Forum Freedom-IP VPN

Forum d'entraide de la communauté Freedom-IP VPN

Vous n'êtes pas identifié(e).

#1 2012-10-17 22:47:30

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Et pourquoi pas du ssh ???

Bonsoir les amis.

Une question est en train de trotter dans ma tête alors je vous en fait part, histoire d'avoir plusieurs avis sur la question.

Pourquoi ne pas utiliser un tunnel ssh à la place ou en complément du vpn.
Je m'explique, le tunnel ssh apporte plusieurs avantages. Pour commencer d'un point de vue sécurité, c'est du pareil au même qu'openvpn, surtout pour l'utilisation qu'on en fait. Ensuite c'est qui m'amène à penser que ssh peut-être bien, c'est sur le côté utilisation. Par exemple, quelqu'un qui veut utiliser nos services mais qui n'est pas admin sur son pc, ne pourra pas installer l'interface réseau vpn. Alors que pour le ssh, un simple client portable ssh tel que putty suffit.
Ensuite la plus plupart des applications web qu'on utilise support le fait de leur préciser l'utilisation d'un proxy afin de passer au travers du tunnel. Au pire des logiciels comme Proxifier rajoute cette possibilité.
Autre avantage est lorsqu'il y a de grosses restrictions sur l'utilisation des ports, on peut caler notre serveur ssh sur le port 443 par exemple. Les restrictions au niveau de la couche 7 du modèle osi sont beaucoup plus rares... et dans ce cas que ce soit vpn ou ssh on sera bloqué, bien que ssh étant beaucoup utilisé pour l'administration des serveurs, il y a encore une petite chance pour qu'il soit moins bloqué.
Niveau perfs je pense que ça doit être un peu du même niveau, bien que d'après plusieurs sites, le ssh serait donné gagnant.
Côté mise en œuvre, je dirai que le ssh est plus simple, surtout pour des utilisateurs unix et linux, là c'est un jeu d'enfant. Pour les utilisateurs de smartphone, pas de soucis, que ce soit sur android ou ios, des clients ssh existent.

Alors qu'en pensez-vous ? J'attends de votre part du pour, du contre, je suis ouvert à toutes les idées sur la question.

Bonne soirée (voir bonne nuit vu l'heure) à tous !!!


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#2 2012-10-18 04:08:14

Antonin
Membres de confiance
Inscription : 2011-11-28
Messages : 3 729

Re : Et pourquoi pas du ssh ???

Bonjour,

Pour ma part je suis plutôt pour, surtout pour la version "portable". Le fait de pouvoir "installer" le ssh sans être admin de son poste est une excellente chose.
Je verrai ça dans un premier temps du moins, en complément du vpn, pour les "non-initiés" : beaucoup cherche un moyen de protection en tapant "vpn" et non pas "ssh". wink
Qu'en est-il du ssh avec l'IPV6 ? (Pendant qu'on y est...)^^
Cela pourrait être un bon projet à monter lorsqu'on s'ennuiera... big_smile

Bien cordialement.

Hors ligne

#3 2012-10-18 09:12:52

mephistos
Contributeurs Confirmés
Inscription : 2012-02-05
Messages : 693

Re : Et pourquoi pas du ssh ???

Bonjour,

Moi je ne suis pas pour  cool

C'est encore plus compliqué pour les non initié !!!
Il va falloir qu'ils comprennent que lorsqu'il sont connectés au tunnel ssh, ils ne sont absolument pas protégé...
Il va même falloir qu'ils comprennent qu'ils sont connecté avec juste l'apparition de la petite fenêtre noir...
Le petit feux rouge/orange/vert du client openVPN pour windows est quand même plus user-friendly !

Enfin configurer tous les logiciels qui doivent sortir pour passer par le tunnel etc...
OpenVPN lui prend toute la connexion, aucun risque de "raté".

J'imagine déjà la tonne de discussion sur le forum pour paramétrer tel ou tel logiciel.
Passer par deux outils (putty + Proxifier) est à mon sens bien plus compliqué.
Ceux qui n'arrive pas a suivre le tuto pour installer openVPN à la lettre n'arriverons sans doute pas mieux à installer putty et configurer tous leurs programmes !
Sans parler des programmes qui n'ont pas l'option, et ils sont nombreux.

Enfin niveau sécurité c'est assez étrange comme solution !
Avoir une connexion SSH sur un serveur directement via une adresse ip publique  roll

Enfin, il sera impossible de garantir une non conservation des logs, les logs systèmes auront toujours la date de début et de fin de session lors de la connexion/déconnexion.

