Documente Academic
Documente Profesional
Documente Cultură
Secure Shell (SSH) constitue un moyen sûr et fiable de se connecter à des périphériques distants. Il s'agit
d'un protocole réseau crypté qui permet aux utilisateurs d' accéder en toute sécurité à des équipements via
des sessions d' interface de ligne de commande . SSH utilise le port TCP 22 qui est attribué aux connexions sécurisées,
au transfert de fichiers et au transfert de port.
SSH utilise une clé publique pour authentifier le périphérique distant et crypter toutes les données entre ce périphérique
et le poste de travail, ce qui en fait le meilleur choix pour les réseaux publics, contrairement à (telnet) qui transmet les
données en texte brut qui les soumet à des menaces de sécurité (telnet). ) recommandé pour les réseaux privés
uniquement afin de conserver les données sans compromis.
Les produits avec (K9) dans le nom de l'image, par exemple c2900-universal k9 -mz.SPA.154-3.M2.bin, prennent en
charge le cryptage renforcé avec 3DES / AES alors que les ensembles (K8) IOS prennent en charge le cryptage faible
avec le DES obsolète.
Pour vérifier, entrez simplement en mode privilège et utilisez la commande show ip ssh :
R1 # show ip ssh
SSH désactivé - version 1.99
% Veuillez créer des clés RSA pour activer SSH (et au moins 768 bits pour SSH v2).
Délai d'expiration de l'authentification: 120 secondes; Nouvelle tentative d’authentification: 3
Taille minimale attendue de la clé Diffie Hellman:
clés IOS au format SECSH ( 1024 bits ) (ssh-rsa, codé en base64): NONE
Dans la sortie ci-dessus, le système indique le support SSH, mais il est actuellement désactivé car aucune clé RSA n'a
été générée. Il convient également de noter qu’une clé d’au moins 768 bits doit être générée pour activer SSHv2.
SÉCURISER L'ACCÈS AU ROUTEUR
Il est toujours judicieux de commencer par limiter l'accès au routeur Cisco avant d'activer SSH. Ceci est très important,
en particulier lorsque le périphérique dispose d’une interface avec des réseaux publics, par exemple Internet, Hotspot
public.
Nous créons d’abord les informations d’identification de l’utilisateur pour le périphérique, puis activons AAA
(Athentication, Authorization & Accounting Services) . Enfin, assurez-vous qu'un mot de passe secret est défini
pour protéger l'accès au mode privilège , ainsi que la commande service password-encryption pour garantir que
tous les mots de passe en texte clair sont cryptés :
Ensuite, il est fortement recommandé de limiter l'accès à distance via le protocole SSH uniquement. Cela garantira que
des services non sécurisés tels que Telnet ne peuvent pas être utilisés pour accéder au routeur. Telnet envoie toutes les
informations non chiffrées, y compris le nom d'utilisateur / mot de passe, et est donc considéré comme un risque de
sécurité.
Nous utiliserons la commande de transport input ssh dans la section VTY pour restreindre l'accès à distance à l'aide de
SSH uniquement. Notez que nous pouvons également utiliser des listes d' accès pour restreindre les connexions
SSH à notre routeur:
Remarque: la commande password utilisée dans la section line vty 0 4 est totalement facultative et n'est pas utilisée
dans notre cas en raison de la commande par défaut d'authentification de connexion qui oblige le routeur à utiliser
le mécanisme AAA pour l'authentification de tous les utilisateurs.
GÉNÉRATION DE LA CLÉ RSA DE NOTRE ROUTEUR - CERTIFICAT NUMÉRIQUE
Les clés numériques ont pour but d'aider à renforcer la sécurité des communications entre les appareils. Notre prochaine
étape consiste à générer une paire de clés RSA qui sera utilisée par SSH pour aider à chiffrer le canal de communication.
Avant de générer notre clé RSA, il est nécessaire de définir le domaine de notre routeur à l'aide de la commande ip
domain-name , suivie de la commande crypto key generate :
Lors de la génération de nos paires de clés, le routeur nous notifie le nom utilisé pour les clés, qui comprend le nom
d'hôte du routeur(R1) + le nom de domaine configuré (firewall.cx). Enfin, nous pouvons sélectionner la quantité de
bits utilisée pour le module (clé).
Puisque nous avons choisi de générer une clé utilisant 4096 bits , le routeur a pris un peu plus de 3 minutes pour
générer la clé! Notez que le routeur utilisé dans notre exemple était un Cisco 877.
Avec SSH activé, nous pouvons ssh dans notre routeur et le gérer en toute sécurité depuis n’importe quel endroit du
monde.
Pour afficher toute session SSH active, utilisez simplement la commande show ssh :
R1 # show ssh
Connexion Version Version Cryptage État Hmac Nom d'utilisateur
0 2.0 DANS aes256-cbc hmac-sha1 Session démarrée admin
0 2.0 OUT aes256-cbc hmac-sha1 Session démarrée admin
% Aucune connexion au serveur SSHv1 en cours d'exécution.
R1 #
Cet article explique l'importance d' activer et d'utiliser SSH pour gérer et configurer à distance votre routeur Cisco. Nous
avons vu comment créer des utilisateurs pour la gestion à distance , activer AAA , chiffrer des mots de passe en
texte clair , activer SSHv2 , générer des clés RSA et vérifier des sessions SSH sur notre routeur.