Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
896 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [RESOLU] tunnel ssh et pare feu

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[RESOLU] tunnel ssh et pare feu

n°1007338
depx
Posté le 01-02-2008 à 16:44:24  profilanswer
 

Imaginons que l'on ferme tous les ports sauf le 80 et 443 sur un pare feu (reseau local vers le net) : comment fait on pour empêcher quelqu'un de faire un tunnel ssh ?


Message édité par depx le 05-02-2008 à 15:07:10
mood
Publicité
Posté le 01-02-2008 à 16:44:24  profilanswer
 

n°1007345
P-Y
Posté le 01-02-2008 à 17:03:14  profilanswer
 

avec un proxy HTTP genre squid, mais meme dans ce cas il y aura quand meme une possibilite de passer outre avec les bons outils, enfin je vais pas trop detailler car je suis pas certain que ce soit charte-compliant [:whatde]

n°1007384
minibrout
freerider powaa
Posté le 01-02-2008 à 20:21:40  profilanswer
 

Je pense que le mieux c'est de ne laisser aucun port d'ouvert a part le proxy.
 
Et bien sur de na pas faire passerelle, comme ca, sa oblige les clients à passer par le proxy.
 
bon apres il se peut que certaine applications et besoin du net sans passer par le proxy etc... il y as quand meme des contraintes.

n°1007392
o'gure
Modérateur
Multi grognon de B_L
Posté le 01-02-2008 à 20:37:26  profilanswer
 

La seule différence qu'il y a enrte HTTPS et et SSH c'est les premiers paquets. En SSH le serveur envoit sa bannière (i.e. : SSH-2.0-OpenSSH_4.6p1 Debian-5 sur une debian lenny). En HTTPS le serveur attend. Il faut donc réussir à analyser le premier message et déterminer si c'est de l'HTTPS ou du SSH.
 
J'ai jamais regardé si squid ou un autre système de proxy gérait la conformité protocolaire de HTTPS... Sinon avec netfilter l7 ca devrait pouvoir se faire.


---------------
Ton Antoine commence à me les briser menus !
n°1007479
Mjules
Modérateur
Parle dans le vide
Posté le 02-02-2008 à 12:02:06  profilanswer
 

C'est pas tout récent (2005) mais ça donne des idées :
http://www.certa.ssi.gouv.fr/site/ [...] index.html


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°1008490
depx
Posté le 05-02-2008 à 15:04:57  profilanswer
 

Merci les gars ;)
En gros y doit pas avoir beaucoup de réseaux vraiment sécurisés alors ...


Message édité par depx le 05-02-2008 à 15:05:22
n°1008544
M300A
Sehr hopfen, vielen IBU, wow!
Posté le 05-02-2008 à 17:42:32  profilanswer
 

A mon avis c'est mort:
 
Regarder corkscrew, il est capable d'établir un ssh à travers une connexion SSL sur le port 443. Je vois pas comment c'est possible de détecter ça puisque c'est dans un tunnel ssl....

n°1008680
czh
Posté le 06-02-2008 à 00:10:05  profilanswer
 

corkscrew = ssh over https
 
Il existe même du ssh over http tout court, et c'est pas sorcier de programmer un service en non connecté, donc il est même possible de faire passer des tunnels sur des proxys http. Bref, il manque plus que ssh over html/images/css et là c'est la fin des haricots... ! :D
 
edit: bon après il n'y a pas que l'analyse protocolaire dans la vie, mais c'est plus le même prix


Message édité par czh le 06-02-2008 à 00:15:08

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [RESOLU] tunnel ssh et pare feu

 

Sujets relatifs
[RESOLU] capacités serveur et charge dns[RESOLU]espace disque supérieur à 2to
[Résolu] pb config reseau localzabbix_server
problème emerge qt-4.3.3 [Résolu] proc trop chaud instable[Résolu] joindre debian domaine 2003 serveur
[RESOLU][MDK08] ping ok / net ko[RESOLU] [DEBIAN] AMD64 + fglrx problème
Pb de droit sur un directory [résolu][résolu]Dyndns: ip locale et non publique
Plus de sujets relatifs à : [RESOLU] tunnel ssh et pare feu


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR