Durcissement des routeurs (Cas d'un routeur Cisco)

Durcissement d'un routeur Cisco

Par Elie MABO
Professionnel de la scurit de l'information
elie.mabo@gmail.com

Version 1.2
Dernire mise jour: 17/03/2012

Document rdig par Elie MABO (Professionnel de la scurit de l'information) 1/8

 Durcissement des routeurs (Cas d'un routeur Cisco)

Table des matires

Bon savoir............................................................................................................................................................4
A- Contexte et objectif ......................................................................................................................................4

B- Dfinition de la politique de scurit du routeur ..........................................................................................4

1- Politique d'acquisition.................................................................................................................................. 4
2- Politique de dploiement et de mise en service .......................................................................................... 4
3- Politique des mots de passe..........................................................................................................................5
4- Politique de contrle d'accs et d'exploitation............................................................................................. 5
5- Politique de durcissement ........................................................................................................................... 5
6- Politique de journalisation........................................................................................................................... 5

C- Scurisation des accs et mots de passe .......................................................................................................6

1- Dsactiver le service de rinitialisation des mots de passe.......................................................................... 6
2- Configurer la longueur minimale dun mot de passe...................................................................................6
3- Limiter le nombre de tentatives de connexions choues..........................................................................6
4- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)............................................. 6
5- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris).....................................................7
6- Configuration de la scurit supplmentaire pour les lignes VTY, console et AUX ..................................7
7- Configuration de la scurit SSH.................................................................................................................7
8- Accorder une attention particulire aux vulnrabilits SNMP, NTP et DNS...............................................8
9- Dsactiver tous les services, protocoles et comptes inutiles ....................................................................... 8

D- Scurisation des protocoles de routages .......................................................................................................8

1- Configurer le protocole RIPv2 avec authentification.................................................................................. 8
2- Configurer lauthentification du protocole de routage EIGRP ................................................................... 8
3- Configurer lauthentification du protocole de routage OSPF ..................................................................... 8
4- Verrouiller le routeur laide de Cisco autosecure...................................................................................9

E- Configuration dun routeur pour lutilisation de SDM .................................................................................9

F- Pour conclure ................................................................................................................................................9

Document rdig par Elie MABO (Professionnel de la scurit de l'information) 2/8

 Durcissement des routeurs (Cas d'un routeur Cisco)

Bon savoir
Cette version permet de rduire encore plus la surface d'attaque d'un routeur Cisco.

Ce qui s'ajoute dans cette version par rapport la version 1.1 de 2010:
Configuration des limitations des tentatives de connexion choues
Dsactivation du service de rcupration des mots de passe
Bien sr sans oublier la correction des fautes (-: pas dignes d'un professionnel de la
scurit de l'information comme moi, et la reformulation de certaines phases.

A- Contexte et objectif
Un routeur est un quipement rseau ddi qui participe au processus d'acheminement des
paquets dans un rseau (LAN, MAN, WAN), depuis une source (metteur) vers une
destination (rcepteur). Ses deux principales fonctionnalits sont: La dtermination du chemin
par lequel doivent passer les paquets et l'acheminement de ceux-ci. Pour y parvenir, il
s'appuie sur une table de routage (routing table) contenant des informations ncessaires pour
le routage des paquets. Ces fonctionnalits font d'un routeur, un dispositif indispensable pour
le fonctionnement d'un rseau de grande taille, d'o l'importance de le protger contre les
attaques.

Le prsent document dfinit les exigences de scurit prendre en compte lors de la mise en
service d'un routeur en gnral, et dcrit comment configurer la scurit sur un routeur Cisco
pour assurer sa protection contre des attaques. Il est donc question dans ce document de
durcir un routeur en mettant en oeuvre un ensemble de moyens organisationnels et
techniques permettant d'assurer la scurit physique et logique de ce dernier.

