Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Sécurité - Configuration de
Secure Shell ccnp_cch
2
Sommaire • Introduction - Contenu • Au sujet de Secure Shell
- Comment SSH fonctionne - Restrictions - Technologies et fonctionnalités liées - Prérequis pour la configuration de SSH • Configuration de SSH - Configuration du serveur SSH - Vérification de SSH • Conseils pour résolution de problèmes • Superviser et Maintenir SSH • Exemples de configuration de SSH - SSH sur un routeur Cisco Série 7200 - SSH sur un Routeur Gigabit Switch Cisco Série 12000 ccnp_cch
3
Au sujet de Secure Shell
Introduction Ce document décrit la fonctionnalité Secure Shell (SSH). La fonctionnalité SSH est constituée d'une application et d'un protocole. Historique Release Modification Cisco IOS XE 2.1 Cette fonctionnalité a été introduite sur les routeurs Cisco série ASR 1000. Contenu Ce document comprend les sections suivantes: Au sujet de Secure Shell Configuration de SSH Conseils pour résolution de problèmes Superviser et maintenir SSH Exemples de configuration de SSH Au sujet de Secure Shell Secure Shell (SSH) est une application et un protocole qui fournissent un remplace- ment sécurisé des rtools de Berkeley. Le protocole sécurise les connexions en utilisant des mécanismes de cryptographie standards et l'application peut être utilisée de ma- nière similaire aux outils rexec et rsh de Berkeley. Il y a deux versions de SSH disponi- bles: SSH version 1 et SSH version 2. Ce document décrit SSH version 1. Pour plus d'informations sur SSH version 2 voir le document "Support Secure Shell Version 2". Note: Par la suite, sauf si cela est indiqué, le terme "SSH" concernera uniquement SSH version 1. Le reste de cette section contient les informations suivantes: Comment SSH fonctionne Restrictions Fonctionnalités et technologies liées Prérequis pour la configuration de SSH ccnp_cch
4
ccnp_cch Comment SSH fonctionne
Cette section fournit les informations suivantes sur le fonctionnement de SSH: Serveur SSH Client SSH intégré Serveur SSH La fonctionnalité serveur SSH permet à un client SSH de réaliser une connexion sécu- risée et cryptée avec un routeur Cisco. Cette connexion fournit une fonctionnalité qui est similaire à une connexion Telnet entrante. Avant SSH, la sécurité était limitée à la sécurité Telnet. SSH permet un cryptage robuste à utiliser avec l'authentification du logiciel IOS Cisco. le serveur SSH du logiciel IOS Cisco fonctionne avec des clients SSH publics et commerciaux. Client SSH intégré La fonctionnalité client SSH intégré est une application opérant au-dessus du protoco- le SSH pour fournir de l'authentification et du cryptage à un équipement. Le client SSH permet à un routeur Cisco de réaliser une connexion sécurisée et cryptée vers un autre routeur Cisco ou tout autre équipement opérant avec un serveur SSH. Cette connexion fournit une fonctionnalité qui est similaire à celle d'une connexion Telnet sauf que cette connexion est cryptée. Avec l'authentification et le cryptage, le client SSH permet une communication sécurisée sur un réseau non sécurisé. Le client SSH dans le logiciel IOS Cisco fonctionne avec des serveurs SSH du domaine public ou commerciaux. Le client SSH supporte les systèmes de cryptage DES (Data Encryption Stantard), Triple DES (3DES) et authentification avec mot de passe. L'au- thentification utilisateur est réalisée comme pour une session Telnet vers le routeur. Les mécanismes d'authentification supportés pour SSH sont RADIUS, TACACS+ et l'utilisation de noms d'utilisateurs et de mots de passe stockés localement. Note: La fonctionnalité client SSH est disponible uniquement quand le serveur SSH est validé. Restrictions Voici quelques restrictions de base pour SSH: L'authentification RSA disponible dans les clients SSH n'est pas supporté pas supportée par le serveur SSH du logiciel IOS Cisco. Le client SSH et le serveur SSH sont supportés uniquement dans les images logiciel- les DES (56-bits) et 3DES (168-bits) pour le cryptage des données. Dans les images logicielles DES, DES est le seul algorithme de cryptage disponible. Dans les images logicielles 3DES, les algorithmes DES et 3DES sont disponibles. L'exécution de shell est la seule application disponible. La bannière de login n'est pas supportée dans le Secure Shell version 1. Elle est supportée dans Secure Shell version 2. ccnp_cch
