gt;.</p>
<p>virtual private network: [Definition]. 6 Oct. 2000. Whatis.com.
15 Mar. 2001. &lt;<a href=
"http://whatis.techtarget.com/definitionsSearchResults/1,289878,sid9,00.html?query=virtual+private+network"
target=
"_top">http://whatis.techtarget.com/definitionsSearchResults/1,289878,sid9,00.html?query=virtual+private+network</a>&gt;.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="FAQ" id="FAQ">Foire Aux
Questions</a></h2>
<p>Rien pour l'instant.</p>
</div>
</div>
</body>
</html>