Utilisez l'onglet SSH and Ciphers SSH (SSH et Cryptage SSH) de l'utilitaire MOVEit Transfer Configuration pour configurer le serveur SSH.

Pour ouvrir/exécuter l'utilitaire de configuration MOVEit Transfer :

  1. Sous Windows, sélectionnez le menu Démarrer.
  2. Choisissez le raccourci pour MOVEit Transfer Configuration.

Remarque : Les utilisateurs, les groupes et les paramètres des dossiers sont gérés via l'interface Web ou l'API MOVEit Transfer.

Intervalle de mise à jour de la configuration du serveur SSH

MOVEit Transfer Le serveur SSH applique immédiatement les changements de configuration. Les changements prendront effet la prochaine fois qu'une nouvelle connexion sera établie.

Exception : En cas de changement du port SSH, le service SSH MOVEit Transfer doit être redémarré pour que la modification prenne effet.

Onglet SSH

L'onglet MOVEit Transfer Config Utility SSH (Utilitaire de configuration SSH) vous permet d'afficher et de configurer le serveur SSH s'exécutant sur l'hôte actuel du serveur MOVEit Transfer.

Remarque : MOVEit Transfer utilise des clés SSH et des contrôles pour SSH et SFTP (SSH File Transfer Protocol).

Les commandes de ce panneau vous permettent :

  • D'ajuster le port logique sur lequel l'auditeur SSH fonctionne.
  • De générer les clés d'hôte du serveur SSH.
  • De lier un auditeur SSH à une adresse IP spécifique.
  • De lier des clés générées à partir d'algorithmes à sécurité étendue (courbe elliptique, par exemple).
  • De gérer, maintenir et mettre à jour les clés utilisées par MOVEit SSH.

Plusieurs types de clés d'hôte du serveur SSH

MOVEit Transfer vous permet de configurer chaque liaison SSH (y compris la liaison par défaut) avec une ou plusieurs clés d'hôte. Cette fonctionnalité permet aux clients SSH/SFTP de se connecter facilement à MOVEit Transfer, en particulier lorsque les contraintes de leur stratégie les obligent à utiliser une clé ou un type de clé spécifique.

Vous pouvez ajouter des options de configuration de liaison SSH à l'aide des commandes de l'onglet SSH de l'utilitaire MOVEit Transfer Config.
Remarque : Vous pouvez utiliser l'onglet SSH et le panneau Liaisons pour créer des clés d'hôte supplémentaires et les affecter à n'importe quelle liaison (notamment la liaison par défaut).

Vous pouvez également lier SSH pour qu'il écoute sur différentes adresses IP à l'aide du panneau Liaisons.

Onglet SSH et panneau des liaisons

Panneau de configuration SSH

SSH Port (Port SSH) :

Il s'agit du port TCP/IP sur lequel le serveur SSH écoute les demandes de connexion entrantes.
Valeur du port SSH 22 (valeur par défaut/connue pour le protocole SSH).

Server Keys (Clés de serveur)

La vue Clés de serveur de l'onglet SSH affiche :

  • Nom. Nom lisible.
  • Type de clé. L'algorithme utilisé pour générer la paire de clés.
  • Fingerprint (Empreinte). Le hachage MD5 de la clé du serveur.

Remarque : Vous pouvez lier ces clés à une adresse IP spécifique (point d'extrémité du serveur SSH) à l'aide du panneau Liaisons. Cela peut s'avérer utile pour les déploiements multi-organisations, par exemple.

Les commandes des clés de serveur (Ajouter une clé, Modifier, Supprimer, Défaut) vous permettent :

  • De générer de nouvelles clés que vous pouvez assigner à un auditeur SSH. (Ajouter une clé)
  • De modifier le nom convivial, visualiser, copier la paire de clés, supprimer la clé. (Modifier)
  • De supprimer une clé et empêcher les connexions des clients utilisant cette clé. (Supprimer)
  • De faire d'une clé la valeur par défaut. (Par défaut)

Note pour les systèmes multi-organisations

Remarque : Si votre configuration de MOVEit Transfer comprend plusieurs organisations, vous pouvez ajouter une clé de serveur différente pour chacune d'elles. Cela vous permettra de modifier la clé de serveur d'une organisation indépendamment de celle des autres organisations.
Afficher et comprendre les clés du serveur SSH

Les clients SSH utilisent cette clé pour crypter le trafic que seul le serveur SSH disposant de la clé privée (générée dans le cadre de la paire de clés publique/privée) peut décrypter.
Cette clé est générée en interne et son hachage MD5 s'affiche ici à titre de référence uniquement. Aucun mécanisme ne permet de modifier cette valeur. Utilisez le bouton View (Afficher) en regard du champ MD5 pour visualiser et/ou exporter l'intégralité de la clé publique SSH.

Pour exporter la clé publique

Pour exporter la clé publique SSH de MOVEit Transfer :
  1. Cliquez sur le bouton Edit (Modifier) dans l'onglet SSH de l'utilitaire de configuration MOVEit Transfer. La boîte de dialogue affiche la clé dans deux formats différents.
  2. Sélectionnez la totalité du texte correspondant au format que vous souhaitez exporter, appuyez sur CTRL+C pour le copier, puis enregistrez-le dans le fichier texte de votre choix.

Conseil : À moins que vous ne les changiez, la clé du serveur SSH MOVEit DMZ pour un type/lien donné ne changera pas. Il peut être utile, tant que vous êtes dans la boîte de dialogue, d'en profiter pour exporter les deux formats publics de la même clé de serveur SSH. Si vous les sauvegardez (peut-être sur un serveur interne), vous gagnerez du temps et n'aurez pas besoin de vous référer à l'onglet SSH par la suite.

Pour ajouter une nouvelle clé de serveur :

  1. Cliquez sur Add (Ajouter), puis sélectionnez le type et la taille de clé voulus. Le type de clé fait référence à l'algorithme. Les différents algorithmes présentaient des avantages et des compromis différents. La taille correspond approximativement à l'espace des caractéristiques ou à la difficulté de l'algorithme. (De meilleurs algorithmes avec des tailles calculées plus importantes signifient une meilleure sécurité pour la paire de clés.)

    • Le type de clé DSS fournit des signatures numériques, mais n'autorise pas l'échange ni le cryptage de clés. Avec DSS, la génération des signatures est plus rapide que leur vérification.
    • Les types de clés ECDSA utilisent des algorithmes à courbe elliptique qui couvrent un espace de problème plus large avec des temps de calcul plus rapides.
    • Les types de clés RSA prennent en charge les signatures numériques, l'échange de clés et le cryptage. Avec RSA, la vérification des signatures est plus rapide que leur génération

    Une fois le type et la taille de clé sélectionnés, la fenêtre Add SSH Server Key (Ajouter une clé de serveur SSH) s'ouvre :

    Cette fenêtre affiche les détails de la clé, notamment :

    • Fingerprint (Empreinte)
    • Type
    • OpenSSH Format (Format OpenSSH)
    • SSH2 Format (Format SSH2)
  2. Entrez le nom de la clé dans le champ Name, puis cliquez sur OK.

    La nouvelle clé s'affiche dans la fenêtre Server Keys (Clés de serveur).

    • Pour renommer une clé, sélectionnez-la, puis cliquez sur Edit (Modifier).
    • Pour supprimer une clé, sélectionnez-la, puis cliquez sur Remove (Supprimer).
    • Pour désigner une clé comme clé de serveur SSH par défaut, sélectionnez-la, puis cliquez sur Default (Par défaut). La clé par défaut actuelle sera renommée « OldDefault-année-mois-jour_xxxxxx » et le nom de la clé que vous avez sélectionnée sera remplacé par « default ».
  3. Lorsque le message Confirm SSH key rename (Confirmer le changement de nom de la clé SSH) s'affiche, cliquez sur OK.

Panneau Liaisons (et ajouter des liaisons de substitution)

Les autres liaisons vous permettent d'associer une IP de serveur et des types de clés de serveur à une organisation de MOVEit Transfer.

Si votre système MOVEit Transfer héberge plusieurs organisations et autorise la duplication des noms d'utilisateur entre les organisations, vous pouvez rediriger les utilisateurs vers l'adresse IP de leur organisation spécifique lorsqu'ils se connectent au système au moyen d'une liaison de substitution. Vous pouvez également attribuer une clé de serveur unique à une organisation afin que les modifications apportées à cette clé s'appliquent uniquement à l'organisation concernée.
Remarque : Vous pouvez spécifier des règles de liaison pour une seule adresse IP.

