Rsum

Cet article vous aidera configurer votre routeur CISCO. Cette configuration sera effectue dans un rseau LAN. Nous verrons comment SECURISER votre rseau en abordant de manire succincte les diffrentes attaques et leurs parades. Cet article dcrit ligne aprs ligne un fichier de configuration.

Sommaire

Introduction

Introduction 1 Configuration gnrale du routeur. 2 Configuration des interfaces sries. 3 Configuration des interfaces Ethernets (Vlan). 4 Configuration du routage (EIGRP) 5 Configuration des services o 5.1 Configuration du service DHCP o 5.2 Configuration du service HTTP 6 Les access-list 7 Configuration des liaisons et de lidentification. 8 Crdit Conclusion

Le but de cet article est de configurer proprement un routeur cisco. Afin davoir une vue plus rapide sur lensemble des options, nous allons analyser un fichier de configuration ralis dans le cadre dun projet IS1. Pourquoi scuriser un routeur ? Pour renforcer la scurit dun rseau bien videment . Cest pour cela que nous allons essayer de voir la plus grande partie des options qui le permettent et que certaines peuvent paraitre un peu extreme . Cependant, il ne faut pas perdre de vue que si vous subissez une attaque avec du matriel cisco, votre pirate est soit quelqu'un connaissant parfaitement IOS soit un parfait inconscient. Le premier cas, le plus probable, oblige envisager le plus de cas de figures possibles. Nous nous sommes volontairement limiter un trafique en interne sans accs internet.
1 Configuration gnrale du routeur.

! Commentaires propre au fichier de configuration du routeur. Version 12.4 Version de lIOS utilis.

service timestamps debug uptime service password-encryption no service config no service pad no ip bootp server no ip finger no service tcp-small-servers no service udp-small-servers service timestamps debug uptime: Mise en place dun systme de temps en milliseconde pour le debugage et le logging. service password-encryption : IOS utilise du cryptage pour le mot de passe douverture dune session en Telnet. no service config : Dsactive les demandes en TFTP de vrification de mise jour. Ce trafique est volumineux et ajoute des logs inutiles sur les machines server FTP et sur le routeur. De plus ceci cr du trafique supplmentaire en cas de monitoring. no service pad: Cette commande dsactive le service dassembleur/dsassembleur de paquets (PAD) et les connexions entre des priphriques PAD et des serveurs daccs. Source Cisco. no ip bootp server : Cette commande dsactive le service BOOTP qui autorise le routeur configurer automatiquement au dmarrage les informations Internet ncessaires partir dun serveur central, y compris le tlchargement du logiciel Cisco IOS. Source Cisco. Une attaque existe ce niveau : - Lors dun redmarrage forc dun routeur celui-ci peut aller chercher une version modifie et charger la configuration modifie. no ip finger: Cette commande dsactive lidentification des utilisateurs connects un priphrique rseau. Bien que ces informations ne soient pas trs sensibles, elles peuvent parfois tre utiles un pirate. Source Cisco. no service tcp-small-servers, no service udp-small-servers : Par dfaut dans IOS 11.3 et suprieur: inutile. Source Cisco. hostname routerA Dfinition du nom dhte du routeur. Change le prompte de commande galement.

enable secret 5 %WhizZ@070458%A Mise en place de cryptage MD5 pour le mot de passe. Commande : enable-password restreint l'accs au mode EXEC privilgi. enable-secret password ( partir de la console de configuration systme servant dfinir les paramtres globaux) utilise un procd de chiffrement propritaire de Cisco pour transformer la chane de caractres du mot de passe. Ip subnet-zero Autorise ladressage avec une adresse de sous-rseaux. Ip cef Cette commande autorise le network accounting of Cisco Express Forwarding (CEF). CEF est une fonctionnalit permettant deffectuer de la commutation de niveau 3 et la mise en cache des routes. A nutiliser quavec une version postrieure IOS 12.2T : avec les versions prcdentes, on peut rcuprer une partie des donnes prcdemment traites par l'quipement affect grce l'envoi de paquets mal forms. Source Cisco. Source Gouvernement. Commande : ip cef accounting [per-prefix] [non-recursive] no ip cef accounting [per-prefix] [non-recursive] Per-prefix et non-recursive sont optionnels. Per-prefix accepte une collection de nombre de packets de bites transmis une destination. Non-recursive accepte le mode non rcursif (sur les prfixes) de la commande.

no cdp run no cdp run : On ne met pas en marche le protocole de Cisco de dcouverte du rseau. Ceci vite du trafique et permet dviter toute interception / modification dinformations.

2 Configuration des interfaces sries.

interface Serial0 description interface routeur batiment A ip address 192.168.2.129 255.255.255.252 no ip directed-broadcast clock rate 128000

bandwidth 128 ip verify unicast reverse-path ip access-group 100 in ip access-group 101 in no ip directed-broadcast : permet dviter la rponse des attaques de types "dni de service" ICMP.

A attaque B en envoyant D un packet ICMP echo request avec en adresse de retour B. Imaginez la mme chose, avec un nombre n de machine la place de D et un envoie de A en broadcast. Tous les ordinateurs vont renvoyer un packet ICMP echo response B. clock rate 128000 : Dfinit du ct DCE dune interface serial la frquence de cette dernire. bandwidth 128 : Dfinit la bande passante relle dune liaison en kb.s^-1. Cette information est utilise par les protocoles de routage dans les calculs de mtrique. Dun point de vue scurit, il est important de les dfinir car ceci permet dviter avec certains protocoles de routage des attaques visant dstabiliser le rseau. Les pirates floodent le rseau, faussent les calculs de mtrique et obligent utiliser des liaisons lentes. ip verify unicast reverse-path : On met en place ici l'algorithme de cisco vrifiant le spoufing d'adresse ip Unicast Reverse Path Forwarding (Unicast RPF). ip access-group 100 in : On associe chaque interface du routeur une ACL ou access-liste ou rgle de filtrage ip (niveau 3). On peut aussi prciser le sens du trafic selon qu'on souhaite que l'ACL s'applique aux paquets entrant dans le routeur ou bien aux paquets sortant du routeur par une interface donne.

Prenons lexemple dune ACL de type access-list 100 deny ip any any qui sur linterface A du routeur est de type in, tout le trafique arrivant sur cette interface ne sera pas accept. Prenons lexemple dune ACL de type access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 53 qui sur linterface B du routeur est de type out, tous le trafique partant de cette interface et allant vers les rseaux agrgs par cette adresse sur cette interface ne sera pas accept. Les ACL ne sappliquent pas au trafic cr par le routeur mais celui transitant par le routeur.
3 Configuration des interfaces Ethernets (Vlan).

interface FastEthernet0/0.1 description interface vlan developpeurs ip address 192.168.0.1 255.255.255.128 ip access-group 12 in ip verify unicast reverse-path no ip directed-broadcast no ip redirects no ip unreachables no ip source-route no ip proxy-arp encapsulation dot1q 2 no shutdown no ip redirects : Cette commande empche linterface externe de rediriger les requtes ICMP ICMP redirect . ip verify unicast reverse-path : Trs important / !\. Cette commande empche le spoofing dadresse IP. Le spoofing dadresse IP est utilis notamment dans la technique dattaque : Man in the Middle . Un exemple de cette attaque :

A va envoyer une demande au serveur B (trame unicast) en tant intercept par C. C lui vole son adresse ip, demande linformation B et rcupre linformation en tant que client authentifi. Un bon pirate renverra linformation A, Et ainsi personne ne sapercevra que linformation a t intercepteOn peut imaginer ce scnario o B est un serveur de mail Avec notre protection, C ne pourra prendre ladresse de A, et ainsi recevoir les informations de B.

