{"id":742,"date":"2012-01-22T22:47:56","date_gmt":"2012-01-22T21:47:56","guid":{"rendered":"https:\/\/www.digdeo.fr\/?p=742"},"modified":"2022-03-16T12:08:53","modified_gmt":"2022-03-16T11:08:53","slug":"sslh-combiner-https-ssh-openvpn-tinc-xmpp-port-443","status":"publish","type":"post","link":"https:\/\/www.digdeo.fr\/articles\/sys-admin\/sslh-combiner-https-ssh-openvpn-tinc-xmpp-port-443","title":{"rendered":"SSLH combiner HTTPS \/ SSH \/ OpenVPN \/ Tinc \/ XMPP en un port 443"},"content":{"rendered":"\n

L’outil SSLH est fort pratique car il permet de combiner sur un m\u00eame port deux services tels que SSH et HTTP\/SSL.<\/p>\n\n\n\n\n\n\n\n

Le probl\u00e8me des firewalls filtrants<\/h2>\n\n\n\n

Le constat est simple, beaucoup d’entreprises filtrent leurs acc\u00e8s internet et laissent passer la consultation HTTPS port 443 mais que tr\u00e8s rarement le port 22 SSH. Si l’on souhaite se connecter \u00e0 des machines en SSH \u00e0 l’ext\u00e9rieur d’un r\u00e9seau filtr\u00e9, on peut vouloir utiliser un VPNSSL port 443 ou un acc\u00e8s SSH port 22. SSLH va permettre de combiner ces deux acc\u00e8s sur un m\u00eame port r\u00e9seau. Il va agir comme un reverse proxy et sans d\u00e9crypter le flux va \u00eatre capable d’identifier si il s’agit de flux HTTPS ou SSH.<\/p>\n\n\n\n

Sp\u00e9cificit\u00e9 des clients bas\u00e9s sur SSL<\/h2>\n\n\n\n

Pour cela il va se baser sur la diff\u00e9rence entre les deux protocoles, lorsqu’un client web se connecte \u00e0 un serveur web il va demander que le serveur lui livre la page, le client parle donc en premier. Lorsqu’un client SSH se connecte \u00e0 un serveur SSH, le client va attendre que le serveur se pr\u00e9sente avant d’envoyer des informations.<\/p>\n\n\n\n

SSLH va donc attendre pendant un temps param\u00e9trable et agir simplement de la sorte :
– si le client communique il est mis en relation avec le serveur HTTPS
– si le client ne communique pas il est mis en relation avec le serveur SSH<\/p>\n\n\n\n

Ces deux protocoles g\u00e9r\u00e9s sont d\u00e9j\u00e0 un beau pied de nez \u00e0 tout RSSI qui laisse passer un flux HTTPS et qui pense que l’on fait uniquement du surf web avec. Mais si l’on souhaite mettre d’autres services que l’acc\u00e8s distant \u00e0 des terminaux ou \u00e0 un site web SSL, les derni\u00e8res versions de SSLH permettent la prise en charge des logiciels OpenVPN, Tinc et XMPP.<\/p>\n\n\n\n

En effet ces flux utilisent SSL et ont aussi leurs particularit\u00e9s :
– le client OpenVPN envoie la s\u00e9quence 0x00, 0x0D et 0x38
– le client Tinc commence par un \u00ab\u00a00\u00a0\u00bb
– le client XMPP commence par un paquet qui contient la chaine \u00ab\u00a0jabber\u00a0\u00bb<\/p>\n\n\n\n

C’est donc pas moins de 5 protocoles (HTTPS, SSH, OpenVPN, Tinc, XMPP) diff\u00e9rents qui pourront \u00eatre combin\u00e9s sur un seul et m\u00eame port r\u00e9seau tel un reverse proxy.<\/p>\n\n\n\n