Comment faire pour configurer SSH (Secure Shell) pour connexion à distance sur un routeur Cisco

Avant l'introduction de SSH dans le logiciel IOS de Cisco, le protocole de connexion à distance était seulement Telnet. Bien que tout à fait fonctionnelle, Telnet est un protocole non sécurisé dans lequel toute la session, y compris l'authentification, est en texte clair et donc soumise à l'espionnage.

SSH est à la fois un protocole et une application qui remplace Telnet et fournit une connexion cryptée pour l'administration à distance d'un périphérique réseau Cisco comme un routeur, un commutateur ou un dispositif de sécurité.

Le Cisco IOS comprend à la fois un serveur SSH et un client SSH. Ce document ne concerne que la configuration du composant serveur SSH.

Conditions préalables

Logiciel

Le composant serveur SSH, vous devez disposer d'un IPSec (DES ou 3DES) logiciel de chiffrement de l'image Cisco IOS 12.1 Release (1) T ou ultérieure installé sur votre routeur. IP évoluées images services incluent le composant IPSec. Ce document a été écrit en utilisant c2800nm-advipservicesk9-mz.123-14.T5.bin.

La pré-configuration

Vous devez configurer un nom d'hôte et un nom de domaine de votre routeur. Par exemple:

Router #
routeur # conf t
Entrez les commandes de configuration, un par ligne. Terminez avec CNTL / Z.
router01 (config) # hostname router01
router01 (config) # ip domain-name domain.local

Vous devez également générer une paire de clés RSA pour votre routeur qui permet automatiquement SSH. Dans l'exemple suivant, notez comment la paire de clés est nommé pour la combinaison de nom d'hôte et de domaine qui ont été précédemment configuré. Le module représente la longueur de la clé. Cisco recommande une longueur de clé minimale de 1024 bits (même si la longueur de clé par défaut est de 512 bits):

router01 (config) #
router01 (config) # crypto key generate rsa
Le nom des clés seront les suivants: router01.domain.local
Choisissez la taille du module de clé dans la gamme de 360 ​​à 2048 pour vos clés à usage général. Le choix d'un module clé supérieure à 512 peut prendre quelques minutes.

Combien de bits dans le module [512]: 1024
% Génération des clés RSA de 1024 bits ... [OK]

Enfin, vous devez utiliser un serveur AAA comme un RADIUS ou TACACS + serveur ou créer une base de données d'utilisateur local pour authentifier les utilisateurs distants et activer l'authentification sur les lignes de terminal. Aux fins de ce document, nous allons créer une base de données d'utilisateur local sur le routeur. Dans l'exemple suivant, l'utilisateur "Fait" a été créé avec un niveau de privilège de 15 (le maximum autorisé) et donné un mot de passe crypté de "p @ ss5678". (La commande "secret" suivi de "0" indique au routeur pour crypter le mot de passe en texte clair suivant. En configuration courante du routeur, le mot de passe ne serait pas lisible par l'homme.) Nous avons également utilisé le mode de configuration de ligne pour dire au routeur d'utiliser ses locaux base de données utilisateur pour l'authentification (connexion locale) sur les lignes de bornes 0-4.

router01 (config) # username privilège Fait 15 secret 0 p @ ss5678
router01 (config) # line vty 0 4
router01 (config-line) # login locale

Activation de SSH

Pour activer SSH, vous devez indiquer au routeur qui paire de clés à utiliser. En option, vous pouvez configurer la version SSH (la valeur par défaut SSH version 1), les valeurs de délai d'authentification, et plusieurs autres paramètres. Dans l'exemple suivant, nous avons dit au routeur d'utiliser la paire de clés créée précédemment et d'utiliser SSH version 2:

router01 (config) #
router01 (config) # ip ssh version 2
router01 (config) # ip ssh rsa paire de clés de nom router01.domain.local

Vous pouvez maintenant vous connecter à votre routeur en toute sécurité à l'aide d'un client SSH tel que TeraTerm.

Affichage Configurations SSH et Connexions

Vous pouvez utiliser les commandes du mode privilégié "vue ssh" et "ip vue ssh" pour afficher les configurations et les connexions SSH (le cas échéant). Dans l'exemple suivant, la configuration SSHv1 à partir d'un routeur Cisco 871 est vérifiée en utilisant «show ip ssh" et un seul SSHv1 connexion est affichée à l'aide de la commande "show ssh". Notez que nous n'avons pas permettre SSHv2 sur ce routeur, il est donc par défaut la version SSH 1.99. A noter également dans la sortie du "show ssh" commande que la version 1 de SSH par défaut 3DES. SSHv2 supports AES, une technologie de chiffrement plus robuste et plus efficace. SSHv2 n'est pas non plus soumis aux exploits de sécurité que SSHv1. La bonne pratique recommande l'utilisation de SSHv2 et la désactivation d'un dropback à SSHv1. Activation SSHv2 désactive SSHv1. Cet exemple est fourni uniquement à démontrer la compatibilité ascendante:

router04 #
router04 # show ip ssh
SSH Activé - version 1.99
Délai d'authentification: 120 secondes; tentatives d'authentification: 3
router04 #
router04 # show ssh
Connection Version État cryptage Nom d'utilisateur
2 1,5 3DES session a commencé Fait
% Pas de SSHv2 connexions au serveur en cours d'exécution.
router04 #

Vous pouvez également utiliser la commande "debug ip ssh" pour dépanner les configurations SSH.

Copyright (c) 2008 Don R. Crawley...