SSH (Secure SHell) au CERN

Les applications telles que telnet, ftp, and X windows, exposent toutes les données des sessions, y compris les mots de passe, en clair (non encryptées) sur le réseau. Les « hackers » « sniffent » le trafic du réseau afin de collecter les mots de passe en clair d’utilisateurs légitimes, par exemple qui se connectent vers ou depuis un ordinateur du CERN. Une fois que le mot de passe est connu, le « hacker » peut l’utiliser à des fins malveillantes, par exemple pour attaquer d’autres ordinateurs, à l’intérieur ou à l’extérieur du CERN.

Afin d’empêcher les attaquants d’obtenir les mots de passe en clair, un chiffrement des données est nécessaire. Les applications comme SSH, permettent un tel chiffrement. SSH est un protocole de réseau et une suite d’outils pour chiffrer de manière transparente le trafic du réseau. Il a été conçu afin de remplacer telnet, ftp et les r-commandes BSD (rsh, rlogin, rexec, rcp), lesquels transmettent les mots de passe en clair et sont vulnérables au détournement de connexion. Il offre une redirection de port sécurisée et peut, par conséquent, être utilisé pour encrypter tout autre trafic du réseau (par exemple X11). Vous trouverez des informations générales sur SSH au CERN ici...

Utilisation de SSH de manière sécurisée

  • SSH est sécurisé seulement s’il est utilisé de bout en bout, c.-à-d. directement d’un ordinateur de confiance à un serveur de confiance. Il est conseillé d’installer et d’utiliser SSH sur votre système local. (Notez que l’utilisation de telnet ou X11 pour se connecter à un ordinateur client SSH à distance exposera toujours vos mots de passe en clair, vu que ces applications n’effectuent pas de chiffrement).

  • Les mots de passe doivent quand même être changés régulièrement: un mot de passe déjà volé continuera de marcher sur SSH, et malgré le fait que le mécanisme de chiffrement est supposé être sur, les mots de passe peuvent toujours être découverts. Des conseils concernant les mots de passe sont disponibles ici.

Plus d'Informations concernant...