Pour ajouter une liaison de substitution :

  1. Sous Liaisons (Liaisons), cliquez sur Add (Ajouter).

    La boîte de dialogue Add SSH Alternative Binding (Ajouter une liaison de substitution SSH) s'affiche.

  2. Entrez les informations suivantes :
    • Server IP Address (Adresse IP du serveur) : saisissez une adresse IP distincte non déjà associée à une liaison de substitution. Ne sélectionnez pas l'adresse IP de liaison (Bind to IP Address) par défaut, à savoir « 0.0.0.0. ».
    • Server Key (Clé de serveur) : dans la liste déroulante, sélectionnez une clé d'hôte à lier à l'adresse IP du serveur. Seules les clés de serveur précédemment ajoutées dans la fenêtre Server Keys (Clés de serveur) sont répertoriées dans la liste.
    • Organization (Entreprise) : dans la liste déroulante, sélectionnez une organisation à lier à l'adresse IP du serveur. La liste déroulante affiche les éléments suivants :
      • (default) (par défaut) : n'importe quelle organisation peut être définie en tant qu'organisation par défaut. Pour des informations sur la définition d'une organisation par défaut, reportez-vous à la section Interface Web - Paramètres - Système - Divers
      • Votre organisation de MOVEit Transfer actuelle.
  3. Cliquez sur OK.

    La nouvelle liaison apparaît dans la fenêtre Alternate Bindings (Liaisons de substitution).

    Remarque : Pour modifier l'adresse IP du serveur, la clé de serveur et l'organisation d'une liaison, sélectionnez la liaison, puis cliquez sur Edit (Modifier). Pour supprimer une liaison, sélectionnez-la, puis cliquez sur Remove (Supprimer)
    .

Utiliser le contrôle de version du serveur SSH par défaut

Contrôle pour la sélection du service SSH hérité ou standard (par défaut).

Remarque : La meilleure pratique consiste à utiliser le service SSH par défaut (qui est le plus récent).
Important : Si vous cliquez sur Revenir à l'ancien service SSH, vous serez peut-être invité à supprimer les clés, les flux de travail et les fonctionnalités associés à une version ultérieure de SSH. Vous pourriez être invité à supprimer les clés associées à vos services actuels, ce qui pourrait perturber les demandes de connexion ultérieures.

Contrôle du service Description
Revenir à l'ancien service SSH Lorsqu'il est visible, ce contrôle indique que le service SSH standard (par défaut) est en cours d'exécution. Il s'agit de l'état préféré.

(Il n'est pas recommandé d'utiliser ce contrôle pour revenir à MOVEit Transfer et exécuter l'ancien service.)
Utiliser le service SSH par défaut S'il est visible, ce contrôle indique que le service SSH patrimonial est en cours d'exécution. (L'utilisation de l'ancien service n'est pas une bonne pratique.)

Journaux de diagnostic (définis dans l'onglet Statut (État))

Les paramètres des journaux de diagnostic du serveur SSH MOVEit Transfer sont modifiables dans l'onglet Status (État) de l'utilitaire de configuration. Voir la section Paramètres du journal (onglet Status (État)) de l'utilitaire de configuration pour plus de détails.

Chemins (définis dans l'onglet Paths (Chemins d'accès))

Le serveur SSH MOVEit Transfer communique avec MOVEit Transfer via l'URL de machine définie dans cet onglet. Voir l'onglet Paths (Chemins d'accès) pour plus de détails.

Onglet SSH Ciphers (Cryptages SSH)

Conseil : En général, les algorithmes les plus sûrs sont mis à disposition par la dernière version de MOVEit Transfer. Notez également que si vous sélectionnez le mode FIPS strict, la liste sera réduite aux algorithmes conformes à la norme FIPS.