5
Fonctionnalités et technologies liées
Pour plus d'informations sur les technologies et les fonctionnalités liées à SSH, revoir ceci: Fonctionnalité AAA( Authentication, Authorization, Accounting) - AAA est une suite de services de sécurité qui fournit une trame de base à travers laquelle le contrôle d'accès peut être établi sur votre routeur ou serveur d'accès Cisco. IP Security (IPSec) - IPSec est un cadre de standards ouvert qui fournit la confiden- tialité des données, l'intégrité des données et l'authentification des données entre deux extrémités. IPSec fournit ces services de sécurité à la couche IP. IPSec utilise IKE (Internet Key Exchange) pour gérer la négociation de protocole et d'algorithmes sur la base de politique locale et pour générer les clés de cryptage et d'authentifica- tion devant être utilisées par IPSec. IPSec peut être utilisé pour protéger un ou plu- sieurs flux de données entre une paire de hosts, une paire de passerelles de sécuri- té ou entre une passerelle de sécurité et un host. Prérequis pour la configuration de SSH Avant de configurer SSH, exécutez les tâches suivantes: Téléchargez l'image requises sur votre routeur. (Le serveur SSH requiert que vous ayez une image logicielle avec cryptage IPSec (DES ou 3DES), à partir de la release (1)T, chargée sur votre routeur). Le client SSH requiert que vous ayez une ima- ge logicielle avec cryptage IPSec (DES ou 3DES) à partir de la release 12.1(3)T de l'IOS Cisco Configurez un nom de host et un nom de domaine sur votre routeur Pour configurer un nom de host et un nom de domaine, entrez les commandes sui- vantes en mode de configuration global. Commande But Routeur(config)# hostname hostname Configure un nom de host sur votre routeur. Routeur(config)# ip domain-name domainname Configure un nom de domaine sur votre routeur. ccnp_cch
6
Configuration de SSH ccnp_cch
Générez une paire de clés RSA pour votre routeur qui validera SSH automatique- ment. Pour générer une paire de clés RSA, entrez la commande de configuration globale suivante: Commande But Routeur(config)# crypto key generate rsa Valide le serveur SSH pour une authentification locale ou distante sur le routeur. La taille minimum de modulus recommandée est de 1024 bits. Note: Pour effacer la paire de clés RSA, utilisez la commande crypto key zeroize rsa en mode de configuration global. Dès que vous avez effacé la paire de clés RSA, le serveur SSH est automa- tiquement dévalidé. Configurez l'authentification utilisateur pour des accès locaux ou distants. Vous pouvez configurer l'authentification avec ou sans AAA. Configuration de SSH Les sections suivantes décrivent les tâches de configuration de SSH. Chaque tâche dans la liste est identifié soit comme requise ou optionnelle Configuration du serveur SSH (Requis) Vérification de SSH (Optionnel) Configuration du serveur SSH Note: La fonctionnalité client SSH opère en mode user EXEC et n'a pas de configura- tion spécifique sur le routeur. Note: Les commandes SSH sont optionnelles et sont dévalidées quand le serveur SSH est dévalidé. Pour valider et configurer un routeur cisco pour SSH, vous pouvez configurer les para- mètres SSH. Si vous ne configurez pas les paramètres SSH, les valeurs par défaut se- ront utilisées. Pour configurer le serveur SSH, utilisez les commandes suivantes en mode de configu- ration global. ccnp_cch
7
ccnp_cch Vérification de SSH
