Pas toujours simple de comprendre le fonctionnement et la configuration de l'authentification sur les switchs, pour cela voici un petit récapitulatif
Cisco:
Chez Cisco il y a trois types de connexion bien distinct:
- en telnet ou ssh: line vty
- par le port console: line con, petit conseil utiliser la commande logging synchronous
- et le dernier que je n'ai que rarement vu fonctionner sert aux connexions type modem à distance: line aux
Je ne vais traiter que le premier qui me semble le plus intéressant
La première protection est de créer un couple username password soit directement dans la configuration line vty:Switch(config)#line vty 0 4Switch(config-line)#loginSwitch(config-line)#password vty-password
soit en utilisant une liste locale dans la conf du switch:Switch(config)#username enrico password enrico-passwordSwitch(config)#username rodrigo password rodrigo-passwordSwitch(config)#line vty 0 4Switch(config-line)#login local
Rmq: bien faire attention qu'il existe des users dans la conf avant d'utiliser la commande login local, car lors de la prochaine connexion en telnet il est impossible de se connecter (pas de login local alors que le switch en cherche un pour vous authentifier).
authentification pour le mode priviligier (enable):enable secret enable-secretenable password enable-password
Si l'authentification par password et secret sont tous les 2 configurés, par défaut le secret sera utilisé.
Le secret est crypté dans la conf contrairement au password
Il est donc fortement conseillé de ne pas mettre le même password et secret afin de ne pas mettre en clair dans la con l'enable secret.
restriction de connexion par adresse réseaux:
pour cela il faut créer une ACL:access-list 1 permit 192.168.1.12access-list 1 permit 192.168.1.15access-list 1 permit 192.168.10.15
puis entrer la commande:line vty 0 4access-class 1 in
Switch(config)#hostname SwitchASwitchA(config)#ip domain-name mydomain.comSwitchA(config)#crypto key generate rsaThe name for the keys will be: SwitchAChoose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.How many bits in the modulus 512: 1024Generating RSA keys ...OKSwitchA(config)#ip ssh time-out 60SwitchA(config)#ip ssh authentication-retries 2SwitchA(config)#line vty 0 4SwitchA(config-line)#transport input ssh
No comments:
Post a Comment