SÉCURISATION DE L'ACCÈS À DISTANCE
Il est possible de lancer une connexion SSH ou Telnet à l'aide d'un client comme Putty qui est installé sur son PC.
PuTTY c’est un émulateur pour les protocoles SSH ou Telnet. On peut aussi faire des connexions directes avec un câble série RS-232.
À l’origine, ce logiciel n’était disponible que sur Windows. Maintenant, il est aussi dispo sur les plates-formes Unix !
On va maintenant voir comment ouvrir les accès Telnet sur un switch.
La commande « line vty 0 4 » permet de rentrer dans la configuration des 5 lignes d’accès à distance. Le « 0 » compte comme un accès, c’est pour ça qu’il y en a 5.
On peut remarquer que le sigle est passé de config à config-line !
La commande « password » permet d’attribuer un mot de passe. Ici, j'ai choisi Pass4567.
Et la commande « login » active la connexion à distance avec un mot de passe pour les sessions Telnet qui rentre.
On peut aussi paramétrer un Time out de 5 minutes pour plus de sécurité !
Notre accès Telnet est désormais bien configuré !
On va maintenant passer à SSH, qui demande un peu plus de boulot… Même beaucoup + 😊
Tout d’abord, il faut configurer un hostname avec la commande « hostname + le nom ».
Il ne faut surtout pas que le sigle soit marqué Switch ou router.
Ensuite, il faut lui configurer un nom de domaine, avec la commande « ip domain name ».
C’est indispensable, pour pouvoir générer la clé du certificat.
Les commandes « username » et « secret » permettent de configurer un utilisateur avec mot de passe, qui servira pour se connecter en SSH !
La commande « crypto key generate rsa » servira à l’utilisateur pour s’authentifier ! Ici, on prend une clé codée sur 1024 bits !
Ensuite, il faut retourner dans la configuration de nos lignes VTY, pour y faire un « login local » qui forcera la connexion avec un nom d’utilisateur + mot de passe.
Le « transport input ssh » permet d’interdire les accès Telnet, et forcer les connexions SSH avec un nom d’utilisateur ! Ce qui est beaucoup + sécure !
Et la commande « ssh version 2 » permet de supporter les bannières de connexion, et dispose d’un algorithme de chiffrement beaucoup plus sécurisé que la version 1.
Si on veut vérifier que le protocole SSH est bien activé, on peut utiliser la commande « show ip ssh ».
Et la commande « show ssh » permet de voir si une session SSH est en cours. Dans l’exemple, on voit que l’utilisateur1 est connecté !
Quand on lance une connexion SSH pour la première fois à partir d'un ordinateur, on reçoit systématiquement une fenêtre d'alerte qui indique que la clé de l’hôte du serveur n'est pas mise en cache dans l’application PuTTY.
Si on ajoute la clé dans le cache, le popup ne reviendra plus sur l’ordinateur !
Les protocoles Telnet ou SSH sont très utilisés.
C’est pourquoi il vaut mieux limiter les accès VTY à des adresses IP spécifiques ou à des sous-réseaux, pour mieux contrôler l'administration à distance !
LIMITER L'ACCÈS À DISTANCE AVEC ACL
Pour ajouter cette sécurité, il faut utiliser les ACL’s
La commande « access-list » permet de créer l’ACL en mode de configuration global.
Dans l’exemple, la liste d’accès Numéro 1 n'autorisera que le réseau 192.168.1.0, c’est-à-dire celui du PC 1 ou de tous les hôtes qui vont de .1 à .254 !
La commande « deny any log » n’est pas obligatoire, car implicitement, il y a une règle qui supprime tous les paquets qui n’ont pas été matchés par une ACL !
Mais cette commande permet en quelque sorte de l’officialiser pour avoir des traces dans le journal ! Comme ça, toutes les tentatives qui ont été rejetées seront affichées dans le journal !
Ensuite, il ne reste plus qu’à appliquer l’ACL sur les VTY de 0 à 4 !
Le PC1 pourra se connecter sans problème en SSH sur le routeur, mais pas le PC2 !
BANNIÈRE DE CONNEXION
Il est possible de configurer une bannière d'accueil qui sera affichée lorsqu’un utilisateur se connectera sur l’IOS ! Ce message peut être un message d’avertissement, ou bien pour informer d’une prochaine mise à jour !
Pour créer cette bannière de connexion, il faut utiliser la commande « banner motd ».
Le message à taper doit figurer entre deux caractères spéciaux.
Ici, il est entre les deux # ! Le message sera affiché après le login !
Et si on utilise la commande « banner login », le message sera affiché avant le login de l’utilisateur.
Pour cette commande, il faut ajouter le texte de la bannière entre guillemets.
Et quand un utilisateur se connectera sur le routeur, il verra ce type de message avec l’avertissement !
Alors aux États-Unis, s’il n’y a pas de bannière d’avertissement de configurée, ou si elle n’est pas suffisamment claire, eh bien une personne malveillante pourrait faire subir de gros dégâts à l’entreprise, sans être poursuivie, car il n’a pas été averti avant de se connecter !
Conclusion
La sécurisation des accès à distance revêt une importance capitale dans la gestion des réseaux informatiques.
PuTTY, un émulateur de protocoles distants, constitue un outil incontournable pour l'établissement de connexions sécurisées. Son utilisation permet de garantir la confidentialité et l'intégrité des données échangées.
L'intégration de mesures de sécurité telles que la gestion des utilisateurs, l'attribution de mots de passe robustes et la génération de clés de cryptage renforce la protection des accès distants.
L'élimination des vulnérabilités associées aux protocoles non sécurisés comme Telnet, au profit de l'utilisation de Protocole Secure Shell, est une démarche essentielle dans la sécurisation des infrastructures réseau.
L'imposition de restrictions d'accès basées sur des listes de contrôle d'accès (ACL) permet de restreindre les connexions aux seules adresses IP autorisées, renforçant ainsi la sécurité du système.
Enfin, la mise en place de bannières de connexion constitue une mesure de sensibilisation importante envers les utilisateurs, les informant des règles et des avertissements relatifs à l'accès au réseau.
En somme, la sécurisation des accès à distance est un processus continu qui requiert une attention constante pour préserver l'intégrité et la confidentialité des données échangées sur les réseaux informatiques.
Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.
