Vous êtes sur la page 1sur 8

Durcissement des routeurs (Cas d'un routeur Cisco)

Durcissement d'un routeur Cisco


Professionnel de la scurit de l'information elie.mabo@gmail.com

Par Elie MABO

Version 1.2 Dernire mise jour: 17/03/2012

Document rdig par Elie MABO (Professionnel de la scurit de l'information)

1/8

Durcissement des routeurs (Cas d'un routeur Cisco)

Table des matires


Bon savoir............................................................................................................................................................4 A- Contexte et objectif ......................................................................................................................................4 B- Dfinition de la politique de scurit du routeur ..........................................................................................4 1- Politique d'acquisition.................................................................................................................................. 4 2- Politique de dploiement et de mise en service .......................................................................................... 4 3- Politique des mots de passe..........................................................................................................................5 4- Politique de contrle d'accs et d'exploitation............................................................................................. 5 5- Politique de durcissement ........................................................................................................................... 5 6- Politique de journalisation........................................................................................................................... 5 C- Scurisation des accs et mots de passe .......................................................................................................6 1- Dsactiver le service de rinitialisation des mots de passe.......................................................................... 6 2- Configurer la longueur minimale dun mot de passe...................................................................................6 3- Limiter le nombre de tentatives de connexions choues..........................................................................6 4- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)............................................. 6 5- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris).....................................................7 6- Configuration de la scurit supplmentaire pour les lignes VTY, console et AUX ..................................7 7- Configuration de la scurit SSH.................................................................................................................7 8- Accorder une attention particulire aux vulnrabilits SNMP, NTP et DNS...............................................8 9- Dsactiver tous les services, protocoles et comptes inutiles ....................................................................... 8 D- Scurisation des protocoles de routages .......................................................................................................8 1- Configurer le protocole RIPv2 avec authentification.................................................................................. 8 2- Configurer lauthentification du protocole de routage EIGRP ................................................................... 8 3- Configurer lauthentification du protocole de routage OSPF ..................................................................... 8 4- Verrouiller le routeur laide de Cisco autosecure...................................................................................9 E- Configuration dun routeur pour lutilisation de SDM .................................................................................9 F- Pour conclure ................................................................................................................................................9

Document rdig par Elie MABO (Professionnel de la scurit de l'information)

2/8

Durcissement des routeurs (Cas d'un routeur Cisco)

Bon savoir
Cette version permet de rduire encore plus la surface d'attaque d'un routeur Cisco. Ce qui s'ajoute dans cette version par rapport la version 1.1 de 2010: Configuration des limitations des tentatives de connexion choues Dsactivation du service de rcupration des mots de passe Bien sr sans oublier la correction des fautes (-: pas dignes d'un professionnel de la scurit de l'information comme moi, et la reformulation de certaines phases.

A- Contexte et objectif
Un routeur est un quipement rseau ddi qui participe au processus d'acheminement des paquets dans un rseau (LAN, MAN, WAN), depuis une source (metteur) vers une destination (rcepteur). Ses deux principales fonctionnalits sont: La dtermination du chemin par lequel doivent passer les paquets et l'acheminement de ceux-ci. Pour y parvenir, il s'appuie sur une table de routage (routing table) contenant des informations ncessaires pour le routage des paquets. Ces fonctionnalits font d'un routeur, un dispositif indispensable pour le fonctionnement d'un rseau de grande taille, d'o l'importance de le protger contre les attaques. Le prsent document dfinit les exigences de scurit prendre en compte lors de la mise en service d'un routeur en gnral, et dcrit comment configurer la scurit sur un routeur Cisco pour assurer sa protection contre des attaques. Il est donc question dans ce document de durcir un routeur en mettant en oeuvre un ensemble de moyens organisationnels et techniques permettant d'assurer la scurit physique et logique de ce dernier.

