Hub de Connaissances DevOps
Hub de Connaissances DevOps

Tunneling SSH expliqué : Accédez en toute sécurité aux services distants

Libérez la puissance du tunneling SSH pour un accès à distance sécurisé. Ce guide explique comment créer des tunnels cryptés à l'aide du transfert de ports SSH pour accéder en toute sécurité aux bases de données, aux serveurs Web et à d'autres services réseau. Apprenez des techniques pratiques pour le transfert local, distant et dynamique avec des exemples clairs, améliorant ainsi la sécurité et la connectivité de votre réseau.

44 vues

Explication du Tunneling SSH : Accéder en toute sécurité aux services distants

Secure Shell (SSH) est un protocole puissant qui permet un accès distant sécurisé aux systèmes. Bien que souvent utilisé pour un accès direct en ligne de commande, ses capacités s'étendent bien au-delà. L'une des fonctionnalités les plus précieuses, mais parfois négligées, de SSH est sa capacité à créer des tunnels sécurisés. Le tunneling SSH, également connu sous le nom de redirection de port SSH, vous permet de transférer en toute sécurité le trafic réseau d'une machine à une autre via une connexion SSH chiffrée. C'est incroyablement utile pour accéder à des services qui ne sont pas directement exposés à Internet, ou pour ajouter une couche de sécurité supplémentaire à des protocoles autrement non chiffrés.

Cet article vous guidera à travers les complexités du tunneling SSH, en expliquant ses différentes formes et en fournissant des exemples pratiques sur la façon de l'exploiter pour accéder en toute sécurité à des bases de données, des serveurs web et d'autres services réseau à partir d'emplacements distants. En comprenant et en mettant en œuvre le tunneling SSH, vous pouvez améliorer considérablement la sécurité de votre réseau et la flexibilité de votre accès.

Qu'est-ce que le Tunneling SSH ?

À la base, le tunneling SSH est une méthode d'encapsulation du trafic réseau d'une application ou d'un service au sein d'une connexion SSH. Au lieu de vous connecter directement à un service distant, vous établissez une connexion SSH à un serveur intermédiaire. Cette connexion SSH agit alors comme un conduit sécurisé, transférant le trafic entre votre machine locale et le service cible, qui peut fonctionner sur le serveur distant ou sur une autre machine accessible depuis celui-ci.

Le principal avantage du tunneling SSH est la sécurité. L'ensemble du tunnel est chiffré par le protocole SSH, protégeant vos données contre l'écoute clandestine et les attaques de l'homme du milieu, même si le service sous-jacent tunnelisé n'utilise pas lui-même le chiffrement (comme le HTTP simple ou le VNC).

Types de Tunnels SSH

SSH propose trois types principaux de redirection de port, chacun servant un objectif différent :

1. Redirection de Port Local (-L)

La redirection de port local est le type le plus courant. Elle vous permet de transférer le trafic d'un port de votre machine locale vers un port d'une machine distante (ou une machine accessible depuis le serveur SSH distant). C'est idéal pour accéder à des services fonctionnant sur le réseau interne d'un serveur distant ou sur le serveur lui-même, qui ne sont pas directement accessibles depuis votre réseau local.

Comment ça marche :
1. Vous spécifiez un port local sur votre machine.
2. Vous spécifiez l'hôte de destination et le port auxquels le serveur SSH distant doit se connecter.
3. Lorsque vous vous connectez au port local, SSH transfère ce trafic via le tunnel chiffré vers l'hôte et le port de destination.

Cas d'utilisation : Accéder à un serveur de base de données (par exemple, MySQL sur le port 3306) qui n'est accessible que depuis le serveur SSH, et non directement depuis votre machine locale.

Syntaxe de la commande :

ssh -L [LOCAL_PORT]:[DESTINATION_HOST]:[DESTINATION_PORT] [SSH_USER]@[SSH_SERVER]

Exemple :

Supposons que vous ayez une base de données MySQL fonctionnant sur db.internal.example.com (port 3306) et que vous ne puissiez vous connecter via SSH qu'à bastion.example.com. Pour accéder à la base de données depuis votre machine locale sur le port 8888 :

ssh -L 8888:db.internal.example.com:3306 [email protected]

Après avoir exécuté cette commande, vous pouvez ouvrir votre client MySQL local et vous connecter à localhost:8888. Le trafic sera tunnelisé en toute sécurité via bastion.example.com vers db.internal.example.com:3306.

Astuce : Vous pouvez utiliser -N pour empêcher l'exécution d'une commande distante et -f pour envoyer SSH en arrière-plan. Combiné, ssh -Nf -L ... est souvent utilisé pour des tunnels persistants.

