Je ne vais pas vous expliquer les tunnels SSH, NON!!!! Vous avez un nouvel ami pour ça:

• http://fr.wikipedia.org/wiki/Tunnel_(réseau_informatique)
• http://fr.wikipedia.org/wiki/Secure_shell

Je vais plutôt vous expliquer comment configurer, créer et utiliser un tunnel SSH.

Qu’est ce qu’un tunnel?

Un tunnel est comme son nom l’indique….. un tunnel….

Dans la vie courante, cela permet de faire passer des voitures sous une montagne, évitant ainsi de perdre du temps à passer par dessus.

Dans l’informatique c’est pareil… ou presque.

On créé un tunnel entre deux machines (côtés de la montagne) pour faire transiter du traffic (les voitures et les camions) dans le but de…..pas de gagner du temps (les comparaisons s’arrêtent là) mais plutôt dans l’optique de faire passer des produits stupéfiants (dans les voitures et les camions).

J’entends par là, dissimuler des choses car c’est interdit ou car on est obligé (exemple avec ipv6).

Dissimuler par une méthode de chiffrement.

Avec quoi créer un tunnel?

Avec des logiciels…..

Vous pourrez donc créer des tunnels avec des logiciels comme puTTY, ssh, gstm pour Gnome, et tous les logiciels de VPN que vous connaissez.

Un VPN n’est ni plus ni moins, qu’une succession de tunnels qui relient les machines entres elles.

Hamachi permet de faire des tunnels par exemple. Si vous êtes interessé par ce logiciel, une petite recherche et vous trouverez ce bon tutoriel.

Pourquoi SSH?

SSH est un Shell Sécurisé, d’où son nom en anglais: Secure Shell. (je sais, je sais….)

Je vais utiliser SSH car sa particularité est qu’il encrypte la connexion entre les deux machines.

Vous aurez donc un tunnel, qui plus est, sera crypté!!!! Ca existe et ça va vite, alors pourquoi s’en privé?

Les clients SSH ont le bonheur d’être présent facilement sur la plupart des systèmes.

Néanmoins, le serveur SSH (on aura besoin d’un serveur) est plus présent dans les systèmes de types UNIX/Linux que Windows.

Quel type de tunnel?

Un tunnel est un tunnel, appelons les choses comme elles le sont!

Mais c’est ce que l’on en fait qui vont changer ce type là.

Nous pouvons rediriger un port en particulier d’une machine vers une autre.

Nous pouvons interconnecter des réseaux privés entre eux à distance (VPN).

Nous pouvons créer un SOCKS pour faire transiter notre traffic (internet, messagerie…) via notre tunnel vers le serveur à distance.

Et sans doute d’autres types….. (pas des gars méchants, des types de tunnel!)

Je vais vous montrer comment utiliser un tunnel avec le SOCKS 5.

Ce dont on a besoin:

Serveur SSH

Pour ma part ce sera un serveur « sshd » sur un système Linux/Debian ou Linux/Ubuntu.

Il doit autoriser les tunnels (par défaut).

Le port d’écoute est par défaut le port 22 mais il est préférable de le changer (attaques SSH par des botnets, xmco).

Pour m’a part j’utilise un autre port.

Pour ce tutoriel, on va dire que le serveur SSH aura cette configuration:

• IP: 194.100.200.1 (ip publique)
• Port d’écoute: 22222
• Firewall: autorise les connexions sur le port 22222

Bien entendu, si cette machine est dans un réseau privé, il faut qu’elle soit accéssible sur Internet, donc ouverture des ports sur votre Box ou Routeur.

Client SSH

Je vais vous montrer comment utiliser:

• puTTY pour Windows XP (version 0.60)
• ssh (en ligne de commande) pour Linux
• gSTM : Gnome SSH Tunnel Manager (interface graphique) pour Linux

Qu’est ce qu’il va ce passer une fois le tunnel créé, je vais être aspiré dans le fin fond du Net?

NON vous n’allez pas être aspîré!!!!

Vous pouvez essayer de chercher le Bout du Net …..

Une fois créé, le tunnel est invisible pour vos yeux ébahis!

Vous surferez normalement, vous irez sur Kookyoo.net comme toutes les 5 minutes….

Mais alors, il sert à quoi ton tunnel? A troué le net?

Non bien sûr

Vous pourrez configurer votre naviguateur, client de messagerie, client de messagerie instantanée pour qu’ils utilisent le tunnel!!!

Dès lors, tout ce que vous ferrez sera crypté!!! Adieu le sniff de mot de passe!!!! (entre votre machine et votre serveur SSH car de votre serveur SSH à Internet, ce n’est plus crypté).

Configurations

puTTY et Windows/XP

On commence en rentrant l’adresse IP du serveur SSH (194.100.200.1) et le port du serveur SHH, le 22222 ici.

On coche évidemment le protocole SSH.

Ensuite, nous allons configurer le tunnel.

J’utilise le port 9999 car j’en ai envie et car il revient régulierement sur le forum et tuto des tunnels.

On oublie pas de cocher Dynamic !!! Très important!

Et on fini par le bouton Add.

Options optionnelles:

Connection / SSH : Case « Enable compression » > permet de compresser les paquets, gain en bande passante.

Connection / SSH / TTY : Case « Don’t allocate a pseudo-terminal » > permet de ne pas avoir de terminal pour entrer des commandes.

Vous devrez ensuite cliquez sur « Open » en bas à droite.

On vous demandera un utilisateur et mot de passe pour vous authentifier sur le serveur SSH.

ssh et Linux/Ubuntu ou Linux/Debian

Ouvrez une console et faîtes:

ssh -D 9999 -p 22222 user@194.100.200.1

Vous pouvez rajouter des options histoire de faire plus geek ou tout simplement car vous en avez l’usage:

ssh -fnNqT -D 9999 -p 22222 user@194.100.200.1

• -f : background
• -n : redirige les sorties vers /dev/null
• -N : permet de ne pas pouvoir exécuter de commande à distance
• -q : quiet mode, mode silencieux
• -T : désactive l’ouverture d’un TTY

gSTM et Linux/Ubuntu

Même config évidemment… voici les captures:

Merci à The Gimp et Gpaint pour ces magnifiques retouche

On croirait presque que le serveur inexistant existe

Utilisation du tunnel SSH sécurisé

Nous allons configurer notre naviguateur favoris qu’est: Mozilla Firefox.

Let’s go! (Allons-y!)

Ouvrez Firefox….. je sais il est déjà ouvert, vu que vous lisez ce tutoriel depuis le fabuleux site: Kookyoo.net.

Pour Windows: Outils / Options / Avancé / Onglet Réseau / Cadre Connexion / Bouton Paramètres…

Pour Linux: Edition / Préférences / Avancé / Onglet Réseau / Cadre Connexion / Bouton Paramètres…

Aller vérifier sur votre site préféré qui affiche votre adresse IP, pour moi c’est: http://mire.ipadsl.net/.

Et là au grand bonheur:

Vou pouvez faire pareil avec Thunderbird, Pidgin, ou autre

!!! ATTENTION !!!

Votre traffic est crypté …

MAIS

… les requètes DNS ne le sont pas …

DONC

Si vous fâites ceci dans un contexte tendu (pas bien!), c’est à vos risque et périls!

Quelqu’un (un administrateur par exemple), peut voir les domaines que vous visitez.

Mais il est possible de contourner cela :

Par contre, les requêtes DNS ne passent pas par le tunnel SSH, à cela, une solution, dans la barre d’adresse du navigateur taper : about:config

De là, cliquer sur le bouton : Je ferai attention, promis !

Dans Filtre, taper socks.

Il va falloir modifier la valeur de network.proxy.socks_remote_dns. Pour ce faire un clic droit puis Inverser :

La valeur passe à True :

Et voilà, à présent, les requêtes DNS passent également par le tunnel SSH.

NOTE : N’oublier de remettre à False l’option lorsque vous n’utilisez pas votre tunnel.