Enfin, tout ça c'est ce que je pense, ce ne sont pas des vérités générales wink

Hors ligne

#4 2012-10-18 09:14:30

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Et pourquoi pas du ssh ???

Pas de soucis avec l'IPv6, car autre avantage que j'ai oublié de préciser, seules les applis qui sont configurées pour passer par le tunnel sortent par le tunnel donc aucune chance qu'autre chose y passe. Et dernier point si le tunnel tombe aucun risque que les applis ressortent via le net classique car comme elles ont un proxy de configuré, elles vont tout simplement ne plus trouver leur chemin, donc niveau sécurité lorsque le lien tombe, je trouve qu'on est un cran au-dessus du vpn, pas besoin d'installer un logiciel supplémentaire pour bloquer les flux...

EDIT :

Pour répondre à mephistos, pour la partie configuration le plus simple serait d'utiliser kitty, c'est du putty en plus évolué. Tous les confs tiennent dans un fichier .ini donc je dirai que c'est même encore plus simple, pour chaque utilisateur on créait le fichier ou alors un fichier générique avec une petite moulinette qui lui demande son login/mdp et s'occupe de compléter le fichier et le coller au bon endroit. Après c'est sûr qu'il faut quand même configurer les applis, ensuite la plus part d'entre elles savent gérer un proxy, que ce soit les navigateurs, les logiciels de DL ou encore les logiciels de tchat.

Après je suis d'accord avec le fait que les petits feux sont bien pratique, c'est vert c'est ok.

Mais comme je le disais dans mon 1er post, la solution ssh ne serait pas là pour remplacer la solution vpn mais serait je pense un excellent complément et en plus relativement simple à mettre en place.

Dernière modification par ptit_poulet (2012-10-18 09:38:55)


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#5 2012-10-18 10:04:40

mephistos
Contributeurs Confirmés
Inscription : 2012-02-05
Messages : 693

Re : Et pourquoi pas du ssh ???

Il n'y a pas que les feux qui sont pratiques ! L'intégration également est plus pratique avec le protocole openVPN, beaucoup de "devices" sont compatibles avec ce protocole, plus qu'avec le tunneling ssh...

Enfin tu n'a rien dit la dessus, mais les autres points sont très important :

Le risque de "fuite" par un oubli de configuration d'une application, et sans arrêt devoir modifier les paramètres des applications en fonction de si on est connecté ou pas...

Se connecter à un serveur SSH ouvert sur une IP publique c'est un peu fou, avoir un accès même restreint à une machine via SSH c'est déjà pas super sécurisant (pour le serveur) mais en plus le serveur doit accepter toutes les requêtes SSH !!!
Donne moi un accès, même utilisateur à un serveur linux, je pourrais te le mettre en ruine en peu de temps...

Enfin les logs de connexion/déconnexion seront forcement enregistrés par le système.

Hors ligne

#6 2012-10-18 10:52:23

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Et pourquoi pas du ssh ???

mephistos a écrit :

Il n'y a pas que les feux qui sont pratiques ! L'intégration également est plus pratique avec le protocole openVPN, beaucoup de "devices" sont compatibles avec ce protocole, plus qu'avec le tunneling ssh...

Enfin tu n'a rien dit la dessus, mais les autres points sont très important :

Le risque de "fuite" par un oubli de configuration d'une application, et sans arrêt devoir modifier les paramètres des applications en fonction de si on est connecté ou pas...

Je suis d'accord avec toi, faut faire attention lors de la mise en place, mais l'avantage que j'en tire, c'est que ssh ne nécessite pas d'installation. Je suis dans un cybercafé, je veux pas qu'on sache ce que je fais... mais je ne suis pas admin, donc pas d'openvpn possible. J'ai du ssh, je mets putty et hop 'est parti. Chaque solution à ses avantages et défauts.


mephistos a écrit :

Se connecter à un serveur SSH ouvert sur une IP publique c'est un peu fou, avoir un accès même restreint à une machine via SSH c'est déjà pas super sécurisant (pour le serveur) mais en plus le serveur doit accepter toutes les requêtes SSH !!!
Donne moi un accès, même utilisateur à un serveur linux, je pourrais te le mettre en ruine en peu de temps...

Enfin les logs de connexion/déconnexion seront forcement enregistrés par le système.

Je ne comprends pas le soucis avec l'IP publique ???

