Configuration à distance via SSH
Dans un contexte où la sécurité des réseaux est primordiale, il devient nécessaire de sauvegarder les ressources et les informations délicates de votre organisation. Adopter le protocole SSH pour l’administration de vos dispositifs de réseau, comme les commutateurs Cisco, représente une démarche significative pour renforcer la sécurité. SSH assure une transmission chiffrée entre votre ordinateur et le commutateur, diminuant de ce fait les chances que les données soient interceptées ou altérées. SSH est un protocole de communication qui permet d’établir une connexion à distance avec un périphérique réseau, tel qu’un switch ou un routeur, pour gérer sa configuration et son administration. Telnet fonctionne sur le protocole IP et utilise le port TCP 22, par défaut.
Les préparatifs
Avant de configurer telnet sur un switch, il faut mettre en place certaines préparations. Les étapes préliminaires à suivre avant de passer à la configuration de SSH sont:
- Configurer le mot de passe du mode administrateur : comme mentionné précédemment, il est important de sécuriser l’accès au mode administrateur en définissant un mot de passe. Cela empêchera les utilisateurs non autorisés de modifier les paramètres du switch et garantira une gestion sécurisée du réseau. Pour des raisons de sécurité, il est impossible de se connecter à distance à un switch sans mots de passe.
- Définir une adresse IP sur le PC : Afin d’établir une communication telnet entre le PC et le switch, il est indispensable de définir une adresse IP pour le PC. Pour les débutants, il est recommandé que l’IP du PC soit dans le même domaine de diffusion que le switch.
- Définir un hostname: SSH utilise un système de cryptographie asymétrique, ce qui signifie que nous devons générer des clés de cryptographie. Afin de s’identifier sur le réseau, et pour des raisons de sécurité, Cisco impose que la clé soit générée par un hostname différent que celui par défaut. Les explications sur le changement de hostname ont été vue précédemment.
- Allumer l’interface d’administration à distance: comme pour telnet, nous devons assigner une adresse IP à l’un des VLAN et allumer cet interface réseau spécifique
La configuration de SSH
Assignez un domaine au switch
Avant de pouvoir configurer SSH sur un switch Cisco, il faut lui attribuer un nom de domaine. Cette étape permet de générer des clés de chiffrement RSA utilisées pour sécuriser la connexion SSH entre le poste de travail et le switch. Il n’est pas nécessaire que son nom de domaine soit résolvable, il n’est pas non plus nécessaire d’en faire l’acquisition. Ce domaine sert principalement à créer un identifiant unique. Il s’agit d’un switch particulier d’une entreprise particulière. Le switch lui même est représenté par son hostname, alors que l’entreprise est représentée par son domaine, tant dit que l’identité SSH est ce que l’on appelle le FQDN, c’est-à-dire l’union de ces deux informations.
Pour assigner le switch dans un domaine, la commande est:
Switch(config)# ip domain-name [nom_de_domaine]
Pour utiliser cette commande :
- Entrez en mode de configuration globale
- Tapez la commande
ip domain-name [nom_de_domaine]
, en remplaçantnom_de_domaine
par un nom de domaine local. Il s’agit ici généralement du nom de l’entreprise. Le nom complet utilisé par SSH pour l’identification sera :le_host_name.nom_de_domaine.pays
Exemple d’utilisation :
Switch(config)# hostname Switch-Salle2
Switch-Salle2(config)# ip domain-name ISIPS.be
Switch-Salle2(config)#
Génération d’une clé SSH
Après avoir attribué un nom de domaine à votre switch Cisco, la prochaine étape pour configurer SSH consiste à générer des clés de chiffrement. Ces clés sont nécessaires pour sécuriser la connexion SSH en permettant l’échange de données cryptées entre votre ordinateur et le switch. Les clés SSH, basées sur l’algorithme de chiffrement RSA, permettent d’établir un échange de données cryptées entre les appareils, renforçant ainsi la sécurité du réseau. La taille des clés RSA est importante pour le niveau de sécurité offert par la connexion SSH, car une clé de plus grande taille offre une meilleure protection contre les tentatives de déchiffrement par force brute. Actuellement, il est recommandé de créer des clés d’au moins 4096 bits.
Pour créer la clé, vous devez taper:
Switch(config)# crypto key generate rsa
Pour utiliser cette commande :
- Entrez en mode de configuration globale
- Tapez la commande
crypto key generate rsa
. Vous entrez ensuite dans le système de configuration qui vous guidera étape par étape à la génération de la clé. Il vous demandera la taille d’une clé. Vous devez entrer une valeur d’au moins 1024 pour le protocole SSH2.
