Forum d'entraide de la communauté Freedom-IP VPN
Vous n'êtes pas identifié(e).
Pages : 1
Bonsoir les amis.
Une question est en train de trotter dans ma tête alors je vous en fait part, histoire d'avoir plusieurs avis sur la question.
Pourquoi ne pas utiliser un tunnel ssh à la place ou en complément du vpn.
Je m'explique, le tunnel ssh apporte plusieurs avantages. Pour commencer d'un point de vue sécurité, c'est du pareil au même qu'openvpn, surtout pour l'utilisation qu'on en fait. Ensuite c'est qui m'amène à penser que ssh peut-être bien, c'est sur le côté utilisation. Par exemple, quelqu'un qui veut utiliser nos services mais qui n'est pas admin sur son pc, ne pourra pas installer l'interface réseau vpn. Alors que pour le ssh, un simple client portable ssh tel que putty suffit.
Ensuite la plus plupart des applications web qu'on utilise support le fait de leur préciser l'utilisation d'un proxy afin de passer au travers du tunnel. Au pire des logiciels comme Proxifier rajoute cette possibilité.
Autre avantage est lorsqu'il y a de grosses restrictions sur l'utilisation des ports, on peut caler notre serveur ssh sur le port 443 par exemple. Les restrictions au niveau de la couche 7 du modèle osi sont beaucoup plus rares... et dans ce cas que ce soit vpn ou ssh on sera bloqué, bien que ssh étant beaucoup utilisé pour l'administration des serveurs, il y a encore une petite chance pour qu'il soit moins bloqué.
Niveau perfs je pense que ça doit être un peu du même niveau, bien que d'après plusieurs sites, le ssh serait donné gagnant.
Côté mise en œuvre, je dirai que le ssh est plus simple, surtout pour des utilisateurs unix et linux, là c'est un jeu d'enfant. Pour les utilisateurs de smartphone, pas de soucis, que ce soit sur android ou ios, des clients ssh existent.
Alors qu'en pensez-vous ? J'attends de votre part du pour, du contre, je suis ouvert à toutes les idées sur la question.
Bonne soirée (voir bonne nuit vu l'heure) à tous !!!
J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer
Hors ligne
Hors ligne
Bonjour,
Moi je ne suis pas pour
C'est encore plus compliqué pour les non initié !!!
Il va falloir qu'ils comprennent que lorsqu'il sont connectés au tunnel ssh, ils ne sont absolument pas protégé...
Il va même falloir qu'ils comprennent qu'ils sont connecté avec juste l'apparition de la petite fenêtre noir...
Le petit feux rouge/orange/vert du client openVPN pour windows est quand même plus user-friendly !
Enfin configurer tous les logiciels qui doivent sortir pour passer par le tunnel etc...
OpenVPN lui prend toute la connexion, aucun risque de "raté".
J'imagine déjà la tonne de discussion sur le forum pour paramétrer tel ou tel logiciel.
Passer par deux outils (putty + Proxifier) est à mon sens bien plus compliqué.
Ceux qui n'arrive pas a suivre le tuto pour installer openVPN à la lettre n'arriverons sans doute pas mieux à installer putty et configurer tous leurs programmes !
Sans parler des programmes qui n'ont pas l'option, et ils sont nombreux.
Enfin niveau sécurité c'est assez étrange comme solution !
Avoir une connexion SSH sur un serveur directement via une adresse ip publique
Enfin, il sera impossible de garantir une non conservation des logs, les logs systèmes auront toujours la date de début et de fin de session lors de la connexion/déconnexion.
Enfin, tout ça c'est ce que je pense, ce ne sont pas des vérités générales
Hors ligne
Pas de soucis avec l'IPv6, car autre avantage que j'ai oublié de préciser, seules les applis qui sont configurées pour passer par le tunnel sortent par le tunnel donc aucune chance qu'autre chose y passe. Et dernier point si le tunnel tombe aucun risque que les applis ressortent via le net classique car comme elles ont un proxy de configuré, elles vont tout simplement ne plus trouver leur chemin, donc niveau sécurité lorsque le lien tombe, je trouve qu'on est un cran au-dessus du vpn, pas besoin d'installer un logiciel supplémentaire pour bloquer les flux...
EDIT :
Pour répondre à mephistos, pour la partie configuration le plus simple serait d'utiliser kitty, c'est du putty en plus évolué. Tous les confs tiennent dans un fichier .ini donc je dirai que c'est même encore plus simple, pour chaque utilisateur on créait le fichier ou alors un fichier générique avec une petite moulinette qui lui demande son login/mdp et s'occupe de compléter le fichier et le coller au bon endroit. Après c'est sûr qu'il faut quand même configurer les applis, ensuite la plus part d'entre elles savent gérer un proxy, que ce soit les navigateurs, les logiciels de DL ou encore les logiciels de tchat.
Après je suis d'accord avec le fait que les petits feux sont bien pratique, c'est vert c'est ok.
Mais comme je le disais dans mon 1er post, la solution ssh ne serait pas là pour remplacer la solution vpn mais serait je pense un excellent complément et en plus relativement simple à mettre en place.
