Les tunnels SSH, vous connaissez? En fait probablement, vu la geekitude de mon lectorat. Seulement, j’ai récemment découvert (après discussion avec mon expert de sécurité/paranoïa en chef) qu’un tunnel SSH est aussi sécuritaire qu’une connexion VPN pour éviter d’être sous écoute quand on est sur une connexion sans-fil publique.
La différence est qu’une connexion SSH semble infiniment plus robuste que VPN PPTP et que c’est beaucoup plus simple à mettre en place (c’est tout ce que j’ai, parce que ecchi.ca n’a toujours pas de serveur VPN et j’ai échoué lamentablement à tenter de mettre en place openVPN).
Il suffit de deux étapes. D’abord, un lanceur de terminal que je place sur mon panneau avec une jolie icône et la commande suivante:
ssh -v -N -D 8000 ecchi.ca
Ensuite, modifier préférences de proxy (serveur mandataire) de GNOME comme suit:
capture-preferences-de-serveur-mandataire
Ainsi, toutes les applications qui supportent les paramètres proxy de GNOME passeront à travers le tunnel SSH (qui agit comme un proxy Socks sur le port 8000 sur la machine locale).
À savoir que certaines applications ne supportent pas correctement ce proxy, notamment Evolution (un bug dans les versions <2.26), Specto (un autre bug) et Liferea (allez savoir), à mon grand désarroi. Pidgin et Epiphany fonctionnent sans problèmes, et on voit des “channels” s’ouvrir et se fermer dans le terminal où le tunnel ssh a été lancé (c’est pour cette raison que j’ai utilisé l’option “-v”).
Un grand intérêt de cette méthode est que, de manière générale, SSH semble tolérer ridiculement bien les connexions instables: je l’a déjà vu plusieurs fois se reconnecter tout seul sans problèmes après une perte de connexion. Dans de tels cas, on peut parfois observer des messages tels que “channel 4: open failed: connect failed: Connection timed out”. Doit-on s’en inquiéter? Selon Jeffrey, si la connexion continue de fonctionner, alors il n’y a pas d’inquiétude; SSH fait simplement son travail et se comporte intelligemment.

jeff: should I be worried at all? or is it just ssh telling me “look, I’m smart, your connection is crap but I am handling it anyway!”
Jeffrey: Does your connection stay up? If the answer is yes then the answer is yes to your question also. SSH is really smart. I like to vpn into work, ssh into a box, kill the vpn connection. The ssh hangs. After vpning in again, the ssh connection goes back to where it left off. That is magical.

Jeff

Comments

One response to “SSH vs VPN”

  1. J’utilise ça depuis des années. À vrai dire, c’est du fait que j’utilise ça que j’me suis jamais vraiment intéressé aux VPN : ça marche et ça me suffit. Il manque définitivement une option -D à PuTTy sous Windows…
    (ton lien sur “expert de sécurité/paranoïa” est pas bon, t’as oublié http://)