Securisation Routeur Cisco PDF

Sujet :
Scurisation des routeurs Cisco
Elabor par
Tatouh Nejiba
Saida Djebbi
Encadr par :
Mr Bayoudh Abdellatif (POLYGONE)
Socit daccueil : POLYGONE
Anne Universitaire : 2010/2011

Remerciements
Au terme de ce travail du projet de fin dtudes, nous tenons exprimer
nos sincres remerciements notre encadreur M .Bayoudh Abdellatif, qui na
pargn aucun effort pour le bon droulement de ce travail. Nous ont apport
leur encouragement, leurs remarques critiques et leur disponibilit.
Nos estimes les plus sincres sadressent galement ceux qui
sintressent notre travail, en vu dexploiter et particulirement les
responsables de la socit POLYGONE.
Nous remercions le prsident et les membres de jury en particulier
Monsieur le rapporteur de notre rapport pour sa patience et pour tous les
conseils quil va nous accorder.
Quils acceptent tous nos respectueux remerciements.

Sommaire
Introduction Gnrale....1
Chapitre1 : Prsentation du cadre du projet et gnralits sur la scurit des rseaux...3
1. Prsentation de lorganisme daccueil, POLYGONE...3
2. Etude de lexistant .3
2.1 Prsentation du rseau de POLYGONE.3
3. Approches du travail .....5
4. Les exigences de la scurit des rseaux..... 6
5. Rappel sur le protocole TCP/IP ....8
5.1 Prsentation du modle TCP /IP8
5.2 Couche application 8
5.3 Couche transport ..11
5.4 Couche internet 12
5.5 Couche accs rseau .13
6. Menaces de scurit courantes... 14
6.1 Faiblesses de scurit des rseaux 14
Chapitre 2 : Les routeurs Cisco .15
1. Rappel sur un routeur.. 15

1.1 Architecture des routeurs Cisco. 15
2. Les routeurs et leurs rles le rseau des PME....16

2.1 Protger le rseau avec le routeur ...16
2.2Vulnrabilit des routeurs .....18
3. Inter network operating System IOS. 18

3.1 Le rle du systme dexploitation Inter network Operating System (IOS).. 19
3.2 Mthodes daccs Cisco IOS ... 20
3.3 Fichiers de configuration. 23
4. Configuration de base dun routeur Cisco. 24

4.1 Configuration de base dun routeur... 24
4.2 Mode Cisco IOS.26
4.3 Configuration du nom dhte IOS. 29
4.4 Limitation de laccs aux priphriques avec mots de passe.30
4.5 Configuration dune interface32
4.6 Les commandes IOS de base 33
4.7 Vrification de la connectivit . 35
5. Etude des techniques dattaques rseaux ..37
5.1 Le sniffing des mots de passe et des paquets ...37
5.2 L'usurpation d'adresse IP 38
5.3 Les scanners 39
5.4 Attaque de type " Deny of Service " ...39
Chapitre 3 : Politique de scurit .42
1. Environnement du Travail .42
1.1 Environnement Matriel ..42
1.2 Environnement Logiciel... 42
2. Dfinition de la politique de scurit du routeur .45
2.1 Les check-lists DISA de scurit Routeur Cisco....45
2.2 Les tapes dune politique de scurit rseau ...46
3. Application de la politique de scurit..... 48
3.1 Scurisation mots de passe et privilges ..48
3.2 Dsactiver les services et interfaces non utiliss.. 50
3.3 Scuriser laccs Telnet 51
Conclusion Gnrale...66
Bibliographie et Ntographie 67
ANNEXES ..68
Liste des figures
Figure 1 : schma du rseau de la socit POLYGONE 4

Figure 2 : Modle TCP/IP ...8
Figure 3: Fonctionnement du protocole SNMP9
Figure 4 : Architecture interne dun routeur Cisco. 15
Figure.5: Routeur reliant les rseaux locaux ..16
Figure 6 : Routeur externe reliant diffrents site 17
Figure 7 : routeur frontal relie un rseau interne un rseau externe 17
Figure 8 : Cisco IOS (Inter network Operating System) .19
Figure 9 : Vue arrire du routeur Cisco : Les ports daccs. 20
Figure 10 : Fichiers de configuration... 23
Figure 11: lignes configuration routeur... 24
Figure 12 : Proprits de COM1 25
Figure 13 : enregistrement dun fichier texte dans HyperTerminal 26
Figure 13 : Structure de linvite IOS... 27
Figure 14 : Les principaux modes IOS ...28
Figure15 : Configuration du nom dhte IOS ..29
Figure 16 : Configuration le mot de passe de console. 30
Figure 17 : Limitation de laccs Telnet.. 32
Figure 18: Configuration dune interface Ethernet .33
Figure 19 : Commande Ping ...36
Figure 20 : Test la pile de protocoles TCP/IP locale.. 36
Figure 22 : Exemple de scnario dcoute sur le rseau ..37
Figure 23: Usurpation de ladresse IP. 38
Figure 24: Demande dtablissement dune connections TCP 39
Figure 25 : Principe de Syn Inondation ..40
Figure 26: attaque smurf ..41
Figure 27 : Page daccueil dun Packet Tracer 43
Figure 28 : Outils de construire un rseau ...43
Figure 29 : Schma dun rseau... 44
Figure 30 : Configuration des machines. 45
Figure 31 : schma dun rseau avec serveur Taccas ..52
Figure 32: Mise en place dun serveur log (syslog). 57
Introduction Gnrale
Introduction Gnrale
Les rseaux informatiques sont devenus indispensables la bonne marche des

entreprises. La croissance acclre de ces rseaux qui sont aujourd'hui de plus en plus
ouverts sur Internet, est priori bnfique, pose nanmoins un problme majeur : il en
dcoule un nombre croissant dattaques qui peuvent aboutir de graves consquences
professionnelles et financires en menaant l'intgrit, la confidentialit et la disponibilit de
linformation. Les menaces informatiques peuvent se catgoriser de la manire suivante :
Accs physique,
Interception de communication,
Dtournement ou altration de message,
Dni de service(Dos),
Intrusion.
Afin de pouvoir immuniser un systme contre ces menaces, il est ncessaire de
se tenir inform des mises jour des OS et les correctifs des failles ,
mettre en place des dispositifs (pare-feu, systme de dtection dintrusion,
antivirus) permettant de scuriser linfrastructure rseau,
de corriger les erreurs de conception et dimplmentation par les constructeurs
(comme CISCO, Microsoft) ds que la vulnrabilit est dcouverte.
Linfrastructure rseau, qui prsente le primtre du Systme dInformation, est

considre comme la premire cible des pirates.
Etant donn que la plupart des entreprises dploient des quipements rseaux de
marque CISCO, les routeurs de cette marque ont t la cible de plusieurs attaques bases sur
lexploitation frauduleuse des protocoles rseaux, ainsi que les failles lies leurs
configurations.
En vue de protger son Systme dInformation, et essentiellement son

infrastructure rseau, constitue principalement dquipements CISCO, la socit
Scurisation des routeurs Cisco 1

Introduction Gnrale
POLYGONE a eu le besoin de prvenir les menaces susceptibles de nuire au bon

fonctionnement du rseau.
Le prsent projet a pour but de dfinir lensemble des attaques ciblant les routeurs
CISCO en vue de dceler leurs vulnrabilits pour les corriger en appliquant les rgles de
scurit recommandes.
Dou le travail demand est :
Identifier les failles des routeurs CISCO,

Mettre en place les procdures de scurit selon les check-lists de DISA
(Defense Information Systems Agency) pour prvenir ces attaques
Ce rapport est organis conformment au plan suivant :
Le premier chapitre inclut le cadre du projet et un ensemble de concepts thoriques

lis la scurit des rseaux. Le deuxime chapitre, comporte la prsentation des routeurs
Cisco et leurs vulnrabilits. Le dernier chapitre dcrit la phase de ralisation du projet qui
comporte les procdures recommandes pour la scurisation des routeurs.

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux
Chapitre1 : Prsentation du cadre du projet et gnralits sur la

scurit des rseaux
Introduction
Dans ce chapitre, il sagit de mettre mon travail dans son contexte gnral. La
premire section comprend alors la prsentation de lorganisme daccueil et la deuxime, une
brve description de la mthodologie du travail adopte suivie des notions thoriques juges
ncessaires pour le droulement de notre travail.
1. Prsentation de lorganisme daccueil, POLYGONE

POLYGONE est un acteur dans le domaine de l'intgration de rseau, de la
tlphonie, de la vidosurveillance Avec une gamme de produits varie et tendue,
POLYGONE propose des services relatifs aux besoins en tlcommunication, scurit,
rseau informatique intgr, rseau sans fil, cblage informatique vidosurveillance.
Pour ce faire, il va sans dire que POLYGONE s'est dote de toutes les ressources
humaines, techniques et logistiques susceptibles de satisfaire tous les besoins et exigences de
la manire la plus efficace et fiable de ses clients.
POLYGONE offre aux entreprises des solutions adaptes dans le domaine de la
mise en place dun rseau : de cblage informatique, tlphonique, domotique, systme de
scurit, plancher surlev
2. Etude de lexistant :
2.1 Prsentation du rseau de POLYGONE
Le rseau de la socit POLYGONE permet de relier chaque ordinateur entre eux via un
serveur qui va grer l'accs Internet, les mails, les droits d'accs aux documents partags et
le travail collaboratif. Chaque utilisateur du rseau se connecte avec un nom d'utilisateur et un
mot de passe et est authentifi par le serveur. L'utilisateur peut accder ses donnes et au
partage de fichiers. Le rseau permet la socit de centraliser ses donnes, de travailler en
quipe de manire productive.