Cette attaque (la plus classique) possde plusieurs subtilits : Les pirates peuvent changer 255 fois leur ttl. Le champ TTL (Time To Live) est cod sur 8 bits et indique la dure de vie maximale du paquet. Il reprsente la dure de vie en seconde du paquet. Si le TTL arrive 0, alors l'quipement qui possde le paquet, le dtruira. Il est important pour cela de sniffer le rseau, et en cas dattaque de ce type, riposter en bloquant le rseau (flouder le routeur vulnrable) pour avoir le temps danalyser le rseau. Les pirates ne feront pas de traceroute avant pour viter le log de lattaque (en effet, celle-ci est violente du fait quelle utilise une trame unicast. Donc pas perceptible par une IDS simple. Les pirates testeront toutes les interfaces (LAN et DMZ) mme si ils sont sur le LAN car, IOS dans ces vieilles versions ne scurise par des ACL que les interfaces WAN.

Remarque : Ip cef doit tre activ pour mettre en place lanti-spoofing.

no ip directed-broadcast : Cette commande applique sur chaque interface du routeur a pour effet de ne pas propager les broadcasts dirigs. C'est la configuration par dfaut partir de la version IOS 12.0. no ip unreachables : cette commande vite de renvoyer les packet ICMP non corrects ou dont les htes sont inaccessibles. Techniquement, on vite de renvoyer les messages derreur ICMP "unreachables". On effectue ceci afin dviter tout parcours/dcouverte du rseau avec des packets ICMP. No ip proxy-arp : Dsactivation du proxy arp. Remarque : Normalement, ARP est confin un LAN, mais un routeur peut se comporter comme un proxy pour les demandes ARP, rendant ainsi ces dernires disponibles sur plusieurs segments du LAN. Dans la mesure o le proxy ARP franchit la barrire de scurit du LAN, il est recommand de ne lutiliser quentre deux LAN Guide de lutilisateur de Cisco Router and Security Device Manager 2.1

no ip source-route: Cette commande dsactive le routage source qui permet lexpditeur dun datagramme IP de contrler le routage du datagramme vers sa destination finale, et gnralement, litinraire suivi par la rponse. Ces options sont rarement utilises des fins lgitimes dans les rseaux. Source Cisco. Une attaque existe ce niveau : - Les paquets routs peuvent bloquer des machines avec leur datagramme.

Encapsulation dot1q type dencapsulation pour le vlan numro 2.

2:

Lencapsulation dot1q2 contient (par rapport lISL) un en-tte tag de 4 octets qui contient un identifiant du protocole de tag (TPID) et une information de contrle du tag (TCI). Le TPID contient une constante qui indique que la frame porte des informations tagger laide du protocole 802.1q. Le TCI contient des lments fixant la priorit et le numro didentification du VLAN. Des informations complmentaires sont disponibles dans lessentiel CCNA3 du laboratoire SUPINFO des technologies Cisco. Explication dune trame :

Prambule SFD

@ Dest @Src TPID TCI TYPE RIF Donnes FCS

TPID : Dsigne le type de tag. Il permet par exemple au switch didentifier la trame comme comportant un tag 802.1Q (norme de lencapsulation dot1q). TCI : User Priority Source Routing VID : Vlan Identifier User_priority permet de dfinir huit niveaux de priorit. Lorsquil est positionn 1, le bit CFI indique que les adresses MAC sont bien au format standard. Le champ VID dsigne le Vlan auquel appartient la trame. Diffrentes attaques existent ce niveau : - les attaques par saturation de la tables dadresses mac dun switch par vlan que les catalyste grent trs bien : ils ne se comportent pas en hub une fois la table sature. - Lenvoie de trames forges avec des tags 802.1q, les switchs CISCO ne les dtaguent pas et vont considrer le port cibl comme un trunk : cette attaque est possible avec de lencapsulation ISL et permet daccder aux autres VLAN. On dsactive le DTP (Dynamique port trunk) ou on utilise une encapsulation dot1q (lefficacit de cette dernire mesure dpend du reste de lenvironnement). - Attaque sur le Spanning Tree de type deni (explique plus haut) ou linjection de BPDU (Bridge Protocol Data Unit) forcant ainsi la mise jour des topologies rseaux et le rendant inoprant. On active sur les composants de niveau 3 de notre topologie BPDU Guard et ROOT guard. On peut dsactiver le spanning tree au niveau des ports dun routeur non connect des switchs.

