SSH - Configuration

Le programme de configuration de MOVEit Transfer permet de configurer le serveur SSH MOVEit Transfer. (Les utilisateurs, groupes, paramètres de dossiers, etc., sont généralement gérés via l'interface Web ou l'API MOVEit Transfer.) Pour exécuter le programme de configuration, sélectionnez le raccourci MOVEit Transfer Config dans le menu Start (Démarrer). Ce programme utilise une boîte de dialogue à onglets pour regrouper les paramètres par fonction.

MOVEit Transfer SSH appliquera immédiatement les changements de configuration lors de la prochaine connexion.

Exception : en cas de changement du port SSH, le service SSH MOVEit Transfer doit être redémarré pour que la modification prenne effet.

Onglet SSH

SSH Configuration (Configuration SSH)

• Server Key (Clé de serveur) : clé publique utilisée pour les sessions SSH. Cette clé est générée en interne et son hachage MD5 s'affiche ici à titre de référence uniquement. Aucun mécanisme ne permet de modifier cette valeur. Utilisez le bouton View (Afficher) en regard du champ MD5 pour visualiser et/ou exporter l'intégralité de la clé publique SSH.

  Pour exporter la clé publique SSH MOVEit Transfer, cliquez sur le bouton View (Afficher) dans l'onglet SSH de l'utilitaire de configuration MOVEit Transfer. La boîte de dialogue affiche la clé dans deux formats différents. Sélectionnez la totalité du texte correspondant au format que vous souhaitez exporter, appuyez sur CTRL+C pour le copier, puis enregistrez-le dans le fichier texte de votre choix.

  

  CONSEIL : la clé du serveur SSH MOVEit DMZ ne change jamais. Tant que vous êtes dans la boîte de dialogue, vous pouvez en profiter pour exporter les deux formats de la clé de serveur SSH. Si vous les enregistrez (par exemple sur un serveur interne), vous n'aurez probablement plus jamais besoin de consulter l'onglet SSH.

• SSH Port (Port SSH) : port TCP sur lequel écouter. Le port par défaut est 22.
• Bind to IP Address (Lier à l'adresse IP) : laissez ce champ vide pour établir une liaison avec toutes les adresses IP disponibles (par défaut). Saisissez une adresse IP pour lier le serveur SSH à une adresse IP spécifique.

Server Keys (Clés de serveur)

La fenêtre Server Keys (Clés de serveur) affiche le hachage MD5 de la clé de serveur RSA 2 048 bits générée en interne. Il est impossible de modifier ou de supprimer cette clé par défaut.

Si votre configuration de MOVEit Transfer comprend plusieurs organisations, vous pouvez ajouter une clé de serveur différente pour chacune d'elles. Cela vous permettra de modifier la clé de serveur d'une organisation indépendamment de celle des autres organisations.

• Pour ajouter une nouvelle clé de serveur :

1. Cliquez sur Add (Ajouter), puis sélectionnez le type et la taille de clé voulus :

   

   Le type de clé DSS fournit des signatures numériques, mais n'autorise pas l'échange ni le cryptage de clés. Avec DSS, la génération des signatures est plus rapide que leur vérification.

   Les types de clés RSA prennent en charge les signatures numériques, l'échange de clés et le cryptage. Avec RSA, la vérification des signatures est plus rapide que leur génération

   Une fois le type et la taille de clé sélectionnés, la fenêtre Add SSH Server Key (Ajouter une clé de serveur SSH) s'ouvre :

   

   Cette fenêtre affiche les détails de la clé, notamment son empreinte digitale (Fingerprint), son format OpenSSH (OpenSSH Format) et son format SSH2 (SSH2 Format).

2. Entrez le nom de la clé dans le champ Name, puis cliquez sur OK.

   La nouvelle clé s'affiche dans la fenêtre Server Keys (Clés de serveur).

   

   Pour renommer une clé, sélectionnez-la, puis cliquez sur Edit (Modifier).

