+ de 700 vidéos sur le CCNA
  • N°1 de la certification Cisco Francophone
  • + de 8000 abonnés
  • + de 400 000 vidéos vues

Configuration SSH : Sécurisation de l’accès à distance

Configuration SSH : Il est possible de lancer une connexion SSH ou Telnet à l’aide d’un client comme| Putty qui est installé sur son PC. 

PuTTY c’est un émulateur pour les protocoles SSH ou Telnet. On peut aussi faire des connexions directes avec un câble série |RS-232.

À l’origine, ce logiciel n’était disponible que sur Windows. Maintenant il est aussi dispo sur les plates-formes Unix !

On va maintenant voir, |comment ouvrir les accès Telnet sur un switch

La commande « line vty 0 4 » permet de rentrer dans la configuration des 5 lignes d’accès à distance. Le « 0 » compte comme un accès, c’est pour ça qu’il y’en a 5.

|On peut remarquer que le sigle est passé de config à config-line !

La commande « password » permet d’attribuer un mot de passe. Ici j’ai choisi Pass4567.

Et la commande « login » active la connexion à distance avec un mot de passe pour les sessions Telnet qui rentre.

|On peut aussi paramétrer un Time out de 5 minutes, pour plus de sécurité !

Notre accès Telnet est désormais bien configuré !

On va maintenant passer à SSH, qui demande un |peu plus de boulot… Même beaucoup + 😊

Tout d’abord, il faut configurer un hostname avec la commande | « hostname + le nom ».

Il ne faut surtout pas que le sigle soit marqué |Switch ou router.

Ensuite il faut lui configurer un nom de domaine, avec la commande | « ip |domain name ».

C’est indispensable, pour pouvoir générer la clé du certificat.

|Les commandes « username » et « secret » permettent de configurer un utilisateur avec mot de passe, qui servira pour se connecter en SSH !

|La commande « crypto key generate rsa » servira à l’utilisateur pour s’authentifier ! Ici on prend une clé codée sur 1024 bits !

|Ensuite il faut retourner dans la configuration de nos lignes VTY, pour y faire un | « login local » qui forcera la connexion avec un nom d’utilisateur + mot de passe.

Le| « transport input ssh » permet d’interdire les accès Telnet, et forcer les connexions SSH avec un nom d’utilisateur ! Ce qui est beaucoup + sécure !

Et la commande | « ssh version 2 » permet de supporter les bannières de connexion, et dispose d’un algorithme de chiffrement beaucoup + sécurisé que la version 1.

Si on veut vérifier |que le protocole SSH est bien activé, on peut utiliser la commande « show ip ssh »

|Et la commande « show ssh » permet de voir si une session SSH est en cours. Dans l’exemple, on voit que l’utilisateur1 est connecté !  

Quand on lance une connexion SSH pour la première fois à partir d’un ordinateur, |on reçoit systématiquement une fenêtre d’alerte qui indique que la clé de l’hôte du serveur n’est pas mise en cache dans l’application PuTTY.

Si on ajoute la clé dans le cache, le popup ne reviendra plus sur l’ordinateur !

|Les protocoles Telnet ou SSH sont très utilisés.

C’est pourquoi il vaut mieux limiter les accès VTY, à des adresses IP spécifiques ou à des sous-réseaux, pour mieux contrôler l’administration à distance !

Limiter l’accès à distance avec ACL

Pour ajouter cette sécurité, il faut utiliser les |ACL’s

La commande « access-list » permet de créer l’ACL en mode de configuration global.

Dans l’exemple, la liste d’accès Numéro 1 autorisera que le réseau 192.168.1.0. C’est-à-dire celui du PC 1, ou de tous les hôtes qui vont de .1 à .254 !

La commande « deny any log » n’est pas obligatoire, car implicitement il y’a une règle qui supprime tous les paquets, qui n’ont pas étés matchés par une ACL !

Mais, cette commande, permets en quelque sorte de l’officialiser pour avoir des traces dans le journal ! Comme ça, toutes les tentatives qui ont été rejetées seront affichées dans le journal !

|Ensuite il reste plus qu’à appliquer l’ACL sur les VTY de 0 à 4 !

Le PC1 pourra se connecter sans problème en SSH sur le routeur, mais pas le PC2 !

Bannière de connexion

|Il est possible de configurer une bannière d’accueil qui sera affichée lorsqu’un utilisateur se connectera sur l’IOS ! Ce message peut être un message d’avertissement, ou bien pour informer d’une prochaine mise à jour !

Pour créer cette bannière de connexion, il faut utiliser la |commande « banner motd » .

Le message à taper doit figurer entre deux caractères spéciaux.

Ici il est entre les deux # ! Le message sera affiché après le login !

|Et si on utilise la commande « banner login », le message sera affiché avant le login de l’utilisateur.

Pour cette commande, il faut ajouter le texte de la bannière entre guillemets.

Et quand un utilisateur se connectera sur le routeur, |il verra ce type de message, avec l’avertissement !