Secure Shell (SSH) est un protocole qui permet d'établir une connexion sécurisée (chiffrée) pour la gestion des
périphériques distants. SSH doit remplacer Telnet pour les connexions de gestion. Telnet est un protocole plus ancien
qui utilise un mode de transmission en texte clair non sécurisé des informations d'identification (nom d'utilisateur et
mot de passe) et des données entre les périphériques qui communiquent. SSH permet de sécuriser les connexions
distantes grâce à une méthode de chiffrement fort pour l'authentification des périphériques (nom d'utilisateur et mot de
passe), mais également pour la transmission des données entre les périphériques de communication. SSH est
attribué au port TCP 22. Telnet est attribué au port TCP 23.
Avant de configurer SSH, le commutateur doit au moins être configuré avec un nom d'hôte unique et avec les
paramètres de connectivité réseau adéquats.
Étape 1. Vérifiez la prise en charge du protocole SSH.
Utilisez la commande show ip ssh pour vérifier que le commutateur prend en charge SSH. Si le commutateur
n'exécute pas une version du logiciel IOS qui prend en charge les fonctionnalités de cryptographie (chiffrement), cette
commande n'est pas reconnue.
Étape 2. Configuration du domaine IP
Configurez le nom de domaine IP du réseau à l'aide de la commande de mode de configuration globale ip
domain-name nom-domaine. Dans la Figure 1, la valeur pour nom-domaine est cisco.com.
Étape 3. Générez des paires de clés RSA.
Toutes les versions de l'IOS utilisent par défaut SSH version 2. SSH version 1 a des failles de sécurité connues. Pour
configurer SSH version 2, exécutez la commande du mode de configuration globale ip ssh version 2. La
génération d'une paire de clés RSA active automatiquement SSH. Utilisez la commande de mode de configuration
globale crypto key generate rsa pour activer le serveur SSH sur le commutateur et pour générer une paire
de clés RSA. Lors de la génération de clés RSA, l'administrateur est invité à saisir une longueur de module. Cisco
recommande l'utilisation d'une longueur de module minimale de 1 024 octets (voir l'exemple de configuration sur la
Figure 1). Une longueur de module plus importante peut se révéler plus sûre, mais sa création et son utilisation
prennent plus de temps.
Étape 4. Configurez l'authentification utilisateur.
Le serveur SSH peut authentifier les utilisateurs localement ou avoir recours à un serveur d'authentification. Pour
utiliser la méthode d'authentification locale, créez un nom d'utilisateur et un mot de passe à l'aide de la commande du
mode de configuration globale username username secretpassword. Dans cet exemple, l'utilisateur
admin se voit attribuer le mot de passe ccna.
Étape 5. Configurez les lignes vty.
Activez le protocole SSH sur les lignes vty à l'aide de la commande de mode de configuration de ligne transport
input ssh. Le commutateur Cisco Catalyst 2960 intègre des lignes vty allant de 0 à 15. Cette configuration permet
d'interdire toute connexion autre que SSH (par exemple Telnet). Seules les connexions SSH sont ainsi autorisées sur
le commutateur. Utilisez la commande de mode de configuration globale line vty, puis la commande de mode
de configuration de ligne login local pour exiger l'authentification locale des connexions SSH provenant d'une
base de données de noms d'utilisateur locale.
Étape 6. Activez SSH version 2.
Par défaut, SSH prend en charge les versions 1 et 2. Cette double prise en charge se voit dans les résultats de la
commande show ip ssh (prise en charge de la version 1.99). La version 1 a des vulnérabilités connues. Par
conséquent, il est préférable d'activer uniquement la version 2. Activez cette version de SSH avec la commande de
configuration globale ip ssh version 2.
Tp à réaliser:
