Journal sslh-la-bete-noire-des-censeurs (le retour)

Posté par .
Tags :
6
25
août
2012

Comme il n'était pas possible d'intervenir sur un post vieux de plus de 3 mois [1] au sujet de sslh, j'ai essayé de créer un nouveau fil dans la section "dépêches". Elle m'a été refusée, probablement à raison, et on m'a conseillé de venir ici.

J'ai essayé la technique proposée par chmduquesne, celle d'Apache avec stunnel. C'était en fait une amélioration de la méthode proposée par Damien Thébault qui nécessitait un apache patché pour le SSL. Cette nouvelle façon de faire permet également l'accès à plusieurs serveurs ssh (ProxyMatch + fichier config côté client).

Tout fonctionne correctement.

Je suis toutefois tombé sur un article [2] où le passage par apache n'existe pas. C'est tellement simple que je me demande s'il n'y a pas un défaut qu'on ne verrait pas tout de suite.

C'est pourquoi l'avis de spécialistes de la sécurité serait intéressant.

Je n'ai par ailleurs pas creusé la méthode de la sténagographie. Le plus de cette méthode n'ayant pas été expliqué.

[1] http://linuxfr.org/news/sslh%C2%A0110-la-b%C3%AAte-noire-des-censeurs
[2] http://www.jakeri.net/2009/01/ssl-to-ssh-tunneling-stunnel/

  • # je suis pas un expert

    Posté par (page perso) . Évalué à 4.

    Cette solution est différente de sslh. Avec sslh, ssh reste du ssh, et on peut avoir ssh et https sur le même port.

    Là le type part du principe qu'il n'a pas de serveur web sur le port 443, et qu'il ne veut pas faire tourner de ssh sur le port 443. Il veut faire passer le traffic vers le port 443 pour du https, en tout cas il le fait passer dans du SSL. donc à l'analyse du protocol, on voit quelquechose qui ressemble à du SSL, mais pas de SSH, qui est chiffré.

    au final, double chiffrement, les perfs sont certainement pas glorieuses.

    • [^] # Re: je suis pas un expert

      Posté par (page perso) . Évalué à 3.

      Cette solution est différente de sslh.

      Oui, mais c'est par rapport à apache en proxy que l'auteur compare…

      Là le type part du principe qu'il n'a pas de serveur web sur le port 443, et qu'il ne veut pas faire tourner de ssh sur le port 443.

      Ça doit être possible d'avoir un apache et un serveur ssh en utilisant SNI.

      Il veut faire passer le traffic vers le port 443 pour du https, en tout cas il le fait passer dans du SSL. donc à l'analyse du protocol, on voit quelquechose qui ressemble à du SSL, mais pas de SSH, qui est chiffré.
      au final, double chiffrement, les perfs sont certainement pas glorieuses.

      Tout comme la solution qu'utilise aujourd'hui l'auteur du journal.

      Donc je pense que ne pas passer par apache est quand même une meilleure solution, mais il faut que le logiciel qui fait passer ssh dans du ssl côté client utilise SNI.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.