   Pour supprimer une clé, sélectionnez-la, puis cliquez sur Remove (Supprimer).

   Pour désigner une clé comme clé de serveur SSH par défaut, sélectionnez-la, puis cliquez sur Default (Par défaut). La clé par défaut actuelle sera renommée « OldDefault-année-mois-jour_xxxxxx » et le nom de la clé que vous avez sélectionnée sera remplacé par « default ».

3. Lorsque le message Confirm SSH key rename (Confirmer le changement de nom de la clé SSH) s'affiche, cliquez sur OK.

   

Liaisons de substitution

Si votre système MOVEit Transfer héberge plusieurs organisations et autorise la duplication des noms d'utilisateur entre les organisations, il vous suffit d'ajouter une liaison de substitution pour rediriger les utilisateurs vers l'adresse IP de leur organisation spécifique lorsqu'ils se connectent. Vous pouvez également attribuer une clé de serveur unique à une organisation afin que les modifications apportées à cette clé s'appliquent uniquement à l'organisation concernée.

Les liaisons de substitution vous permettent d'associer entre elles une adresse IP de serveur, une clé de serveur et une organisation.

• Pour ajouter une liaison de substitution :

1. Sous Alternate Bindings (Liaisons de substitution), cliquez sur Add (Ajouter).

   La boîte de dialogue Add SSH Alternative Binding (Ajouter une liaison de substitution SSH) s'affiche.

   

2. Entrez les informations suivantes :
   • Server IP Address (Adresse IP du serveur) : saisissez une adresse IP distincte non déjà associée à une liaison de substitution (par exemple, 192.168.45.122). Ne sélectionnez pas l'adresse IP de liaison (Bind to IP Address) par défaut, à savoir « 0.0.0.0. ».
   • Server Key (Clé de serveur) : dans la liste déroulante, sélectionnez une clé de serveur à lier à l'adresse IP du serveur. Seules les clés de serveur précédemment ajoutées dans la fenêtre Server Keys (Clés de serveur) sont répertoriées dans la liste.
   • Organization (Entreprise) : dans la liste déroulante, sélectionnez une organisation à lier à l'adresse IP du serveur. Outre vos propres organisations MOVEit Transfer, les organisations suivantes s'afficheront dans la liste déroulante :
     • (default) (par défaut) : n'importe quelle organisation peut être définie en tant qu'organisation par défaut. Pour des informations sur la définition d'une organisation par défaut, reportez-vous à la section Interface Web - Paramètres - Système - Divers.
     • (System) (Système) : l'organisation Système est utilisée par les administrateurs système pour administrer les paramètres à l'échelle du système, ainsi que pour créer et gérer d'autres organisations. Il est peu probable que vous soyez amené à créer une liaison de substitution pour l'organisation Système.
3. Cliquez sur OK.

   La nouvelle liaison apparaît dans la fenêtre Alternate Bindings (Liaisons de substitution).

   

   Pour modifier l'adresse IP du serveur, la clé de serveur et l'organisation d'une liaison, sélectionnez la liaison, puis cliquez sur Edit (Modifier).

   Pour supprimer une liaison, sélectionnez-la, puis cliquez sur Remove (Supprimer).

Diagnostic Logs (Journalisation des diagnostics)

Les paramètres des journaux de diagnostic du serveur SSH MOVEit Transfer sont modifiables dans l'onglet Status (État) de l'utilitaire de configuration. Pour plus d'informations sur cet onglet, reportez-vous au document Utilitaire de configuration.

Onglet Paths (Chemins d'accès)

Le serveur SSH MOVEit Transfer communique avec MOVEit Transfer via l'URL de machine définie dans cet onglet. Pour plus d'informations sur cet onglet, reportez-vous au document Utilitaire de configuration.