B- Dfinition de la politique de scurit du routeur

1- Politique d'acquisition
Avant d'acqurir un routeur, il convient de dfinir une politique d'acquisition. Quelles sont les
fonctionnalits qui seront assures par le routeur ? Quel constructeur offre le meilleur rapport
qualit/prix ? Quel est la dure de la garantie? Le support sera t-il assur ? faut-il un contrat
de maintenance ? Telles sont l quelques questions dont les rponses doivent figurer dans le
document dfinissant la politique d'acquisition du routeur.

2- Politique de dploiement et de mise en service

Une fois le routeur acquis, il convient de dfinir une politique de dploiement et de mise en
oeuvre. Cette politique devra tenir compte de son installation, de sa configuration et de sa
mise en service. Par exemple, il doit tre plac dans un endroit scuris (accs protg),
derrire un dispositif de protection comme un pare-feu par exemple. Il doit tre test avant sa

Document rdig par Elie MABO (Professionnel de la scurit de l'information) 3/8

 Durcissement des routeurs (Cas d'un routeur Cisco)

mise en production. En cas de problme, on doit pouvoir revenir la configuration de dpart

sans qu'il y ait d'impact sur le systme d'information ou sur le rseau.

3- Politique des mots de passe

Les routeurs offrent en gnral plusieurs types et niveaux d'accs (telnet, ligne virtuelle (vty),
http, ligne auxiliaire, mode enable, mode de configuration globale, etc.). Chaque type d'accs
peut tre protg par un mot de passe. Une politique des mots de passe doit tre dfinie et
applique pour viter leur compromission. Par exemple, les mots de passe doivent tre
changs suivant une priodicit (tous les trois mois par exemple). Ils doivent tre forts
(difficillement cassable), c'est dire compos des chiffres, caractres spciaux (@!&#),
majuscules et minuscules. Ceci permet d'viter les attaques par dictionnaire ou par force
brute.

4- Politique de contrle d'accs et d'exploitation

Le routeur tant en service, il convient de dfinir une politique des accs et d'exploitation.
Cette politique doit contenir des lments sur la mise jour de l'IOS, les droits et niveaux
d'accs (parser view), les actions possibles en fonction des rles, la priodicit des mises
jour des protocoles de routage, les routeurs voisins autoriss communiquer avec le routeur,
la priode des interventions sur le routeur (exemple: pas d'intervention lorsque des
transactions sont encours), etc. La journalisation de toutes les actions doit tre effectue sur le
routeur, peu importe par qui. En cas d'incident de scurit ou d'audit, qui a accs aux logs?

Attention: certaines versions de l'IOS Cisco disposent des commandes permettant de

retrouver un mot de passe partir de la chaine hexadecimale reprsentant ce mot de passe
dans le fichier de configuration.

5- Politique de durcissement
Il convient de dfinir une politique de durcissement du routeur. Par exemple, en dfinissant les
rles et responsabilits des diffrents intervenants (administrateurs rseaux, administrateurs
scurit, fournisseurs, etc.), les services et comptes inutiles doivent tre dsactiv, les types
d'accs autoriss doivent tre bien dfinis, la politique de sauvegarde de la configuration, etc..

6- Politique de journalisation
Un routeur tant un quipement sensible, il est important de le surveiller afin d'avoir une ide
sur ses diffrentes activits (trafic, connexion, etc.). Cette surveillance passe par les fichiers
journaux gnrs par ce dernier. Il convient donc de dfinir une politique de journalisation.
Par exemple, comment vont tre enregistrs les vnements dans les fichiers journaux, o

Document rdig par Elie MABO (Professionnel de la scurit de l'information) 4/8

 Durcissement des routeurs (Cas d'un routeur Cisco)

doivent-ils tre stocks ? En cas de centralisation des journaux, l'envoi des fichiers journaux
(log) vers un serveur centralis (syslog par exemple) doit tre scuris (chiffr, authentifi,
etc.), une sauvegarde dune copie des logs doit tre ralise (chaque jour, chaque semaine,
chaque mois, etc.), sur des supports diffrents.