B- Dfinition de la politique de scurit du routeur


1- Politique d'acquisition Avant d'acqurir un routeur, il convient de dfinir une politique d'acquisition. Quelles sont les fonctionnalits qui seront assures par le routeur ? Quel constructeur offre le meilleur rapport qualit/prix ? Quel est la dure de la garantie? Le support sera t-il assur ? faut-il un contrat de maintenance ? Telles sont l quelques questions dont les rponses doivent figurer dans le document dfinissant la politique d'acquisition du routeur. 2- Politique de dploiement et de mise en service Une fois le routeur acquis, il convient de dfinir une politique de dploiement et de mise en oeuvre. Cette politique devra tenir compte de son installation, de sa configuration et de sa mise en service. Par exemple, il doit tre plac dans un endroit scuris (accs protg), derrire un dispositif de protection comme un pare-feu par exemple. Il doit tre test avant sa

Document rdig par Elie MABO (Professionnel de la scurit de l'information)

3/8

Durcissement des routeurs (Cas d'un routeur Cisco) mise en production. En cas de problme, on doit pouvoir revenir la configuration de dpart sans qu'il y ait d'impact sur le systme d'information ou sur le rseau. 3- Politique des mots de passe Les routeurs offrent en gnral plusieurs types et niveaux d'accs ( telnet, ligne virtuelle (vty), http, ligne auxiliaire, mode enable, mode de configuration globale, etc. ). Chaque type d'accs peut tre protg par un mot de passe. Une politique des mots de passe doit tre dfinie et applique pour viter leur compromission. Par exemple, les mots de passe doivent tre changs suivant une priodicit (tous les trois mois par exemple ). Ils doivent tre forts (difficillement cassable), c'est dire compos des chiffres, caractres spciaux (@!&#), majuscules et minuscules. Ceci permet d'viter les attaques par dictionnaire ou par force brute. 4- Politique de contrle d'accs et d'exploitation Le routeur tant en service, il convient de dfinir une politique des accs et d'exploitation. Cette politique doit contenir des lments sur la mise jour de l'IOS, les droits et niveaux d'accs (parser view), les actions possibles en fonction des rles, la priodicit des mises jour des protocoles de routage, les routeurs voisins autoriss communiquer avec le routeur, la priode des interventions sur le routeur ( exemple: pas d'intervention lorsque des transactions sont encours), etc. La journalisation de toutes les actions doit tre effectue sur le routeur, peu importe par qui. En cas d'incident de scurit ou d'audit, qui a accs aux logs?

Attention: certaines versions de l'IOS Cisco disposent des commandes permettant de retrouver un mot de passe partir de la chaine hexadecimale reprsentant ce mot de passe dans le fichier de configuration. 5- Politique de durcissement Il convient de dfinir une politique de durcissement du routeur. Par exemple, en dfinissant les rles et responsabilits des diffrents intervenants (administrateurs rseaux, administrateurs scurit, fournisseurs, etc.), les services et comptes inutiles doivent tre dsactiv, les types d'accs autoriss doivent tre bien dfinis, la politique de sauvegarde de la configuration, etc.. 6- Politique de journalisation Un routeur tant un quipement sensible, il est important de le surveiller afin d'avoir une ide sur ses diffrentes activits (trafic, connexion, etc.). Cette surveillance passe par les fichiers journaux gnrs par ce dernier. Il convient donc de dfinir une politique de journalisation. Par exemple, comment vont tre enregistrs les vnements dans les fichiers journaux, o

Document rdig par Elie MABO (Professionnel de la scurit de l'information)

4/8

Durcissement des routeurs (Cas d'un routeur Cisco) doivent-ils tre stocks ? En cas de centralisation des journaux, l'envoi des fichiers journaux (log) vers un serveur centralis (syslog par exemple) doit tre scuris (chiffr, authentifi, etc.), une sauvegarde dune copie des logs doit tre ralise (chaque jour, chaque semaine, chaque mois, etc.), sur des supports diffrents.

