Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Tunnel ssh et putty

14 réponses
Avatar
Tr
Bonjour à tous,

sur un poste windows il y a putty
sur un poste linux il y a openssh
le linux écoute sur un port, et lorsque putty va se connecter openssh
répond etc.

j'ai regardé un peu le début du dialogue entre les deux, dans les
trames, et il y a une partie non cryptée:

à la source:
CONNECT www.lesite.fr:22 http/1.1 HOST: www.lesite.fr:22
Proxy-Authorization: Basic

puis

SSH-2.0-PuTTY_Release_0.60

puis une liste de protocoles de cryprage il me semble...

côté serveur cible:
HTTP/1.1 200 Connection established
SSH-2.0-OpenSSH_5 etc
échange de protocoles


existe-t-il des moyens pour que ces trames soient cryptées elles aussi
ou qu'on n'ait pas moyen de les tracer, ou de les faire disparaitre etc
toutes pistes bienvenues

merci beaucoup!

--
Pas d'bras, pas d'chocolat! (tronqué)
tranquille.xav@gmail.com

10 réponses

1 2
Avatar
Nicolas George
, dans le message , a
écrit :
sur un poste windows il y a putty
sur un poste linux il y a openssh
le linux écoute sur un port, et lorsque putty va se connecter openssh
répond etc.



Manifestement, ce n'est pas tout.

à la source:
CONNECT www.lesite.fr:22 http/1.1 HOST: www.lesite.fr:22
Proxy-Authorization: Basic



Tes programmes passent par un proxy HTTP, tu n'en as pas parlé.
Avatar
Tr
*Ecrit* *par* *Nicolas George*:
, dans le message , a
écrit :
sur un poste windows il y a putty
sur un poste linux il y a openssh
le linux écoute sur un port, et lorsque putty va se connecter
openssh répond etc.



Manifestement, ce n'est pas tout.

à la source:
CONNECT www.lesite.fr:22 http/1.1 HOST: www.lesite.fr:22
Proxy-Authorization: Basic



Tes programmes passent par un proxy HTTP, tu n'en as pas parlé.



est-ce important pour ma question?
je voudrais supprimer le dialogue (ou le masquer) en clair entre putty
et openssh...
peut-être autre chose que putty, ou un autre type de tunnel moins
bavard...

--
Respecter la liberté d'expression n'est pas seulement respecter celui
qui s'exprime mais aussi celui qui écoute. (Réflexion)

Avatar
Nicolas George
, dans le message , a
écrit :
est-ce important pour ma question?



Oui.

je voudrais supprimer le dialogue (ou le masquer) en clair entre putty
et openssh...



Le dialogue entre PuTTY et OpenSSH est entièrement chiffré. C'est le
dialogue entre PuTTY et le proxy HTTP qui ne l'est pas.
Avatar
Tr
*Ecrit* *par* *Nicolas George*:
, dans le message , a
écrit :
est-ce important pour ma question?



Oui.

je voudrais supprimer le dialogue (ou le masquer) en clair entre
putty et openssh...



Le dialogue entre PuTTY et OpenSSH est entièrement chiffré. C'est le
dialogue entre PuTTY et le proxy HTTP qui ne l'est pas.



ah oui, effectivement...
et ce dialogue où l'openssh répond ça:
SSH-2.0-OpenSSH_5.1p1 Debian-5
est-ce qu'on peut "expliquer" à openssh de se taire?

--
Moi, je suis pour que tu aies le choix. (Politique)

Avatar
Nicolas George
, dans le message , a
écrit :
est-ce qu'on peut "expliquer" à openssh de se taire?



Non, c'est l'entête du protocole.
Avatar
Tr
*Ecrit* *par* *Nicolas George*:
, dans le message , a
écrit :
est-ce qu'on peut "expliquer" à openssh de se taire?



