Dans un contexte où les équipements réseau sont des points critiques du système d’information, il est essentiel de sécuriser leur accès dès leur mise en service. Par défaut, un switch peut être exposé à des connexions non sécurisées ou à des tentatives d’accès non contrôlées.
Cette fiche présente une configuration de base permettant de mettre en place un accès distant sécurisé via SSH, en désactivant Telnet, en chiffrant les mots de passe et en limitant les connexions aux seuls postes autorisés. L’objectif est de réduire la surface d’attaque tout en conservant une administration simple et efficace.
La configuration proposée est adaptée à un environnement de type BTS CIEL / SIO, mais reprend également des bonnes pratiques utilisées en conditions réelles d’exploitation.
enable
configure terminal
! Nom du switch
hostname S1
! Désactive la résolution DNS (évite les blocages)
no ip domain-lookup
! Mot de passe privilégié
enable secret MonMotDePasseFort
! Chiffrement des mots de passe
service password-encryption
! Création d’un utilisateur local
username admin privilege 15 secret MotDePasseAdminFort
! Domaine (obligatoire pour SSH)
ip domain-name lab.local
! Génération des clés RSA (2048 bits recommandé)
crypto key generate rsa
2048
! Sécurisation SSH
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3
! Configuration des accès VTY : SSH uniquement (pas de Telnet)
line vty 0 15
transport input ssh
login local
exec-timeout 5 0
exit
! (Option avec ACL) Restriction par IP
access-list 10 permit 192.168.1.0 0.0.0.255
line vty 0 15
access-class 10 in
exit
! Interface de management (VLAN 1 par défaut)
interface vlan 1
ip address 192.168.1.10 255.255.255.0
no shutdown
exit
! Passerelle par défaut
ip default-gateway 192.168.1.1
end
! Sauvegarde de la configuration
write memory
! ou : copy running-config startup-config
! ou : copy run startExplication détaillée de la configuration
Cette configuration permet d’initialiser un switch Cisco en mettant en place un accès d’administration sécurisé à distance avec SSH. Elle désactive l’accès non sécurisé par Telnet, chiffre les mots de passe visibles dans la configuration et limite l’accès SSH aux machines autorisées.
enable
configure terminalCes commandes permettent de passer en mode privilégié, puis en mode configuration globale. C’est dans ce mode que l’on peut modifier la configuration du switch.
hostname S1Cette commande donne un nom au switch. Ici, le switch s’appelle S1. Cela permet de mieux identifier l’équipement dans le terminal, surtout lorsqu’on administre plusieurs équipements réseau.
no ip domain-lookupCette commande désactive la résolution DNS automatique. Sans cette commande, si une commande est mal tapée, le switch peut essayer de la résoudre comme un nom de domaine, ce qui provoque une attente inutile.
enable secret MonMotDePasseFortCette commande définit le mot de passe du mode privilégié. Le mot de passe configuré avec enable secret est chiffré de manière plus sécurisée que l’ancien enable password.
service password-encryptionCette commande chiffre les mots de passe visibles dans la configuration. Cela évite que certains mots de passe apparaissent en clair dans le fichier de configuration.
Attention : ce chiffrement protège surtout contre une lecture rapide de la configuration. Ce n’est pas un chiffrement très fort, mais c’est une bonne pratique de base.
username admin privilege 15 secret MotDePasseAdminFortCette commande crée un utilisateur local nommé admin.
Le niveau privilege 15 donne à cet utilisateur les droits administrateur complets sur le switch. Le mot de passe est défini avec secret, ce qui est préférable à password.
ip domain-name lab.localCette commande définit un nom de domaine local. Elle est nécessaire pour générer les clés RSA utilisées par SSH.
crypto key generate rsa
2048Cette commande génère les clés RSA du switch. Ces clés sont utilisées pour établir une connexion SSH chiffrée.
Une taille de 2048 bits est recommandée pour une meilleure sécurité.
ip ssh version 2Cette commande force l’utilisation de SSH version 2. SSH v2 est plus sécurisé que SSH v1.
ip ssh time-out 60Cette commande limite le temps d’attente lors d’une tentative de connexion SSH. Ici, le switch attend au maximum 60 secondes.
ip ssh authentication-retries 2Cette commande limite le nombre de tentatives d’authentification SSH. Ici, seules 2 tentatives sont autorisées avant coupure de la session.
line vty 0 15Les lignes VTY sont les lignes utilisées pour les connexions distantes, comme SSH ou Telnet.
Sur beaucoup de switchs Cisco, il existe plusieurs lignes VTY, par exemple de 0 à 15.
transport input sshCette commande autorise uniquement SSH sur les lignes VTY.
Elle désactive donc l’accès Telnet, car Telnet n’est pas indiqué dans les protocoles autorisés.
login localCette commande indique au switch d’utiliser la base d’utilisateurs locale pour l’authentification.
Dans notre cas, le switch utilisera donc l’utilisateur :
username admin privilege 15 secret MotDePasseAdminFortexec-timeout 5 0Cette commande ferme automatiquement la session après 5 minutes d’inactivité.
Cela évite qu’une session SSH reste ouverte indéfiniment sur un poste oublié.
access-list 10 permit 192.168.1.0 0.0.0.255Cette commande crée une ACL standard numéro 10.
Elle autorise uniquement les adresses IP du réseau :
192.168.1.0/24Le masque wildcard 0.0.0.255 correspond au masque classique :
255.255.255.0Donc les machines autorisées sont celles comprises entre :
192.168.1.1 et 192.168.1.254Toutes les autres adresses sont refusées implicitement.
line vty 0 15
access-class 10 inCette commande applique l’ACL 10 sur les lignes VTY en entrée.
Cela signifie que seules les machines du réseau 192.168.1.0/24 peuvent tenter une connexion SSH vers le switch.
C’est une mesure importante : même si SSH est sécurisé, on limite les machines autorisées à accéder à l’administration.
interface vlan 1
ip address 192.168.1.10 255.255.255.0
no shutdownCette partie configure l’adresse IP de management du switch.
Le switch reçoit ici l’adresse :
192.168.1.10/24Cette adresse permet d’administrer le switch à distance, par exemple en SSH.
La commande no shutdown active l’interface VLAN.
ip default-gateway 192.168.1.1Cette commande indique la passerelle par défaut du switch.
Elle est utile si le switch doit être administré depuis un autre réseau.
Par exemple, si le poste d’administration n’est pas dans le même réseau que le switch, le switch doit savoir vers quelle passerelle envoyer ses réponses.
Sur un switch de couche 2, on utilise :
ip default-gateway 192.168.1.1Sur un switch de couche 3 avec le routage activé, on utiliserait plutôt une route par défaut.
endCette commande permet de quitter le mode configuration et de revenir au mode privilégié.
write memoryCette commande sauvegarde la configuration active dans la mémoire de démarrage.
Elle est équivalente à :
copy running-config startup-configSans cette sauvegarde, la configuration serait perdue au redémarrage du switch.