Exemple d’utilisation :
Switch-Salle2(config)#crypto key generate rsa
The name for the keys will be: Switch-Salle2.ISIPS.be
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
Création d’un compte utilisateur local
Contrôler qui peut accéder au commutateur Cisco est nécessaire pour garantir la sécurité et pour suivre les actions réalisées sur le réseau. Conformément aux recommandations du Règlement général sur la protection des données (RGPD), il est fortement conseillé de créer des comptes d’utilisateur locaux individuels pour chaque personne qui se connecte au switch. Cela permet d’identifier précisément chaque utilisateur et d’éviter les risques liés à l’utilisation d’un compte unique partagé entre plusieurs personnes. De plus, il est également important de mentionner qu’il existe une alternative à la gestion des utilisateurs locaux, à savoir la connexion du switch à un gestionnaire global d’utilisateurs (via le protocole Radius). Cette approche centralisée permet de simplifier l’administration des comptes et des droits d’accès sur l’ensemble du réseau.
Pour créer un utilisateur local, tapez :
Switch(config)# username [nom_utilisateur] secret [mot_de_passe]
Pour utiliser cette commande :
- Entrez en mode de configuration globale
- Tapez la commande
username [nom_utilisateur] secret [mot_de_passe]
, en remplaçantnom_utilisateur
par le pseudonyme pour identifier l’administrateur, etmot_de_passe
par son mot de passe personnel.
Exemple d’utilisation :
Switch(config)#username zaretti secret Cisco123!
Switch(config)#username jj secret jj-1992
Switch(config)#
Reconfigurer le terminal virtuel pour utiliser SSH
La sécurisation de l’accès à votre switch Cisco implique non seulement la création de comptes d’utilisateur locaux, mais également la reconfiguration du terminal virtuel (VTY) pour utiliser SSH au lieu de Telnet. En reconfigurant les lignes VTY pour utiliser SSH, vous améliorez significativement la sécurité de votre réseau. De plus, cette reconfiguration vous permet de déterminer quels comptes sont autorisés à se connecter au terminal virtuel. Dans notre cas, nous utiliserons des comptes locaux pour gérer l’accès au switch.
Pour ce faire, modifiez le fichier de configuration spécifique au VTY :
Switch(config)# line vty 0 15
Switch(config-line)# login local
Switch(config-line)# transport input ssh
Pour utiliser ces commandes :
- Entrez en mode de configuration globale ;
- Tapez la commande pour
line vty 0 15
entrez dans le menu de configuration du terminal ; - Tapez la commande
login local
pour utiliser le système d’identification des utilisateurs locaux; - Tapez ensuite
transport input ssh
afin de préciser que la communication utilisera le protocole SSH; - Fermez le menu à l’aide de la commande
exit
ouend
Exemple d’utilisation :
Switch(config)#line vty 0 15
Switch(config-line)#login local
Switch(config-line)#transport input ssh
Switch(config-line)#exit
Switch(config)#
Activer le service SSH
Après avoir effectué toutes les étapes préparatoires, notamment : l’assignation d’une IP au VLAN, l’attribution du hostname, l’attribution d’un nom de domaine, la génération de clés SSH, la création de comptes d’utilisateur locaux et la reconfiguration du terminal virtuel (VTY) pour utiliser SSH, vous êtes désormais prêt à activer le service SSH sur votre switch Cisco. En activant le service SSH, vous franchissez la dernière étape nécessaire pour mettre en place un environnement de gestion sécurisé pour votre switch Cisco. Grâce à ces configurations, vous pourrez dorénavant vous connecter en toute sécurité à votre switch et administrer votre réseau en respectant les meilleures pratiques et les réglementations en vigueur.
Pour ce faire, rien de plus simple, taper seulement la commande finale dans le menu de configuration générale :
Switch(config)# ip ssh version 2
Exemple d’utilisation :
Switch(config)#ip ssh version 2
Switch(config)#
Exercice
- Placez un switch, un PC, un câble droit et un câble console sur le port console.
- Assignez un réseau pour le domaine de diffusion. Assignez une IP au PC pour ce domaine.
- Sur le PC, dans l’onglet « desktop », ouvrez « terminal » et appuyez sur « OK ».
- Exécutez la procédure de configuration SSH à l’aide des commandes suivantes :
- Entrez en mode configuration globale, puis entrez dans la configuration du vlan 1 ;
- Définissez une adresse IP pour ce vlan et allumez l’interface ;
- Dans la configuration global, définissez un hostname et un domaine.
- Générez une clé SSH
- Créez un compte utilisateur local
- Reconfigurez le terminal virtuel pour utiliser SSH
- Activez le service SSH
- Sauvegardez la configuration
- Testez que votre configuration fonctionne
- Sur le PC, ouvrez un terminal virtuel en cliquant sur l’onglet « Desktop », puis en sélectionnant « Telnet / SSH Client » ;
- Entrez l’adresse IP assignée pour l’administration du switch, et votre nom d’utilisateur.
- Cliquez sur « Connect ». Si tout a fonctionné, il est maintenant possible de débrancher le câble bleu et de tout faire à distance !