Accès distant via SSH

L'ancien protocole de gestion à distance des périphériques est Telnet. Ce protocole n'est pas sécurisé. Les données contenues dans un paquet Telnet sont transmises en clair. Un outil comme Wireshark permet d'« analyser » une session Telnet et d'obtenir ainsi les mots de passe. Par conséquent, il est vivement recommandé d'activer SSH sur les périphériques pour assurer la sécurité des accès à distance. Il est possible de configurer un périphérique Cisco de sorte qu'il prenne en charge le protocole SSH, en quatre étapes décrites sur la figure.

Étape 1. Assurez-vous que le routeur dispose d'un nom d'hôte unique, puis spécifiez le nom de domaine IP du réseau à l'aide de la commande ip domain-name domain-name en mode de configuration globale.

Étape 2. Des clés secrètes unidirectionnelles doivent être générées pour qu'un routeur chiffre le trafic SSH. La clé est l'élément qui permet concrètement de chiffrer et de déchiffrer les données. Pour créer une clé de chiffrement, utilisez la commande crypto key generate rsa general-keys modulus modulus-size en mode de configuration globale. La signification précise des différentes parties de cette commande est complexe et ne rentre pas dans le cadre du cours, mais pour l'instant, notez simplement que le module détermine la taille de la clé, de 360 à 2 048 bits. Plus le module est grand, plus la clé est sécurisée, mais plus le chiffrement et le déchiffrage des informations sont longs. Il est recommandé d'utiliser un module d'au moins 1 024 bits.

Router(config)# crypto key generate rsa general-keys modulus 1024

Étape 3. Créez une entrée de nom d'utilisateur dans la base de données locale à l'aide de la commande username name secret secret en mode de configuration globale.

Étape 4. Activez les sessions SSH entrantes à l'aide des commandes de ligne vty login local et transport input ssh.

Le service SSH du routeur est désormais accessible à l'aide d'un logiciel client SSH.