Figure 1 : schma du rseau de la socit POLYGONE
Le rseau local dune entreprise reprsente le cur de la majeure partie de l'activit

informatique de cette entreprise. Cette considration justifie elle seule d'accorder une
attention particulire la scurisation des rseaux locaux.
Par ailleurs, il est gnralement estim que la majorit des malveillances

informatiques ont une origine complicit interne aux organismes (la malveillance constituant
dj la catgorie la plus significative des pertes par rapport aux deux autres : accidents et
erreurs).
Devant cette spcificit, la socit POLYGONE a eu le ncessit donc essentiel

d'examiner dans une optique scuritaire l'infrastructure du rseau local.
Il est aise d'chafauder sur le papier des configurations de systmes d'information,

scuriss avec les techniques les plus Sophistiques matire de firewalls et de contrles

d'accs, mais il est frquent qu'un audit srieux rvle encore de nombreuses insuffisances,
notamment sur le plan physique (accs aux quipements, continuit de fonctionnement).
Ce sont prcisment des situations de ce type qu'il est ncessaire de prendre en

compte dans une conception de rseau local scurise. Les locaux techniques sont des points
essentiels du reseau local, sans lesquels il ne peut fonctionner correctement. Ils presentent un
point de vulnerabilite important dans la mesure ou ils abritent nombre dappareils sensibles
(hubs, routeurs, etc.) et sur lesquels psent des menaces importantes (ecoute, piratage, etc.).
Cette tude, a pour but de protger leur infrastructure rseau a travers de dfinir
lensemble des attaques ciblant les routeurs CISCO en vue de dceler leurs vulnrabilits,
POLYGONE a eu le besoin de prvenir ces menaces susceptibles de nuire au bon
fonctionnement du rseau en appliquant les rgles de scurit recommandes.
3. Approches du travail
Etude bibliographique
Recherche dinformations sur les menaces informatiques, les failles de scurit
des routeurs et des protocoles rseaux et les diffrentes techniques et outils
dattaques afin davoir une meilleure ide sur les procdures appliquer.
Etude thorique :
Etudier les routeurs Cisco et leur configuration,
Etudier les attaques possibles ciblant cet quipement,
Rechercher un simulateur rseau.
Etude dingnierie
Gestion et ralisation du projet : Matrise douvrage et matrise duvre,
Rdaction des procdures correspondantes aux choix techniques et fonctionnels,
Exploitation des bases scientifiques pour comprendre le mcanisme des
attaques pour pouvoir appliquer les procdures de scurit.
Ralisation :
Manipulation des configurations du routeur et application des procdures de
scurit afin dtablir les rgles de protection ncessaires.

4. Les exigences de la scurit des rseaux

Les exigences de scurit et de confidentialit, rsultant de lutilisation dinter-rseaux
pour changer des informations confidentielles et commerciales dimportance critique,
excdent ce que larchitecture actuelle peut offrir. Cest pourquoi des efforts considrables
sont consacrs ce secteur de recherche et de dveloppement pour combattre les failles de
scurit inhrentes larchitecture rseau.
Les consquences dune violation de la scurit dun rseau peuvent tre les suivantes :
Pannes du rseau empchant les communications et les transactions et entranant

donc une perte dactivit,
Mauvaise utilisation ou perte de fonds personnels ou de lentreprise,
Vol dlments de proprit intellectuelle dune entreprise (ides de recherche,
brevets ou dessins de conception) ensuite utilise par un concurrent,
Communication des dtails de contrats avec des clients des concurrents ou au
public entranant une perte de confiance en lentreprise de la part du march ,
Si le public na plus confiance dans la capacit de lentreprise assurer les niveaux
de confidentialit et dintgrit requis, la socit risque de perdre des ventes et
mme de faire ventuellement faillite.
Pour viter ces consquences graves, il faut assurer:
La disponibilit : demande que l'information sur le systme soit disponible aux

personnes autorises,
La confidentialit : demande que l'information sur le systme ne puisse tre lue
que par les personnes autorises,
Lintgrit : demande que l'information sur le systme ne puisse tre modifie que
par les personnes autorises.
Pour tre en mesure de rpondre ces attentes, il est indispensable de garantir la fiabilit de
ces quatre lments essentiels constituant un rseau :
Les protocoles : Les rgles ou conventions qui dterminent la faon dont les
messages sont envoys, orients, reus et interprts,
Les messages ou units dinformation qui transitent dun priphrique un autre,
Un moyen dinterconnecter ces priphriques, cest--dire un support capable de
transporter les messages dun priphrique un autre,

Les priphriques du rseau (routeur, commutateur, hub) qui changent des

messages entre eux,
Protection des quipements :
Il y a un certain nombre de faons de fournir la scurit physique aux quipements.
Les pices qui contiennent ces quipements devraient tre sans interfrence lectrostatique ou
magntique.
Pour aider protger les quipements contre certaines attaques de service et permettre
de soutenir la gamme la plus large de services de scurit, les quipements devrait tre
configur avec la quantit maximale de mmoire possible.
Intgrit des messages :

Garantir lintgrit des donnes consiste veiller ce que les informations ne soient
pas modifies lors de leur transmission de leur point dorigine leur destination. Lintgrit
des donnes peut tre compromise quand les informations ont t corrompues (sciemment ou
accidentellement) avant que leur destinataire prvu ne les reoive.
Lutilisation de signatures numriques, d'algorithmes de hachage et de mcanismes de
somme de contrle contribuent assurer lintgrit de la source et des donnes sur un rseau
afin de prvenir toute modification non autorise des informations.
Protection du cblage :
L'aspect de la scurit physique du rseau le plus souvent ignor est celui du cblage.
En effet, si des pirates ont accs des cbles exposs du rseau, ils disposent alors de
plusieurs mthodes pour voler les donnes.
Sur la plupart des rseaux (de diffusion, tels qu'Ethernet ou jetons), les donnes ne
sont jamais envoyes exclusivement au PC auquel elles sont destines. En effet, elles sont
envoyes sur tous les PC connects mais sont ignores par tous, except le PC auquel elles
sont destines. Du fait de cette diffusion des donnes, chaque cble actif du rseau prsente la
capacit de transporter des donnes. Par consquent, il suffit un pirate de se raccorder
clandestinement un cble pour capturer les paquets qui transitent par la ligne.
Fiabilit des protocoles :

Les attaques rseaux s'appuient sur des vulnrabilits lies directement aux protocoles ou
leurs implmentations. Il est donc indispensable dappliquer les correctifs pour les failles
dcouvertes en appliquant les mises jour aux systmes implmentant ces protocoles.

5. Rappel sur le protocole TCP/IP

Pour pouvoir comprendre les attaques qui se base sur les protocoles rseau, il est
indispensable dtudier en dtaille leurs fonctionnements.
5.1 Prsentation du modle TCP /IP
Le sigle TCP/IP dsigne un protocole de communication utilis sur Internet. Ce
protocole dfinit les rgles que les ordinateurs doivent respecter pour communiquer entre eux
sur le rseau Internet. Le sigle TCP/IP est form sur les noms des deux protocoles majeurs
utiliss sur Internet : le protocole TCP pour "Transmission Control Protocol" et le protocole
IP pour "Internet Protocol". Ce sigle dsigne aussi une suite de protocoles, c'est--dire de
rgles de communication que les ordinateurs doivent respecter pour communiquer entre eux
via Internet.
La figure suivante prsente les diffrentes couches du modle TCP /IP ainsi que
quelques protocoles utiliss par chaque couche.
Figure 2 : Modle TCP/IP
5.2 Couche application

La couche application gre les protocoles de niveau suprieur, les reprsentations, le
code et le contrle du dialogue. Outre la prise en charge du transfert de fichiers, du courrier
lectronique et de la connexion distance, le modle TCP/IP possde des protocoles prenant
en charge des services comme : TELNET, http, SMTP, DNS, TFTP, SNMP

Protocole Telnet (TErminal NETwork ou TELecommunication NETwork):

Ce protocole permet d'accder distance un autre priphrique du rseau. Cela
permet un utilisateur douvrir une session sur un hte distant et dexcuter diverses
commandes. Un client TELNET est qualifi d'hte local. Un serveur Telnet est qualifi d'hte
distant.
Vulnrabilit du protocole Telnet
Le ct sommaire de Telnet fait que toute communication est transmis en clair sur le
rseau, mots de passe compris. Des logiciels dcoute sur les rseaux comme tcpdump[1] ou
Wireshark [2] permettent d'intercepter les communications de la commande Telnet.
Protocole SNMP (Simple Network Management Protocol)
Cest le protocole de gestion de rseaux propos par lIETF (Internet Engineering Task
Force : est un groupe informel, international, ouvert tout individu, qui participe l'laboration de
standards pour Internet). Il est actuellement le protocole le plus utilis pour la gestion,
supervision et diagnostique des problmes rseaux et matriels.
Fonctionnement du protocole SNMP

Le protocole SNMP constitu d'un ensemble de requtes, de rponses et d'un nombre
limit d'alertes. Le manager (la station de supervision) envoie des requtes lagent
(GetRequest : demande dinformation, SetRequest : Affectation), qui retourne des rponses
(GetResponse). Lorsqu'un vnement anormal surgit sur l'lment rseau, l'agent envoie une
alerte (trap) au manager.
Figure 3: Fonctionnement du protocole SNMP
SNMP utilise le protocole UDP .L'agent reoit les requtes de la station de gestion sur
le port 161. Le port 162 est rserv pour la station de gestion pour recevoir les alertes des
agents.

