Commentaires sur : X11 Forwarding en SSH via Putty http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/ Sur la root du Rhum ! Sun, 21 Mar 2010 15:52:11 +0100 http://wordpress.org/?v=2.9.2 hourly 1 Par : kruggs http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-292 kruggs Fri, 13 Mar 2009 17:01:23 +0000 http://blog.sckyzo.com/?p=371#comment-292 Je ne connaissais pas non plus, mais sa marchera pas pour moi, sous cygwin pense pas que je puisse installer firefox lol mais l'autre technique des foward port normal , ba moi j'ai un hic Sous windows 2008 serveur 64bits, il tourne pas le sshd:( j'ai réussi a le lancer que sous cywgin, donc si quelqu'un serait m'aider :) Je ne connaissais pas non plus, mais sa marchera pas pour moi, sous cygwin pense pas que je puisse installer firefox lol
mais l’autre technique des foward port normal , ba moi j’ai un hic
Sous windows 2008 serveur 64bits, il tourne pas le sshd:(
j’ai réussi a le lancer que sous cywgin, donc si quelqu’un serait m’aider :)

]]> Par : SckyzO http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-291 SckyzO Thu, 26 Feb 2009 16:56:23 +0000 http://blog.sckyzo.com/?p=371#comment-291 Bon je vois que le sujet a bien fonctionné, en tout cas merci pour les astuces. Je pense que je referai un résumé de tout ça. En tout cas oui feilong ... le X11 forwarding c'est bien lourd :S Bon je vois que le sujet a bien fonctionné, en tout cas merci pour les astuces.
Je pense que je referai un résumé de tout ça. En tout cas oui feilong … le X11 forwarding c’est bien lourd :S

]]> Par : feilong http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-290 feilong Tue, 24 Feb 2009 08:05:27 +0000 http://blog.sckyzo.com/?p=371#comment-290 Sympa. c'est un sujet que je connais bien depuis très longtemps dans ma boite qui filtre tout et n'importe quoi. Par contre je n'avais jamais utilisé cette méthode de X forwarding. A mon avis niveau performance c'est pas terrible non ? surtout si on a une bande passante limitée comme c'est souvent le cas en entreprise... J'utilise depuis 5 ans le dynamic port forwarding et proxy socks comme le décrit michauko plus haut. Pour ceux qui aiment la ligne de commande, j'ai fait un sujet sur mon blog il y a pas longtemps sur sur la commande apt par proxy socks avec tsocks qui s'adapte à n'importe quelle application (même graphique) sous linux : http://feilongwork.free.fr/index.php/2008/12/31/apt-ou-autre-par-proxy-socks-5 Pour windows, il y a certaine application qui ne gère pas la paramétrage d'un proxy socks. Pour se faire, l'equivalent de tsocks sous windows est Freecap qui est lui en mode graphique (pour vous donner une idée cela fonctionne avec outlook) : http://www.freecap.ru/eng/?p=whatis Pour ceux qui avec toutes les informations de michauko n'arrivent toujours pas à passer, il faut voir du coté de httptunnel et encapsuler une connexion ssh qui elle même ouvrira un nouveau tunnel... c'est très lourd mais ça marche toujours... Et la documentation de ubuntu-fr.org n'est pas toujours faite pour les débutants : http://doc.ubuntu-fr.org/httptunnel Sympa. c’est un sujet que je connais bien depuis très longtemps dans ma boite qui filtre tout et n’importe quoi. Par contre je n’avais jamais utilisé cette méthode de X forwarding. A mon avis niveau performance c’est pas terrible non ? surtout si on a une bande passante limitée comme c’est souvent le cas en entreprise…
J’utilise depuis 5 ans le dynamic port forwarding et proxy socks comme le décrit michauko plus haut. Pour ceux qui aiment la ligne de commande, j’ai fait un sujet sur mon blog il y a pas longtemps sur sur la commande apt par proxy socks avec tsocks qui s’adapte à n’importe quelle application (même graphique) sous linux :

http://feilongwork.free.fr/index.php/2008/12/31/apt-ou-autre-par-proxy-socks-5

Pour windows, il y a certaine application qui ne gère pas la paramétrage d’un proxy socks. Pour se faire, l’equivalent de tsocks sous windows est Freecap qui est lui en mode graphique (pour vous donner une idée cela fonctionne avec outlook) :

http://www.freecap.ru/eng/?p=whatis

Pour ceux qui avec toutes les informations de michauko n’arrivent toujours pas à passer, il faut voir du coté de httptunnel et encapsuler une connexion ssh qui elle même ouvrira un nouveau tunnel… c’est très lourd mais ça marche toujours…
Et la documentation de ubuntu-fr.org n’est pas toujours faite pour les débutants :

http://doc.ubuntu-fr.org/httptunnel

]]> Par : michauko http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-289 michauko Mon, 23 Feb 2009 09:05:55 +0000 http://blog.sckyzo.com/?p=371#comment-289 hop, c'est fait hop, c’est fait

]]> Par : Le blog de Michauko » Tunnels TCP via SSH, putty etc http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-288 Le blog de Michauko » Tunnels TCP via SSH, putty etc Mon, 23 Feb 2009 08:04:30 +0000 http://blog.sckyzo.com/?p=371#comment-288 [...] [...] [...] [...]

