Connexion à distance via SSH

Protocole SSH

Protocole SSH

 

Pour se connecter sur un équipement actif à distance, il existe deux protocoles :


TELNET

TCP port 23.
Non sécurisé
(le login et le password passe en clair sur le réseau…)


SSH
(Secure SHell)

TCP port 22.
Sécurisé.


 

Nous allons donc voir comment mettre en place le protocole SSH.

 

Configuration


Changer le nom de notre équipement


router(config)# hostname R1

Ces informations vont servir pour la création de la clé RSA.

 

Mettre un nom de domaine


 R1(config)# ip domain-name FingerInTheNet

Ces informations vont servir pour la création de la clé RSA.

 

Générer une clé RSA


 

R1(config)# crypto key generate rsa modulus 2048
 % Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

Le routeur va vous demander la taille de votre clé RSA (le modulus), de base , elle fera 512. Au point de vue SSI, il vaut mieux la mettre a 2048.

RSA =  Rivest ,Shamir et Adleman. (Nom de famille des trois inventeurs).

Type de chiffrement qui donne la robustesse du protocole SSH.

 

Paramétrer le SSH


R1(config)# ip ssh version 2

SSH en version 2.

R1(config)# ip ssh time-out 60

Au bout de 60 secondes d’inactivités, la session se coupe automatiquement.

R1(config)# ip ssh authentification-retries 3

Au bout de 3 mot de passe erroné , la session se coupe.

 

Se créer des login + mot de passe


R1(config)# service password-encryption

Vos mot de passe n’apparaissent plus en clair dans votre configuration (show-run).

R1(config)# username n.nicolas privilege 15 secret mot de passe

Le privilège 15 vous permet d’être directement en mode enable, ce qui évite de taper plusieurs mots de passe 🙂 Si vous voulez quand même tapez le mot de passe « enable », ne mettez pas de privilège.

 

A cette étape, le SSH est configuré , la clé RSA a été généré et vous avez des identifiants, il ne reste plus qu’à autoriser les connexions SSH venant de l’extérieur.
Dès qu’un utilisateur lance une connexion SSH ou Telnet, il va avoir une session virtuelle, appelé VTY.
De base, on autorise uniquement 5 sessions simultanée. Ce qui équivaut aux sessions de 0 à 4.

 

Configurer les line vty


R1(config)# line vty 0 4
R1(config-line)# exec-timeout 3 0

Au bout de 3 minutes d’inactivités, la session se coupe automatiquement.

R1(config-line)# transport input ssh

Autorise uniquement les connexions SSH entrante (Admin vers Routeur).

R1(config-line)# transport output none

Refuse toutes connexions sortantes (Routeur vers Routeur/Admin/etc …).

R1(config-line)# login local

Utilise les comptes locaux.

 

Création d’une bannière


Lorsqu’on se connecte à notre équipement actif en SSH, on nous demande un login et un mot de passe.

Au niveau de la loi, il faut « signaler » au pirate qu’il n’a pas le droit de faire cela. Pour ce faire, nous allons créer une bannière.

R1(config)# banner motd  [Signe] (votre bannière) [Signe]

Exemple :

R1(config)# banner motd  # INTERDIT #

Quand on tape la commande : banner motd il faut mettre un caractère, celui ci va marquer le début de notre bannière. Dans notre cas, ce sera un #. Dès que ce signe revient, il marquera la fin de votre bannière.

 

R1(config)# banner motd #
*********************************************************************
**** Vu l'article XXX, l'accès à cet équipement actif est réservé****
******* uniquement aux administrateurs du site FingerInTheNet *******
********************************************************************* #

 

Conclusion


 

router> enable
router# configure terminal
router(config)# hostname R1
R1(config)# ip domain-name FingerInTheNet
R1(config)# crypto key generate rsa modulus 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
R1(config)# ip ssh version 2
R1(config)# ip ssh time-out 60
R1(config)# ip ssh authentification-retries 3
R1(config)# service password-encryption
R1(config)# username n.nicolas privilege 15 secret mot de passe
R1(config)# line vty 0 4
R1(config-line)# exec-timeout 3 0
R1(config-line)# transport input ssh
R1(config-line)# transport output none
R1(config-line)# login local
R1(config-line)# exit
R1(config)# banner motd # 
*********************************************************************
*** Vu l'article XXX, l'accès à cet équipement actif est réservé ****
******* uniquement aux administrateurs du site FingerInTheNet *******
********************************************************************* #

Il ne vous reste plus qu’à utilisé des logiciels de prise de main à distance (Putty,TerraTerm, etc…) , accepter la clé RSA et le tour est joué 😉

 

Connection SSH


Ouvrir Putty


SSH - Ouvrir Putty

SSH – Ouvrir Putty

Accepter la clé RSA


SSH - Accepter la clé RSA

SSH – Accepter la clé RSA

 

Authentifiez-vous


Authentifiez-vous via le protocole SSH

Authentifiez-vous via le protocole SSH

 

Conclusion


Telnet est à bannir.

Une clé RSA doit être supérieur ou égale à 2048.

 

En espérant que cet article vous a été utile ! Hésitez pas à me la faire savoir !!

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Poster un Commentaire

Soyez le premier à commenter !

Laisser un commentaire

  Subscribe  
Me notifier des