Les MIBS
La MIB (Management Information base) est la base de donnes des informations de

gestion maintenue par l'agent, auprs de laquelle le manager va venir pour s'informer.
Ainsi, pour interroger les diffrentes variables d'activit sur un appareil, il faudra
explorer son arborescence MIB. Celle-ci est gnralement fournie par le constructeur, et il est
aussi possible d'utiliser un explorateur de MIB tel que : MIB Browser [3].
Ensuite, pour accder aux variables souhaites, on utilisera l'OID (Object

Identification) qui dsigne l'emplacement de la variable consulter dans la MIB. Par exemple,
la variable 1.3.6.1.2.1.2.2.1.7.1 est l'lment ou l'OID(1) (Object Identifi) correspondante au
nom ifAdminStatus qui contient le statut des interfaces de l'lment actif questionn.
Notion de communaut dans SNMP
Une communaut SNMP est un ensemble de machines gres par la mme station de
supervision. On dit quun quipement appartient une (ou plusieurs) communaut SNMP.
Pendant la transaction SNMP la communaut fait office de mots de passe. Ainsi les stations
ne faisant pas partie de la communaut ne peuvent pas envoyer ou rpondre aux requtes
SNMP.
Vulnrabilit du protocole SNMP
Il est possible de connatre distance l'tat ou la configuration d'un routeur (fonction
GET). Il est galement possible d'influer sur le comportement d'une machine en crivant des
donnes dans la base d'information(MIB) du priphrique (fonction SET).
Les premires versions du protocole (v1 et v2) ne proposaient pas de mesures de
scurit efficaces pour viter l'accs aux informations sensibles. Il suffisait de connatre un
nom de communaut valide pour pouvoir accder aux informations.
Un nom de communaut, actif et prsent par dfaut sur un routeur, peut permettre
un attaquant prsent sur le rseau d'accder en lecture seule la configuration
complte du routeur et mme de la modifier.
Par exemple, des informations comme des adresses IP et Ethernet, le contenu des
tables de routage, des statistiques sur le trafic, seront disponibles. Un attaquant peut
donc rcuprer facilement des informations qui peuvent lui faciliter une attaque
ultrieure.
(1) : OID: cest la suite dentiers qui dsigne de manire non ambigu un objet SNMP

5.3 Couche transport

La couche transport fournit une connexion logique entre les htes source et de
destination. Les protocoles de transport segmentent et rassemblent les donnes envoyes par
des applications de couche suprieure, entre les deux points d'extrmit. Le rle principal de
la couche transport est d'assurer une fiabilit et un contrle de bout en bout lors du transfert
des donnes. Les fentres glissantes, les numros de squenage et les accuss de rception
permettent d'obtenir ce rsultat. Ces paramtres sont grer par le protocole TCP de cette
couche, contrairement au protocole UDP, qui n'ouvre pas de session et n'effectue pas de
control d'erreur. Officiellement, cette couche n'a que deux implmentations: le protocole
TCP(Transmission Control Protocol) et le protocole UDP(User Datagram Protocol).
Protocole TCP:
TCP est un protocole fiable, orient connexion, qui permet l'acheminement sans erreur
de paquets issus d'une machine d'un internet une autre machine du mme internet. Son rle
est de fragmenter le message transmettre de manire pouvoir le faire passer sur la couche
internet. A l'inverse, sur la machine destination, TCP replace dans l'ordre les fragments
transmis sur la couche internet pour reconstruire le message initial. TCP s'occupe galement
du contrle de flux de la connexion
Vulnrabilit du protocole TCP
Une vulnrabilit dans sa mise en uvre permet un individu mal intentionn

d'effectuer un dni de service sur les connexions TCP pralablement tablies par l'envoi de
paquets TCP judicieusement forms. Comme lattaque Synflood qui sera dcrite
ultrieurement.
Protocole UDP:
Ce protocole est en revanche un protocole plus simple que TCP: il est non fiable et
sans connexion. Son utilisation prsuppose que l'on n'a pas besoin ni du contrle de flux, ni de
la conservation de l'ordre de remise des paquets. Par exemple, on l'utilise lorsque la couche
application se charge de la remise en ordre des messages. On se souvient que dans le modle
OSI, plusieurs couches ont charge la vrification de l'ordre de remise des messages. C'est l
un avantage du modle TCP/IP sur le modle OSI, mais nous y reviendrons plus tard. Une
autre utilisation d'UDP: la transmission de la voix. En effet, l'inversion de 2 phonmes ne
gne en rien la comprhension du message final. De manire plus gnrale, UDP intervient
lorsque le temps de remise des paquets est prdominant.

Vulnrabilit du protocole UDP
Un expditeur transmet aux entits communicantes un volume de demande pour un

diagnostic des services UDP qui utilise toutes les ressources de lunit centrale.
De nombreuses attaques utilisent ces failles car le protocole UDP ne cre pas de
connexion et nutilise pas de numro de squence. Il est trs facile de falsifier ou simuler un
change. La plus grande prudence est demande pour lutilisation de ce protocole qui est
capable, soit de saturer un rseau ou une machine, soit de permettre laccs des fichiers
distants (NFS fonctionne avec UDP). De nombreuses applications, telles que DNS et SNMP,
utilisent UDP. Ce protocole expose les utilisateurs au dni de service .
5.4 Couche internet
Le rle de la couche Internet consiste slectionner le meilleur chemin pour transfrer
les paquets sur le rseau. Le principal protocole de cette couche est le protocole IP. La
dtermination du meilleur chemin et la commutation de paquets ont lieu au niveau de cette
couche. Parmi les protocoles qui sexcutent au niveau de cette couche on trouve IP, ICMP et
ARP.
Protocole IP
Le protocole IP effectue les oprations suivantes:
Il dfinit un paquet et un systme d'adressage,

Il transfre des donnes entre la couche Internet et la couche daccs au rseau,
Il achemine des paquets des htes distants.
Le protocole IP est parfois qualifi de protocole non fiable. Cela ne signifie pas qu'il n'envoie
pas correctement les donnes sur le rseau, mais qu'il n'effectue aucune vrification d'erreurs
et ne fournit aucun service de correction. Ces fonctions sont disponibles uniquement dans les
protocoles de couche suprieure des couches application ou transport.
Protocole ICMP (Internet Control Message Protocol)
Ce protocole permet de grer les informations relatives aux erreurs du protocole IP. Il
ne permet pas de corriger ces erreurs, mais d'en informer les diffrents metteurs des
Datagrammes en erreurs.
Le mcanisme de requte et de rponse par cho du protocole ICMP est utilis
pour contrler la prsence d'un hte, la commande Ping permet d'envoyer une requte ICMP

'Echo' d'une machine une autre machine. Si la machine ne rpond pas il se peut que l'on ne
puisse pas communiquer avec elle (cest le principe de la commande Ping).
Vulnrabilit protocole ICMP
Le protocole ICMP (Internet Control Message Protocol) est souvent considr comme un
protocole innocent et sans danger. Toutefois, si un systme d'exploitation ou un pare feu
vient le manipuler de manire incorrecte, des pirates peuvent alors l'utiliser des fins
malveillantes.
Protocole ARP:
Le protocole ARP a un rle phare parmi les protocoles de la couche Internet de la suite
TCP/IP, car il permet de connatre l'adresse physique d'une carte rseau correspondant une
adresse IP, c'est pour cela qu'il s'appelle Protocole de rsolution d'adresse (en anglais ARP
signifie Address Resolution Protocol).
5.5 Couche accs rseau
La couche accs rseau est la premire couche de la pile TCP/IP, elle offre les
capacits accder un rseau physique quel qu'il soit, c'est--dire les moyens mettre en
uvre afin de transmettre des donnes via un rseau. Ainsi, la couche accs rseau contient
toutes les spcifications concernant la transmission de donnes sur un rseau physique, qu'il
s'agisse de rseau local LAN (Ethernet), ou WAN (Frame Relay, RNIS, RTC, LS, ADSL..).
Elle prend en charge les notions suivantes :
Acheminement des donnes sur la liaison,

Coordination de la transmission de donnes (synchronisation),
Format des donnes,
Conversion des signaux (analogique/numrique),
Contrle des erreurs larrive.
En outre, les protocoles de la couche d'accs au rseau mappent les adresses IP avec
les adresses matrielles physiques et encapsulent les paquets IP dans des trames.

6. Menaces de scurit courantes

6.1 Faiblesses de scurit des rseaux
Vulnrabilit du protocole TCP/IP :
Les protocoles http, FTP et ICMP sont intrinsquement non scuriss. Les protocoles
SNMP, SMTP et les inondations SYN sont lis la structure intrinsquement non scuriss
qui est la base de la conception du TCP.
Vulnrabilit des Systmes dexploitation :
Tous les systmes dexploitation prsentent des problmes de scurit qui doivent tre
rsolus.
Vulnrabilit des quipements rseaux :
Les diffrents types dquipements rseau tels que les routeurs, les firewalls et switchs
ont des faiblesses de scurit qui doivent faire lobjet dune dtection et dune protection. Ces
faiblesses concernent la protection des mots passe, le manque dauthentification, les
protocoles de routage et les ouvertures dans para feux.
Comptes systme ou utilisateurs non scuriss : les donnes des comptes
utilisateurs ou systme peuvent tre transmises de manire non scurise dans le rseau ce qui
expose les noms utilisateurs et leurs mots de passe aux logiciels despion.
Paramtres par dfaut non scuriss : un grand nombre dquipements ont des
paramtres par dfaut peuvent gnrer des failles de scurit.
Equipement mal configur : une mauvaise configuration de lquipement lui-
mme peut engendrer de srieux problmes de scurit.
Absence dune politique de scurit crite :
Une stratgie de scurit non crite ne peut pas tre applique ni respecte de manire
cohrente.
Manque de continuit
Contrle daccs logiques non appliqu
Conclusion
Ce chapitre nous a donn loccasion de prsenter le cadre du stage et d'exposer les

enjeux de la scurit informatique. Cette tude a permis de mettre en vidence les diffrentes
failles qui peuvent infecter les routeurs ainsi que les protocoles de communication.

