Comme il n'était pas possible d'intervenir sur un post vieux de plus de 3 mois [1] au sujet de sslh, j'ai essayé de créer un nouveau fil dans la section "dépêches". Elle m'a été refusée, probablement à raison, et on m'a conseillé de venir ici.
J'ai essayé la technique proposée par chmduquesne, celle d'Apache avec stunnel. C'était en fait une amélioration de la méthode proposée par Damien Thébault qui nécessitait un apache patché pour le SSL. Cette nouvelle façon de faire permet également l'accès à plusieurs serveurs ssh (ProxyMatch + fichier config côté client).
Tout fonctionne correctement.
Je suis toutefois tombé sur un article [2] où le passage par apache n'existe pas. C'est tellement simple que je me demande s'il n'y a pas un défaut qu'on ne verrait pas tout de suite.
C'est pourquoi l'avis de spécialistes de la sécurité serait intéressant.
Je n'ai par ailleurs pas creusé la méthode de la sténagographie. Le plus de cette méthode n'ayant pas été expliqué.
[1] http://linuxfr.org/news/sslh%C2%A0110-la-b%C3%AAte-noire-des-censeurs
[2] http://www.jakeri.net/2009/01/ssl-to-ssh-tunneling-stunnel/
# je suis pas un expert
Posté par zecrazytux (site web personnel) . Évalué à 4.
Cette solution est différente de sslh. Avec sslh, ssh reste du ssh, et on peut avoir ssh et https sur le même port.
Là le type part du principe qu'il n'a pas de serveur web sur le port 443, et qu'il ne veut pas faire tourner de ssh sur le port 443. Il veut faire passer le traffic vers le port 443 pour du https, en tout cas il le fait passer dans du SSL. donc à l'analyse du protocol, on voit quelquechose qui ressemble à du SSL, mais pas de SSH, qui est chiffré.
au final, double chiffrement, les perfs sont certainement pas glorieuses.
[^] # Re: je suis pas un expert
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 3.
Oui, mais c'est par rapport à apache en proxy que l'auteur compare…
Ça doit être possible d'avoir un apache et un serveur ssh en utilisant SNI.
Tout comme la solution qu'utilise aujourd'hui l'auteur du journal.
Donc je pense que ne pas passer par apache est quand même une meilleure solution, mais il faut que le logiciel qui fait passer ssh dans du ssl côté client utilise SNI.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.