la sécurité continue de dominer l’industrie informatique et est l’un des facteurs les plus importants à considérer lors de la conception et du déploiement de réseaux.
Il est donc impératif que nous soyons en mesure de déterminer et de prévenir la plupart, sinon la totalité, des vulnérabilités qui peuvent exister. Une de ces faiblesses est Telnet auquel SSH est l’alternative.
Aujourd’hui, nous allons examiner plus en profondeur comment vous pouvez activer et configurer votre routeur Cisco pour utiliser SSH et pourquoi nous devrions toujours utiliser SSH si possible par opposition à l’utilisation de Telnet.,
Nous savons tous qu’en matière de sécurité dans L’univers des réseaux, Cisco est l’un des plus grands acteurs. Cependant, avoir juste un périphérique Cisco ne signifie pas que vous êtes sécurisé. Il vous incombe de vous assurer que vous avez correctement configuré ce périphérique pour éviter la plupart, sinon la totalité, des failles.
Pourquoi utiliser Secure Shell (SSH)?
Secure Shell (SSH) améliore la sécurité du réseau en fournissant un moyen d’établir des connexions sécurisées aux périphériques réseau pour la gestion, empêchant ainsi les pirates d’y accéder.,
en utilisant des certificats numériques, dans une cryptographie à clé publique / privée, SSH est capable d’authentifier des clients ou des serveurs en s’assurant que l’appareil ou le serveur auquel vous êtes sur le point de vous connecter est exactement ce qu’ils prétendent être.
Ok, alors maintenant que nous avons une très brève idée de la façon dont SSH sécurise le trafic réseau, la prochaine étape consiste à déterminer où obtenir ce que nous appelons un certificat numérique. Devons-nous aller dans un magasin pour l’acheter?
Les certificats numériques peuvent être acquis de trois manières différentes., Le plus sûr (et le plus coûteux) est de le demander à une entreprise de confiance appelée autorité de certification. Un exemple D’une telle société est VeriSign, qui est très populaire dans l’industrie de L’autorité de certification pour son rôle dans la fourniture de certificats de confiance dans le monde entier; ces certificats peuvent cependant coûter très cher.
Il existe deux autres façons de demander un certificat. L’une consiste à utiliser une autorité de certification de confiance interne (approuvée au sein d’une entreprise) également appelée autorité de certification d’entreprise ou en générant un certificat d’auto-signature sur le périphérique lui-même., Le dernier est le formulaire le moins sécurisé, mais offre une sécurité plus que suffisante pour verrouiller votre périphérique réseau moyen. Ce certificat auto-signé peut être généré à l’aide des commandes intégrées sur votre routeur Cisco.
Qu’en est-il de Telnet?
comme SSH, Telnet peut également être utilisé pour se connecter à votre routeur mais, le principal inconvénient de l’utilisation de Telnet est qu’il ne chiffre pas ses connexions., Cela signifie que si un pirate est capable de capturer des paquets à partir d’une session Telnet, il ou elle serait en mesure de visualiser les informations contenues dans ces paquets, tels que le nom d’utilisateur et le mot de passe d’un client, accédant ainsi à votre routeur.
Le diagramme ci-dessous vous donnera une idée de la façon dont cela fonctionne.
configuration du routeur SSH
maintenant que nous comprenons comment fonctionne SSH et pourquoi nous devrions l’utiliser au lieu de Telnet, l’étape suivante consiste à configurer le périphérique, ce qui est toujours ma partie préférée.,
pour cet exercice, j’utiliserai un routeur Soho de la série Cisco 871 avec IOS ver. 12.4 logiciel. Selon que votre routeur est neuf ou actuellement dans un environnement de production, vous devrez vous connecter via une session Console ou via une session Telnet.
jetez un oeil à mon article sur Configurer un routeur Cisco pour utiliser RADIUS pour l’authentification pour les étapes nécessaires pour se connecter via une session de Console ou vous pouvez vérifier cet article sur le site Web de Cisco.
Voici les étapes:
1. Configurez un nom d’hôte pour le routeur à l’aide de ces commandes.,
yourname#configure terminal
entrez les commandes de configuration, une par ligne. Fin avec CNTL/Z.
votrenom (config)#hostname LabRouter
LabRouter(config)#
2. Configurez un nom de domaine avec la commande nom de domaine ip suivie de ce que vous souhaitez que votre nom de domaine soit. J’ai utilisé CiscoLab.com.
LabRouter(config)#nom de domaine ip CiscoLab.com
3. Nous générons un certificat qui sera utilisé pour chiffrer les paquets SSH à l’aide de la commande crypto key generate rsa.,
prenez note du message qui s’affiche juste après avoir entré cette commande: « le nom des clés sera: LabRouter.CiscoLab.com » it Il combine le nom d’hôte du routeur avec le nom de domaine que nous avons configuré pour obtenir le nom de la clé de cryptage générée; c’est pourquoi il était important pour nous de, tout d’abord, configurer un nom d’hôte puis un nom de domaine avant de générer les clés.
Notez aussi qu’il nous demande de choisir une taille de module pour la clé que nous sommes sur le point de générer. Plus le module, plus le cryptage de la clé., Pour notre exemple, nous allons utiliser un module de 1024.
4. Maintenant que nous avons généré la clé, notre prochaine étape consisterait à configurer nos lignes vty pour l’accès SSH et à spécifier la base de données que nous allons utiliser pour fournir une authentification au périphérique. La base de données locale sur le routeur fera très bien pour cet exemple.
LabRouter(config)#line vty 0 4
LabRouter(config-line)#login local
LabRouter(config-line)#transport input ssh
5., Vous devrez créer un compte sur la base de données du routeur local à utiliser pour l’authentification sur le périphérique. Cela peut être accompli avec ces commandes.
LabRouter(config)#username XXXX privilege 15 secret XXXX
réglage fin de votre configuration SSH
Nous avons à peu près terminé toutes les étapes nécessaires pour configurer et utiliser SSH sur votre routeur; cependant, il existe d’autres configurations qui peuvent être faites pour sécuriser davantage votre appareil.,
pour un, je vous recommande fortement d’activer un délai d’attente exec sur votre routeur pour empêcher quiconque d’accéder à l’appareil dans les cas où vous avez oublié de vous déconnecter ou que vous êtes distrait en raison d’une urgence. De cette façon, le routeur vous déconnectera automatiquement après que la session a été inactive pendant une durée définie.
Vous devez configurer cette commande sur l’interface de ligne comme illustré ci-dessous.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
Cela signifie que si la session a été inactif pendant 5 minutes, le routeur se déconnecte automatiquement la session.
utilisez les listes de contrôle d’accès (ACL) comme couche de sécurité supplémentaire; cela garantira que seuls les périphériques avec une certaine adresse IP peuvent se connecter au routeur.
disons donc que le sous-réseau IP de votre réseau local est 192.168.100.0 / 24, vous créeriez une acl pour autoriser uniquement le trafic de ce sous-réseau et appliquer cette acl aux lignes vty.,
dernier conseil: activer SSH2
Un autre point crucial à noter est l’utilisation de SSH2 par opposition à l’utilisation de SSH1. SSH2 améliore beaucoup des faiblesses qui existaient dans SSH1 et pour cette raison, je recommande de toujours utiliser SSH2 si possible.
activez SSH version 2 avec cette commande:
LabRouter (config) # line VTY 0 4
LabRouter(config)#IP ssh versopn 2
la lecture détaillée sur SSH peut être faite à la RFC 4251