Introduction
Mettre en place une connexion via SSH peut présenter beaucoup d’avantage pour la configuration de matériel Cisco. Cela peut permettre l’administration de l’appareil à distance, et ajoute aussi une couche de sécurité supplémentaire en se passant du câble console physique (rendant le poste connecté vulnérable).
Configuration
Prérequis
Afin de pouvoir se connecter à distance, il faut qu’au moins une interface de l’appareil ait une adresse IP configurée :
int [INTERFACE]
ip add [ADRESSE_IP] [MASQUE]
Note : Dans le cas d’un commutateur, il faut mettre l’adresse IP sur un VLAN et associer le VLAN à un port.
Il est également obligatoire qu’un mot de passe soit configuré pour le mode d’accès privilégié “enable”, ainsi qu’un nom d’hôte pour l’appareil :
hostname [NOM]
enable password [MOT_DE_PASSE]
Mise en place
Dans un premier temps, il faut renseigner un nom de domaine (ici test.lan
) sur l’appareil :
ip domain-name test.lan
Ensuite, on peut générer la clé de chiffrement RSA qui sera utilisée par SSH :
crypto key generate rsa
Note : Il est préférable de choisir une longueur d’au moins
2048
pour la clé dans une optique de sécurité.
Pour la connexion, nous avons également besoin d’un compte qui sera utilisé pour la connexion. On peut en créer un avec la commande suivante :
username [NOM] password [MOT_DE_PASSE]
Dorénavant, nous allons configurer des lignes virtuelles pour accueillir des connexions SSH.
Création de 5 lignes virtuelles (il est possible d’en configurer plus ou moins) :
line vty 0 4
Choisir le mode de transport “SSH” pour les flux entrants et sortants :
transport input ssh
transport output ssh
Forcer l’utilisation d’un compte utilisateur local pour les lignes virtuelles :
login local
Astuces
Sécurité
Il est fortement recommandé d’activer la version 2 de SSH afin de profiter d’une sécurité renforcée sur l’appareil :
ip ssh version 2
Horodatage de l’appareil
Il se peut qu’il faille changer l’heure de l’appareil pour pouvoir créer la clé :
clock set hh:mm:ss month day year
Voici un exemple d’utilisation pour la date du 1er janvier 2000, à 18h30 (le mois doit être indiqué sur 4 caractères).
clock set 18:30:00 Janu 01 2000
Politique de mot de passes
Les appareils Cisco prennent en charge différents niveaux de chiffrement pour les mots de passes. Il est recommandé de choisir le chiffrement de type 5 ou 7. Les commandes pour la configuration de mots de passes se trouvent sur le site officiel de Cisco (article en anglais).