Vidéo: Sécuriser l'accès distant Cisco en utilisant SSH 2024
Secure Shell (SSH) est un protocole réseau pour vos appareils Cisco qui est plus sûr que Telenet. La définition d'un mot de passe sécurisé est une exigence de configuration pour ce protocole.
Pour configurer l'accès à un commutateur Cisco pour SSH, vous devez créer un compte utilisateur sur votre commutateur. L'exemple suppose que vous avez un utilisateur nommé distant avec un mot de passe nommé distant . (Remarque: N'utilisez pas ce type de stratégie de mot de passe sur votre réseau de production!)
Pour configurer l'accès SSH, vous devez changer le terminal vty par défaut ou en créer un nouveau. Cet exemple crée un nouveau vty pour l'accès SSH en utilisant les commandes suivantes:
Switch1> enable Mot de passe: Switch1 # configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. Switch1 (config) #ip nom de domaine edtetz. net Switch1 (config) #crypto key génère rsa Le nom des touches sera: Switch1. edtetz. net Choisissez la taille du module de clé dans la plage de 360 à 2048 pour vos clés à usage général. Le choix d'un module de clé supérieur à 512 peut prendre quelques minutes. Nombre de bits dans le module [512]: 1024% Génération de clés RSA 1024 bits … [OK] Switch1 (config) # * Mar 17 00: 59: 53. 971:% SSH-5-ENABLED: SSH 1. 99 a été enabled Commutateur1 (config) #line vty 5 Commutateur1 (ligne de config) #login local Commutateur1 (ligne de config) #transport entrée ssh Commutateur1 (ligne de config) #exit Commutateur1 (config) #exit
Les commandes précédentes sont terminées quatre tâches clés:
-
Création d'un ensemble de clés de chiffrement SSL (Secure Sockets Layer) et activation de l'accès SSH avec la commande crypto .
-
Création d'un pool de terminal vty d'un terminal à utiliser spécifiquement avec SSH.
-
Activé le transport entrant vers SSH plutôt que Telnet ou les autres protocoles pris en charge à l'aide de la commande transport .
-
Définissez l'option de connexion pour utiliser la base de données des utilisateurs locaux. Cela authentifie les utilisateurs SSH en vérifiant leurs informations d'identification par rapport aux utilisateurs trouvés dans la base de données des utilisateurs locaux.
La commande clé de cryptage ne doit être émise qu'une seule fois sur le commutateur. Une fois la clé générée, elle peut être utilisée par tous les services nécessitant des services de cryptographie ou de cryptage.
À ce stade, vous pouvez utiliser un programme client SSH (comme PuTTY) pour vous connecter à l'interface de ligne de commande sur ce commutateur sur le port TCP 22. Comme Telnet est toujours activé sur les ports vty 0 à 4, vous pouvez utiliser le commande suivante pour désactiver l'accès Telnet, ou en fait tous les accès à distance via cet ensemble de ports vty.
En désactivant les quatre ports Vty par défaut, vous avez réduit la gestion à distance de ce commutateur à un utilisateur SSH à la fois et éliminé le trafic de gestion Telnet non crypté sur le réseau.Par conséquent, vous pouvez toujours gérer le commutateur à distance, mais devez utiliser SSH.
Switch1> enable Mot de passe: Switch1 # configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. Switch1 (config) #line vty 0 4 Commutateur1 (ligne de configuration) #transport input none Commutateur1 (config-line) #exit Commutateur1 (config) #exit