Ce type dencapsulation de dot1q apporte un peu plus de scurit car la trame est modifie par lquipement en interne (externe pour lISL) et le vlan nest pas tagu, seul son numro ressort dans une analyse de trame, on ne peut donc pas le rcuprer. Il est de plus support par les acces point .

4 Configuration du routage (EIGRP)

router eigrp 2032 network 192.168.0.0 no auto-summary ip split-horizon 2032 neighbor 192.168.2.130 Serial0 passive-interface FastEthernet0 passive-interface FastEthernet0/0.1 passive-interface FastEthernet0/0.2 passive-interface FastEthernet0/0.3

ip authentication mode eigrp 2032 md5 ip authentication key-chain eigrp 2032 RouterA ! router eigrp 2032 : Cette Commande met en place le routage avec le protocole Eigrp et un numro dAS gale 2032. network 192.168.0.0 : Cette commande permet de prciser ladresse du rseau sur lequel se porte le routage. ip split-horizon 2032 : Cette commande permet de ne pas redonner un routeur A de la part dun routeur B une route apprise par lui-mme.

Si ceci arrivait, la mtrique serait modifie (+2) : Cest surtout en cas de casse dune liaison ; le routeur A pensera ainsi que le routeur B possde la meilleure route et ainsi le rseau deviendrait HS. De plus les mises jour de routeur se trouveraient de plus en plus lourdes, et pour peu que ces dernires soient forces lors dune attaque, les routeurs arriveraient saturation. neighbor 192.168.2.130 Serial0: On prcise ici manuellement les voisins pour le protocole eigrp. no auto-summary : On interdit la mise jour automatique de la table de voisinage du protocole eigrp: le rseau nallant pas voluer: on empche ainsi tout envoi dinformations errones ! Pour la suite on fera comme si on avait la commande auto-summary qui permet ainsi denvisager le cas plus frquent de mise jour automatique. passive-interface FastEthernet0: On empche ainsi quune route soit diffuse par cette interface. ip authentication mode eigrp 2032 md5 ip authentication key-chain eigrp 2032 RouterA: Cette commande met en place lauthentification avec un cryptage md5 pour la mise jour.

key chain RouterA key 1 key-string c1sC0@e%7 Ces paramtres dfinissent le mot de passe utilis par les mises jour eigrp. ip classless On prcise ici que le routage est de type classless (agrgation des routes). ip route 0.0.0.0 serial0 On prcise ladresse de la route par dfaut.
5 Configuration des services

5.1 Configuration du service DHCP

ip domain-name projet-is1.com Cette commande prcise le domaine par dfaut utilis par le routeur pour complter les noms devant ltre. Rfrence Cisco. ip dhcp excluded-address 192.168.0.129 Cette commande exclut ladresse 192.168.0.129 des adresses alloues par le serveur DHCP ici prsent. ip dhcp pool developpeurs network 192.168.0.0 255.255.255.128 default-router 192.168.0.1 domain-name projet-is1.com dns-server 80.10.246.130 80.10.246.3 lease 30 ! ip dhcp ping packets 1 ip dhcp pool developpeurs : Crer un nom pour le pool dadresse DHCP et nous place en mode de configuration DHCP. network 192.168.0.0 255.255.255.128: Spcifie le sous-rseau et son masque de rseau pour le pool en configuration. default-router 192.168.0.1 : Spcifie ladresse IP du routeur par dfaut du client DHCP. Une adresse IP est obligatoire, 8 au maximum. Netbios-name-server 192.168.X.X : (optionnel) Spcifie le serveur Netbios Wins par dfaut pour un rseau microsoft. Une adresse IP est obligatoire, 8 au maximum. domain-name projet-is1.com: Spcifie le nom de domaine pour le client.

