ACTIVATION ET CONFIGURATION DE SSH SUR LES

ROUTEURS CISCO. RESTREINDRE SSH POUR LA GESTION

ET ACTIVER L'AUTHENTIFICATION AAA POUR LES
SESSIONS SSH
Cet article explique comment configurer et configurer SSH pour la gestion à distance des routeurs Cisco IOS . Nous
allons vous montrer comment vérifier si SSH est pris en charge par votre version d’IOS , comment l’activer, générer
une clé RSA pour votre routeur et enfin configurer SSH en tant que protocole de gestion préféré sous les interfaces
VTY .

Secure Shell (SSH) constitue un moyen sûr et fiable de se connecter à des périphériques distants. Il s'agit
d'un protocole réseau crypté qui permet aux utilisateurs d' accéder en toute sécurité à des équipements via
des sessions d' interface de ligne de commande . SSH utilise le port TCP 22 qui est attribué aux connexions sécurisées,
au transfert de fichiers et au transfert de port.

SSH utilise une clé publique pour authentifier le périphérique distant et crypter toutes les données entre ce périphérique
et le poste de travail, ce qui en fait le meilleur choix pour les réseaux publics, contrairement à (telnet) qui transmet les
données en texte brut qui les soumet à des menaces de sécurité (telnet). ) recommandé pour les réseaux privés
uniquement afin de conserver les données sans compromis.

VÉRIFICATION DU SUPPORT SSH SUR VOTRE ROUTEUR

La première étape consiste à examiner si l'IOS de votre routeur Cisco prend en charge SSH ou non. La plupart des
routeurs Cisco modernes prennent en charge SSH. Cela ne devrait donc pas poser de problème.

Les produits avec (K9) dans le nom de l'image, par exemple c2900-universal k9 -mz.SPA.154-3.M2.bin, prennent en
charge le cryptage renforcé avec 3DES / AES alors que les ensembles (K8) IOS prennent en charge le cryptage faible
avec le DES obsolète.

Pour vérifier, entrez simplement en mode privilège et utilisez la commande show ip ssh :

R1# show ip ssh

SSH Disabled - version 1.99
%Please create RSA keys to enable SSH (and of atleast 768 bits for SSH v2).
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded): NONE

R1 # show ip ssh
SSH désactivé - version 1.99
% Veuillez créer des clés RSA pour activer SSH (et au moins 768 bits pour SSH v2).
Délai d'expiration de l'authentification: 120 secondes; Nouvelle tentative d’authentification: 3
Taille minimale attendue de la clé Diffie Hellman:
clés IOS au format SECSH ( 1024 bits ) (ssh-rsa, codé en base64): NONE

Dans la sortie ci-dessus, le système indique le support SSH, mais il est actuellement désactivé car aucune clé RSA n'a
été générée. Il convient également de noter qu’une clé d’au moins 768 bits doit être générée pour activer SSHv2.
SÉCURISER L'ACCÈS AU ROUTEUR
Il est toujours judicieux de commencer par limiter l'accès au routeur Cisco avant d'activer SSH. Ceci est très important,
en particulier lorsque le périphérique dispose d’une interface avec des réseaux publics, par exemple Internet, Hotspot
public.

Nous créons d’abord les informations d’identification de l’utilisateur pour le périphérique, puis activons AAA
(Athentication, Authorization & Accounting Services) . Enfin, assurez-vous qu'un mot de passe secret est défini
pour protéger l'accès au mode privilège , ainsi que la commande service password-encryption pour garantir que
tous les mots de passe en texte clair sont cryptés :

Router (config)# username admin privilege 15 secret Firewall.cx

Router (config)# aaa new-model
Router (config)# aaa authentication login default local
Router (config)# enable secret $FirewAll.cx!
Router (config)# service password-encryption
Routeur (config) # nom d'utilisateur privilège admin 15 secret Firewall.cx
Routeur (config) # aaa
Routeur d'un nouveau modèle (config) # aaa Authentification Connexion par défaut
Routeur local (config) # Activer secret $ FirewAll.cx!
Routeur (config) # service cryptage de mot de passe

Ensuite, il est fortement recommandé de limiter l'accès à distance via le protocole SSH uniquement. Cela garantira que
des services non sécurisés tels que Telnet ne peuvent pas être utilisés pour accéder au routeur. Telnet envoie toutes les
informations non chiffrées, y compris le nom d'utilisateur / mot de passe, et est donc considéré comme un risque de
sécurité.

