Cisco IOS 💾 Support pour SSH Il est important de noter que pour supporter HTTPS, SSH, SCP, etc., les appareils Cisco doivent exĂ©cuter une version de Cisco IOS supportant l'encryption. Il est possible d'identifier si l'encryption est supportĂ©e par le firmware par son nom. La structure des noms de firmware de Cisco est gĂ©nĂ©ralement composĂ©e du modĂšle de l'appareil, le niveau de licence (ex adventerprise pour "Advantage Enterprise" ou "lanlite" pour les fonctionnalitĂ©s de base seulement), le numĂ©ro de version majeure (portant gĂ©nĂ©ralement un nom gĂ©ographique associĂ© tel que "Gibraltar", "Fuji", "Amsterdam", "Denali", "Everest", "Cupertino" et "Bengaluru" pour les versions 16.x et plus rĂ©centes), la rĂ©vision du logiciel, le "Throttle" entre parenthĂšses indique la rĂ©vision mineure du logiciel incluant gĂ©nĂ©ralement des nouvelles fonctionnalitĂ©s ou quelques correctifs et le nom se termine enfin par un identifiant dĂ©terminant le type de publication ou le "train" ainsi que sa rĂ©vision. La structure suivante identifie donc le numĂ©ro de version complĂšte et le nom complet du fichier de logiciel considĂ©rant que les fonctionnalitĂ©s avancĂ©es d'entreprise ainsi que l'encryption soient inclus dans le logiciel serait "cat4500e-entservicesk9-mz.151-2.SG2.bin" 15 .1 (2) SG 2 Major release number Minor release number New feature release number Branch/train/platform identifier Maintenance rebuild number TL; DR : Pour pouvoir activer toute forme de service d'encryption sur un appareil Cisco IOS, le nom du "firmware" doit contenir "k9"  Configuration du service Lors de l'installation de OpenSSH sur la majoritĂ© des systĂšmes, une clĂ© publique identifiant le systĂšme de façon unique est gĂ©nĂ©ralement gĂ©nĂ©rĂ©e automatiquement. Sur les appareils Cisco IOS, il est nĂ©cessaire de gĂ©nĂ©rer cette identitĂ© pour activer le service.  Afin de gĂ©nĂ©rer cette clĂ©, il est impĂ©ratif de configurer un nom de domaine sur l'appareil. Il faut ensuite s'assurer que le service soit activĂ©. Si le support pour SCP est nĂ©cessaire (ex. pour prendre des sauvegardes de la configuration), il devra ĂȘtre activĂ© sĂ©parĂ©ment. Il faudra ensuite configurer un utilisateur avec lequel il sera possible de s'identifier (peut aussi ĂȘtre dĂ©lĂ©guĂ© Ă  un serveur RADIUS) et spĂ©cifier aux terminaux virtuels d'ĂȘtre Ă  l'Ă©coute de connexions SSH ainsi que la liste d'utilisateurs Ă  consulter pour l'authentification. Les commandes suivantes suffisent gĂ©nĂ©ralement Ă  activer SSH sur un appareil Cisco IOS. Switch> enable Switch# configure terminal # Il est gĂ©nĂ©ralement recommandĂ© de dĂ©finir le nom de l'appareil puisque son identitĂ© sera gĂ©nĂ©rĂ©e en consĂ©quence Switch(config)# ip domain-name tamere.local # Le niveau de privilĂšge de la ligne suivante peut ĂȘtre ajustĂ©, 15 est un administrateur global Switch(config)# username bob privilege 15 password bob # La ligne suivante affichera un avertissement lors au cours de la gĂ©nĂ©ration de la clĂ© Switch(config)# crypto key generate rsa modulus 4096 Switch(config)# ip ssh version 2 Switch(config)# ip scp server enable # La ligne suivante peut ĂȘtre ajustĂ©e en fonction du nombre de terminaux Ă  configurer pour SSH ou Telnet Switch(config)# line vty 0 4 # La ligne suivante rĂ©serve ces terminaux virtuels pour SSH mais il est aussi possible de laisser ceux-ci Ă  "all" Switch(config-line)# transport input ssh # La ligne suivante indique Ă  ces terminaux de consulter la liste d'utilisateurs locaux pour permettre l'authentification Switch(config-line)# login local Dans cet exemple, les terminaux virtuels 0 Ă  4 sont rĂ©servĂ©s Ă  utilisation pour SSH. Il est Ă©galement bonne pratique de rĂ©server les terminaux 5 Ă  15 pour Ă©viter des tentatives d'authentification par des protocoles moins sĂ©curisĂ©s comme Telnet si possible.