dns-server 80.10.246.130 80.10.246.3: Spcifie le serveur dns pour le client. ip dhcp ping packets 1 : Dfinit le nombre de paquets envoys par le serveur un pool dadresse avant dassigner une adresse un client. Rappel :

En rduisant le nombre de paquet, on ne rduit pas la connexion car si le paquet se perd, le client relancera une demande, mais on rduit le nombre de paquets ICMP. Monitorer le rseau devient plus facile. Une solution consiste donner un nombre de paquets autre que 2 (valeur par dfaut) afin de pouvoir rechercher facilement les tentatives dmulation de serveur DHCP. Remarque : Si vous appliquez une access-list (un filtre) en entre sur votre interface LAN, veillez bien ne pas interdire le port UDP 68. En effet, la requte DHCP provenant des PC, se fait sur ce port. Source Supinfo lease 30 : Dclaration dun bail de 30 jours.

5.2 Configuration du service HTTP

ip http secure-server ip http access-class 11 ! ip ssh time-out 30 ip ssh authentication-retries 2 ip ssh version 2 ! username sshadm password @dm1nSSH!v2A ip http secure-server : Activation du server web scuris. ip http access-class 11: Mise en place dune ACL filtrant laccs du serveur scuris. (access-list 11 permit 192.168.2.0 255.255.255.224).

Remarque: On peut ici effectuer des injections de code html au niveau de loption dump du serveur http. Source Cisco. La solution consiste tout dsactiver ; commandes : # no ip http server # no ip http secure-server # no ip http active-session-modules WEB_EXEC # no ip http secure-active-session-modules WEB_EXEC On choisi dans notre cas de restreindre trs fortement laccs au serveur. ip ssh time-out 30: Dfinit un dlai dattente SSH de 30 secondes, le serveur coupera les connections SSH incompltes au bout de 30 secondes. Rfrence Cisco. ip ssh authentication-retries 2 : Cette commande autorise jusqu 2 tentatives de connexion SSH avant de verrouiller cette accs au routeur. Rfrence Cisco. ip ssh version 2: Cette commande spcifie lutilisation de la version 2 de SSH. username sshadm password @dm1nSSH!v2A: Cration dun utilisateur avec son mot de pass pour laccs au site. no snmp-server Cette commande permet de dsactiver le protocole SNMP v1 (Simple Network Management Protocol. SNMP v1 est utiliser pour monitorer les routeurs. Il ny a plus de problme partir de la version 3. Cisco recommande de dsactiver ce protocole. Rfrence Cisco. Le type dattaque est : Rcupration des chaines dauthentification (chaines communautaires). Envoyes sur le rseau de manire non cryptes et en grands nombres, il est facile par recoupement de trame de retrouver les paramtres de connexion dans les datagrammes. Remarque : on peut mettre une access-list sur l'accs aux informations propages par le serveur SNMP. Commande :
snmp-server community snmp1pub RO 1 ! o 1 est le numro de lACL.

6 Les access-list

access-list 11 permit 192.168.2.0 255.255.255.224 access-list 11 remark ACL pour les accs administrateurs SSH, SNMP et HTTPS access-list 12 permit 192.168.0.0 255.255.255.128 access-list 12 remark ACL pour le vlan developpeurs access-list 13 permit 192.168.0.128 255.255.255.192

