l'Internet

Tunneling SSH : Manuel pour créer un tunnel SSH et naviguer en toute sécurité

Le tunneling SSH est une technique qui nous permettra de naviguer sur le Web en toute sécurité, en établissant un tunnel SSH contre un serveur SSH distant, soit configuré chez nous sur un serveur NAS ou sur notre routeur, soit sur un serveur VPS distant. Aujourd’hui, dans RedesZone, nous allons vous apprendre étape par étape comment configurer à la fois le serveur SSH et le client SSH pour établir un tunnel SSH et naviguer en toute sécurité sur le Web.

introduction

Ce tunnel SSH que nous allons créer ne crypte les communications que si nous configurons un Proxy dans notre navigateur, ou dans le programme que nous avons, dans nos tests, nous avons utilisé Mozilla Firefox, mais n’importe quel navigateur est compatible. Cette méthode ne crypte pas les services qui ne permettent pas de configurer un proxy, tels que Dropbox (installé sur notre ordinateur) ou d’autres programmes qui nécessitent une connexion Internet, mais n’ont pas de menu pour configurer le proxy. Tout programme qui a la possibilité de configurer un proxy SOCKS, nous pourrons transférer tout son trafic via le tunnel SSH, et sortir sur Internet via l’adresse IP publique que ledit serveur SSH a, de cette manière, tout le trafic de notre L’ordinateur au serveur SSH sera crypté et authentifié, avec les algorithmes de cryptage symétrique utilisés par le serveur SSH, bien qu’il soit normalement AES-256-GCM, comme c’est le cas avec les services VPN.

Un détail très important est que si vous devez chiffrer absolument tout le trafic, vous devrez alors configurer un serveur VPN, OpenVPN ou WireGuard.. Le protocole OpenVPN est largement utilisé dans les environnements domestiques, d’autant plus que les principaux serveurs NAS l’intègrent par défaut, et même certains routeurs comme ASUS intègrent également ce protocole. WireGuard est un tout nouveau protocole VPN qui n’est pas encore chez les principaux fabricants de serveurs NAS, comme QNAP, Synology ou ASUSTOR, cependant, nous le trouverons dans un serveur Linux que nous configurons, et nous l’avons même disponible dans les systèmes d’exploitation orientés . au pare-feu ou routeur comme DD-WRT et pfSense entre autres. Grâce au fait que WireGuard est intégré au noyau Linux, nous obtiendrons d’excellentes performances en termes de vitesse de connexion et de latence.

Pour effectuer correctement le tunneling SSH, ou également connu sous le nom de tunnel SSH, la première chose à garder à l’esprit est que nous devons avoir un serveur SSH accessible depuis Internet , si nous n’avons pas de serveur SSH, nous ne pourrons pas nous connecter à pour encapsuler et chiffrer tout le trafic. Ce serveur SSH peut être sur notre serveur NAS, sur notre routeur, ou directement sur un serveur distant.

Vous devez d’abord configurer le serveur SSH avec la directive «Autoriser le transfert TCP», si vous utilisez OpenSSH, la directive que vous devez indiquer est :

AllowTcpForwarding

Vous devez également autoriser la redirection du trafic sur votre serveur, c’est-à-dire que vous devez mettre :

sysctl net.ipv4.ip_forward=1

Une fois le serveur SSH en cours d’exécution, nous procédons à la configuration du client. Cependant, nous pourrions également configurer ce serveur SSH avec un meilleur cryptage symétrique, en utilisant la directive suivante :

Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

Vous pouvez également améliorer la sécurité en incorporant des MAC et des algorithmes d’échange de clés sécurisés, vous pouvez ajouter les directives suivantes à OpenSSH pour augmenter la sécurité :

KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]

Configuration du client SSH sous Windows

Le programme que nous allons utiliser est Putty, c’est un programme Windows, mais sous Linux il fonctionne parfaitement en utilisant l’utilitaire WINE (coché). Cependant, si vous utilisez Linux, il est préférable d’utiliser directement la commande ssh pour effectuer cette configuration, c’est beaucoup plus simple que sous Windows.

Vous pouvez télécharger Putty à partir de son site officiel . Il n’est pas nécessaire de l’installer puisqu’il s’agit d’un programme Portable, nous ouvrons Putty et nous avons l’écran suivant :

On passe à SSH/Tunneling comme on le voit dans la capture. Dans Source Port nous mettons le port que nous allons utiliser pour le tunnel (par exemple 8081), destination nous le laissons vide et dans les options ci-dessous nous le mettons en Dynamic et en AUTO . Et puis nous sélectionnons AJOUTER (pour ajouter la configuration).

Ensuite, nous nous connectons au serveur SSH normalement avec Putty, dans la section Session .

Et nous faisons la connexion SSH, dans l’image vous pouvez voir le serveur SSH de mon routeur avec Tomato RAF.

Nous ne devons toucher à rien d’autre, laissez simplement la connexion ouverte et ne fermez pas le programme, je répète que tout ce processus fonctionne pour vous sous Windows et Linux avec WINE. Nous procédons maintenant à la configuration de Firefox.

Configuration du navigateur Mozilla Firefox pour le proxy

Nous allons dans OPTIONS , AVANCÉES , RÉSEAU et cliquons sur CONFIGURATION.

Dans l’image suivante, nous configurons l’utilisation du proxy.

Configuration manuelle du proxy , serveur SOCKS : 127.0.0.1 et port 8081 (celui que nous avons défini précédemment), nous avons choisi SOCKS v5 , comme vous pouvez le voir sur la capture d’écran.

Nous cliquons sur accepter et nous allons à l’écran principal du navigateur, nous ouvrons n’importe quel site Web et nous naviguerons sur notre serveur SSH. Si nous accédons à une adresse IP locale, cela fonctionnera sans aucun problème :

Vous pouvez utiliser n’importe quel service pour consulter votre IP publique et vous verrez que vous avez la même chose que le serveur SSH.

Configuration du client SSH sous Linux (par console)

Si les utilisateurs Linux souhaitent enregistrer la configuration de Putty, tapez simplement cette commande dans la console et ne la fermez pas :

ssh -D 8081 -p 22 usuario@ip_publica

  • 8081 = port à utiliser dans le tunnel
  • 22 = port du serveur ssh, si on utilise le port 22 il n’est pas nécessaire de mettre -p 22 puisque le port 22 est celui par défaut.
  • user = utilisateur du serveur pour la connexion
  • ip_publica = adresse IP, domaine ou hôte dynamique.

Questions et réponses

Question : Si le serveur SSH tombe en panne ou si nous fermons accidentellement le client ssh, serons-nous sans protection sans nous en rendre compte ?

  • Réponse : Non, car Firefox affichera une erreur indiquant que le serveur proxy ne répond pas et ne pourra charger aucun site Web.

Question : Qu’est-ce qui est plus sécurisé, ceci ou créer un VPN comme celui du manuel ?

  • Réponse : Le VPN car il crypte absolument tout quand on change le routage de l’équipement, au début ça peut paraître plus lourd, mais quand on a le VPN configuré c’est très confortable de double-cliquer et c’est tout.

Nous espérons qu’avec ce tutoriel, vous pourrez naviguer en toute sécurité en créant un tunnel SSH contre votre NAS, routeur ou autre serveur sur lequel vous avez SSH.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba