Avant de configurer SSH, le commutateur doit au moins être configuré avec un nom d'hôte unique et avec les paramètres de connectivité réseau adéquats.
Étape 1. Vérifiez la prise en charge du protocole SSH.
Utilisez la commande show ip ssh pour vérifier que le commutateur prend en charge SSH. Si le commutateur n'exécute pas une version du logiciel IOS qui prend en charge les fonctionnalités de cryptographie (chiffrement), cette commande n'est pas reconnue.
Étape 2. configuration du domaine IP
Configurez le nom de domaine IP du réseau à l'aide de la commande de mode de configuration globale ip domain-name nom-domaine. Dans la Figure 1, la valeur pour nom-domaine est cisco.com.
Étape 3. Générez des paires de clés RSA.
Toutes les versions de l'IOS utilisent par défaut SSH version 2. SSH version 1 a des failles de sécurité connues. Pour configurer SSH version 2, exécutez la commande du mode de configuration globale ip ssh version 2. La génération d'une paire de clés RSA active automatiquement SSH. Utilisez la commande de mode de configuration globale crypto key generate rsa pour activer le serveur SSH sur le commutateur et pour générer une paire de clés RSA. Lors de la génération de clés RSA, l'administrateur est invité à saisir une longueur de module. Cisco recommande l'utilisation d'une longueur de module minimale de 1 024 octets (voir l'exemple de configuration sur la Figure 1). Une longueur de module plus importante peut se révéler plus sûre, mais sa création et son utilisation prennent plus de temps.
Remarque : pour supprimer la paire de clés RSA, utilisez la commande de configuration globale crypto key zeroize rsa. Une fois la paire de clés RSA supprimée, le serveur SSH est automatiquement désactivé.
Étape 4. Configurez l'authentification utilisateur.
Le serveur SSH peut authentifier les utilisateurs localement ou avoir recours à un serveur d'authentification. Pour utiliser la méthode d'authentification locale, créez un nom d'utilisateur et un mot de passe à l'aide de la commande du mode de configuration globale username username secret password. Dans cet exemple, l'utilisateur admin se voit attribuer le mot de passe ccna.
Étape 5. Configurez les lignes vty.
Activez le protocole SSH sur les lignes vty à l'aide de la commande de mode de configuration de ligne transport input ssh. Le commutateur Cisco Catalyst 2960 intègre des lignes vty allant de 0 à 15. Cette configuration permet d'interdire toute connexion autre que SSH (par exemple Telnet). Seules les connexions SSH sont ainsi autorisées sur le commutateur. Utilisez la commande de mode de configuration globale line vty, puis la commande de mode de configuration de ligne login local pour exiger l'authentification locale des connexions SSH provenant d'une base de données de noms d'utilisateur locale.
Étape 6. Activez SSH version 2.
Par défaut, SSH prend en charge les versions 1 et 2. Cette double prise en charge se voit dans les résultats de la commande show ip ssh (prise en charge de la version 1.99). La version 1 a des vulnérabilités connues. Par conséquent, il est préférable d'activer uniquement la version 2. Activez cette version de SSH avec la commande de configuration globale ip ssh version 2.
Utilisez le contrôleur de syntaxe de la Figure 2 pour configurer SSH sur le commutateur S1.