RSA c’est du chiffrement Asymétrique où il y’a deux clés :

- Clef publique : permet de chiffrer (rendre inintelligible)

- Clef privée : permet de déchiffrer

TP

Configurer le Routeur Cisco à utiliser un serveur Syslog, NTP, et SSH.

Objectif
Configure le routers pour se metre a jour l’heure sur le serveur de NTP.
Configurer les routeurs pour enregistrer les messages sur le serveur syslog.
Configurer les routeurs d'horodater les messages de log.
Configurer las utilisateurs local.
Configurer les lignes VTY pour accepter les connexions SSH seulement.
Configurer une paire de clés RSA sur le serveur SSH.
Vérifiez la connectivité SSH à partir du PC client et le client du routeur.

Architecture du travail

Table des adresses

Devic Passerelle par
Interface adresse IP Masque Port Switch
e defaut
R1 FA0/1 192.168.1.1 255.255.255.0 N/A S1 FA0/5
FA0/0 10.1.1.1 255.255.255.252 N/A N/A
R2 FA0/1 10.1.1.2 255.255.255.252 N/A N/A
FA0/0 10.2.2.2 255.255.255.252 N/A N/A
R3 FA0/1 192.168.3.1 255.255.255.0 N/A S3 FA0/5
FA0/0 10.2.2.1 255.255.255.252 N/A N/A
PC-A NIC 192.168.1.5 255.255.255.0 192.168.1.1 S1 FA0/6
PC-B NIC 192.168.1.6 255.255.255.0 192.168.1.1 S2 FA0/18
PC-C NIC 192.168.3.5 255.255.255.0 192.168.3.1 S3 FA0/6
Introduction
Les serveurs ont été pré-configuré pour les services NTP et Syslog respectivement. NTP ne nécessite
pas d'authentification. Les routeurs ont été pré-configuré avec :
 Enable password: ciscoenpa55
 Password for vty lines: ciscovtypa55
 Static routing

A) Configurer les routeurs en tant que clients NTP.

 Testez la Connectivité
 Faites un Ping à partir de PC-C sur le routeur R3.
 Faites un Ping à partir du routeur R2 sur le routeur R3.
 Faites un Telnet à partir de PC-C sur R3.
 Faites un Telnet à partir de R2 sur R3.

 Configurer R1, R2 et R3 comme clients NTP.

R1(config)# ntp server 192.168.1.5
R2(config)# ntp server 192.168.1.5
R3(config)# ntp server 192.168.1.5
Vérifier la configuration du client à l'aide de la commande show ntp status.
 Configurez les routeurs pour mettre à jour l'horloge matérielle.
Configurateur R1, R2 et R3 pour mettre à jour périodiquement l'horloge matérielle avec le temps pris
du NTP.
R1(config)# ntp update-calendar
R2(config)# ntp update-calendar
R3(config)# ntp update-calendar
Vérifiez que l'horloge matérielle a été mis à jour en utilisant la commande show horloge.
 Configurer les routeurs d'horodater les messages du journal.

Configurez le service d'horodatage pour la connexion sur les routeurs.

R1(config)# service timestamps log datetime msec
R2(config)# service timestamps log datetime msec
R3(config)# service timestamps log datetime msec

B) Configurer les routeurs pour enregistrer les messages à la Syslog

Server.
Configurez les routeurs pour identifier l'hôte distant (Serveur Syslog) qui recevra les
messages de journalisation.
R1(config)# logging 192.168.1.6
R2(config)# logging 192.168.1.6
R3(config)# logging 192.168.1.6

La console de routeur affiche un message indiquant que l'enregistrement a commencé.

Vérifiez La CONNEXION
Remarque: les messages Log peuvent être générés sur le serveur en exécutant des
commandes sur le routeur. Par exemple, l'entrée et la sortie du mode de
configuration globale va générer un message de configuration d'information.
 C) Configurer la connexion SSH.
 Configurer le nom de domaine.
Configurer le nom du domaine sur R3.
R3(config)# ip domain-name mydsi.sn

 Configurer utilisateurs pour se logger a partir d’un cliebt SSH sur R3.