Chapitre2 : Les routeurs Cisco
Chapitre 2 : Les routeurs Cisco
Introduction
Dans ce chapitre, nous allons dcrire les procdures suivre pour connecter et
configurer les ordinateurs, les routeurs formant un rseau local Ethernet. Nous allons
prsenter les procdures de configuration de base des priphriques rseau Cisco. Ces
procdures requirent lutilisation du systme dexploitation Cisco Inter network Operating
System (IOS) et des fichiers de configuration connexes pour les priphriques intermdiaires.
Il est essentiel que les administrateurs et les techniciens rseau comprennent le processus de
configuration avec IOS. Lorganisation de ce chapitre est la suivante : dans la premire partie
la dfinition le rle du systme dexploitation Inter network Operating System (IOS), la
deuxime partie prsente les Vulnrabilits de routeur Cisco, enfin tudier le techniques
dattaques rseaux.
1. Rappel sur un routeur

Un routeur est un lment intermdiaire dans un rseau informatique assurant le
routage des paquets. Un routeur est charg de recevoir sur une interface des donnes sous
forme de paquets et de les renvoyer sur une autre en utilisant le meilleur chemin possible.
Selon ladresse destination et linformation contenue dans sa table de routage
1.1 Architecture des routeurs Cisco
Tous Les routeurs Cisco ont une architecture interne qui peut tre reprsent par :
Figure 4 : Architecture interne dun routeur Cisco

Ils contiennent tous :

Une mmoire NVRam pour Ram non Volatile et sur laquelle ladministrateur va
stocker la configuration quil aura mise dans le routeur. Elle contient galement la
configuration de lIOS,
Une carte mre qui est en gnral intgre au chssis,
Une CPU qui est un microprocesseur Motorola avec un BIOS spcial nomm "
I.O.S. " pour Internetwork Operating System,
Une mmoire RAM principale contenant le logiciel IOS, cest dans laquelle tout
sera excut un peu la manire dun simple ordinateur,
Une mmoire FLASH, galement une mmoire non volatile sur laquelle on stocke
la version courante de lIOS du routeur,
Une mmoire ROM non volatile et qui, quant elle, contient les instructions de
dmarrage (bootstrap) et est utilise pour des oprations de maintenance difficiles de routages,
ARP, etc.), mais aussi tous les buffers utiliss par les cartes dentre.
2. Les routeurs et leurs rles le rseau des PME :

2.1 Protger le rseau avec le routeur
Les routeurs peuvent jouer un rle dans la garantie de rseaux. Les routeurs excutent
beaucoup de travaux diffrents dans des rseaux modernes, mais pour cette discussion nous
examinerons trois voies fondamentales pour lesquels les routeurs sont employs :
Routeurs Intrieurs
Un routeur intrieur transmet le trafic entre deux ou plusieurs rseaux locaux au sein
d'une organisation ou une entreprise. Les rseaux connects par un routeur intrieur partagent
souvent la mme politique de scurit et le niveau de confiance entre eux est d'habitude
haut. Des routeurs intrieurs peuvent imposer certaines restrictions sur le trafic envoy entre
les rseaux.
Figure.5: Routeur reliant les rseaux locaux

Routeurs Backbone
Un routeur Backbone ou un routeur extrieur est celui qui transmet le trafic entre les
diffrents sites dune entreprise.
Le niveau de confiance entre les rseaux connects par un routeur Backbone est
d'habitude trs bas. Gnralement, les routeurs de backbone sont conus et configurs pour
acheminer le trafic aussi rapidement que possible, sans imposer de restrictions sur ce point.
Le principal objectif dun routeur backbone pour assur la scurit est de :
Veiller ce que la gestion et le fonctionnement du routeur sont raliss
uniquement par les parties autorises.
Protger lintgrit des donnes achemines on acheminant le trafic avec un
protocole de routage, ou en se rfrant une table de routage statique.
Figure 6 : Routeur externe reliant diffrents site
Routeurs frontaux
Un routeur frontal achemine le trafic entre le rseau de lentreprise et le rseau
extrieurs. L'aspect clef d'un routeur de frontire est qu'il prsente la partie intermdiaire entre
les rseaux internes scuriss d'une entreprise et des rseaux externes non scuriss (par
exemple l'Internet). Il peut aider scuriser le primtre d'un rseau d'entreprise en
appliquant des restrictions au trafic qu'il contrle. Un routeur de frontire peut utiliser des
protocoles dacheminement, ou il peut dpendre des routes statiques.
Figure 7 : routeur frontal relie un rseau interne un rseau externe

2.2 Vulnrabilit des routeurs

Vu le rle important quassure le routeur pour garantir les rseaux, il est ncessaire
dexaminer de proche cet quipement pour dcouvrir ses vulnrabilits dans le but de limiter
les menaces qui peuvent se prsenter.
Les vulnrabilits dun routeur peuvent se prsenter dans :
La configuration
Un routeur est semblable beaucoup d'ordinateurs dans lesquels il y a beaucoup de
services permis par dfaut. Beaucoup de ces services sont inutiles et peuvent tre utiliss par
un attaquant pour la collecte d'informations ou pour l'exploitation. Comme les services
SNMP .Parfois aussi les noms des utilisateurs et les mots de passe sont laisss par dfaut.
Gestion du Routeur
Le contrle de l'accs un routeur par des administrateurs est une tche importante.
Il y a deux types d'accs :
L'accs local implique une connexion directe un port de console sur le
routeur avec un terminal ou un ordinateur portable,
L'accs distance implique gnralement la permission Telnet ou des
connexions SNMP au routeur partir dun ordinateur sur le mme sous-rseau ou un
sous-rseau diffrent.
Pendant l'accs loign ( distance) tous les mots de passe Telnet ou les noms de
communaut SNMP sont envoys en clair sur le rseau, donc une coute sur le rseau suffit
pour les connatre.
Ainsi ces failles peuvent tre lorigine des diffrentes attaques qui visent prendre
contrle sur le routeur, ce qui veut dire prendre le contrle sur lacheminement des donnes
dans le rseau. Comme elle peut avoir un autre objectif celui darrter le service du routeur
pour perturber le rseau.
3.InternetWork operating System IOS

IOS est l'acronyme de "Inter networks Operating System", soit, pour les anglophobes,
"Systme d'exploitation pour l'interconnexion de rseaux .Ce systme est administrable en
lignes de commandes, propres aux quipements de Cisco Systems

3.1 Le rle du systme dexploitation Inter network Operating System (IOS)

linstar dun ordinateur personnel, un routeur ou un commutateur ne peut pas
fonctionner sans systme dexploitation. Sans systme dexploitation, le matriel est
inoprant. Cisco IOS est le logiciel systme des priphriques Cisco. Il sagit dune
technologie centrale qui stend pratiquement tous les produits Cisco. Cisco IOS est excut
par la plupart des priphriques Cisco, quels que soient leur taille et leur type. Ce logiciel est
par exemple utilis pour des routeurs, des commutateurs de rseau local, des petits points
daccs sans fil, des grands routeurs dots de douzaines dinterfaces et bien dautres
priphriques.
Figure 8 : Cisco IOS (Inter network Operating System)
Cisco IOS fournit aux priphriques les services rseau suivants :

fonctions de routage et de commutation de base,
accs fiable et scuris aux ressources en rseau,
volutivit du rseau.
Les dtails du fonctionnement de Cisco IOS varient dun priphrique lautre selon
le but et le jeu de fonctions de lappareil.
Pour accder aux services fournis par IOS, vous utilisez gnralement une interface de
ligne de commande (ILC). Les fonctions accessibles travers ILC varient selon la version de
Cisco IOS et le type du priphrique.

