cet article montre comment configurer et configurer SSH pour la gestion à distance des routeurs Cisco IOS. Nous allons vous montrer comment vérifier si SSH est pris en charge par votre version IOS, comment l’activer, générer une clé RSA pour votre routeur et enfin configurer SSH comme protocole de gestion préféré sous les interfaces VTY.,
Secure Shell (SSH) fournit un moyen sûr et fiable de se connecter à des périphériques distants. C’est un protocole réseau crypté qui permet aux utilisateurs d’accéder en toute sécurité à l’équipement via des sessions d’interface de ligne de commande. SSH utilise le port TCP 22 qui est affecté aux connexions sécurisées, au transfert de fichiers et à la redirection de port.,
SSH utilise la clé publique pour authentifier le périphérique distant et crypter toutes les données entre ce périphérique et le poste de travail, ce qui en fait le meilleur choix pour les réseaux publics, contrairement à (telnet) qui transmet des données en texte brut qui les soumet à des menaces de sécurité, cela rend (telnet)
vérification de la prise en charge SSH sur votre routeur
la première étape consiste à examiner si L’IOS de votre routeur Cisco prend en charge SSH ou non., La plupart des routeurs Cisco modernes prennent en charge SSH, donc cela ne devrait pas être un problème.
produits avec (K9) dans le nom de l’image par exemple c2900-universalk9-mz.SPA.154-3.M2.bin, prend en charge le cryptage fort avec 3DES/AES tandis que (K8) iOS bundles prend en charge le cryptage faible avec le DES obsolète.
pour vérifier, entrez simplement en mode privilège et utilisez la commande show ip ssh:
R1# show ip ssh
SSH Disabled – version 1.99
%Veuillez créer des clés RSA pour activer SSH (et d’au moins 768 bits pour SSH v2).,
délai D’authentification: 120 secondes; tentatives D’authentification: 3
taille minimale attendue de la clé Diffie Hellman : 1024 bits
clés IOS au format SECSH(ssh-rsa, encodé en base64): aucune
dans la sortie ci-dessus, le système affiche le support SSH, mais il est actuellement désactivé car aucune clé RSA Il convient également de noter qu’une clé d’au moins 768 bits doit être générée pour activer SSHv2.,
la Sécurisation de l’Accès au Routeur
C’est toujours une bonne idée de restreindre l’accès au routeur Cisco avant d’activer le SSH. Ceci est très important, en particulier lorsque l’appareil dispose d’une interface faisant face à des réseaux publics, par exemple Internet, Hotspot Public.
nous créons d’abord des informations d’identification utilisateur pour le périphérique, puis activons L’Athentication, L’autorisation& Accounting Services (AAA)., Enfin, assurez-vous qu’un mot de passe secret est défini pour protéger l’accès en mode privilège, ainsi que la commande service password-encryption pour vous assurer que tous les mots de passe en texte clair sont cryptés:
ensuite, il est fortement recommandé de restreindre l’accès distant via le protocole SSH uniquement. Cela garantira que les services non sécurisés tels que Telnet ne peuvent pas être utilisés pour accéder au routeur. Telnet envoie toutes les informations non cryptées, y compris le nom d’utilisateur/mot de passe, et est donc considéré comme un risque de sécurité.,
nous utiliserons la commande transport input ssh sous la section VTY pour restreindre l’accès distant en utilisant SSH uniquement. Notez que nous pouvons également utiliser des listes D’accès pour restreindre les connexions SSH à notre routeur:
Remarque: La Commande de mot de passe utilisée sous la section line VTY 0 4 est complètement facultative et n’est pas utilisée dans notre cas en raison de la commande par défaut d’authentification,
générer le certificat numérique de clé RSA de notre routeur
les clés numériques servent à sécuriser davantage les communications entre les appareils. Notre prochaine étape consiste à générer une paire de clés RSA qui sera utilisée par SSH pour aider à chiffrer le canal de communication.
avant de générer notre clé RSA, il est nécessaire de définir le domaine de notre routeur à l’aide de la commande ip domain-name, suivie de la commande crypto key generate:
R1(config)# crypto key generate rsa
Le nom des clés sera: R1.firewall.cx
choisissez la taille du module de clé dans la gamme de 360 à 4096 pour vos clés à usage général. Le choix d’un module de clé supérieur à 512 peut prendre quelques minutes. Combien de bits dans le module: 4096
% générant des clés RSA 4096 bits, les clés seront non exportables…
(Le temps écoulé était de 183 secondes)
lors de la génération de nos paires de clés, Le routeur nous avertit avec le nom utilisé pour les clés, qui se compose du nom d’hôte du routeur (R1) + nom de domaine configuré (firewall.cx)., Enfin, nous pouvons sélectionner la quantité de bits utilisée pour le module (clé).
puisque nous avons choisi de générer une clé en utilisant 4096 bits, le routeur a pris un peu plus de 3 minutes pour générer la clé! Notez que le routeur utilisé dans notre exemple était un Cisco 877.
avec SSH activé, nous sommes en mesure de ssh dans notre routeur et de le gérer en toute sécurité à partir de n’importe quel endroit dans le monde.,
pour afficher toute session SSH active, utilisez simplement la commande show ssh:
R1# show ssh
Mode de version de connexion cryptage HMAC State Username
0 2.0 IN AES256-cbc HMAC-sha1 session started admin
0 2.0 OUT aes256-cbc hmac-sha1 session commencée admin
%aucune connexion de serveur sshv1 en cours d’exécution.
R1 #
cet article a expliqué l’importance d’activer et d’utiliser SSH pour gérer et configurer à distance votre routeur Cisco., Nous avons vu comment créer des utilisateurs pour la gestion à distance, activer AAA, crypter les mots de passe en texte clair, activer SSHv2, générer des clés RSA et vérifier les sessions SSH sur notre routeur.
retour à la section des routeurs Cisco