Commande But Routeur(config)# ip ssh {[timeout seconds] |[authentication-retries integer]} (Requis) Configure les variables de contrôle de SSH sur votre routeur. • Vous pouvez spécifier le timeout en secondes pour qu'il ne dépasse pas 180 secondes. La valeur par défaut est 120. Ce paramètres s'applique à la phase de négociation de SSH. Une fois que la session EXEC est démarrée, les timeouts standards configurés pour le vty s'appliquent. Il y a 5 vty par défaut (vty 0 à 4), par consé- quent 5 sessions terminal sont possibles. Dès que SSH exécute SSH exécute un shell, les timeouts de vty démarrent. Le timeout de vty par défaut est de 10 minutes. • Vous pouvez également spécifier le nombre de tentatives d'authentification à 5. La valeur par défaut est 3. Vérification de SSH Pour vérifier que le serveur SSH est validé et voir la version et la configuration des données pour votre connexion SSH, utilisez la commande show ip ssh. L'exemple sui- vant montre que SSH est validé. Router# show ip ssh SSH Enabled - version 1.5 Authentication timeout: 120 secs; Authentication retries: 3 L'exemple suivant montre que SSH est dévalidé: Router# show ip ssh %SSH has not been enabled Pour vérifier l'état des connexions de votre serveur, utilisez la commande show ssh. L'exemple suivant montre les connexions les connexions sur le serveur SSH sur le routeur SSH quand il est validé: Router# show ssh Connection Version EncryptionStateUsername DESSession Startedguest The following example shows that SSH is disabled: %No SSH server connections running. ccnp_cch
8
Conseils pour résolution de problèmes
Si vos commandes de configuration SSH sont rejetées comme commandes illégales, vous n'avez pas correctement généré une paire de clés RSA sur votre routeur. Assu- rez-vous que vous avez spécifié un nom de host et de domaine. Utilisez la commande crypto key generate rsa pour générer une paire de clés RSA et valider le serveur SSH. Quand vous configurez une paire de clés RSA, vous pouvez rencontrer les messages d'erreur suivant: - No host name specified Vous devez configurer un nom de host pour le routeur avec la commande de confi- guration globale hostname. Pour plus d'information voir "Prérequis pour la confi- guration de SSH". - No domain specified Vous devez configurer un nom de domaine pour le routeur en utilisant la comman- de de configuration globale ip domain-name. Pour plus d'information voir "Prére- quis pour la configuration de SSH". Le nombre de connexions SSH possibles est limité au nombre maximum de vty con- configurés sur le routeur. Chaque connexion SSH utilisera une ressource vty. SSH utilise soit la sécurité locale soit le protocole de sécurité qui est configuré au travers de AAA sur votre routeur l'authentification de l'utilisateur. Quand vous con- figurez AAA, vous devez vous assurer que la console ne fonctionne pas sous AAA en appliquant un mot-clé en mode de configuration global pour dévalider AAA sur la console. Superviser et maintenir SSH Pour superviser et maintenir les connexions SSH, utilisez les commandes suivantes en mode EXEC. Commande But Routeur# show ip ssh Affiche la version et les données de configuration de SSH. Routeur# show ssh Affiche l'état des connexions du serveur SSH. ccnp_cch
9
Exemples de configuration de SSH Cette section fournit les exemples de configuration suivants qui sont des sorties de la commande show running-configuration sur Cisco 7200, Cisco 7500 et Cisco SSH sur un routeur Cisco Série 7200 SSH sur un routeur Cisco Série 7500 SSH sur un routeur Cisco GigaSwitch Router 12000 Note: La commande crypto key generate rsa n'est pas affichée par la commande show running-config. SSH sur un routeur Cisco Série 7200 Dans l'exemple suivant, SSH est configuré sur un Cisco 7200 avec un timeout qui ne doit pas dépasser 60 secondes et pas plus de deux tentatives d'authentification. Avant la configuration de la fonctionnalité serveur SSH sur le routeur, TACACS+ est spécifié comme méthode d'authentification. hostname Router72K aaa new-model aaa authentication login default tacacs+ aaa authentication login aaa7200kw none enable password enable7200pw username mcisco password 0 maryspw username jcisco password 0 johnspw ip subnet-zero no ip domain-lookup ip domain-name cisco.com ! Commandes ssh. ip ssh time-out 60 ip ssh authentication-retries 2 controller E1 2/0 controller E1 2/1 interface Ethernet1/0 ip address secondary ip address no ip directed-broadcast no ip route-cache no ip mroute-cache no keepalive no cdp enable ccnp_cch
10
ccnp_cch interface Ethernet1/1 no ip address no ip directed-broadcast
no ip route-cache no ip mroute-cache shutdown no cdp enable interface Ethernet1/2 no ip classless ip route ip route ip route map-list atm ip atm-vc 7 broadcast no cdp run tacacs-server host port 9000 tacacs-server key cisco radius-server host auth-port 1650 acct-port 1651 radius-server key cisco line con 0 exec-timeout 0 0 login authentication aaa7200kw transport input none line aux 0 line vty 0 4 password enable7200pw end ccnp_cch
11
ccnp_cch SSH sur un routeur Cisco Série 7500
Dans l'exemple suivant, SSH est configuré sur un Cisco 7500 avec un timeout qui ne doit pas dépasser 60 secondes et pas plus de cinq tentatives d'authentification. Avant la configuration de la fonctionnalité serveur SSH sur le routeur, RADIUS est spécifié comme méthode d'authentification. hostname Router75K aaa new-model aaa authentication login default radius aaa authentication login aaa7500kw none enable password enable7500pw username mcisco password 0 maryspw username jcisco password 0 johnspw ip subnet-zero no ip cef no ip domain-lookup ip domain-name cisco.com ! Commandes SSH. ip ssh time-out 60 ip ssh authentication-retries 5 controller E1 3/0 channel-group 0 timeslots 1 controller E1 3/1 channel-group 1 timeslots 2 interface Ethernet0/0/0 no ip address no ip directed-broadcast no ip route-cache distributed shutdown interface Ethernet0/0/1 interface Ethernet0/0/2 ccnp_cch
12
ccnp_cch interface Ethernet0/0/3 no ip address
no ip directed-broadcast no ip route-cache distributed shutdown interface Ethernet1/0 ip address secondary ip address no ip route-cache no ip mroute-cache interface Ethernet1/1 interface Ethernet1/2 interface Ethernet1/3 interface Ethernet1/4 interface Ethernet1/5 ccnp_cch
13
ccnp_cch interface Serial2/0 ip address 10.1.1.2 255.0.0.0
no ip directed-broadcast encapsulation ppp no ip route-cache no ip mroute-cache ip classless ip route ip route tacacs-server host port 9000 tacacs-server key cisco radius-server host auth-port 1650 acct-port 1651 radius-server key cisco line con 0 exec-timeout 0 0 login authentication aaa7500kw transport input none line aux 0 transport input all line vty 0 4 end SSH sur un routeur Cisco GigaSwitch Router 12000 Dans l'exemple suivant, SSH est configuré sur un Cisco GigaSwitch Router 12000 avec un timeout qui ne doit pas dépasser 60 secondes et pas plus de deux tentatives d'authentification. Avant la configuration de la fonctionnalité serveur SSH sur le rou- teur, TACACS+ est spécifié comme méthode d'authentification. hostname Router12K aaa new-model aaa authentication login default tacacs+ local aaa authentication login aaa12000kw local enable password enable12000pw username mcisco password 0 maryspw username jcisco password 0 johnspw redundancy main-cpu auto-sync startup-config ip subnet-zero no ip domain-lookup ip domain-name cisco.com ! Commandes SSH. ip ssh time-out 60 ip ssh authentication-retries 2 ccnp_cch
14
ccnp_cch interface ATM0/0 no ip address no ip directed-broadcast
no ip route-cache cef shutdown interface POS1/0 ip address encapsulation ppp no keepalive crc 16 no cdp enable interface POS1/1 crc 32 interface POS1/2 interface POS1/3 interface POS2/0 ip address interface Ethernet0 ip address router ospf 1 network area ccnp_cch
15
ccnp_cch ip classless ip route 0.0.0.0 0.0.0.0 172.17.110.65
logging trap debugging tacacs-server host tacacs-server key cisco radius-server host auth-port 1650 acct-port 1651 radius-server key cisco line con 0 exec-timeout 0 0 login authentication aaa12000kw transport input none line aux 0 line vty 0 4 no scheduler max-task-time no exception linecard slot 0 sqe-registers no exception linecard slot 1 sqe-registers no exception linecard slot 2 sqe-registers no exception linecard slot 3 sqe-registers no exception linecard slot 4 sqe-registers no exception linecard slot 5 sqe-registers no exception linecard slot 6 sqe-registers end ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.