La scurit est lun des facteurs les plus importants prendre en compte au niveau de la conception et dploiement des rseaux.

. Il est donc impratif que lon soit en mesure de vrifier et de corriger une grande partie, ou la totalit, des vulnrabilits qui peuvent exister dans un rseau. Aujourdhui, nous allons nous concentrer sur lactivation et la configuration SSH sur votre routeur Cisco, et expliquer pourquoi nous devrions toujours utiliser SSH plutt que Telnet. Cisco est lun des leaders en scurit dans le domaine des rseaux, cependant avoir seulement des quipements Cisco ne suffit pas assurer la scurit des systmes dinformation. Il faut par ailleurs les configurer correctement afin dviter un maximum dattaques.

Pourquoi utiliser SSH

Secure Shell (SSH) amliore la scurit du rseau en fournissant un moyen dtablir des connexions scurises aux quipements rseaux pour les grer distance, ce qui empche les hackers dy accder. Par lutilisation des certificats numriques, dans une architecture cl publique ou prive, SSH est en mesure dauthentifier les clients et les serveurs et de sassurer que lquipement rseau ou le serveur auquel vous allez vous connectez est exactement celui quil prtend tre. Maintenant que nous avons une ide de comment SSH scurise son trafic rseau, la prochaine tape est de savoir o obtenir ce que nous appelons un certificat numrique. Devons-nous lacheter dans un magasin? Les certificats numriques peuvent tre acquis gnralement de trois faons diffrentes. La plus sre (et coteux) est de lacheter auprs dune Socit dApprobation Publique, appele Autorit de Certification. VeriSign est lune de ces socits. Une deuxime faon consiste utiliser une autorit de certification en interne (en installant par exemple le rle AD CS Active Directory Certificate Services- sur un serveur Windows 2008 en interne) ; La troisime faon est la gnration dun certificat auto-sign sur lquipement lui-mme. Cette dernire solution est la moins sre, mais offre une scurit suffisante pour verrouiller votre quipement rseau. Ce certificat auto-sign peut tre gnr en utilisant des commandes sur le routeur Cisco.

Configuration SSH dans les routeurs Cisco

Maintenant que nous avons une ide de la manire dont SSH fonctionne la prochaine tape est la configuration dun quipement Cisco via lapplication des commandes adquates pour assurer le bon fonctionnement de SSH. Pour cet exercice, on va utiliser un routeur Cisco de srie 871 SOHO avec la version IOS 12.4. Selon si le routeur utilis est neuf ou en production, vous allez devoir, soit nous connecter via la console ou via une session Telnet.

Ci-dessous les tapes suivre pas pas : 1. Configurer un nom pour le routeur en utilisant ces commandes :

2. Routeur#configure terminal 3. Enter configuration commands, one per line. End with CNTL/Z. 4. Routeur (config)#hostname AlphardLabRouter AlphardLabRouter(config)#
5. Configurer un nom de domaine avec la commande ip domain-name suivi du nom de votre domaine. Jai utilis alphardtechlab.com :

AlphardLabRouter (config) # ip domain-name alphardtechlab.com

6. On va gnrer un certificat qui sera utilis pour chiffrer les paquets SSH en utilisant la commandecrypto key generate rsa Noter bien le message affich droite juste aprs avoir entr cette commande : le nom de la cl sera AlphardLabRouter. alphardtechlab.com il combine le nom du routeur ainsi que celui du domaine, nous lavons configur pour obtenir le nom de la cl de chiffrement gnr, cest pourquoi il tait important pour nous, de configurer un nom du routeur, puis un nom de domaine en premier, avant de gnrer les cls. Notez galement quil nous demande de choisir une taille de module de la cl que nous sommes entrain de gnrer. Plus le module est grand, plus le cryptage de la cl est fort. Pour notre exemple, nous allons utiliser un module de 1024. 7. Maintenant que nous avons gnr notre cl, la prochaine tape sera de configurer nos lignes VTY pour un accs SSH et prciser quelle base de donnes, nous allons utiliser pour fournir une authentification lquipement. La base de donnes locale sur le routeur fonctionnera trs bien pour cet exemple :

8. AlphardLabRouter(config)#line vty 0 4 9. AlphardLabRouter(config-line)#login local 10. AlphardLabRouter(config-line)#transport input ssh

11. Vous devrez crer un compte sur la base de donnes locale du routeur qui sera utilise pour lauthentification lquipement. Ceci peut tre accompli avec cette commande :

AlphardLabRouter(config)#username XXXX privilege 15 secret YYYYY

Renforcer la scurit en rajoutant dautres configurations : Nous avons peu prs termin toutes les tapes ncessaires pour configurer et utiliser SSH sur votre routeur, afin de renforcer la scurit de lquipement, on peut rajouter dautres configurations.

Je vous recommande fortement dappliquer la commande exec time-out sur votre routeur pour empcher quiconque daccder lquipement dans les cas o vous avez oubli de vous dconnecter ou de vous distraire en raison dune urgence. En tapant cette commande, le routeur se dconnectera automatiquement aprs lexpiration de la priode dtermine pour cette session. Vous devez configurer cette commande sur une interface comme dcrit ci-dessous. : AlphardLabRouter(config)#line vty 0 4 AlphardLabRouter(config-line)# exec-timeout 5 Cela signifie que si la session est inactive pendant 5 minutes, le routeur dconnectera automatiquement la session. Vous pouvez mme utilisez Access Control Lists (ACL) comme une couche supplmentaire de scurit, ce qui fera en sorte que seuls les quipements avec des adresses IP bien dtermines, soient capables de se connecter au routeur. AlphardLabRouter(config)#access-list 1 permit 192.168.100.0 0.0.0.255 AlphardLabRouter(config)#line vty 0 4 AlphardLabRouter(config-line)#access-class 1 in

Activation de SSH2
Un autre point trs important noter, est lutilisation de SSH2, plutt que SSH1. SSH2 amliore un grand nombre de faiblesses qui existaient dans SSH1, pour cette raison, je recommande toujours dutiliser SSH2 lorsque cela est possible. Activer SSH version 2 avec cette commande: AlphardLabRouter(config)#ip ssh version 2