L'onglet SSH Ciphers (Cryptages SSH) comprend :

  • Cryptages SSH. Algorithmes disponibles pour l'encodage des données et leur priorité.
  • Fonctions de hachage. Codes d'authentification des messages basés sur le hachage utilisés et leur priorité.
  • Algorithmes d'échange de clés. Algorithmes disponibles pour échanger une clé de session et leur priorité.
Remarque : Vous pouvez utiliser l'onglet Cryptages SSH pour sélectionner un groupe de chiffres qui activent le mode FIPS. Ceci offre des capacités cryptographiques et des algorithmes conformes aux normes FIPS 140-2 (Federal Information Processing Standards).
Important : La liste des algorithmes que vous pouvez sélectionner dépend des contraintes du serveur et de la politique. Par exemple, si vous activez le mode FIPS, un sous-ensemble d'algorithmes plus sûrs conformes aux normes FIPS s'affiche.
Les algorithmes de cryptage et de hachage utilisés par le serveur SSH MOVEit Transfer sont définis dans l'onglet SSH Ciphers (Cryptages SSH). (Les algorithmes de cryptage et de hachage utilisés par les serveurs SSL MOVEit Transfer, aussi bien HTTPS que FTPS, sont également configurables.)

Cet onglet vous permet de sélectionner les cryptages et les fonctions de hachage utilisés pour sécuriser la connexion SSH.

À des fins de conformité FIPS et PCI, vous devrez peut-être interdire l'usage de cryptages faibles. Par exemple, un audit PCI peut signaler l'utilisation de cryptages tels que MD5 et MD5-96. Les méthodes de cryptographie SSH conformes aux normes FIPS comprennent (au 30 septembre 2015) les cryptages 3des-cbc, aes128-cbc, aes192-cbc et aes-256, avec les fonctions de hachage hmac-sha2-512, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-sha1-96 et-md5-96.

Remarque : les préférences client et serveur sont prises en compte lors du choix du cryptage et de la fonction de hachage pour une session donnée. Un cryptage et une fonction de hachage communs doivent être définis de part et d'autre sous peine de générer une erreur.

Sélection des cryptages SSH

La section SSH Ciphers (Cryptages SSH) vous permet de sélectionner les cryptages autorisés, ainsi que leur ordre de préférence. Par défaut, tous les algorithmes de chiffrement disponibles sur la plate-forme MOVEit Transfer sont disponibles.

  1. Cliquez sur la case Enabled (Activé) de votre choix pour désactiver l'entrée correspondante si elle est sélectionnée ou pour l'activer si elle ne l'est pas.
  2. Pour l'ordre de priorité, utilisez les touches fléchées pour déplacer les entrées vers le haut ou vers le bas dans la liste. (Les entrées du haut de la liste ont priorité sur celles du bas.)
    Remarque : Si vous autorisez des cryptages ou des fonctions de hachage faibles, placez toujours les options les plus fortes en haut de la liste.

Mode FIPS

La bibliothèque SFTP par défaut de MOVEit Transfer offre des capacités cryptographiques et des algorithmes conformes aux normes FIPS 140-2 (Federal Information Processing Standards). Les algorithmes de cryptage sécurisé, d'échange de clés, de clé hôte, de clé client, de MAC et de compression validés par la FIPS sont disponibles dans l'utilitaire de configuration de MOVEit Transfer.

Pour sélectionner le mode FIPS :

  1. Cochez la case Enable FIPS Mode (Activer le mode FIPS) pour limiter le cryptage SSH, les fonctions de hachage et ales algorithmes de clé SSH à un sous-ensemble conforme à la norme FIPS.
  2. Vérifiez que vous avez réduit la liste des algorithmes de chiffrement au sous-ensemble conforme à la norme FIPS.

Onglet Cryptages SSH avec la case Mode FIPS cochée

Sélection des fonctions de hachage SSH

La section SSH Hash Functions (Fonctions de hachage SSH) vous permet de sélectionner les fonctions de hachage autorisées, ainsi que leur ordre de préférence. Par défaut, toutes les fonctions de hachage disponibles sur la plate-forme MOVEit Transfer actuelle sont disponibles.

Remarque : Les fonctions de hachage sont utilisées pour déterminer l'intégrité des messages.
  1. Cliquez sur la case Enabled (Activé) de votre choix pour désactiver l'entrée correspondante si elle est sélectionnée ou pour l'activer si elle ne l'est pas.

    Les entrées les plus proches du début de la liste sont privilégiées par rapport aux entrées qui les suivent dans la liste.
  2. Utilisez les touches fléchées pour déplacer les entrées vers le haut ou vers le bas dans la liste.