Le fichier IOS proprement dit, dont la taille atteint plusieurs mga-octets, est stock
dans une zone de mmoire semi-permanente appele Flash. La mmoire Flash assure un
stockage non volatil. En dautres termes, cette mmoire conserve son contenu lorsque le
priphrique nest plus sous tension. la diffrence dune mmoire morte, toutefois, la
mmoire Flash permet de modifier ou de recouvrir son contenu sil y a lieu.
Grce la mmoire Flash, il est possible de mettre IOS niveau en installant de
nouvelles versions ou de lui ajouter de nouvelles fonctions. Dans de nombreuses architectures
de routeur, IOS est copi en mmoire vive la mise sous tension du priphrique et il
sexcute en mmoire vive. Cette fonction amliore les performances du priphrique.
3.2 Mthodes daccs Cisco IOS :

Il y a plusieurs moyens daccder lenvironnement ILC. Les mthodes les plus
rpandues utilisent :
le port de console,
le protocole Telnet ou SSH,
le port AUX.
Figure 9 : Vue arrire du routeur Cisco : Les ports daccs
Port de console
Il est possible daccder lenvironnement ILC par une session console, galement
appele ligne CTY. La console connecte directement un ordinateur ou un terminal au port de
console du routeur ou du commutateur via une liaison srie lente.
Le port de console est un port de gestion permettant un accs hors rseau un routeur.
Le port de console est accessible mme si aucun service rseau na t configur sur le

priphrique. Le port de console est souvent utilis pour accder un priphrique avant que
les services rseau ne soient lancs ou lorsquils sont dfaillants.
La console sutilise en particulier dans les circonstances suivantes :
- configuration initiale du priphrique rseau,
- procdures de reprise aprs sinistre et dpannage lorsque laccs distant est
impossible,
- procdures de rcupration des mots de passe.
Lorsquun routeur est mis en service pour la premire fois, ses paramtres rseau nont
pas t configurs. Le routeur ne peut donc pas communiquer via un rseau. Pour prparer le
dmarrage initial et la configuration du routeur, un ordinateur excutant un logiciel
dmulation de terminal est connect au port de console du priphrique. Ainsi, il est possible
dentrer au clavier de lordinateur connect les commandes de configuration du routeur.
Sil est impossible daccder distance un routeur pendant quil fonctionne, une
connexion son port de console peut permettre un ordinateur de dterminer ltat du
priphrique. Par dfaut, la console transmet les messages de dmarrage, de dbogage et
derreur du priphrique.
Pour de nombreux priphriques IOS, laccs console ne requiert par dfaut aucune
forme de scurit. Il convient toutefois de configurer un mot de passe pour la console afin
dempcher laccs non autoris au priphrique. En cas de perte du mot de passe, un jeu de
procdures spcial permet daccder au priphrique sans mot de passe. Il est recommand de
placer le priphrique dans une pice ou une armoire ferme cl pour interdire laccs
physique.
Telnet et SSH
Une autre mthode daccs distant une session ILC consiste tablir une connexion
Telnet avec le routeur. la diffrence des connexions console, les sessions Telnet requirent
des services rseau actifs sur le priphrique. Le priphrique rseau doit avoir au moins une
interface active configure avec une adresse de couche 3, par exemple une adresse IPv4. Les
priphriques Cisco IOS disposent dun processus serveur Telnet qui est lanc ds le
dmarrage du priphrique. IOS contient galement un client Telnet.
Un hte dot dun client Telnet peut accder aux sessions vty en cours dexcution sur
le priphrique Cisco. Pour des raisons de scurit, IOS exige lemploi dun mot de passe
dans la session Telnet en guise de mthode dauthentification minimale. Les mthodes
permettant de configurer les ouvertures de session et les mots de passe seront expliques plus
loin dans ce chapitre.

Le protocole Secure Shell (SSH) permet un accs distant plus scuris aux
priphriques. linstar de Telnet, ce protocole fournit la structure dune ouverture de
session distance, mais il utilise des services rseau plus scuriss.
SSH fournit une authentification par mot de passe plus rsistante que celle de Telnet et
emploie un chiffrement lors du transport des donnes de la session. La session SSH chiffre
toutes les communications entre le client et le priphrique IOS. Ceci prserve la
confidentialit de liD dutilisateur, du mot de passe et des dtails de la session de gestion. Il
est conseill de toujours utiliser SSH la place de Telnet dans la mesure du possible.
La plupart des versions rcentes de Cisco IOS contiennent un serveur SSH. Dans
certains priphriques, ce service est activ par dfaut. Dautres priphriques requirent une
activation du serveur SSH.
Les priphriques IOS incluent galement un client SSH permettant dtablir des
sessions SSH avec dautres priphriques. De mme, vous pouvez utiliser un ordinateur
distant dot dun client SSH pour dmarrer une session ILC scurise. Le logiciel de client
SSH nest pas fourni par dfaut sur tous les systmes dexploitation. Il peut donc savrer
ncessaire dacqurir, dinstaller et de configurer un logiciel de client SSH pour votre
ordinateur.
Port AUX
Une autre faon douvrir une session ILC distance consiste tablir une connexion
tlphonique commute travers un modem connect au port AUX du routeur. linstar de
la connexion console, cette mthode ne requiert ni la configuration, ni la disponibilit de
services rseau sur le priphrique.
Le port AUX peut galement sutiliser localement, comme le port de console, avec
une connexion directe un ordinateur excutant un programme dmulation de terminal. Le
port de console est requis pour la configuration du routeur, mais les routeurs ne possdent pas
tous un port AUX. En outre, il est prfrable dutiliser le port de console plutt que le port
AUX pour le dpannage, car il affiche par dfaut les messages de dmarrage, de dbogage et
derreur du routeur.
En gnral, le port AUX ne sutilise localement la place du port de console quen cas
de problmes lis au port de console, par exemple lorsque vous ignorez certains paramtres de
la console.

3.3 Fichiers de configuration:

Les priphriques rseau ont besoin de deux types de logiciels pour fonctionner : le
systme dexploitation et le logiciel de configuration. Le systme dexploitation, comme celui
dun quelconque ordinateur, facilite lexploitation de base des composants matriels du
priphrique.
Les fichiers de configuration, quant eux, contiennent les commandes du logiciel
Cisco IOS utilises pour personnaliser les fonctionnalits dun priphrique Cisco. Les
commandes sont analyses (traduites et excutes) par le logiciel Cisco IOS au dmarrage du
systme ( partir dun fichier appel startup-config) ou lorsquelles sont entres dans
lenvironnement ILC en mode configuration.
Un administrateur rseau cre une configuration qui dfinit la fonctionnalit souhaite
dun priphrique Cisco. La taille dun fichier de configuration va gnralement de quelques
centaines quelques milliers doctets.
Types de fichiers de configuration
Un priphrique rseau Cisco contient deux fichiers de configuration :
- le fichier de configuration en cours, que le priphrique utilise en fonctionnement
normal,
- le fichier de configuration initiale, qui est charg quand le priphrique dmarre et
sert de copie de sauvegarde de la configuration.
Il est galement possible de stocker un fichier de configuration distance sur un serveur
en guise de copie de sauvegarde.
Figure 10 : Fichiers de configuration

4.Configuration de base dun routeur Cisco :

La configuration de base dun routeur Cisco (et des autres aussi) se fait en gnral via
la porte console. La porte console, sur un routeur, est configure comme une interface DTE
(Data Terminal Equipment). Les lignes de configuration d'un routeur sont les suivantes
Figure 11: lignes configuration routeur
Un routeur peut tre configur partir des sources externes suivantes :

Ligne console : Accs primaire, utiliser si aucun autre accs de configuration nest
Disponible,
Ligne auxiliaire : Accs distance via une liaison RTC et modems interposs,
Ligne(s) VTY : Accs via un client Telnet (5 ou 16 lignes disponibles par routeur en
fonction du modle),
Explorateur Web : Accs utilisant le serveur HTTP interne du routeur,
Serveur TFTP : Import/export de fichiers de configuration,
Serveur FTP: Import/export de fichiers de configuration
4.1 Configuration de base dun routeur :
Connectez un cble console sur le port console du routeur et branchez l'autre extrmit
au port COM 1 du PC en utilisant un adaptateur DB-9 ou DB-25. Cela doit tre effectu avant
de mettre une quelconque unit sous tension.

HyperTerminal
Mettez sous tension lordinateur et le routeur.
partir de la barre des tches de Windows, accdez au programme HyperTerminal
Dmarrer > Programmes > Accessoires > Communications > Hyper Terminal.
Nommez la session HyperTerminal
Dans la bote de dialogue Description de la connexion , entrez un nom dans le
champ Nom (exemple CISCO). Et cliquez sur OK.
Spcifiez linterface de connexion de lordinateur
Dans la bote de dialogue Connexions , utilisez la flche de droulement dans le
champ Se connecter en utilisant : pour slectionner COM1, puis cliquez sur OK.
Spcifiez les proprits de connexion de linterface
Dans la bote de dialogue COM1 Proprits , utilisez les flches de droulement
pour slectionner : Bits par seconde : 9600 Bits de donnes : 8 Parit : Aucune Bits darrt : 1
Contrle de flux : Aucun
Puis cliquez sur OK.
Figure 12 : Proprits de COM1

Lorsque la fentre de la session HyperTerminal apparat, mettez le routeur sous
tension, si ce n'est dj fait. Appuyez ensuite sur la touche Entre. Le routeur doit rpondre.
La connexion sest alors droule avec succs. Consignez dans le journal technique la
procdure correcte pour tablir une session en mode console avec le routeur.
Sauvegarde des configurations par capture de texte (HyperTerminal)
Vous pouvez enregistrer/archiver les fichiers de configuration dans un document texte.
Cette procdure permet de sassurer quune copie de travail des fichiers de configuration est
disponible en vue dune modification ou une rutilisation ultrieure.

Dans HyperTerminal, effectuez les tapes suivantes :

1. Dans le menu Transfert, cliquez sur Capture de texte.
2. Choisissez lemplacement.
3. Cliquez sur Dmarrer pour commencer capturer le texte.
Figure 13 : enregistrement dun fichier texte dans HyperTerminal
Par dfaut tous les interfaces dun routeur :

Dsactivs,
Hors fonction,
Administratively down.
4.2 Mode Cisco IOS:
Cisco IOS a t conu comme un systme dexploitation modal. Ladjectif modal
qualifie un systme offrant diffrents modes dexploitation ayant chacun son propre domaine
de fonctionnement. Les modes de lenvironnement ILC sont organiss selon une structure
hirarchique.
Dans lordre de haut en bas, les principaux modes sont les suivants :
- mode dexcution utilisateur,
- mode dexcution privilgi,
- mode de configuration globale,
- autres modes de configuration spcifiques.

Invites de commandes
Dans lenvironnement ILC, le mode dans lequel vous travaillez est reconnaissable
son invite de commandes unique. Cette invite est compose des mots et des symboles qui
apparaissent au dbut de la ligne de commande. Comme lindique le mot invite, le systme
vous invite effectuer une entre.
Par dfaut, toute invite commence par le nom du priphrique. Aprs le nom du
priphrique, le reste de linvite prcise le mode. Par exemple, linvite par dfaut pour le
mode de configuration globale sur un routeur est :
Router(config)#
Comme le montre la figure, lorsque vous entrez des commandes et passez dun mode
lautre, linvite change pour reflter le contexte en cours.
Figure 13 : Structure de linvite IOS
Modes principaux
Les deux principaux modes dexcution sont :
- le mode utilisateur,
- le mode privilgi.
Par mesure de scurit, Cisco IOS prvoit deux modes daccs distincts pour les
sessions dexcution. Ces deux modes daccs principaux sont utiliss dans le cadre de la
structure hirarchique de lenvironnement Cisco ILC.
Ces deux modes offrent des commandes semblables. Toutefois, le mode dexcution
privilgi bnficie de pouvoirs plus tendus dans les actions quil permet dexcuter.

Figure 14 : Les principaux modes IOS
Les principaux modes sont les suivants :

Mode dexcution utilisateur : Permet de consulter toutes les informations lies au
routeur sans pouvoir les modifier. Le shell est le suivant:
Router >
Mode dexcution privilgi : Permet de visualiser l'tat du routeur et
d'importer/exporter des images d'IOS. Le shell est le suivant:
Router #
Mode de configuration globale : Permet d'utiliser les commandes de configuration
gnrales du routeur. Le shell est le suivant:
Router (config) #
Mode de configuration d'interfaces: Permet d'utiliser des commandes de configuration
des interfaces (Adresses IP, masque, etc.). Le shell est le suivant:
Router (config-if) #
Mode de configuration de ligne: Permet de configurer une ligne (exemple: accs au
routeur par Telnet). Le shell est le suivant:
Router (config-line) #
Mode spcial: RXBoot Mode de maintenance qui peut servir, notamment,

rinitialiser les mots de passe du routeur. Le shell est le suivant:
rommon >

4.3 Configuration du nom dhte IOS

En mode dexcution privilgi, accdez au mode de configuration globale en entrant
la commande configure terminal :
Router# configure terminal
Aprs excution de cette commande, linvite devient :
Router(config)#
En mode de configuration globale, entrez le nom dhte :
Router(config)#hostname r1
Aprs excution de cette commande, linvite devient :
r1(config)#
Observez que le nom dhte apparat dans linvite. Pour quitter le mode de configuration
globale, utilisez la commande exit.
Figure15 : Configuration du nom dhte IOS

4.4 Limitation de laccs aux priphriques avec mots de passe

Les mots de passe prsents ici sont les suivants :
Mot de passe de console - limite laccs au priphrique par une connexion console
r1 (config)#line console 0
r1 (config-line)#password 123
r1 (config-line)#login
Figure 16 : Configuration le mot de passe de console

Application d'un mot de passe l'accs Privilgi
Cette partie explique comment appliquer un mot de passe l'utilisateur privilgi.
Il faut tout d'abord, se connecter en mode privilgi, puis en mode de configuration
globale pour effectuer cette manipulation:
r1 > enable
r1 # configure terminal
r1(config) #
Une fois en mode de configuration globale, Il suffit de taper une seule commande pour
appliquer un mot de passe:
r1 (config) # enable password mot_de_passe

A prsent, la prochaine fois qu'un utilisateur tentera de se connecter en mode

utilisateur privilgi, un mot de passe vous sera demand.
A ce stade, il est recommand d'enregistrer rgulirement la configuration l'aide de la
commande suivante ( effectuer en mode privilgi):
copy running-config startup-config
Mot de passe enable secret - chiffr, limite laccs au mode dexcution privilgi
r1(config)#enable secret 123
Configuration de laccs Telnet au routeur
La configuration avec le cble console et HyperTerminal n'tant pas trs pratique, il est
possible d'autoriser les administrateurs se connecter au routeur via une session Telnet
partir de n'importe quel poste des deux rseaux.
Passez d'abord en mode de configuration globale, puis en mode de configuration de
ligne VTY:
r1 > enable
Password:
r1 (config) # line vty 0 4
Va configurer la possibilit de 5 sessions telnet simultanes sur ce routeur.
Nous arrivons maintenant sur le prompt de configuration de ligne. Pour activer le Telnet, il
vous suffit juste d'appliquer un mot de passe la ligne:
r1 (config-line) # password mot_de_passe
r1 (config-line) # login
r1 (config-line) # exit
Il est recommand dutiliser des mots de passe diffrents pour chacun de ces niveaux daccs.
En effet, bien que lutilisation de plusieurs mots de passe diffrents ne facilite pas louverture
dune session, cette prcaution est ncessaire pour protger convenablement linfrastructure
rseau contre laccs non autoris

Figure 17 : Limitation de laccs Telnet
4.5 Configuration dune interface

Nous devons faire communiquer les deux rseaux connects au routeur. Admettons
que le nom de l'interface relie au PC1 est fa0/0 et celle relie au PC2, fa0/1 et que nous
sommes en mode de configuration globale.
Les tapes de configuration dune interface sont les suivantes :
tape 1. Spcification du type dinterface et du numro de port de linterface,
tape 2. Spcification dune description de linterface,
tape 3. Configuration de ladresse IP et du masque de sous-rseau de linterface,
tape 4. Dfinition de la frquence dhorloge si vous configurez une interface srie en
tant que DCE,
tape 5. Activation de linterface.
Voici les commandes saisir:
Interface fa0/0:
r1 (config) # interface fa0/0

r1 (config-if) # ip address 192.168.1.1 255.255.255.0
r1 (config-if) # no shutdown
r1 (config-if) # exit
Interface fa0/1:
r1 (config) # interface serial 0/0/0
r1 (config-if) # ip address 10.0.0.1 255.0.0.0
r1 (config-if) no shutdown
r1 (config-if) exit

Figure 18: Configuration dune interface Ethernet
4.6 Les commandes IOS de base
4.6.1 Passage entre les diffrentes modes dutilisateurs

Utilisateur normal: Aucune commande effectuer, c'est dans ce mode que
commence une session.
Utilisateur privilgi ( effectuer partir du mode normal):
r1 > enable
r1 > en
Mode de configuration globale ( effectuer partir du mode Privilgi):
r1 # conf t
Mode de configuration d'interface ( effectuer partir du mode de configuration
globale):
r1 (config) # interface nom_interface
r1 (config) # int nom_interface
Mode de configuration de ligne ( effectuer partir du mode de configuration
globale):
r1 (config) # line nom_de_la_ligne

4.6.2 Commandes dinformation

Les commandes d'information permettent d'afficher les informations relatives au
routeur. Elles commencent toutes avec le prfixe show ou sh. Elles sont, pour la plupart,
effectuer partir du mode privilgi.
Afficher le fichier de configuration courante du routeur:
show running-config
show run
sh run
Afficher les informations sur la configuration matrielle du systme et sur l'IOS:
show version
sh version
Afficher les processus actifs:
show processes
Afficher les protocoles configurs de couche 3 du modle OSI:
show protocols
Afficher les statistiques de mmoire du routeur:
show memory
Afficher des information et statistiques sur une interface:
show interfaces nom_interface
sh interfaces nom_interface
sh int nom_interface
Afficher la table de routage IP:
sh ip route
4.6.3 Commandes dinterface

Ces commandes sont lies la configuration des interfaces du routeur. Elles sont, pour
la plupart, effectuer partir du mode de configuration d'interface.
Attribution d'un adresse IP une interface:
ip address @IP masque
Activation de l'interface:
no shutdown

4.6.4 Commandes denregistrement de la configuration courante

Ces commandes permettent de sauvegarder la configuration actuelle pour la
rappliquer automatiquement en cas de redmarrage du routeur. Elles s'excutent en mode
Privilgi
Sauvegarde avec demande de confirmation:
copy running-config startup-config
copy run start
Sauvegarde sans demande de confirmation:
write
4.6.5 Commandes dannulation

Cette commande permet de revenir la dernire configuration enregistre, annulant
toutes les modifications ayant t faites la configuration depuis. Elle s'excute en mode
Privilgi.
copy startup-config running-config
copy start run
4.6.6 Annulation dune commande particulire
Pour annuler une commande particulire, on utilisera le prfixe no devant la
commande prcdemment excute.
Exemple: annuler la configuration d'une interface:
no ip address
4.7 Vrification de la connectivit

4.7.1 Test de la pile de protocoles:
Commande Ping
Lutilisation de la commande Ping constitue un moyen efficace de tester la
connectivit. Cette vrification est souvent appele test de la pile de protocoles parce que la
commande Ping passe de la couche 3 du modle OSI la couche 2, puis la couche 1. La
commande Ping emploie le protocole ICMP pour vrifier la connectivit.