C- Scurisation des accs et mots de passe

1- Dsactiver le service de rinitialisation des mots de passe
Dans certains cas, il peut tre ncessaire de dsactiver le service qui permet de rinitialiser les mots de
passe sur un routeur. Il est important de noter ici que cette dsactivation peut avoir des consquences
graves, par exemple, l'obligation de revenir la configuration par dfaut de base (usine) du routeur.
R1(config)# no service passwords-recovery

En cas de perte de mot de passe, il sera impossible de rinitialiser le mot de passe du super utilisateur.
Cette commande fait partie des commandes caches de l'IOS Cisco. Je vous conseille de l'utiliser
uniquement si vous n'avez pas une garantie suffisante au niveau de la matrise de l'accs physique de
votre routeur.

2- Configurer la longueur minimale dun mot de passe

R1(config)# security passwords min-length 10
Le routeur n'acceptera pas les mots de passe de moins de 10 caractres.

3- Limiter le nombre de tentatives de connexions choues

Afin d'viter les attaques par dictionnaire et par force brute sur les mots de passe, il faut limiter le nombre
de tentatives de connexions sans succs sur votre routeur (dans notre exemple, ce nombre est 4).

R1(config)# security authentication failure rate 4 log

Au bout de 4 tentatives de connexion sans succs en moins d'une minute, les informations seront
enregistres dans le journal des vnements.

R1(config)# login block-for 60 attempts 4 within 10

Au bout de 4 tentatives de connexion sans succs dans un intervalle de 10 seconde, une autre tentative
ne sera possible qu'aprs 60 secondes, car le routeur restera silencieux pendant cette priode.

Pendant cette periode, il sera impossible de se connecter sur le routeur. Ce qui pourrait affecter les
administrateurs du routeur ayant les droits. Pour viter cela, il faudra crer une ACL qui permet aux
administrateurs de se connecter pendant cette priode de silence (quiet-mode).
R1(config)# ip access-list standard login-permit-adm
R1(config-std-nac)# permit 172.16.20.0 0.0.0.255
R1(config)# exit
R1(config)# login quiet-mode access-class login-permit-adm

Document rdig par Elie MABO (Professionnel de la scurit de l'information) 5/8

 Durcissement des routeurs (Cas d'un routeur Cisco)

4- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)

// Ligne auxiliaire
R1(config)# line aux 0
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit

// Lignes virtuelle
R1(config)# line vty 0 4
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit

5- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris)
R1(config)# line vty 0 4
R1(config-line)# no transport input
R1(config-line)# transport input ssh
R1(config-line)# exit

6- Configuration de la scurit supplmentaire pour les lignes VTY, console et AUX

R1(config)# line vty 0 4
R1(config-line)# exec-timeout 5
R1(config-line)# exit

R1(config)# line console 0

R1(config-line)# exec-timeout 5
R1(config-line)# exit

R1(config)# line aux 0

R1(config-line)# exec-timeout 5
R1(config-line)# exit

R1(config)# service tcp-keepalives-in

7- Configuration de la scurit SSH

R1(config)# hostname Ottawa // dfinition du nom dhte)
Ottawa(config)# ip domain-name cisco.com // dfinition du nom de domaine)
Ottawa(config)# crypto key generate rsa // gnration des cls asymtriques
Ottawa(config)# username emabo secret cisco123

Ottawa(config)# line vty 0 4

Ottawa(config-line)# transport input ssh // configuration de
lauthentification locale et VTY
Ottawa(config-line)# login local

Document rdig par Elie MABO (Professionnel de la scurit de l'information) 6/8

 Durcissement des routeurs (Cas d'un routeur Cisco)

Ottawa(config)# ip ssh time-out 10 // configuration des dlais

dattente ssh
Ottawa(config)# ip ssh authentication-retries 3 // configuration des dlais d'essai
nouveau ssh

8- Accorder une attention particulire aux vulnrabilits SNMP, NTP et DNS

Pour assurer ses fonctionnalits, un routeur s'appuie sur d'autres services comme comme le
service de rsolution des noms. Il se trouve que ces services sont souvent vulnrables. Il
convient donc de s'assurer que les services auxiliaires sur lesquels s'appuie un routeur sont
bien configurer et scuris.

