Introduction

Mettre en place une connexion via SSH peut présenter beaucoup d’avantage pour la configuration de matériel Cisco. Cela peut permettre l’administration de l’appareil à distance, et ajoute aussi une couche de sécurité supplémentaire en se passant du câble console physique (rendant le poste connecté vulnérable).

Configuration

Prérequis

Afin de pouvoir se connecter à distance, il faut qu’au moins une interface de l’appareil ait une adresse IP configurée :

int [INTERFACE]
ip add [ADRESSE_IP] [MASQUE]

Note : Dans le cas d’un commutateur, il faut mettre l’adresse IP sur un VLAN et associer le VLAN à un port.

Il est également obligatoire qu’un mot de passe soit configuré pour le mode d’accès privilégié “enable”, ainsi qu’un nom d’hôte pour l’appareil :

hostname [NOM]
enable password [MOT_DE_PASSE]

Mise en place

Dans un premier temps, il faut renseigner un nom de domaine (ici test.lan) sur l’appareil :

ip domain-name test.lan

Ensuite, on peut générer la clé de chiffrement RSA qui sera utilisée par SSH :

crypto key generate rsa

Note : Il est préférable de choisir une longueur d’au moins 2048 pour la clé dans une optique de sécurité.

Pour la connexion, nous avons également besoin d’un compte qui sera utilisé pour la connexion. On peut en créer un avec la commande suivante :

username [NOM] password [MOT_DE_PASSE]

Dorénavant, nous allons configurer des lignes virtuelles pour accueillir des connexions SSH.

Création de 5 lignes virtuelles (il est possible d’en configurer plus ou moins) :

line vty 0 4

Choisir le mode de transport “SSH” pour les flux entrants et sortants :

transport input ssh
transport output ssh

Forcer l’utilisation d’un compte utilisateur local pour les lignes virtuelles :

login local

Astuces

Horodatage de l’appareil

Il se peut qu’il faille changer l’heure de l’appareil pour pouvoir créer la clé :

clock set hh:mm:ss month day year

Voici un exemple d’utilisation pour la date du 1er janvier 2000, à 18h30 (le mois doit être indiqué sur 4 caractères).

clock set 18:30:00 Janu 01 2000

Politique de mot de passes

Les appareils Cisco prennent en charge différents niveaux de chiffrement pour les mots de passes. Il est recommandé de choisir le chiffrement de type 5 ou 7. Les commandes pour la configuration de mots de passes se trouvent sur le site officiel de Cisco (article en anglais).