C- Scurisation des accs et mots de passe


1- Dsactiver le service de rinitialisation des mots de passe
Dans certains cas, il peut tre ncessaire de dsactiver le service qui permet de rinitialiser les mots de passe sur un routeur. Il est important de noter ici que cette dsactivation peut avoir des consquences graves, par exemple, l'obligation de revenir la configuration par dfaut de base (usine) du routeur.
R1(config)# no service passwords-recovery

En cas de perte de mot de passe, il sera impossible de rinitialiser le mot de passe du super utilisateur. Cette commande fait partie des commandes caches de l'IOS Cisco. Je vous conseille de l'utiliser uniquement si vous n'avez pas une garantie suffisante au niveau de la matrise de l'accs physique de votre routeur.

2- Configurer la longueur minimale dun mot de passe


R1(config)# security passwords min-length 10

Le routeur n'acceptera pas les mots de passe de moins de 10 caractres.

3- Limiter le nombre de tentatives de connexions choues


Afin d'viter les attaques par dictionnaire et par force brute sur les mots de passe, il faut limiter le nombre de tentatives de connexions sans succs sur votre routeur (dans notre exemple, ce nombre est 4).
R1(config)# security authentication failure rate 4 log

Au bout de 4 tentatives de connexion sans succs en moins d'une minute, les informations seront enregistres dans le journal des vnements.
R1(config)# login block-for 60 attempts 4 within 10

Au bout de 4 tentatives de connexion sans succs dans un intervalle de 10 seconde, une autre tentative ne sera possible qu'aprs 60 secondes, car le routeur restera silencieux pendant cette priode. Pendant cette periode, il sera impossible de se connecter sur le routeur. Ce qui pourrait affecter les administrateurs du routeur ayant les droits. Pour viter cela, il faudra crer une ACL qui permet aux administrateurs de se connecter pendant cette priode de silence (quiet-mode).
R1(config)# ip access-list standard login-permit-adm R1(config-std-nac)# permit 172.16.20.0 0.0.0.255 R1(config)# exit R1(config)# login quiet-mode access-class login-permit-adm

Document rdig par Elie MABO (Professionnel de la scurit de l'information)

5/8

Durcissement des routeurs (Cas d'un routeur Cisco) 4- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)
// Ligne auxiliaire R1(config)# line aux 0 R1(config-line)# no password R1(config-line)# login R1(config-line)# exit

// Lignes virtuelle R1(config)# line vty 0 4 R1(config-line)# no password R1(config-line)# login R1(config-line)# exit

5- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris)
R1(config)# line vty 0 4 R1(config-line)# no transport input R1(config-line)# transport input ssh R1(config-line)# exit

6- Configuration de la scurit supplmentaire pour les lignes VTY, console et AUX


R1(config)# line vty 0 4 R1(config-line)# exec-timeout 5 R1(config-line)# exit R1(config)# line console 0 R1(config-line)# exec-timeout 5 R1(config-line)# exit R1(config)# line aux 0 R1(config-line)# exec-timeout 5 R1(config-line)# exit R1(config)# service tcp-keepalives-in

7- Configuration de la scurit SSH


R1(config)# hostname Ottawa Ottawa(config)# ip domain-name cisco.com Ottawa(config)# crypto key generate rsa Ottawa(config)# username emabo secret cisco123 // dfinition du nom dhte) // dfinition du nom de domaine) // gnration des cls asymtriques

Ottawa(config)# line vty 0 4 Ottawa(config-line)# transport input ssh lauthentification locale et VTY Ottawa(config-line)# login local // configuration de

Document rdig par Elie MABO (Professionnel de la scurit de l'information)

6/8

Durcissement des routeurs (Cas d'un routeur Cisco)


Ottawa(config)# ip ssh time-out 10 dattente ssh Ottawa(config)# ip ssh authentication-retries 3 nouveau ssh // configuration des dlais d'essai // configuration des dlais

