Thibaut Maquet – Architecte réseau et sécurité à Lyon

Dans un monde où la cybersécurité 🛡️ est une priorité 🔐, il est essentiel de sécuriser 🔒 ses connexions 🌐 aux équipements réseau 💻. Sur Cisco 🖥️, le choix des ciphers 🔑 côté client 👨‍💻 joue un rôle clé dans la protection des données 🔒📊.

Un cipher 🔐 (ou algorithme de chiffrement) est comme une boîte magique 🧳 qui prend tes données 📝 lisibles et les transforme en un grand paquet de charabia crypté 🤯. Mais ne t’inquiète pas, la clé secrète 🔑 utilisée par le destinataire permet de « déverrouiller » ce paquet pour en retrouver l’information originale, comme un message codé entre amis 👯‍♂️.

✅ Pourquoi bien choisir ses ciphers ?
Lorsque vous vous connectez en SSH 🔐, votre client négocie un cipher 🔄 avec le Cisco. Mais tous ne se valent pas : certains sont obsolètes ⏳ et vulnérables 🕵️‍♂️, d’autres offrent une protection robuste 🛡️.

Ne pas prêter attention aux ciphers 🚨, c’est risquer une connexion faible ⚠️, exposant vos communications à des attaques 💥 (ex. force brute 🏋️‍♂️, interception 🕵️‍♀️, downgrade attack ⬇️).

🔑 Quels ciphers utiliser ?
Sur un connexion SSH
Voici les ciphers recommandés :
– AES-256-CTR ou AES-128-CTR (éviter AES-CBC)
– ChaCha20-Poly1305 (plus rapide sur certains appareils)
– HMAC-SHA2-256 / SHA2-512 pour l’intégrité
– ECDSA ou Ed25519 pour l’authentification

🔹 Commande OpenSSH pour une connexion sécurisée :
ssh -c aes256-ctr -m hmac-sha2-256 -oKexAlgorithms=curve25519-sha256@libssh.org user@cisco-device

🔍 Explication des paramètres :
-c aes256-ctr 🔒 : Définit l’algorithme de chiffrement. AES-256-CTR, c’est du solide !
-m hmac-sha2-256 🛡️ : Protège l’intégrité des données contre les hackers en embuscade.
-oKexAlgorithms=curve25519-sha256@libssh.org 🔑 : Définit l’algorithme d’échange de clés. Curve25519 = sécurité + rapidité !

🔹 Tester les ciphers sous Linux :
ssh -Q cipher

🔹 Voir les ciphers supportés sur Cisco :
show ip ssh

🔹 Exemple de sortie show ip ssh :
SSH Enabled – version 2.0
Encryption Algorithms: aes256-ctr aes192-ctr aes128-ctr
MAC Algorithms: hmac-sha2-256 hmac-sha2-512
KEX Algorithms: curve25519-sha256@libssh.org diffie-hellman-group14-sha256
Hostkey Algorithms: ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521

🔹 Décryptage de la sortie :
Encryption Algorithms 🔐 : AES-CTR activé = ✅
MAC Algorithms 🛡️ : SHA2-256 / SHA2-512 = intégrité assurée !
KEX Algorithms 🔄 : Curve25519 et Diffie-Hellman SHA-256 = clés bien protégées.
Hostkey Algorithms 🔑 : ECDSA/NISTP = Authentification robuste.

🚀 Conclusion : Sécurisez vos connexions !
Cisco offre de nombreuses options de sécurité, mais c’est à vous de choisir les bons ciphers. En les sélectionnant avec soin, vous évitez d’être une cible facile.