Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

Renforcer le cryptage de SSH


SSH : Un protocole crypté. Oui, mais...


J'imagine que vous savez déjà ce qu'est SSH : Un protocole de communication crypté qui permet, entre autres, d'administrer un ordinateur à distance.

Mais comme tous les autres protocoles cryptés, la robustesse du cryptage SSH dépend directement de l'algorithme de chiffrement utilisé pour crypter les informations. Et c'est là que ça devient intéressant.

Les propriétaires de sites web ont bien compris qu'à notre époque il ne fallait plus compter sur SSLv2 et SSLv3 pour crypter les communications HTTPS. Techniquement, SSLv2 et SSLv3 fonctionnent toujours, mais c'est juste que ces protocoles sont "facilement" décryptables si on en a les moyens. Par exemple si on est dans le domaine du contre espionnage au niveau national. Donc ces protocoles sont abandonnés au profit, de TLS 1.2 et 1.3 par exemple.
Du coup, le propriétaire de site web est fier de proposer du HTTPS avec un cryptage fort à ces internautes ! Yeah ! Et ce même propriétaire administre son site web en SSH.... avec un cryptage faible. Bravo.

Bref, on va tout de suite passer au concret avec des exemples pour Debian. A vous d'adapter ces exemples si vous utilisez un autre système d'exploitation.

Cryptage SSH fort pour Debian 8 (openssh 6.7)


Il suffit d'ajouter les lignes suivantes dans le fichier de configuration de SSH (/etc/ssh/sshd_config) :

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
KexAlgorithms curve25519-sha256@libssh.org
MACs umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com

...et bien sûr relancer SSH : /etc/init.d/ssh reload

Cryptage SSH fort pour Debian 9 (openssh 7.4)


Il suffit d'ajouter les lignes suivantes dans le fichier de configuration de SSH (/etc/ssh/sshd_config) :

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
HostKeyAlgorithms ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-rsa,ssh-dss
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com

...et bien sûr relancer SSH : /etc/init.d/ssh reload

C'est fini ?


Oui. Ça fonctionne avec PuTTY, WinSCP, et Filezilla sous Windows et bien sûr avec la commande ssh de votre Linux préféré.
Attention néanmoins, si vous faites cela avec un Linux déjà en production, les clés de chiffrement seront regénérées à la prochaine connexion, il faudra alors accepter les nouvelles clés. Cela peut impacter vos sauvegardes scp/rsnapshot par exemple.
Edit du 18/12/2018 : Le plugin NppFTP pour Notepad++ ne supporte pas le cryptage fort conseillé dans cet article.


Arnaud Jacques, décembre 2018

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
Facebook SecuriteInfo.com
Twitter de SecuriteInfo.com
Github de SecuriteInfo.com
Calculs scientifiques distribués contre les maladies, équipe SecuriteInfo.com
Profil Virustotal de SecuriteInfo.com
© 2004-2018 - Tous droits réservés - SecuriteInfo.com