FI/6/00

Sécurité du réseau EPFL

DIODE, TREMPLIN, SSH et vous-même

Martin.Ouwehand@epfl.ch Jacqueline.Dousson@epfl.ch, SIC

Le 4 juillet 2000 restera-t-il dans nos mémoires comme le jour de l'indépendance du réseau EPFL par rapport aux pirates? Pour rester sérieux, rappelons que ce fut la date de la mise en place du projet DIODE.

DIODE

En effet, comme expliqué dans un précédent article du Flash informatique (la sécurité du réseau, FI 4/2000), le monde Internet a changé, et les risques de voir tout le réseau EPFL inhibé par une intrusion malveillante existe de plus en plus; l'Ecole devait donc mettre en place les procédures de protection tout en maintenant un niveau de confort acceptable pour les utilisateurs. C'est le projet DIODE (annoncé dans le Flash du 21 juin, p. 21). En résumé, toutes les machines de l'EPFL continuent à avoir accès à l'extérieur comme auparavant, mais les machines de l'EPFL entièrement visibles depuis l'extérieur de l'EPFL sont en nombre limité: il s'agit de serveurs des différentes unités officiellement annoncés comme tels. Les gestionnaires de ces serveurs, qui deviennent ainsi particulièrement exposés aux attaques externes, doivent s'engager à tenir compte des différents conseils et mises-à-jour décrits dans les pages sécurité du SIC (slwww.epfl.ch/securite.html).

SSH, Secure SHell

Pour répondre aux besoins de personnes en déplacement hors EPFL et qui ont besoin d'atteindre une machine non ouverte, le solution consiste à utiliser SSH, ou Secure SHell. Le port correspondant aux connexions Secure Shell (port 22) reste en effet ouvert pour toutes les machines de l'EPFL (ainsi d'ailleurs que les ports 80 et 443, ports standards des serveurs Web: protocoles http et https). SSH permet d'ouvrir en toute sécurité, puisque la connexion est encryptée, une session interactive à distance sur le serveur et de transférer des fichiers.

Les logiciels clients SSH existent sur toutes les plates-formes, mais les logiciels serveurs n'existent actuellement que sur les machines Unix. Entre 2 machines Unix, le fait d'établir une connexion entre client et serveur ssh suffit à positionner la variable d'environnement DISPLAY sur le serveur afin que le protocole X emprunte le canal établi (avec Mindterm, il ne faut pas oublier de cocher la bonne case pour réclamer ce grand service).

Et si vous cherchez à atteindre un service sur une machine qui n'est pas visible de l'extérieur et non équipée d'un serveur SSH? Le tunnel SSH répond à votre problème.

Tunnel SSH

Le canal établi par une session SSH entre le client et le serveur peut vous servir à construire des tunnels entre port local et port convoité sur un serveur inatteignable (voir la figure). Votre machine_cliente va devenir le serveur unique pour tous les services que vous voudrez atteindre de la sorte: il faudra donc entrer localhost comme serveur à contacter dans votre application pour atteindre le serveur qui n'était qu'apparement inatteignable (en quelque sorte tout ce qui est remote est considéré comme local).

Exemples d'utilisation du tunnel SSH:

En pratique

En résumé, si vous voulez atteindre une machine de l'EPFL protégée (donc invisible depuis l'extérieur): il vous faut trouver une machine UNIX avec le logiciel serveur SSH installé et sur laquelle vous avez un compte: c'est en général un serveur UNIX de votre institut (s'il n'en existe pas dans votre institut ou unité: vous pouvez utiliser la machine tremplin du SIC, serveur SSH ouverte à tous les collaborateurs et étudiants de l'EPFL; voir tremplin.epfl.ch). Sur la machine cliente (PC, Mac, station, hors EPFL), il vous faut

La description des clients SSH, et en particulier de Mindterm est accessible sur la page: ditwww.epfl.ch/SIC/diode/clientsSSH.html.

Si vous travaillez en nomade, depuis un cybercafé ou sur un poste utilisé très temporairement, nous vous conseillons l'utilisation de Mindterm sous forme d'applet à partir de n'importe quel browser (attention avec Netscape à la partie signature de l'applet; voir la page tremplin.epfl.ch/mindterm ).

tremplin.epfl.ch

Pour contourner le fait que toutes les unités ne disposent pas d'un serveur SSH Unix, le SIC a installé un serveur SSH sur la machine tremplin. Tout collaborateur ou étudiant de l'EPFL peut y avoir un compte (le username est égal au numéro d'identification SCIPER: numéro à 6 chiffres, unique, qui apparaît dans l'annuaire CSO et sous le code barre de la carte CAMIPRO). La définition du mot de passe associé à ce username se fait par le portail gaspar
(https://gaspar.epfl.ch ), sur lequel vous vous êtes peut-être déjà validé pour utiliser les services de DISTRILOG ou changer votre configuration e-mail.

Un problème?

Consultez la FAQ (Foire Aux Questions) sur le projet DIODE: ditwww.epfl.ch/SIC/diode/FAQ , fréquemment mise à jour ou si vous n'avez pas trouvé de réponse à votre problème, contactez: diode@epfl.ch

Les URL à retenir:


retour au sommaire du Flash informatique du mois de juillet 2000
retour à la page principale des Flash informatique
Vos commentaires
© FI-6-00 du 18 juillet 2000