Comment faire pour configurer SSH (Secure Shell) pour connexion à distance sur un routeur Cisco
Par Don R. Crawley
Avant l'introduction de SSH dans le logiciel IOS de Cisco, le protocole de connexion à distance ne fut Telnet. Bien que tout à fait fonctionnelle, Telnet est un protocole non sécurisé dans lequel toute la session, y compris l'authentification, est en texte clair et donc soumis à l'espionnage.
SSH est à la fois un protocole et une application qui remplace Telnet et fournit une connexion cryptée pour l'administration à distance d'un périphérique réseau Cisco, tel qu'un routeur, un commutateur ou appliance de sécurité.
Le Cisco IOS comprend à la fois un serveur SSH et un client SSH. Ce document ne concerne que la configuration du composant serveur SSH.
Pré-requis
Logiciel
Le composant serveur SSH requiert que vous avez un IPSec (DES ou 3DES) image logiciel de chiffrement de Cisco IOS 12.1 Release (1) T ou ultérieure installé sur votre routeur. IP avancés images services incluent le composant IPSec. Ce document a été écrit en utilisant c2800nm-advipservicesk9-mz.123-14.T5.bin.
La pré-configuration
Vous devez configurer un nom d'hôte et un nom de domaine sur votre routeur. Par exemple:
router#
router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
router01(config)#hostname router01
router01(config)#ip domain-name domain.local
Vous devez également générer une paire de clés RSA pour votre routeur qui permet automatiquement SSH. Dans l'exemple suivant, notez comment la paire de clés est nommé pour la combinaison de nom d'hôte et de domaine qui ont été précédemment configuré. Le module représente la longueur de la clé. Cisco recommande une longueur minimale de la clé de 1024 bits (même si la longueur de clé par défaut est de 512 bits):
router01(config)#
router01(config)#crypto key generate rsa
Le nom des touches sera: router01.domain.local
Choisissez la taille du module clé dans la gamme de 360 à 2048 pour vos clés à usage général. Choix d'un module clé supérieure à 512 peut prendre quelques minutes.
How many bits in the modulus [512]: 1024
% Génération 1024 bit RSA ... [OK]
Enfin, vous devez soit utiliser un serveur AAA comme un RADIUS ou TACACS + serveur ou créer une base de données d'utilisateur local pour authentifier les utilisateurs distants et activer l'authentification sur les lignes de terminal. Aux fins du présent document, nous allons créer une base de données d'utilisateur local sur le routeur. Dans l'exemple suivant, l'utilisateur "Fait" a été créé avec un niveau de privilège de 15 (le maximum autorisé) et étant donné un mot de passe crypté de "p @ ss5678". (La commande "secret" suivi par "0" indique au routeur pour crypter le mot de passe en texte clair suivant. Dans la configuration existante du routeur, le mot de passe ne serait pas lisible par l'homme.) Nous avons également utilisé le mode de configuration en ligne pour dire au routeur d'utiliser son locale base de données utilisateur pour l'authentification (connexion locale) sur les lignes terminaux 0-4.
router01(config)#username donc privilege 15 secret p@ss5678
router01(config)#line vty 0 4
router01(config-line)#login local
Activation de SSH
Pour activer SSH, vous devez indiquer au routeur qui paire de clés à utiliser. En option, vous pouvez configurer la version SSH (par défaut à la version 1 de SSH), les valeurs de temporisation d'authentification, et de plusieurs autres paramètres. Dans l'exemple suivant, nous avons dit au routeur d'utiliser la paire de clés précédemment créée et à utiliser la version 2 de SSH:
router01(config)#
router01(config)#ip ssh version 2
router01(config)#ip ssh rsa keypair-name router01.domain.local
Vous pouvez maintenant vous connecter à votre routeur en toute sécurité en utilisant un client SSH comme TeraTerm.
Affichage des configurations SSH et connexions
Vous pouvez utiliser les commandes du mode privilégié "ssh vue" et "ip vue ssh" pour afficher les configurations SSH et connexions (le cas échéant). Dans l'exemple suivant, la configuration SSHv1 à partir d'un routeur Cisco 871 est vérifiée à l'aide "show ip ssh" et une seule connexion SSHv1 est affiché en utilisant la commande "show ssh". Notez que nous n'avons pas permettre SSHv2 sur ce routeur, il fait défaut à la version SSH 1.99. A noter également dans la sortie de la «show ssh" commande que la version 1 de SSH par défaut 3DES. SSHv2 supports AES, une technologie de cryptage plus robuste et plus efficace. SSHv2 n'est pas non plus soumis à des failles de sécurité identiques à celles SSHv1. Les meilleures pratiques recommandent l'utilisation de SSHv2 et la désactivation d'un dropback à SSHv1. Activation SSHv2 désactive SSHv1. Cet exemple est inclus uniquement pour démontrer la compatibilité ascendante:
router04#
router04#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
router04#
router04#show ssh
Connection Version Encryption State Username
2 1.5 3DES Session started donc
%No SSHv2 server connections running.
router04#
Vous pouvez également utiliser la commande "debug ip ssh" pour dépanner les configurations SSH.
Copyright (c) 2008 Don R. Crawley
Don R. Crawley, Linux + et CCNA certifié, est président et chef de la technologie au soundtraining.net , l'entreprise spécialisée dans la formation de Seattle accélérée, axée sur les tâches de formation pour les professionnels de l'informatique. Il travaille avec les professionnels en TI pour améliorer leur travail, la vie, et les carrières. Pour plus d'informations sur les possibilités d'apprentissage avec soundtraining.net, visitez le site ici .
Source de l'article: http://EzineArticles.com/?expert=Don_R._Crawley
Related posts:
Derniers Commentaires