CC a écrit : >Selon tzacos <[EMAIL PROTECTED]>: > > > >>cc a écrit : >> >> >> >>>bonsoir, >>> >>>quelqu"un a-t-il déja utilisé httptunnel pour établir une connexion ssh >>>dans un tunnel http ? >>>merci de vos lumières. >>> >>> >>> >>> >>> >>Attention aux systèmes de sécurité. Ce type de fonctionalité n'est ni >>plus ni moins qu'un contournement de la sécurité. De fait, il n'est plus >>possible de valider ensuite le contenu de ce qui va transiter à travers >>ce tunnel. Donc en cas de compromisation, c'est une porte grande ouverte >>pour un piratage. >> >>laurent >> >> >> >> >si ton serveur a un ssh à l'écoute et une règle iptables autorisant l'accès à >partir de l'extérieur (internet), la sécurité de ton serveur ne dépend que de >ssh. Le fait de faire passer la connexion ssh dans un tunnel http ne change pas >grand-chose à cela (rajout des failles possibles de hts). Et avec proxytunnel, >ce raisonnement ne tient pas, puisque c'est ssh lui-même qui écoute sur un >autre port. > > Non tu confond securité et securisation. Ce n'est pas parce que tu es en SSH que tu es sécurisé. SSH améliore la sécurité mais pas forcement la sécurisation. En effet, sécuriser le protocole ne garanti pas la sécurité de ce que ton tunnel contiend. Et du coup, les outils de sécurité tels que les filtres de contenu (comme certains proxy) les IDS, les IPS ne peuvent plus faire leur travail correctement. Et c'est là que se pose le probleme de la sécurité.
D'ailleurs, considérer la sécurité comme suffisante avec une parefeu est une erreur, un parefeu est necessaire mais pas suffisant. Car il est incapable d'agir au niveau du contenu. Et dans le cas présent c'est justement le contenu qui va poser probleme. Pas le contenant. Ton parefeu ne s'occupe que du contenant, donc ici du HTTP. Ce que tu vas encapsuler ne sera pas traité. Ensuite, concernant le proxy c'est pareil. >La seule utilité d'un tunnel est de permettre l'utilisation d'autres protocoles >que le http, donc en effet de contourner les règles d'un firewall ou d'un >proxy. Il suffirait d'ouvrir le port 22 pour éviter le recours au tunnel, sans >incidence notable sur la sécurité. > >Peux tu préciser ? > > La problématique à laquelle je faisais reference en fait est la problématique du contenu face à celle du contenant. Un parefeu et la plupart des proxy gere le conteannt, pas le contenu. Et c est dans le contenu aujourd'hui que se trouvent la plus grande part des problemes de securité. Pour un parefeu, l'habit fait le moine et c'est justement là qu'est le probleme. La notion d'encapsulation est très dangereuse du point de vue de la sécurité. Car elle a pour principe implicite que l'on confonde le contenant et le contenu, et d'accepter sans vérification que le contenu remplit les meme critères d'acceptations que le contenant. mais en fait ca ne marche pas. L'exemple le plus frappant ce sont les cheveaux de troie par exemple, ou encore le virus NIMDA. Il y a bien d'autres exemple. Un tunnel comme celui là ne permettra pas d'identifier et d'agir contre du code malveillant par exemple. C'est pourquoi je dis qu'il faut etre très circonspect quand à l'utilisation de ces tunnels. Dans leur principe, ils sont très utiles. Mais le fait de les utiliser pour contourner des points de sécurité ne veux pas dire qu'ils sont sécurisés. Ce n'est pas l'objet en lui meme qui est dangereux mais son utilisation. C'est le principe de la fission. Rien de dangereux à priori, mais on en a fait la bombe atomique. Les encapsulations, si elles sont utilisées à partir de zones compromises deviennent dangereuses car il n'y a plus aucune sécurité en face. Et ca permet ainsi à quelqu'un de malveillant de contourner les organes de sécurités sans coup ferir. laurent
____________________________________________________ Want to buy your Pack or Services from Mandriva? Go to http://store.mandriva.com Join the Club : http://www.mandrivaclub.com ____________________________________________________