Après pour la partie mise en ruine, je demande à voir, un chroot de l'utilisateur et il reste confiné à son répertoire et ça s'arrête là...

Pour la partie log, tu les désactives dans la conf de ssh et plus rien n'est gardé.


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#7 2012-10-18 12:48:58

Bunkmil
Membre
Inscription : 2012-10-18
Messages : 4

Re : Et pourquoi pas du ssh ???

Bonjour,

Je suis pour la mise en place d'un tunnel ssh. Comme le mentionne ptit_poulet, il existe plusieurs clients portables qui gère les connexions ssh (bitvise tunnelier, putty). Le gros avantage que je vois par rapport au vpn est la possibilité pour les utilisateurs de choisir les applications qui passent par le tunnel. Si je veux profiter du plein débit que m'offre mon FAI pour utiliser Filezilla, je peux tout de même configurer mon navigateur pour qu'il passe par le tunnel. Finalement, il est résulterait peut-être une économie de bande passante puisque seules les applications configurées par les utilisateurs utiliseraient le tunnel ssh.

Bref, à mon point de vue, ce serait un gros avantage.

Cordialement

Hors ligne

#8 2012-10-18 20:25:30

benjaltf4
Membres de confiance
Inscription : 2011-11-27
Messages : 610

Re : Et pourquoi pas du ssh ???

Je suis pour, mais pour les initiés donc en complément & volontaires smile


Suivez-Moi sur twitter : @benjaltfquatre

Hors ligne

#9 2012-10-19 00:11:05

arcos
Membres de confiance
Inscription : 2011-11-20
Messages : 347

Re : Et pourquoi pas du ssh ???

Je suis aussi pour car j'avais lu en résumé ceci sur les tunnel ssh :

Les point positifs que j'avais lu pour tunnel ssh

- l'on peut faire passer l'application ou le navigateur de son choix via tunnel ssh et non toute la connexion .
- sous linux et mac os , ssh est intégré de base et en ligne de commande
- sous windows , je sais qu'il faut utiliser le client putty mais il existe peut être un client en ligne de commande

NB : @ petit poulet : je voudrais bien avoir un peu plus d'info sur proxifier , es ce un logiciel qui gère les connexions par applications ?
                             je voudrais aussi savoir ce que vaut le sock5 ( je sais juste qu'il s'agit d'une sorte de proxy mais je n'avais pas tout compris smile ) , j'ai déja vu des presta en ligne qui vendent des tunnel ssh et sock5 . Que vaut le sock5 par rapport au ssh ?

Dernière modification par arcos (2012-10-19 00:14:20)

Hors ligne

#10 2012-10-19 10:01:31

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Et pourquoi pas du ssh ???

arcos a écrit :

NB : @ petit poulet : je voudrais bien avoir un peu plus d'info sur proxifier , es ce un logiciel qui gère les connexions par applications ?

En fait proxifier (ou aussi sockscaps) va servir à intercepter les applications choisies afin de les faire passer via le proxy socks qui lui même passe par le tunnel ssh.

arcos a écrit :

je voudrais aussi savoir ce que vaut le sock5 ( je sais juste qu'il s'agit d'une sorte de proxy mais je n'avais pas tout compris smile ) , j'ai déja vu des presta en ligne qui vendent des tunnel ssh et sock5 . Que vaut le sock5 par rapport au ssh ?

En fait socks est là pour nous faciliter un peu la vie. Un proxy classique ne sait faire passer que des requêtes web comme les proxy connus comme squid. Alors que socks nous permet de faire passer tous les services qu'on souhaite toujours via le même port. En fait on utilise les ports dynamiques, pour faire simple, du côté utilisateur tous les services sélectionnés vont passer par le port 2433 par exemple et une fois ressortis de l'autre côté du tunnel tout va repartir sur les ports d'origine afin de communiquer normalement avec le reste du web, puis de retour dans le tunnel tout ressort chez nous via notre fameux port.
On peut utiliser socks5 tout seul mais gros avantage avec ssh c'est qu'on chiffre la liaison au même titre que le vpn. Et comme les 2 combinés sont super simple à faire marcher ensemble, pourquoi se priver.


Petit lien vers un tuto qui résume très bien le principe en début de page. Bien sûr ce tuto est à renforcer car il ne tient pas en compte d'une utilisation grand public.
Et un autre qui explique la mise en place d'un proxy socks.

Dans notre cas, c'est putty qui va faire office de proxy socks, c'est dans putty qu'on vient choisir les paramètres pour les ports dynamiques et local.

Par contre chose à ne pas oublier, c'est la parti dns dans le navigateur. Il ne faut pas modifier une petite conf dans la partie about:config afin de faire passer les requêtes dns via le tunnel ssh. Sachant que ce paramètres n'a pas besoin d'être modifier en permanence car une fois activé, si le client choisi de ne pas utiliser les paramètres proxy, automatiquement il fonctionnera comme par défaut mais sans toucher à cette petite conf.

J'espère que j'ai pu apporter des compléments d'infos à tes questions. N'hésite pas si y a encore quelques zones d'ombres au tableau big_smile


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#11 2012-10-21 14:56:21

Korben77
Membre
Inscription : 2012-10-21
Messages : 14

Re : Et pourquoi pas du ssh ???

Up

Je voulais savoir si c'était en projet?

Hors ligne

#12 2012-10-21 15:02:42

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 131

Re : Et pourquoi pas du ssh ???

Bonjour ...

Pour le moment, comme la section l'indique, c'est une "Suggestion".
Si elle est acceptée par les responsables, une "News" sera publiée.

Cordialement, David.


C.G.U.                Règles

Hors ligne

#13 2012-10-21 18:16:52

Back2back
Contributeurs Confirmés
Inscription : 2011-11-20
Messages : 4 330
Site Web

Re : Et pourquoi pas du ssh ???

Juste si on lance ca comme projet, va falloir faire de beaux tutos clairs si on veut pas etre inondé de questions ...

Hors ligne

#14 2012-10-21 19:42:25

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Et pourquoi pas du ssh ???

Si les tutos sont clairs, il y aura moins de questions pour des soucis techniques, le système étant plus basique qu'un vpn, pas de carte réseaux virtuelles, pas besoin des droits administrateurs... Donc si tout est clair dès le début, ça se passe bien, y a pas de raison d'avoir plus de soucis qu'avec un vpn.


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#15 2012-10-21 19:51:46

Antonin
Membres de confiance
Inscription : 2011-11-28
Messages : 3 729

Re : Et pourquoi pas du ssh ???

Bonjour,

Même avec des tutos clairs (cf. celui pour Seven), il y a toujours des questions...  lol
De bonnes illustrations sont un minimum...  wink

Bien cordialement.

Hors ligne

#16 2012-10-21 19:55:20

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 131

Re : Et pourquoi pas du ssh ???

Bonsoir ...

Ensuite, il faut voir s'il y a besoin de nouveaux serveurs ou si ceux existants pourraient convenir en fonction des ressources (système / processeur et bande passante) restantes avec 500 connexions VPN ... le nombre maximum de connexion ssh autorisé par serveur, les services autorisés à utiliser par ce type de connexion.

Mais avant tout, savoir si plus d'une poignet de membre souhaite utiliser ce service ... ce serait dommage de mettre cela en place si 3 poilus l'utilisent smile

Cordialement, David.


C.G.U.                Règles

Hors ligne

#17 2012-10-21 20:02:09

Back2back
Contributeurs Confirmés
Inscription : 2011-11-20
Messages : 4 330
Site Web

Re : Et pourquoi pas du ssh ???

Perso j'ai de rapide connaissance en ssh, mais si j'ai de bon tutos et un listing des choses possibles de faire avec (ce serait bien de le faire pour interesser les gens sur les possibilités que ca offre) je m'en servirais surement

Hors ligne

#18 2012-10-21 21:45:04

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Et pourquoi pas du ssh ???

Je pense que le ssh est un très bon complément au vpn, dans la mesure où il est possible de le mettre en œuvre dans des environnements beaucoup plus contraignants que le vpn, c'est là son avantage.
Je suis en train de bosser dessus, en parallèle des travaux sur le serveur vpn/proxy français avec Geronimo.
Pour le moment je teste une mise en place d'un serveur ssh dans un container lxc, histoire d'isoler au maximum le service.


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#19 2014-01-15 19:42:18

Bunkmil
Membre
Inscription : 2012-10-18
Messages : 4

Re : Et pourquoi pas du ssh ???

Bonjour à tous,

Je sais que le sujet date un peu, mais je me demandais si le projet était toujours actif ?

La possibilité de se connecter à un tunnel ssh avec un serveur proxy socks5 ajouterait une couche supplémentaire de sécurité me semble-t-il. Mon FAI offre un tel service et je dois admettre que les performances sont nettement supérieures au vpn pour ce qui est de la vitesse de connexion.

Cordialement

Hors ligne

Pied de page des forums