Figure 19 : Commande Ping
Test la pile de protocoles TCP/IP locale

En guise de premire tape dans la srie de tests, vous utilisez la commande ping pour
vrifier la configuration IP interne sur lhte local. Comme vous le savez, ce test seffectue en
excutant la commande Ping sur une adresse rserve appele adresse de bouclage
(192.168.1.2). Ceci permet de vrifier le bon fonctionnement de la pile de protocoles de la
couche rseau la couche physique (et en sens inverse) sans pour autant envoyer de signal sur
les supports.
Figure 20 : Test la pile de protocoles TCP/IP locale

Test laffectation des interfaces

Aprs avoir appris utiliser des commandes et des utilitaires pour vrifier la configuration
dun hte, vous allez maintenant aborder des commandes permettant de vrifier les
interfaces des priphriques intermdiaires. IOS fournit plusieurs commandes pour vrifier
le fonctionnement des interfaces de routeur et de commutateur
Figure 21 : vrification du fonctionnement des interfaces de routeur
5.Etude des techniques dattaques rseaux

Lobjet de cette tude est de comprendre les mcanismes dattaques, autrement dit,
comprendre lesprit dun pirate et savoir manipuler ses outils pour pouvoir cerner les
menaces et trouver des contre-attaques.
5.1 Le sniffing des mots de passe et des paquets
Si un hacker ne peut pas deviner un mot de passe, il a dautres outils pour lobtenir.
Une faon qui est devenue assez populaire est le sniffing.
Figure 22 : Exemple de scnario dcoute sur le rseau
La plupart des rseaux utilisent la technologie de broadcast (comme Ethernet). En

pratique, tous les ordinateurs sauf le destinataire du message vont sapercevoir que le message

ne leur est pas destin et vont donc lignorer. Mais par contre, beaucoup dordinateurs
peuvent tre programms pour regarder chaque message qui traverse le rseau cest le mode
promiscuit.
Il existe des programmes qui utilisent ce procd et qui capturent tous les messages
qui circulent sur le rseau en reprant les mots de passe. Si quelquun se connecte un
ordinateur travers un rseau ( travers Telnet, par exemple), alors cette personne risque de
donner son mot de passe.
Cest pourquoi il existe une menace srieuse pour les personnes qui se connectent sur
des ordinateurs distants, o les mots de passe apparaissent en clair dans la trame. Comme par
exemple accder un priphrique rseau (routeur, Switch..) pour mettre jour sa
configuration distance.
Parmi les programmes de sniffing les plus connus loutil dsniff [4] : est un renifleur de
trafic rseau, comme tcpdump et ethereal/wireshark, mais il se contente de rechercher les
mots de passe qui transitent en clair, exploitant ainsi les faiblesses de certains protocoles. Il
supporte les protocoles FTP, Telnet, SMTP, http, POP, SNMP, RIP, OSPF.
5.2 L'usurpation d'adresse IP
En anglais IP spoofing, cette technique est base sur le trucage de ladresse source.
Pour pntrer un systme, le pirate substitue son adresse IP par une adresse autorise et met
avec cette adresse. Il peut ainsi passer toutes les barrires qui ne font pas de lanti-spoofing.
Le principe de base de cette attaque consiste forger ses propres paquets IP dans
lesquels le pirate modifiera, entre autres, l'adresse IP source. Effectivement, les rponses
ventuelles des paquets envoys ne peuvent pas arriver la machine du pirate puisque la
source est falsifie. Ils se dirigent donc vers la machine spoofe.
Figure 23: Usurpation de ladresse IP

Loutil [5] est un outil Open source en ligne de commande permettant de manipuler
des paquets IP. Outre le fait que cet outil soit une excellente alternative la commande ping,

celui-ci rajoute son lot de fonctionnalit. Il est ainsi possible deffectuer des requtes TCP ou
UDP personnalises sur un port de destination quelconque.
5.3 Les scanners
Un scanner est un programme qui permet de savoir quels ports sont ouverts sur une
machine donne. Les Hackers utilisent les scanners pour savoir comment ils vont procder
pour attaquer une machine. Leur utilisation nest heureusement pas seulement malsaine, car
les scanners peuvent aussi permettre de prvenir une attaque.
Nmap[6] est parmi les scanners les plus utiliss. Nmap utilise diverses techniques
d'analyse bases sur des protocoles tels que TCP, IP, UDP ou ICMP
5.4 Attaque de type " Deny of Service "
Les attaques par dni de service sont destines refuser des services des htes
lgitimes qui tentent dtablir des connexions. Les attaques par dni de service sont
utilises par les pirates pour bloquer les rponses systme.
5.4.1 TCP Flooding ou SYN Flooding

Elle exploite le processus normal dchange en trois tapes et oblige les units cibles
envoyer un accus de rception des adresses source, qui ne compltent pas lchange en
trois tapes.
Figure 24: Demande dtablissement dune connection TCP
Lchange en trois tapes dbute lorsque le premier hte envoie un paquet de

synchronisation (SYN). Le paquet SYN inclut ladresse IP source et ladresse IP de
destination. Ces informations dadresse sont utilises par le rcepteur pour renvoyer
le paquet daccus de rception lunit mettrice.

Figure 25 : Principe de Syn Inondation
Dans une attaque par dni de service, le pirate lance une synchronisation mais
usurpe ladresse IP source. On parle de spoofing lorsque lunit rceptrice rpond
une adresse IP inexistante et inaccessible, puis est place dans un tat dattente jusqu
recevoir laccus de rception final de lunit mettrice. La requte dattente est place dans
une file dattente de connexion ou dans une zone dattente en mmoire. Cet tat dattente
oblige lunit attaque consommer des ressources systme, telles que la mmoire, jusqu ce
que le dlai de connexion expire.
Les pirates inondent lhte attaqu de fausses requtes SYN, lobligeant utiliser
toutes ses ressources de connexion, ce qui lempche de rpondre aux requtes de connexion
lgitimes. TCP dclare une connexion "ouverte" aprs un double acquittement. Le SYN flood
consiste faire la moiti du travail chaque connexion qui reste demie ouverte consomme de
la mmoire dans la pile TCP/IP. Au bout d'un moment, le noyau les dtruit. La solution
consiste donc "ouvrir" ces connexions suffisamment vite. Quand la table du noyau est
pleine, le serveur refuse les nouvelles connexions et devient inaccessible.
5.4.2 Utilisation frauduleuse des commandes ICMP
ICMP Flooding :
LICMP Flooding est lorigine identique un Ping mais quon renouvelle un nombre
de fois suffisant pour bloquer la machine attaque et saturer sa bande passante. Cette
opration ncessite davoir une connexion Internet plus rapide que la victime.
ICMP redirect
Un pirate envoie une machine un paquet ICMP-redirect en lui indiquant un autre

chemin suivre. La machine ne peut alors plus communiquer.
ICMP-destination unreachable
Un hackeur peut envoyer un message Destination unreachable vers une machine,

la machine ne peut donc plus communiquer avec dautres postes sur le rseau.

Attaque Smurf
La technique dite attaque par rflexion (en anglais smurf ) est base sur
l'utilisation de serveurs de diffusion (broadcast) pour paralyser un rseau. Un serveur
broadcast est un serveur capable de dupliquer un message et de l'envoyer toutes les
machines prsentes sur le mme rseau.
Le scnario d'une telle attaque est le suivant :
la machine attaquante envoie une requte Ping un ou plusieurs serveurs de
diffusion en falsifiant l'adresse IP source (adresse laquelle le serveur doit
thoriquement rpondre) et en fournissant l'adresse IP d'une machine cible,
le serveur de diffusion rpercute la requte sur l'ensemble du rseau,
toutes les machines du rseau envoient une rponse au serveur de diffusion,
le serveur broadcast redirige les rponses vers la machine cible.
Ainsi, lorsque la machine attaquante adresse une requte plusieurs serveurs de

diffusion situs sur des rseaux diffrents, l'ensemble des rponses des ordinateurs des
diffrents rseaux vont tre routes sur la machine cible.
Figure 26: attaque smurf
Conclusion
Dans ce chapitre, nous avons appris comment accder aux modes et aux procdures
de configuration de base dun routeur Cisco.
Ltude du routeur ainsi que sa configuration nous a permis de mettre en vidence les
diffrentes failles qui peuvent infecter les routeurs ainsi que les protocoles de communication.

Chapitre3 : Politique de scurit
Chapitre 3 : Politique de scurit
Introduction
Dans ce chapitre, nous allons prsenter les procdures de configuration de base des
routeurs Cisco et prvenir les techniques dattaques qui menacent lintgrit du routeur. Nous
allons exposer aussi notre environnement de travail tout en dfinissant les exigences de
scurit prendre en compte.
LIOS offre diverses commandes permettant de rpondre ce besoin, principalement
les ACL (Access Control List) qui permettent de filtrer des paquets suivant des critres dfinis
ainsi que les diffrentes mthodes peuvent empcher ces menaces.
1. Environnement du Travail
1.1 Environnement Matriel
Lenvironnement matriel sur lequel nous avons travaill est constitu :
PC portable DELL INSPIRAN 5010,
Un Processeur Core I3-350 (2,13GHz) 3Mo CACHE,
Memoire 4G ,
DISQUE DUR 320 Go.
1.2 Environnement Logiciel
Pour la configuration des routeurs in a fait recours au logiciel de simulation Packet tracer
Prsentation de Packet Tracer
Packet Tracer est un logiciel permettant de construire un rseau physique virtuel et de
simuler le comportement des protocoles rseaux sur ce rseau. Lutilisateur construit son
rseau laide dquipements tels que les routeurs, les commutateurs ou des ordinateurs. Ces
quipements doivent ensuite tre relis via des connexions (cbles divers, bre optique). Une
fois lensemble des quipements relis, il est possible pour chacun dentre eux, de congurer
les adresses IP, les services disponibles, etc .
Description gnrale
La gure ci-dessous montre un aperu gnral de Packet Tracer. La zone (1) est la
partie dans laquelle le rseau est construit. Les quipements sont regroups en catgories
accessibles dans la zone (2). Une fois la catgorie slectionne, le type dquipements peut
tre slectionn dans la zone (3). La zone (6) contient un ensemble doutils comme select

pour dplacer des quipements, Move Layout pour dplacer le plan de travail,plcae note,
delete.
La zone (5) permet dajouter des indications dans le rseau. Enn, la zone (4) permet
de passer du mode temps rel au mode simulation.
Figure 27 : Page daccueil dun Packet Tracer
Construire un rseau
Pour construire un rseau, on doit choisir lquipement configurer routeur
Figure 28 : Outils de construire un rseau

Puis pour relier deux quipements, il faut choisir la catgorie Connections puis
cliquer sur la connexion dsire.