]]> Par : michauko http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-287 michauko Wed, 18 Feb 2009 11:44:00 +0000 http://blog.sckyzo.com/?p=371#comment-287 Hop, je suis en train de "porter" l'article sur mon blog. RDV sur planet-libre Hop, je suis en train de « porter » l’article sur mon blog. RDV sur planet-libre

]]> Par : Laurent http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-286 Laurent Mon, 16 Feb 2009 16:14:26 +0000 http://blog.sckyzo.com/?p=371#comment-286 @SckyzO Je suis pas plus calé que ça, juste un peu endoctriné par certains architectes et autres officiers de sécurité. Mais comme ils ont eu la gentillesse d'expliquer, j'ai à peu près compris et du coup je m'en souviens. Et puis j'aime bien le sujet aussi. @michauko Soit on a un  proxy buggé, soit ils sont très forts alors. :-) @SckyzO
Je suis pas plus calé que ça, juste un peu endoctriné par certains architectes et autres officiers de sécurité. Mais comme ils ont eu la gentillesse d’expliquer, j’ai à peu près compris et du coup je m’en souviens. Et puis j’aime bien le sujet aussi.

@michauko
Soit on a un  proxy buggé, soit ils sont très forts alors. :-)

]]> Par : michauko http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-285 michauko Mon, 16 Feb 2009 15:39:50 +0000 http://blog.sckyzo.com/?p=371#comment-285 @cougar : VNC pique la souris lorsqu'on parle de PC distant windows... en linux, VNC ouvre un 2è serveur X (sauf si on veut vraiment prendre la main sur "l'écran principal") @dquarter : le son ? aucune chance avec tout ça. C'est du déport d'affichage, tunneling de ports TCP. Rien pour rediriger un device audio (et bonne chance côté performances...) @Laurent : c'est très vrai dans le cas de déport "à l'envers" : -R au lieu de -L : tu peux externaliser un intranet ou n'importe quel système interne ; et ça peut vraiment être dangereux... Il faut bloquer SSH en sortie, c'est clair. Ne l'ouvrir que lorsqu'il y a besoin et c'est rare (besoin d'admin entre site) et ça devrait limiter entre 2 IP. Mais même si tu bloques, pour bloquer un SSH dérouté sur du port 443 (pour peu que https soit toléré, ce qui est plus que probable), il faut analyser le contenu des trames (par exemple voir la réponse contenant "OpenSSH" sur du 443 et dire "ça craint"). Très couteux. Jeu de chat et souris de tte manière... Enfin, préférer un VPN coûte que coûte n'est pas utile. Ce sont les mêmes procédés de cryptage, ça ne change rien. S'il s'agit d'admin ligne de commande, SSH suffit. S'il faut aller sur des intranets etc, moui, vpn facilitera, c'est tout. C'est plus accessible. Sur une 20 aine de boite lorsque j'étais presta + un grand groupe et maintenant une PME, pas une n'a su bloquer le tunneling. Enfin si, une, elle utilisait un proxy créé par MS il y a super longtemps et le dialogue était buggé => ça plantait... @sckyzo : pour l'instant, je n'ai pas eu le temps de refaire mon vieil article en pur html-qui-craint ; je vais y penser... sinon vas-y, envoi un vague crédit vesr mon blog ou ladite doc. Ce qu'il faudrait, c'est étoffer la partie tunneling UDP. Mais à part un VPN, je vois pas trop ; sans parler de hamachi et ce genre de trucs @cougar :
VNC pique la souris lorsqu’on parle de PC distant windows… en linux, VNC ouvre un 2è serveur X (sauf si on veut vraiment prendre la main sur « l’écran principal »)

@dquarter :
le son ? aucune chance avec tout ça. C’est du déport d’affichage, tunneling de ports TCP. Rien pour rediriger un device audio (et bonne chance côté performances…)

@Laurent :
c’est très vrai dans le cas de déport « à l’envers » : -R au lieu de -L : tu peux externaliser un intranet ou n’importe quel système interne ; et ça peut vraiment être dangereux…
Il faut bloquer SSH en sortie, c’est clair. Ne l’ouvrir que lorsqu’il y a besoin et c’est rare (besoin d’admin entre site) et ça devrait limiter entre 2 IP.
Mais même si tu bloques, pour bloquer un SSH dérouté sur du port 443 (pour peu que https soit toléré, ce qui est plus que probable), il faut analyser le contenu des trames (par exemple voir la réponse contenant « OpenSSH » sur du 443 et dire « ça craint »). Très couteux. Jeu de chat et souris de tte manière… Enfin, préférer un VPN coûte que coûte n’est pas utile. Ce sont les mêmes procédés de cryptage, ça ne change rien. S’il s’agit d’admin ligne de commande, SSH suffit. S’il faut aller sur des intranets etc, moui, vpn facilitera, c’est tout. C’est plus accessible.
Sur une 20 aine de boite lorsque j’étais presta + un grand groupe et maintenant une PME, pas une n’a su bloquer le tunneling. Enfin si, une, elle utilisait un proxy créé par MS il y a super longtemps et le dialogue était buggé => ça plantait…