access-list 13 remark ACL pour le vlan graphistes access-list 14 permit 192.168.0.0 255.255.255.0 access-list 14 remark ACL pour les serveurs et imprimantes communs access-list 100 permit udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 53 access-list 100 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 53 access-list 100 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 25 access-list 100 permit udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 110 access-list 100 permit udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 80 access-list 100 permit udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 443 access-list 100 deny ip any any access-list 100 remark Internet only WEB, MAIL, DNS access-list 101 permit ip 192.168.0.128 0.0.0.63 host 192.168.2.33 access-list 101 remark Connexion au serveur de tickets Les acces-list ici dfinies sont celles utilises pour configurer notre rseau. Rappel : Les ACL filtrent chaque datagramme IP partir de l'adresse IP de la source, l'adresse IP de la destination, le protocole utilis et le port de destination du paquet. Pour plus dinformations concernant ce pr requis, www.labo-cisco.com Soit 2 exemples : access-list 12 permit 192.168.0.0 255.255.255.128 : Cette commande est une access-list simple (numro daccess-list entre 1 et 99). Le routeur permet le transit de paquets en provenance de 192.168.0.0 avec un wildcard 255.255.255.128 access-list 100 deny udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 80 : Cette commande est une access-list tendue (numro daccess-list entre 100 et 199). Le routeur refuse le transit de paquet en provenance de 192.168.0.0 avec un masque 0.0.0.255 (wild mask) destination de tout sur le port 80. Ceci est un exemple illogique. Remarque: Afin dviter le spoofing dadresse ip, on peut mettre en place une ACL (sur les interfaces extrieures) comme suit: Source internet
access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 224.0.0.0 31.255.255.255 any access-list 100 deny ip host 0.0.0.0 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 192.168.0.0 0.0.255.255 any access-list 100 deny ip 172.16.0.0 0.0.255.255 any

access-list 100 deny ip numro-sous-rseau masque-sous-rseau any access-list 100 permit ip any any

Il sagit en fait de limplmentation de la RFC 1918 sur les adresses prives.

7 Configuration des liaisons et de lidentification.

banner motd ^ Warning - Do not login on this equipment if you are not authorized. ^ banner login # Warning - Do not login on this equipment if you are not authorized. ^ Cette commande spcifie le message qui intervient en cas derreur de login sur le routeur. En ralit, il est trs important de spcifier ce message, il sagit ici de notre protection juridique, protection dont peu dinformaticiens se soucient. On peut notamment faire rfrence aux articles 323-1 et 323-7 du code pnal concernant linterdiction de pirater un systme informatique et les sanctions prises en cas dintrusions. line console 0 login password %c1sc0@L3sK1lL3rS%A exec-timeout 70 0 Cette commande permet de protger la ligne console par une authentification avec ici un mot de passe un peu compliqu, mais il ne faut pas hsiter le faire : la plus part des attaques ne vienne pas de lextrieur mais de lintrieur. Le chois de scurit sera ici de ne pas limiter le nombre dessais mais de pouvoir auditer une tentative qui sera par dfinition trs longue et qui a peu de chance daboutir. exec-timeout 70 0 : Cette commande empche une session de bloquer une ligne. line vty 0 4 access-class 11 in login local transport input ssh Cette commande permet ici de protger laccs en TELNET. Au-del dune authentification en local inutile, une ACL limite laccs, et seul le traffique ssh est autoris. On rappel que le serveur https dispose dune authentification pousse.

8 Crdit

Le fichier de configuration ici expliqu provient dun projet ralis dans le cadre dtudes Supinfo, il a t ralis par Franois Ropert www.labo-

cisco.com et moi-mme. Je remercie beaucoup Franois pour ces corrections et son aide. Merci galement Cisco pour les nombreuses ressources quils mettent notre disposition. www.cisco.com. Merci galement lensemble de la communaut prsente sur Internet. Notamment, pour ne citer queux :
http://www.certa.ssi.gouv.fr le site deveille en scurit du gouvernement. http://www.alaide.com le site expliquant la RFC 1918.
Conclusion

Peut-on parler de tuning ? NON, il ne sagit que du minimum effectuer en ralit. En effet, dautres mesures peuvent tre prises, ainsi, les possibilits exploitables sont : -La mise en place dun serveur FTP recueillant les logs des routeurs. -La mise en place dun audit sur ce serveur FTP. -La mise en place dune analyse en temps rel des trames du rseau (on peut cloner des interfaces en y ajoutant ldition de log en plus) -Lapprofondissement du filtrage SSH que permet IOS. -Lactivation du pare-feu sur les interfaces externes : nous rappelons que dans notre cas, il ny a pas dinterface externe On rappel quIOS est le logiciel dexploitation le plus utilis aprs Windows sur internet. Il y a donc pleins dautre rglages possibles, mais il faut bien sarrter un jour.