Bibliographie & annexes
Présentation
RÉSUMÉ
Le protocole SSH (Secure Schell) constitue une approche puissante, pratique et sécurisé pour protéger les communications sur un réseau d’ordinateurs, notamment les opérations sensibles, la transmission de fichiers, les fonctionnalités importantes telles que le tunneling et la redirection de port. Cet article se focalise sur le protocole de la version 2, normalisée en 2006, sa phase d’initialisation et les différentes méthodes d’authentification qui y sont intégrées, ainsi que sur la solution SSH VPN. Il s’intéresse ensuite à l’actuelle utilisation du protocole SSH dans l’accès aux équipements distants, puis à son avenir.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Ibrahim HAJJEH : Docteur en informatique et réseaux - Architecte « Sécurité informatique et réseaux » – Groupe ACTI
-
Mohamad BADRA : Docteur en informatique et réseaux - Chercheur à l’ENST, Paris
INTRODUCTION
Le protocole SSH (Secure Shell) est utilisé pour établir un accès sécurisé permettant d’effectuer des opérations sensibles sur des machines distantes et d’effectuer des transferts de fichiers à travers un réseau publique tout en garantissant l’authentification, la confidentialité et l’intégrité des données.
Le principal objectif de SSH était de résoudre le problème de transmission en clair de toutes les informations sur le réseau (LAN ou Internet) ouvrant la porte à toutes les attaques de type homme du milieu (Man-in-The-Middle).
Depuis l’apparition de SSH, son rôle a évolué pour ne pas se limiter à une simple fonctionnalité de connectivité à distance pour le shell. La version 2 de ce protocole, normalisée en janvier 2006, propose la sécurisation de n’importe quel protocole applicatif et ceci grâce à ses mécanismes de « port forwarding » et de « tunneling ».
Dans ce dossier, nous allons expliquer les différents services de sécurité mis en place dans SSH tout en se focalisant sur sa version 2, normalisée en 2006 à l’IETF. Nous présenterons par la suite, les sous-protocoles de SSHv2, sa phase d’initialisation et les différentes méthodes d’authentification qui y sont intégrées. Nous aborderons aussi la solution SSH VPN en la comparant à IPSec et SSL. Nous discuterons ensuite de l’avenir du protocole SSH et des nouveaux standards TLS qui influencent l’avenir de ce protocole et son actuelle utilisation dans l’accès aux équipements distants. Nous terminerons le dossier par une conclusion.
Remerciements :
Nous remercions le Pr. Maryline Maknavicius-Laurent et le Dr. Ouahiba Fouial pour l’attention qu’elles ont accordée à ce dossier, pour le temps qu’elles ont bien voulu consacrer à sa lecture et enfin, pour leurs remarques constructives et intéressantes.
L'expertise technique et scientifique de référence
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Les fonctionnalités offertes par SSH2. L’architecture et le fonctionnement de base
2.1 Les sous-protocoles de SSH
SSH utilise une architecture client-serveur pour assurer l’authentification des entités communicantes, et le chiffrement et l’intégrité de leurs données transmises sur un réseau. Comme nous l’avons déjà indiqué, la version 2 de ce protocole spécifie une architecture séparée en trois sous-protocoles (ou couches) travaillant ensemble comme le montre la figure 1 :
-
La couche transport SSH (SSH-TRANS)
C’est sur cette couche que reposent les deux autres couches SSH. SSH-TRANS fournit l’authentification du serveur, la confidentialité et l’intégrité des données au moyen d’un chiffrement symétrique (cf. encadré 3). Elle fournit en option la compression des données de session en utilisant le mécanisme zlib (LZ77) défini dans les IETF RFC 1950 et 1951 (voir http://www.ietf.org). Cette couche doit être utilisée pour permettre au client de vérifier qu’il communique bien avec le serveur attendu. Ce protocole fonctionne au-dessus de TCP/IP mais peut être utilisé au-dessus de toute couche de transport fiable. Il effectue : l’authentification du serveur, la négociation des algorithmes de protection des données, la mise en place d’une clef de session, la création d’un secret partagé, l’intégrité et la confidentialité des données et l’identification de la session.
Le chiffrement symétrique, à clef secrète ou à simple clef, consiste à utiliser la même clef pour le chiffrement et le déchiffrement d’un message M. Il consiste à appliquer une opération (algorithme) sur les données à chiffrer à l’aide de la clef secrète, afin de les rendre inintelligibles. Cette même clef servira aussi pour le déchiffrement des messages chiffrés.
Ainsi, pour que la couche transport de SSH puisse créer correctement une session sécurisée entre les deux entités communicantes, de nombreux éléments sont négociés. En effet, durant l’échange des clefs, le serveur...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
L’architecture et le fonctionnement de base
BIBLIOGRAPHIE
-
(1) - BARRETT (D.J.), SILVERMAN (R.E.) - SSH le shell sécurisé - . Édition O’Reilly (2002).
-
(2) - STALLINGS (W.) - Sécurité des Réseaux, Applications et standards - . Édition Vuibert (2002).
-
(3) - KOESNIKOV (O.), HATCH (B.) - Construire un VPN sous IP avec Linux - . Édition CampusPress (2002).
-
(4) - SAARENMAA (O.), GALBRAITH (J.) - X.509 authentification in SSH - . IETF Internet Draft http://www.ietf.org/internet-drafts/draft-ietf-secsh-x509-03.txt
-
(5) - ERONEN (P.), TSCHOFENIG (H.) - Pre-Shared Key Ciphersuites for Transport Layer Security (TLS). - http://www.ietf.org/internet-drafts/draft-ietf-tls-psk-00.txt, work in progress (mai 2004).
-
(6) - BADRA (M.), CHERKAOUI (O.), HAJJEH (I.), SERHROUCHNL (A.) - Pre-Shared-Key key Exchange methods for TLS - . IETF Internet Draft,...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