Nous utiliserons la commande de transport input ssh dans la section VTY pour restreindre l'accès à distance à l'aide de
SSH uniquement. Notez que nous pouvons également utiliser des listes d' accès pour restreindre les connexions
SSH à notre routeur:

R1(config)# line vty 0 4

R1(config-line)# transport input ssh
R1(config-line)# login authentication default
R1(config-line)# password $Cisco!
R1 (config) # line vty 0 4
R1 (config-line) # entrée de transport ssh
R1 (config-line) # connexion authentification par défaut
R1 (config-line) # mot de passe $ Cisco!

Remarque: la commande password utilisée dans la section line vty 0 4 est totalement facultative et n'est pas utilisée
dans notre cas en raison de la commande par défaut d'authentification de connexion qui oblige le routeur à utiliser
le mécanisme AAA pour l'authentification de tous les utilisateurs.
GÉNÉRATION DE LA CLÉ RSA DE NOTRE ROUTEUR - CERTIFICAT NUMÉRIQUE
Les clés numériques ont pour but d'aider à renforcer la sécurité des communications entre les appareils. Notre prochaine
étape consiste à générer une paire de clés RSA qui sera utilisée par SSH pour aider à chiffrer le canal de communication.

Avant de générer notre clé RSA, il est nécessaire de définir le domaine de notre routeur à l'aide de la commande ip
domain-name , suivie de la commande crypto key generate :

R1 (config)# ip domain-name firewall.cx

R1(config)# crypto key generate rsa
The name for the keys will be: R1.firewall.cx
Choose the size of the key modulus in the range of 360 to 4096 for your General Purpose Keys. Choosing a key
modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 4096
% Generating 4096 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 183 seconds)

R1 (config) # ip nom de domaine firewall.cx

R1 (config) # clé de cryptage générer rsa
Le nom des clés sera: R1.firewall.cx
Choisissez la taille du module de clé dans la plage de 360 à 4096 pour votre Touches à usage général. Le choix d'un
module de clé supérieur à 512 peut prendre quelques minutes. Combien de bits du module [512]: 4096
% Génération de clés RSA de 4096 bits, les clés ne seront pas exportables ...
[OK] (le temps écoulé était de 183 secondes)

Lors de la génération de nos paires de clés, le routeur nous notifie le nom utilisé pour les clés, qui comprend le nom
d'hôte du routeur(R1) + le nom de domaine configuré (firewall.cx). Enfin, nous pouvons sélectionner la quantité de
bits utilisée pour le module (clé).

Puisque nous avons choisi de générer une clé utilisant 4096 bits , le routeur a pris un peu plus de 3 minutes pour
générer la clé! Notez que le routeur utilisé dans notre exemple était un Cisco 877.

Avec SSH activé, nous pouvons ssh dans notre routeur et le gérer en toute sécurité depuis n’importe quel endroit du
monde.

Pour afficher toute session SSH active, utilisez simplement la commande show ssh :

R1# show ssh

Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-cbc hmac-sha1 Session started admin
0 2.0 OUT aes256-cbc hmac-sha1 Session started admin
%No SSHv1 server connections running.
R1#

R1 # show ssh
Connexion Version Version Cryptage État Hmac Nom d'utilisateur
0 2.0 DANS aes256-cbc hmac-sha1 Session démarrée admin
0 2.0 OUT aes256-cbc hmac-sha1 Session démarrée admin
% Aucune connexion au serveur SSHv1 en cours d'exécution.
R1 #

Cet article explique l'importance d' activer et d'utiliser SSH pour gérer et configurer à distance votre routeur Cisco. Nous
avons vu comment créer des utilisateurs pour la gestion à distance , activer AAA , chiffrer des mots de passe en
texte clair , activer SSHv2 , générer des clés RSA et vérifier des sessions SSH sur notre routeur.