2. Redirection de Port Distant (-R)

La redirection de port distant fait l'inverse de la redirection locale. Elle vous permet de transférer le trafic d'un port sur le serveur SSH distant vers un port sur votre machine locale ou une machine accessible depuis votre machine locale. C'est utile pour exposer un service fonctionnant sur votre machine locale (ou une machine de votre réseau local) au serveur distant ou à son réseau.

Comment ça marche :
1. Vous spécifiez un port sur le serveur SSH distant.
2. Vous spécifiez l'hôte de destination et le port auxquels votre client SSH local doit se connecter.
3. Lorsque quelqu'un se connecte au port spécifié sur le serveur SSH distant, SSH transfère ce trafic via le tunnel chiffré vers votre machine locale, puis vers l'hôte et le port de destination.

Cas d'utilisation : Permettre à un collègue distant d'accéder à un serveur de développement web fonctionnant sur votre machine locale (par exemple, une application Flask sur le port 5000) sans exposer directement votre machine locale à Internet.

Syntaxe de la commande :

ssh -R [REMOTE_PORT]:[DESTINATION_HOST]:[DESTINATION_PORT] [SSH_USER]@[SSH_SERVER]

Exemple :

Supposons que vous exécutiez une application web sur votre machine locale à localhost:5000. Vous souhaitez permettre à un utilisateur sur remote.example.com d'y accéder en se connectant au port 9000 sur remote.example.com.

ssh -R 9000:localhost:5000 [email protected]

Désormais, toute personne pouvant accéder à remote.example.com peut se connecter à remote.example.com:9000, et son trafic sera transféré vers votre localhost:5000.

Avertissement : Soyez prudent lorsque vous utilisez la redirection de port distant, car elle peut exposer des services de votre réseau local au réseau distant. Assurez-vous que le serveur distant est digne de confiance et que vous comprenez les implications de sécurité.

3. Redirection de Port Dynamique (-D)

La redirection de port dynamique crée un proxy SOCKS sur votre machine locale. Au lieu de transférer le trafic vers une destination spécifique, elle permet aux applications configurées pour utiliser ce proxy SOCKS de se connecter à n'importe quel hôte et port accessibles depuis le serveur SSH. Cela transforme efficacement votre connexion SSH en un serveur proxy polyvalent.

Comment ça marche :
1. Vous spécifiez un port local qui agira comme l'écouteur du proxy SOCKS.
2. Lorsqu'une application se connecte à ce proxy SOCKS local, SSH transfère le trafic au serveur SSH.
3. Le serveur SSH établit ensuite la connexion réelle vers la destination demandée au nom de votre application.

Cas d'utilisation : Naviguer sur le web en toute sécurité depuis un réseau Wi-Fi public en acheminant tout votre trafic de navigateur via un serveur SSH chez vous ou au bureau. Cela chiffre votre activité de navigation.

Syntaxe de la commande :

ssh -D [LOCAL_PORT] [SSH_USER]@[SSH_SERVER]

Exemple :

Pour créer un proxy SOCKS sur votre machine locale écoutant sur le port 1080 :

ssh -D 1080 [email protected]

Après avoir exécuté cette commande, configurez votre navigateur web ou d'autres applications pour utiliser un proxy SOCKS à localhost:1080. Tout le trafic provenant de ces applications sera acheminé via any.ssh.server.com.

Applications Pratiques et Avantages

Le tunneling SSH offre un large éventail d'applications pratiques :

  • Accès Sécurisé aux Bases de Données : Accéder à des bases de données (comme PostgreSQL, MySQL ou MongoDB) qui ne sont accessibles que depuis un serveur spécifique dans un réseau privé, sans exposer directement le port de la base de données à Internet.
  • Accès aux Services Web Internes : Se connecter à des applications web internes, des interfaces administratives ou des tableaux de bord de surveillance qui ne sont pas exposés publiquement.
  • Sécurisation des Protocoles Non Chiffrés : Envelopper des protocoles non sécurisés comme VNC, FTP ou le HTTP simple dans un tunnel SSH chiffré, offrant confidentialité et intégrité.
  • Contournement des Pare-feu : Accéder à des services qui pourraient être bloqués par un pare-feu sur votre réseau actuel en tunnelisant via un serveur qui a accès à ces services.
  • Développement Distant Sécurisé : Fournir un accès sécurisé aux environnements de développement ou aux outils fonctionnant sur des serveurs distants.

Conclusion

Le tunneling SSH est une technique puissante et flexible qui améliore considérablement la sécurité et l'accessibilité des services réseau distants. Que vous ayez besoin d'accéder à une base de données sensible, d'exposer un serveur de développement local ou simplement de sécuriser votre navigation web, la redirection de port SSH offre une solution robuste et chiffrée. En maîtrisant la redirection de port locale, distante et dynamique, vous pouvez exploiter SSH pour créer des voies sécurisées pour une multitude de besoins en communication réseau, en faisant un outil indispensable pour les administrateurs système, les développeurs et les utilisateurs soucieux de la sécurité.