9- Dsactiver tous les services, protocoles et comptes inutiles

R1(config)# no service finger // exemple du service finger
R1(config)# no cdp run // exemple du protocole CDP

D- Scurisation des protocoles de routages

Les protocoles de routages sont utiliss par un routeur pour mettre jour dynamiquement, sa
table de routage. Les informations de mise jour circulant trs souvent en clair entre les
routeurs, il convient de configurer un minimum de scurit pour ces protocoles. Cette partie du
document qui se veut technique prsente comment configurer certains protocoles de routage
de manire scuris.

1- Configurer le protocole RIPv2 avec authentification

Ottawa(config)# router rip
Ottawa(config-router)# passive-interface default // dsactivation de la propagation
des mises jour de routage
Ottawa(config-router)# no passive-interface serial 0/0 // activation de la
propagation sur une seule interface

Ottawa(config)# key chain TOTO

Ottawa(config-keychain)# key 1
Ottawa(config-keychain-key)# key-string cisco
Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip rip authentication mode md5
Ottawa(config-if)# ip rip authentication key-chain TOTO

2- Configurer lauthentification du protocole de routage EIGRP

Ottawa(config)# key chain EIGRP_KEY
Ottawa(config-keychain)# key 1
Ottawa(config-keychain-key)# key-string CCNP
Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip authentication mode eigrp 1 md5
Ottawa(config-if)# ip authentication key-chain eigrp 1 EIGRP_KEY

Document rdig par Elie MABO (Professionnel de la scurit de l'information) 7/8

 Durcissement des routeurs (Cas d'un routeur Cisco)

3- Configurer lauthentification du protocole de routage OSPF

Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip ospf message-digest-key 1 md5 cisco
Ottawa(config-if)# ip ospf authentication message-digest
Ottawa(config-if)# exit
Ottawa(config)# router ospf 10
Ottawa(config-router)# area 0 authentication message-digest

4- Verrouiller le routeur laide de Cisco autosecure

auto secure est une commande cre par Cisco pour faciliter l'activation et la dsactivation
des services sur un routeur Cisco. Elle fonctionne en deux modes: interactive et non
interactive
Ottawa# auto secure

Pour en savoir plus sur les fonctions excutes par la commande auto secure, je vous
recommande ce site: http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/

E- Configuration dun routeur pour lutilisation de SDM

Pour boucler ce document, je me permets de mettre votre disposition, la procdure
permettant de configurer un routeur de manire ce qui soit administrable par SDM (Security
Device Manager). SDM est un outil permettant d'administrer des quipements (routeurs,
commutateurs, etc.) via une interface graphique.
Ottawa#config t
Ottawa(config)# ip http server
Ottawa(config)# ip http secure-server
Ottawa(config)# ip http authentication local
Ottawa(config)# username emabo privilege 15 secret toto
R1(config)# line vty 0 4
R1(config-line)# privilege level 15
R1(config-line)# login local
R1(config-line)# transport input ssh

F- Pour conclure
Ce document est loin d'tre une rfrence absolue pour garantir la scurit 100% d'un
routeur. Dj qu'il n'existe pas de scurit 100%. Nanmoins, il donne une ide sur une
ensemble de tches raliser pour assurer un minimum de scurit au niveau d'un routeur.
Tous les protocoles de commutation et de routage n'ont pas t abords dans ce document.
Je pense aux protocoles MPLS et BGP qui sont trs utiliss dans le rseau Internet par les
oprateurs de tlcoms. Je pourrais dans certains contextes enrichir ce document si je suis
sollicit. Il ne me reste plus qu' vous souhaiter bonne utilisation.

Document rdig par Elie MABO (Professionnel de la scurit de l'information) 8/8