Non, c'est l'entête du protocole.



ok, donc niveau discrétion, il faut changer de produits sans doute?
bon, loguer des millions de trames pour essayer d'en repérer une ou
deux, ça semble disproportionné, mais avec wireshark en local et
filtré, on voit direct :-)

merci des réponses en tout cas, c'était à titre de curiosité, je vais
essayer avec autres choses.

--
On est ce qu'on fait, pas ce qu'on pense ni dit. (Réflexion)

Avatar
Nicolas George
, dans le message , a
écrit :
ok, donc niveau discrétion, il faut changer de produits sans doute?



Tu n'as pas expliqué ce que tu voulais faire.

Quoi qu'il en soit, l'initialisation d'un protocole est _toujours_
reconnaissable, par définition. Que ce soit reconnaissable à l'oeil nu en
ASCII n'a pas d'importance au fond.
Avatar
Tr
*Ecrit* *par* *Nicolas George*:
, dans le message , a
écrit :
ok, donc niveau discrétion, il faut changer de produits sans doute?



Tu n'as pas expliqué ce que tu voulais faire.

Quoi qu'il en soit, l'initialisation d'un protocole est _toujours_
reconnaissable, par définition. Que ce soit reconnaissable à l'oeil
nu en ASCII n'a pas d'importance au fond.



ok, ce que je fais pour le moment est du classique trouvé sur des tutos
sur le web, depuis un lieu défini, je traverse un proxy qui limite les
accès à l'internet aux ports http et https, en utilisant la
fonctionnalité de tunnel ssh de putty, pour aller me connecter sur une
machine à l'extérieur qui écoute avec openssh.
ainsi, je peux faire du nntp par exemple.

ça fonctionne très bien, mais il reste cette partie à l'origine qui
n'est pas très discrête.

j'avais envie d'encapsuler ce tunnel dans des trames http par exemple
(en gros, désolé si mes termes ne sont pas très appropriés, je suis en
train d'apprendre) avec peut-être stunnel il me semble, ou autre
chose...

--
Le Sage cherche la vérité, l'Imbécile l'a déjà trouvée... (Bernard
Werber)

Avatar
Le Forgeron
Le 22/11/2010 13:33, nous fit lire :
et ce dialogue où l'openssh répond ça:
SSH-2.0-OpenSSH_5.1p1 Debian-5
est-ce qu'on peut "expliquer" à openssh de se taire?



Le plus court au niveau protocolaire doit être une ligne contenant:
SSH-2.0-n
Et chaque côté l'émet. (ensuite la négociation en clair des premières
options à lieu, mais c'est quasiment du binaire (bien que des portions
de texte y apparaissent))
Par contre, il est possible de faire précéder (si si!) cet entête par
n'importe quel volume de texte, du moment que le retour à la ligne
précède l'entête.

Donc se taire, non... mais ne pas s'afficher directement, ça reste possible.

Techniquement par contre, j'ai comme un doute sur la légalité de fournir
davantage d'informations.
Avatar
Tr
*Ecrit* *par* *Le Forgeron*:
Le 22/11/2010 13:33, nous fit lire :
et ce dialogue où l'openssh répond ça:
SSH-2.0-OpenSSH_5.1p1 Debian-5
est-ce qu'on peut "expliquer" à openssh de se taire?



Le plus court au niveau protocolaire doit être une ligne contenant:
SSH-2.0-n
Et chaque côté l'émet. (ensuite la négociation en clair des premières
options à lieu, mais c'est quasiment du binaire (bien que des
portions de texte y apparaissent))
Par contre, il est possible de faire précéder (si si!) cet entête par
n'importe quel volume de texte, du moment que le retour à la ligne
précède l'entête.

Donc se taire, non... mais ne pas s'afficher directement, ça reste
possible.

Techniquement par contre, j'ai comme un doute sur la légalité de
fournir davantage d'informations.



ben pourquoi, que je trouve ces infos sur ce forum ou sur une page web
quelconque quelle différence?
et puis mon mail est valide aussi...
est-ce que ça passe par une recompilation des otils par exemple?

--
Ce que tu fais, fais-le bien. (Etat d'esprit)

1 2