@sckyzo :
pour l’instant, je n’ai pas eu le temps de refaire mon vieil article en pur html-qui-craint ; je vais y penser… sinon vas-y, envoi un vague crédit vesr mon blog ou ladite doc. Ce qu’il faudrait, c’est étoffer la partie tunneling UDP. Mais à part un VPN, je vois pas trop ; sans parler de hamachi et ce genre de trucs

]]> Par : SckyzO http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-284 SckyzO Mon, 16 Feb 2009 11:29:44 +0000 http://blog.sckyzo.com/?p=371#comment-284 <strong>@Laurent: </strong> Pour certains serveurs nous avons effectivement utilisé chroot pour limiter les commandes des utilisateurs. Ensuite, si il y à tout de même pas mal de sécurité ici. Ensuite, pour ce qui est de l'ouverture du ssh, je vais te dire, j'ai été le premier étonné que cela passe ...... Il n'existe pas encore d'accès VPN ici. Peut être un jour appliqueront-il la politique. C'est clair, tu as raison, niveau sécurité c'est pas vraiment le mieux. Ils se cachent surtout derrières certaines apparences de sécurité pour se croire en sécurité ... Ou alors le port 22 est utilisé pour autre chose que je ne sais pas :-/ Tu as l'air bien calé en sécu dis moi :) @Laurent:

Pour certains serveurs nous avons effectivement utilisé chroot pour limiter les commandes des utilisateurs. Ensuite, si il y à tout de même pas mal de sécurité ici. Ensuite, pour ce qui est de l’ouverture du ssh, je vais te dire, j’ai été le premier étonné que cela passe ……
Il n’existe pas encore d’accès VPN ici. Peut être un jour appliqueront-il la politique.
C’est clair, tu as raison, niveau sécurité c’est pas vraiment le mieux. Ils se cachent surtout derrières certaines apparences de sécurité pour se croire en sécurité …
Ou alors le port 22 est utilisé pour autre chose que je ne sais pas :-/
Tu as l’air bien calé en sécu dis moi :)

]]> Par : Laurent http://blog.sckyzo.com/2009/02/13/x11-forwarding-en-ssh-via-putty-windows/comment-page-1/#comment-274 Laurent Mon, 16 Feb 2009 10:58:49 +0000 http://blog.sckyzo.com/?p=371#comment-274 Je n'ai rien contre le ssh bien au contraire, je dis juste que dans un environnement pro, ce n'est pas une sécurité suffisante. Cela permet une encryption du traffic, mais après cela ne passe pas lorsque l'on fait un audit sécu digne de ce nom. Pour ce qui est des geeks, je ne vois pas en quoi le fait de laisser passer le ssh apporte quoi que ce soit, à part donner une certaine satisfaction personnelle "regarde je me connecte chez moi là et je te montre le dernier proto que je réalise en sous marin...3. Pour les astreinte le WE,  un bon serveur de VPN openVPN par exemple) me semble un peu plus à même de faire ce travail. Tes accès ssh, ils sont dans une jail ? En tout cas c'est ce que j'ai pu apprendre dans ma boite après avoir tenté de negocié avec le Mr sécurité un accès ssh vers une infrastructure connectée à Internet (protégé selon de stricts critères pourtant). Bien sûr, je parle ici d'une très grande structure avec de gros moyens, mais il me semble que pour participer à la sécurisation d'internet, il faudrait que ces règles soient le plus appliquées possible, et ce même dans les plus petites structures. Il me semble qu'un "geek" digne de ce nom devrait accepter plus facilement les règles drastiques de sécurité que le quidam de base car  au moins il est à même de comprendre pourquoi il y a ces règles. Laurent Je n’ai rien contre le ssh bien au contraire, je dis juste que dans un environnement pro, ce n’est pas une sécurité suffisante. Cela permet une encryption du traffic, mais après cela ne passe pas lorsque l’on fait un audit sécu digne de ce nom.
Pour ce qui est des geeks, je ne vois pas en quoi le fait de laisser passer le ssh apporte quoi que ce soit, à part donner une certaine satisfaction personnelle « regarde je me connecte chez moi là et je te montre le dernier proto que je réalise en sous marin…3. Pour les astreinte le WE,  un bon serveur de VPN openVPN par exemple) me semble un peu plus à même de faire ce travail.
Tes accès ssh, ils sont dans une jail ?
En tout cas c’est ce que j’ai pu apprendre dans ma boite après avoir tenté de negocié avec le Mr sécurité un accès ssh vers une infrastructure connectée à Internet (protégé selon de stricts critères pourtant).
Bien sûr, je parle ici d’une très grande structure avec de gros moyens, mais il me semble que pour participer à la sécurisation d’internet, il faudrait que ces règles soient le plus appliquées possible, et ce même dans les plus petites structures. Il me semble qu’un « geek » digne de ce nom devrait accepter plus facilement les règles drastiques de sécurité que le quidam de base car  au moins il est à même de comprendre pourquoi il y a ces règles.

Laurent

]]>