DÉVERROUILLEZ LE MONDE DE L'IT

Apprentissage Sans Frontières

Accédez gratuitement à nos supports de cours et élargissez vos horizons en IT

Configuration SSH

Configuration SSH

Damien.SO Damien.SO
6 minutes de lecture

configuration ssh

SÉCURISATION DE L'ACCÈS À DISTANCE

Il est possible de lancer une connexion SSH ou Telnet à l'aide d'un client comme Putty qui est installé sur son PC. 

PuTTY c’est un émulateur pour les protocoles SSH ou Telnet. On peut aussi faire des connexions directes avec un câble série RS-232. 

À l’origine, ce logiciel n’était disponible que sur Windows. Maintenant il est aussi dispo sur les plates-formes Unix !

On va maintenant voir comment ouvrir les accès Telnet sur un switch.

La commande « line vty 0 4 » permet de rentrer dans la configuration des 5 lignes d’accès à distance. Le « 0 » compte comme un accès, c’est pour ça qu’il y en a 5.

On peut remarquer que le sigle est passé de config à config-line !

La commande « password » permet d’attribuer un mot de passe. Ici j’ai choisi Pass4567.

Et la commande « login » active la connexion à distance avec un mot de passe pour les sessions Telnet qui rentre.

On peut aussi paramétrer un Time out de 5 minutes pour plus de sécurité !

Notre accès Telnet est désormais bien configuré !

On va maintenant passer à SSH, qui demande un peu plus de boulot… Même beaucoup + 😊

Tout d’abord, il faut configurer un hostname avec la commande « hostname + le nom ». 

Il ne faut surtout pas que le sigle soit marqué Switch ou router.

Ensuite il faut lui configurer un nom de domaine, avec la commande « ip domain name ». 

C’est indispensable, pour pouvoir générer la clé du certificat.

Les commandes « username » et « secret »  permettent de configurer un utilisateur avec mot de passe, qui servira pour se connecter en SSH !

La commande « crypto key generate rsa » servira à l’utilisateur pour s’authentifier ! Ici on prend une clé codée sur 1024 bits !

Ensuite il faut retourner dans la configuration de nos lignes VTY, pour y faire un « login local » qui forcera la connexion avec un nom d’utilisateur + mot de passe. 

Le « transport input ssh » permet d’interdire les accès Telnet, et forcer les connexions SSH avec un nom d’utilisateur ! Ce qui est beaucoup + sécure !

Et la commande « ssh version 2 » permet de supporter les bannières de connexion,et dispose d’un algorithme de chiffrement beaucoup plus sécurisé que la version 1.

Si on veut vérifier que le protocole SSH est bien activé, on peut utiliser la commande « show ip ssh ».

Et la commande « show ssh » permet de voir si une session SSH est en cours. Dans l’exemple, on voit que l’utilisateur1 est connecté !

Quand on lance une connexion SSH pour la première fois à partir d'un ordinateur, on reçoit systématiquement une fenêtre d'alerte qui indique que la clé de l’hôte du serveur n'est pas mise en cache dans l’application PuTTY.

Si on ajoute la clé dans le cache, le popup ne reviendra plus sur l’ordinateur !

Les protocoles Telnet ou SSH sont très utilisés.

C’est pourquoi il vaut mieux limiter les accès VTY à des adresses IP spécifiques ou à des sous-réseaux, pour mieux contrôler l'administration à distance !

LIMITER L'ACCÈS À DISTANCE AVEC ACL

Pour ajouter cette sécurité, il faut utiliser les ACL’s

La commande « access-list » permet de créer l’ACL en mode de configuration global. 

Dans l’exemple, la liste d’accès Numéro 1 n'autorisera que le réseau 192.168.1.0, c’est-à-dire celui du PC 1 ou de tous les hôtes qui vont de .1 à .254 !

La commande  « deny any log » n’est pas obligatoire car implicitement, il y a une règle qui supprime tous les paquets qui n’ont pas étés matchés par une ACL !

Mais cette commande permet en quelque sorte de l’officialiser pour avoir des traces dans le journal ! Comme ça, toutes les tentatives qui ont été rejetées seront affichées dans le journal !

Ensuite, il ne reste plus qu’à appliquer l’ACL sur les VTY de 0 à 4 !

Le PC1 pourra se connecter sans problème en SSH sur le routeur, mais pas le PC2 !

BANNIÈRE DE CONNEXION

Il est possible de configurer une bannière d'accueil qui sera affichée lorsqu’un utilisateur se connectera sur l’IOS ! Ce message peut être un message d’avertissement, ou bien pour informer d’une prochaine mise à jour !

Pour créer cette bannière de connexion, il faut utiliser la commande « banner motd » .

Le message à taper doit figurer entre deux caractères spéciaux. 

Ici, il est entre les deux # ! Le message sera affiché après le login !

Et si on utilise la commande  « banner login », le message sera affiché avant le login de l’utilisateur

Pour cette commande, il faut ajouter le texte de la bannière entre guillemets.

Et quand un utilisateur se connectera sur le routeur, il verra ce type de message avec l’avertissement !

Alors aux États-Unis, s’il n’y a pas de bannière d’avertissement de configurée, ou si elle n’est pas suffisamment claire, eh bien une personne malveillante pourrait faire subir de gros dégâts à l’entreprise, sans être poursuivie car il n’a pas été averti avant de se connecter !

Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.

« Retour au blog