Dernière modification par ptit_poulet (2012-10-18 09:38:55)
J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer
Hors ligne
Il n'y a pas que les feux qui sont pratiques ! L'intégration également est plus pratique avec le protocole openVPN, beaucoup de "devices" sont compatibles avec ce protocole, plus qu'avec le tunneling ssh...
Enfin tu n'a rien dit la dessus, mais les autres points sont très important :
Le risque de "fuite" par un oubli de configuration d'une application, et sans arrêt devoir modifier les paramètres des applications en fonction de si on est connecté ou pas...
Se connecter à un serveur SSH ouvert sur une IP publique c'est un peu fou, avoir un accès même restreint à une machine via SSH c'est déjà pas super sécurisant (pour le serveur) mais en plus le serveur doit accepter toutes les requêtes SSH !!!
Donne moi un accès, même utilisateur à un serveur linux, je pourrais te le mettre en ruine en peu de temps...
Enfin les logs de connexion/déconnexion seront forcement enregistrés par le système.
Hors ligne
J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer
Hors ligne
Bonjour,
Je suis pour la mise en place d'un tunnel ssh. Comme le mentionne ptit_poulet, il existe plusieurs clients portables qui gère les connexions ssh (bitvise tunnelier, putty). Le gros avantage que je vois par rapport au vpn est la possibilité pour les utilisateurs de choisir les applications qui passent par le tunnel. Si je veux profiter du plein débit que m'offre mon FAI pour utiliser Filezilla, je peux tout de même configurer mon navigateur pour qu'il passe par le tunnel. Finalement, il est résulterait peut-être une économie de bande passante puisque seules les applications configurées par les utilisateurs utiliseraient le tunnel ssh.
Bref, à mon point de vue, ce serait un gros avantage.
Cordialement
Hors ligne
Je suis pour, mais pour les initiés donc en complément & volontaires
Hors ligne
Je suis aussi pour car j'avais lu en résumé ceci sur les tunnel ssh :
Les point positifs que j'avais lu pour tunnel ssh
- l'on peut faire passer l'application ou le navigateur de son choix via tunnel ssh et non toute la connexion .
- sous linux et mac os , ssh est intégré de base et en ligne de commande
- sous windows , je sais qu'il faut utiliser le client putty mais il existe peut être un client en ligne de commande
NB : @ petit poulet : je voudrais bien avoir un peu plus d'info sur proxifier , es ce un logiciel qui gère les connexions par applications ?
je voudrais aussi savoir ce que vaut le sock5 ( je sais juste qu'il s'agit d'une sorte de proxy mais je n'avais pas tout compris ) , j'ai déja vu des presta en ligne qui vendent des tunnel ssh et sock5 . Que vaut le sock5 par rapport au ssh ?
Dernière modification par arcos (2012-10-19 00:14:20)
Hors ligne
J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer
Hors ligne
Up
Je voulais savoir si c'était en projet?
Hors ligne
Bonjour ...
Pour le moment, comme la section l'indique, c'est une "Suggestion".
Si elle est acceptée par les responsables, une "News" sera publiée.
Cordialement, David.
Hors ligne
Si les tutos sont clairs, il y aura moins de questions pour des soucis techniques, le système étant plus basique qu'un vpn, pas de carte réseaux virtuelles, pas besoin des droits administrateurs... Donc si tout est clair dès le début, ça se passe bien, y a pas de raison d'avoir plus de soucis qu'avec un vpn.
J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer
Hors ligne
Bonjour,
Même avec des tutos clairs (cf. celui pour Seven), il y a toujours des questions...
De bonnes illustrations sont un minimum...
Bien cordialement.
Hors ligne
Bonsoir ...
Ensuite, il faut voir s'il y a besoin de nouveaux serveurs ou si ceux existants pourraient convenir en fonction des ressources (système / processeur et bande passante) restantes avec 500 connexions VPN ... le nombre maximum de connexion ssh autorisé par serveur, les services autorisés à utiliser par ce type de connexion.
Mais avant tout, savoir si plus d'une poignet de membre souhaite utiliser ce service ... ce serait dommage de mettre cela en place si 3 poilus l'utilisent
Cordialement, David.
Hors ligne
Perso j'ai de rapide connaissance en ssh, mais si j'ai de bon tutos et un listing des choses possibles de faire avec (ce serait bien de le faire pour interesser les gens sur les possibilités que ca offre) je m'en servirais surement
Hors ligne
Je pense que le ssh est un très bon complément au vpn, dans la mesure où il est possible de le mettre en œuvre dans des environnements beaucoup plus contraignants que le vpn, c'est là son avantage.
Je suis en train de bosser dessus, en parallèle des travaux sur le serveur vpn/proxy français avec Geronimo.
Pour le moment je teste une mise en place d'un serveur ssh dans un container lxc, histoire d'isoler au maximum le service.
J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer
Hors ligne
Bonjour à tous,
Je sais que le sujet date un peu, mais je me demandais si le projet était toujours actif ?
La possibilité de se connecter à un tunnel ssh avec un serveur proxy socks5 ajouterait une couche supplémentaire de sécurité me semble-t-il. Mon FAI offre un tel service et je dois admettre que les performances sont nettement supérieures au vpn pour ce qui est de la vitesse de connexion.
Cordialement
Hors ligne
Pages : 1