8- Accorder une attention particulire aux vulnrabilits SNMP, NTP et DNS Pour assurer ses fonctionnalits, un routeur s'appuie sur d'autres services comme comme le service de rsolution des noms. Il se trouve que ces services sont souvent vulnrables. Il convient donc de s'assurer que les services auxiliaires sur lesquels s'appuie un routeur sont bien configurer et scuris.
9- Dsactiver tous les services, protocoles et comptes inutiles
R1(config)# no service finger R1(config)# no cdp run // exemple du service finger // exemple du protocole CDP

D- Scurisation des protocoles de routages


Les protocoles de routages sont utiliss par un routeur pour mettre jour dynamiquement, sa table de routage. Les informations de mise jour circulant trs souvent en clair entre les routeurs, il convient de configurer un minimum de scurit pour ces protocoles. Cette partie du document qui se veut technique prsente comment configurer certains protocoles de routage de manire scuris. 1- Configurer le protocole RIPv2 avec authentification
Ottawa(config)# router rip Ottawa(config-router)# passive-interface default des mises jour de routage Ottawa(config-router)# no passive-interface serial 0/0 propagation sur une seule interface Ottawa(config)# key chain TOTO Ottawa(config-keychain)# key 1 Ottawa(config-keychain-key)# key-string cisco Ottawa(config)# interface serial 0/0 Ottawa(config-if)# ip rip authentication mode md5 Ottawa(config-if)# ip rip authentication key-chain TOTO // activation de la // dsactivation de la propagation

2- Configurer lauthentification du protocole de routage EIGRP


Ottawa(config)# key chain EIGRP_KEY Ottawa(config-keychain)# key 1 Ottawa(config-keychain-key)# key-string CCNP Ottawa(config)# interface serial 0/0 Ottawa(config-if)# ip authentication mode eigrp 1 md5 Ottawa(config-if)# ip authentication key-chain eigrp 1 EIGRP_KEY

Document rdig par Elie MABO (Professionnel de la scurit de l'information)

7/8

Durcissement des routeurs (Cas d'un routeur Cisco) 3- Configurer lauthentification du protocole de routage OSPF
Ottawa(config)# interface serial 0/0 Ottawa(config-if)# ip ospf message-digest-key 1 md5 cisco Ottawa(config-if)# ip ospf authentication message-digest Ottawa(config-if)# exit Ottawa(config)# router ospf 10 Ottawa(config-router)# area 0 authentication message-digest

4- Verrouiller le routeur laide de Cisco autosecure auto secure est une commande cre par Cisco pour faciliter l'activation et la dsactivation des services sur un routeur Cisco. Elle fonctionne en deux modes: interactive et non interactive
Ottawa# auto secure

Pour en savoir plus sur les fonctions excutes par la commande auto secure, je vous recommande ce site: http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/

E- Configuration dun routeur pour lutilisation de SDM


Pour boucler ce document, je me permets de mettre votre disposition, la procdure permettant de configurer un routeur de manire ce qui soit administrable par SDM (Security Device Manager). SDM est un outil permettant d'administrer des quipements (routeurs, commutateurs, etc.) via une interface graphique.
Ottawa#config t Ottawa(config)# ip http server Ottawa(config)# ip http secure-server Ottawa(config)# ip http authentication local Ottawa(config)# username emabo privilege 15 secret toto R1(config)# line vty 0 4 R1(config-line)# privilege level 15 R1(config-line)# login local R1(config-line)# transport input ssh

F- Pour conclure
Ce document est loin d'tre une rfrence absolue pour garantir la scurit 100% d'un routeur. Dj qu'il n'existe pas de scurit 100%. Nanmoins, il donne une ide sur une ensemble de tches raliser pour assurer un minimum de scurit au niveau d'un routeur. Tous les protocoles de commutation et de routage n'ont pas t abords dans ce document. Je pense aux protocoles MPLS et BGP qui sont trs utiliss dans le rseau Internet par les oprateurs de tlcoms. Je pourrais dans certains contextes enrichir ce document si je suis sollicit. Il ne me reste plus qu' vous souhaiter bonne utilisation.

Document rdig par Elie MABO (Professionnel de la scurit de l'information)

8/8