Onglet SSH Ciphers (Cryptages SSH)

Les algorithmes de cryptage et de hachage utilisés par le serveur SSH MOVEit Transfer sont définis dans l'onglet SSH Ciphers (Cryptages SSH). (Les algorithmes de cryptage et de hachage utilisés par les serveurs SSL MOVEit Transfer, aussi bien HTTPS que FTPS, sont également configurables.)

Cet onglet vous permet de sélectionner les cryptages et les fonctions de hachage utilisés pour sécuriser la connexion SSH.

À des fins de conformité FIPS et PCI, vous devrez peut-être interdire l'usage de cryptages faibles. Par exemple, un audit PCI peut signaler l'utilisation de cryptages tels que MD5 et MD5-96. Les méthodes de cryptographie SSH conformes aux normes FIPS comprennent (au 30 septembre 2015) les cryptages 3des-cbc, aes128-cbc, aes192-cbc et aes-256, avec les fonctions de hachage hmac-sha2-512, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-sha1-96 et-md5-96.

Remarque : les préférences client et serveur sont prises en compte lors du choix du cryptage et de la fonction de hachage pour une session donnée. Un cryptage et une fonction de hachage communs doivent être définis de part et d'autre sous peine de générer une erreur.

Sélection des cryptages SSH

La section SSH Ciphers (Cryptages SSH) vous permet de sélectionner les cryptages autorisés, ainsi que leur ordre de préférence. Par défaut, tous les cryptages sont activés.

Cliquez sur la case Enabled (Activé) de votre choix pour désactiver l'entrée correspondante si elle est sélectionnée ou pour l'activer si elle ne l'est pas.

Les entrées du haut de la liste ont priorité sur celles du bas. Utilisez les touches fléchées pour déplacer les entrées vers le haut ou vers le bas dans la liste. Si vous autorisez des cryptages ou des fonctions de hachage faibles, placez toujours les méthodes les plus fortes en haut de la liste.

Sélection des fonctions de hachage SSH

La section SSH Hash Functions (Fonctions de hachage SSH) vous permet de sélectionner les fonctions de hachage autorisées, ainsi que leur ordre de préférence. Par défaut, toutes les fonctions de hachage sont activées.

Cliquez sur la case Enabled (Activé) de votre choix pour désactiver l'entrée correspondante si elle est sélectionnée ou pour l'activer si elle ne l'est pas.

Les entrées du haut de la liste ont priorité sur celles du bas. Utilisez les touches fléchées pour déplacer les entrées vers le haut ou vers le bas dans la liste.

Algorithmes utilisés par SSH

Certains clients voudront peut-être connaître les algorithmes pris en charge par le serveur MOVEit Transfer. C'est pourquoi cette section en fournit une liste complète.

Ces informations sont également accessibles à de nombreux clients SSH auprès de MOVEit Transfer lorsqu'ils se connectent, car le protocole SSH exige que le serveur dresse la liste des modes pris en charge. Du point de vue de la sécurité, rien ne justifie la confidentialité de ces informations.

Algorithmes de cryptage SSH

Le serveur SSH MOVEit Transfer prend en charge les algorithmes de cryptage suivants.

• aes256-ctr
• twofish256-ctr
• twofish-ctr
• aes128-ctr
• twofish128-ctr
• 3des-ctr
• cast128-ctr
• aes256-cbc
• twofish256-cbc
• twofish-cbc
• aes128-cbc
• twofish128-cbc
• blowfish-cbc
• 3des-cbc (« Triple DES »)
• arcfour
• cast128-cbc

Algorithmes de hachage SSH

Le serveur SSH MOVEit Transfer prend en charge les algorithmes de hachage (avec clé) suivants.

• HMAC-SHA2-512
• HMAC-SHA2-256
• HMAC-SHA1
• HMAC-MD5
• HMAC-SHA1-96
• HMAC-MD5-96

Algorithmes de compression SSH

Le serveur SSH MOVEit Transfer prend en charge les algorithmes de compression à la volée suivants.

• aucune
• zlib (« gzip »)