|
SOMMAIRE I SecureShell (SSH) IIConfiguration du matériel réseau en SSH 1Cisco PIX 501 (Firewall) 2Cisco ASA (Firewall) 3Cisco 2960 (Switch) IIILogiciels utiles 1Pour Windows 2Pour Unix I Secure Shell(SSH) Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur. Le protocole SSH a été conçu avec l'objectif de remplacer les différents programmes rlogon, telnet, console. II Configuration du matériel réseau en SSH. 1)Cisco PIX501 (firewall) (#)configure Terminal Tout d'abord veuillez vous mettre en mode configuration et veuillez créer le mot de passe d'accès au firewall ainsi que celui du mode enable. (#)enable (config)# passwd supinfo (config)# enable password supincisco Vous allez maintenant configurer les nom de domaine de votre firewall (config)# Domain-name supinfo.com Il faut maintenant définir les ip pour qui le matériel réseau sera accessible en ssh. Dans notre exemple nous allons définir la plage ip la plus étendue. (config)# Ssh 0.0.0.0 0.0.0.0 inside Pour plus de sécurité nous pouvons définir une durée maximale d'inactivité avant que la connexion ssh au firewall soit intérompu. (config)# ssh timeout 5 Le ssh étend basé sur un système de clés veuillez les générer comme ci-desous. Veuillez renseigner "1024" comme longueur de clée pour plus de sécurité. (config)ca generate rsa key 1024 Vous devez à présent sauver les clées générés précedement. (config)ca save all Veuillez finir la procédure par une sauvegarde de la configuration dans la mémoire flash du routeur. # copy run start L'accés au routeur se fera via l'identifiant pix (par défaut) et le mot de passe supinfo (configurés plus haut) 2) Cisco Asa(firewall) Tout d'abord veuillez vous mettre en mode configuration et veuillez créer le mot de passe d'accès au firewall ainsi que celui du mode enable. (#)configure Terminal (config)# passwd supinfo (config)# enable password supincisco Vous allez maintenant configurer les nom de domaine de votre firewall (config)# ip Domain-name supinfo.com Il faut maintenant définir les ip pour qui le matériel réseau sera accessible en ssh. Dans notre exemple nous allons définir la plage ip la plus étendue. (config)# Ssh 0.0.0.0 0.0.0.0 inside Pour plus de sécurité nous pouvons définir une durée maximale d'inactivité avant que la connexion ssh au firewall soit intérompu. (config)# ssh timeout 5 Le ssh étend basé sur un système de clés veuillez les générer comme ci-desous. Veuillez renseigner "1024" comme longueur de clée pour plus de sécurité. (config)# Crypto key generate rsa modulus 1024 Veuillez finir la procédure par une sauvegarde de la configuration dans la mémoire flash du routeur. # copy run start L'accés au routeur se fera via l'identifiant pix (par défaut) et le mot de passe supinfo (configurés plus haut) 3) Cisco2960 (switch) Tout d'abord veuillez vous mettre en mode configuration et veuillez créer le mot de passe d'accès du mode enable. (#)configure Terminal (config)enable secret supinfocisco Veuillez créer un utilisateur pour accéder auswitch via SSH Username admin secret supinfo Veuillez maintenant configurer les lignes deconnexions tcp ip (config)# Line vty 0 15 Vous allez ici configurer le mode d'accès àvotre équipement. (config-line)# Transport input ssh Vous allez ici permettre à votre équipement de s'authentifier avec votre base de donnée utilisateur local. Dans un autre exemple vous pourriez éventuellement configurer une authentification via un serveur radius ou tacacs+. (config-line)# Login local Le ssh étend basé sur un système de clés veuillez les générer comme ci-desous. (config)# Crypto key generate rsa Veuillez renseigner "1024" comme longueur de clée pour plus de sécurité. Veuillez finir la procédure par une sauvegarde de la configuration dans la mémoire flash du routeur. # copy run start L'accés au routeur se fera via l'identifiant admin et le mot de passe supinfo (configurés plus haut)
III Logiciels utiles. 1) Pour windows. •Pour les utilisateur de windows, je conseille Putty, un client SSH et Telnet très pratique et gratuit.  Disponible au téléchargement ici : http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html •Dans le cas où vous souhaiteriez un logiciel plus complet il y a SecureCRT. 
SecureCRT est un émulateur de terminal Windows qui va permettre le transfert et l'enregistrement sécurisé de données avec le protocole Secure Shell. Permet aussi de protéger vos mots de passe et comptes utilisateur. 2)Pour Unix. Les utilisateur pourront utiliser leur terminal qui supporte par défaut le protocol ssh. La connexion au routeur se fera comme ci-dessous: MacBook-Pro:~ pierre$ ssh
Cet e-mail est protégé contre les robots collecteurs de mails, votre navigateur doit accepter le Javascript pour le voir
Cet e-mail est protégé contre les robots collecteurs de mails, votre navigateur doit accepter le Javascript pour le voir
's password: ******* La connexion est maintenant établie. |