Creer un utilisateur avec SSHadmin avec le niveau de privilège le plus élevé

possible et un mot de passe secret d' ciscosshpa55.
R3(config)# username SSHadmin privilege 15 secret ciscosshpa55
 Configurez les lignes entrantes VTY sur R3.
Utilisez les comptes d'utilisateurs locaux pour la connexion. Accepter uniquement les
connexions SSH.

R3(config)# line vty 0 4

R3(config-line)# login local
R3(config-line)# transport input ssh //seul les connexion par ssh seront
considéré

 Ecraser la paire de clés existantes sur R3.

Toutes les paires de clés RSA(Rivest Shamir Adelman) existantes devraient être
effacées sur le routeur
R3(config)#crypto key zeroize rsa

Remarque: Si aucune paire de clés n’existent, vous pouvez recevoir ce message:% No

Signature RSA Keys found in configuration (français : Pas de signature de clés RSA
trouvés dans la configuration).

D) Generer une paire de clés RSA sur R3.

Le routeur utilise la paire de clés RSA pour l'authentification et le chiffrement des données
transmises par SSH. Configurez les clés RSA avec un module de 2048. Par défaut est 512,
et la gamme est de 360 à 2048.
R3(config)# crypto key generate rsa [Enter]
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]:2048

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Remarque: La commande pour générer RSA la paires de clés de chiffrement pour R3
dans Packet Tracer diffère de celles utilisées dans en reel.

 Verifiez la configuration SSH.

Utilisez la commande show ip ssh pour voir les paramètres actuels. Assurez-vous que le délai
d'authentification et tentatives sont à leurs valeurs par défaut de 120 et 3.
 Configurer les délais d'attente SSH et paramètres d'authentification.
Les délais d'attente SSH par défaut et les paramètres d'authentification peuvent être
modifiés pour être plus restrictive. Définir le délai à 90 secondes, le nombre de tentatives
d'authentification à 2, et la version à 2.

R3(config)# ip ssh time-out 90

 R3(config)# ip ssh authentication-retries 2
R3(config)# ip ssh version 2
Issue the show ip ssh command again to confirm that the values have been changed.
 Essayez de vous connecter à R3 via Telnet à partir du PC-C.
Ouvrez le bureau de PC-C. Sélectionnez l'icône Invite de commandes. De PC-C, entrez la
commande pour se connecter à R3 via Telnet.

PC> telnet 192.168.3.1

Cette connexion doit échouer, car R3 a été configuré pour accepter uniquement les connexions
SSH sur les lignes de terminal virtuel.

 Connectez-vous sur R3 en utilisant le SSH sur PC-C.

Ouvrez le bureau de PC-C. Sélectionnez l'icône Invite de commandes. De PC-C, entrez la commande
pour se connecter à R3 via SSH. Lorsque vous êtes invité pour le mot de passe, entrez le mot de
passe configuré pour l’administrateur ciscosshpa55.
PC> ssh –l SSHadmin 192.168.3.1
 Connectez-vous à par SSH sur R3 à partir de R2.
Afin de résoudre les problèmes et de maintenir le routeur R3, l'administrateur au niveau du FAI doit
utiliser SSH pour accéder à la CLI du routeur. De la CLI de R2, entrez la commande pour se
connecter à R3 via SSH version 2 en utilisant le compte d'utilisateur SSHadmin. Lorsque vous êtes
invité pour le mot de passe, entrez le mot de passe configuré pour l'administrateur: ciscosshpa55.
R2# ssh –v 2 –l SSHadmin 10.2.2.1
 Verifiez les résultats.
Votre pourcentage de réussite doit être de 100%. Cliquez sur Vérifier les résultats pour voir les
informations et la vérification des composants requis qui ont été réalisées.