Figure 29 : Schma dun rseau
Conguration dun quipement

Lorsquun ordinateur a t ajout (appel PC-PT dans Packet Tracer ), il est possible
de le congurer en cliquant dessus, une fois ajout dans le rseau. Une nouvelle fentre
souvre comportant 3 onglets : Physical (aperu rel de la machine et de ses modules), Cong
(conguration passerelle, DNS et adresse IP) et Desktop (ligne de commande ou navigateur
Web).
Dans longlet Cong, il est possible de congurer la passerelle par defaut, ainsi que
ladresse du serveur DNS (cliquez pour cela sur le bouton Settings en-dessous du bouton
Global). Il est possible aussi de congurer ladresse IP et le masque de sous-rseau (cliquez
pour cela sur le bouton FastEthernet en-dessous du bouton INTERFACE)

Figure 30 : Configuration des machines
2. Dfinition de la politique de scurit du routeur

La politique de scurit dun routeur dans une entreprise est une exigence qui
dcoule de la politique applique sur le Systme dinformation.
La politique ne donne fruit que lorsqu on a une stratgie de scurit dans
lentreprise.
La stratgie de scurit, qui est une dclaration formelle des rgles qui doivent tre
respectes par les personnes ayant accs aux ressources technologiques et donnes vitales de
lentreprise, dfinit un ensemble de fonctions qui participe russite et la mise en place
dune telle politique de scurit.
2.1 Les check-lists DISA de scurit Routeur Cisco

La politique de scurit pour un routeur la plus recommande est celle de DISA (
Defense Information Systems Agency ) qui dfinit une ensemble de exigences et des
procdures pour la scurit dun routeur Cisco.
Cette liste doit tre utilise pour l'audit d'un environnement qui comporte des routeurs
Cisco. La liste de contrle fournit les considrations de scurit lors d'un audit technique et
exclut les considrations d'emploi, comme des considrations de scurit physique.
Avant d'utiliser cette considration liste de contrle devrait tre donne ce qui suit:

Emplacement du routeur:
Il est important de vrifier l'emplacement du routeur sur le rseau car cela a un impact
sur certains lments de scurit, par exemple dsactivation du service SSL n'est pas
approprie lorsque le routeur est de routage du trafic vers un serveur web externe.
Aspect pratique des recommandations de scurit:
La liste des listes des considrations de scurit de nombreux, qui ne peut tre
pratique, car elle pourrait nuire aux performances du rseau. Il est important de dterminer le
risque de ne pas avoir attribu certains lments de scurit et si la direction a dcid
d'accepter le risque de ne pas avoir ces lments.
Attnuer les contrles:
Le contrle des routeurs Cisco ne peut pas tre effectue dans le vide. L'auditeur doit
prendre en compte l'impact de la scurit dans d'autres lments, par exemple pare-feu,
systme d'exploitation hte, etc Une faiblesse en matire de scurit au niveau du routeur peut
tre attnu par un contrle rigoureux au niveau du firewall par exemple filtrage des ports qui
ne sont pas 80,23, etc
Interoprabilit:
Dans des circonstances o le routeur utilise la fonctionnalit d'autres lments dans
l'environnement par exemple un serveur syslog pour enregistrer les vnements de routeurs
Cisco ou une station de gestion SNMP, l'auditeur doit examiner la scurit sur les autres
lments. Cette liste ne fournit pas les considrations de scurit pour ces autres lments.
Applicabilit des considrations de scurit:
Cette liste de contrle pour les tentatives de fournir une liste complte de tous les
lments de scurit considrer lors d'une vrification du routeur Cisco, cependant, dans
certains environnements certains lments peuvent ne pas tre applicable, par exemple dans
un environnement Windows, il n'est pas ncessaire de se proccuper de filtrer les services
rlogin ou ssh.
Serveurs de rseau:
Cette liste ne comprend pas les considrations de scurit pour le systme
d'exploitation excutant TACACS ou RADIUS.
2.2 Les tapes dune politique de scurit rseau
Une politique de scurit dun routeur doit passer par les tapes suivantes :
1. Gestion de la scurit routeur (mesures de scurit de bases)
2. Scurisation des accs administratifs distances des routeurs

3. Journalisation de lactivit du routeur
4. Scurisation des services et des interfaces vulnrables du routeur
5. Scurisation des protocoles de routage
6. Contrle et filtrage du trafic
La politique de scurit peut commencer avant mme lacquisition et le dploiement du

routeur.
2.2.1 Politique d'acquisition

Avant d'acqurir un routeur, il convient de dfinir une politique d'acquisition.
Quelles sont les fonctionnalits auxquelles nous souhaitons que le routeur assure?
Quel constructeur choisir?
Quel est la garantie?
Le support est- il assur ?
Faut-il un contrat de maintenance ?
Ce sont quelques questions dont les rponses doivent figurer dans la politique d'acquisition.
2.2.2 Politique de dploiement ou de mise en uvre
Une fois le routeur acquis, il convient de dfinir une politique de mise en uvre. Cette
politique devra tenir compte de son installation, de sa configuration et de sa mise en service.
Par exemple, il doit tre plac dans un endroit scuris (accs protg), derrire un dispositif
de protection comme un pare-feu par exemple.
2.3.3 Gestion de scurit du routeur ou mesures de base de scurit :
Politique de mot de passe
Les routeurs prsentent plusieurs types et niveaux d'accs (telnet, ligne virtuelle (vty),
http, ligne auxiliaire, mode enable, etc.). Chacun de ces accs est protg par un mot de passe.
Une politique de mots de passe doit tre dfinie et applique pour viter leur compromission.
Par exemple, les mots de passe doivent tre changs suivant une priodicit (tous les trois
mois par exemple). Ils doivent tre forts, c'est dire compos des chiffres, caractres
spciaux (@!&#), majuscules et minuscules. Ceci permet d'viter les attaques par
dictionnaire ou par force brute.
2.3.4 Politique de durcissement
Il convient de dfinir une politique de durcissement du routeur. Par exemple, en
dfinissant les rles et responsabilits des diffrents intervenants (administrateur rseaux,
fournisseurs, etc.), les services et comptes inutiles dsactiver, les types d'accs autoriss, la
politique de sauvegarde de la configuration, etc... .

2.3.5 Politique de journalisation

Un routeur tant un quipement sensible, il est important de le surveiller afin d'avoir une
ide sur ses diffrentes activits (trafic, connexion, etc.). Cette surveillance passe par les
fichiers journaux gnrs par celui ci. Il convient donc de dfinir une politique de
journalisation. Par exemple, comment doivent tre utilis les fichiers journaux, o doivent-ils
tre stocks ? L'envoi des fichiers journaux (log) vers un serveur centralis (syslog par
exemple) doit tre scuris, une sauvegarde dune copie des logs doit tre ralise.
3.Application de la politique de scurit

3.1 Scurisation mots de passe et privilges
Configuration des mots de passe de routeur
Cette commande permet dattribuer un mot de passe pour le mode configuration
Vrification

Chiffrement de mot de passe

Cette commande permet de secret le mot de passe
Activer le service de cryptage
Vrification
Application dune longueur de mot de passe minimale

Utilisateurs et niveaux de privilges

Les configurations d'accs vues prcdemment se limitent empcher n'importe qui
d'accder des services statiques. L'lOS Cisco permet toutefois de dfinir des tables
d'utilisateurs et de leur accorder jusqu' 16 niveaux (de 0 15) de privilges (dfinir, par
exemple, les commandes accessibles par privilge). Lorsque les services sont restreints par
dfaut, c'est le plus haut niveau qui est dfini (15)
Niveau de privilge 1 = le niveau par dfaut pour la connexion,
Niveau de privilge 15 = privilgis (invite routeur #), le niveau aprs la mise en
activer le mode,
Niveau de privilge 0 = niveau de privilge rarement utilis, mais comprend 5
commandes: dsactiver, activer, la sortie, Aide et Dconnexion.
3.2 Dsactiver les services et interfaces non utiliss
Un certain nombre de services peuvent tre activs sur le matriel Cisco. Selon les
versions de lIOS ces services sont activs par dfaut, mais sont bien souvent inutiles
Finger
Ce service peut rvler une personne mal intentionne et non autorise des
informations sur les utilisateurs connects. :
UDP small server et tcp small server

Ces deux services reprsentent les services echo, chargen, discrad et daytime avec les
protocoles UDP et TCP. Ces services peuvent tre exploits pour obtenir indirectement des
informations sur le systme cible ou effectuer des Dnis de services.
Bootp
Bootp est un protocole permettant une machine de booter sur le rseau. Ce service
permet un routeur dtre utilis comme serveur Bootp pour les autres routeurs.
Requtes TFTP
Les routeurs Cisco mettent des requtes TFTP intervalles rguliers pour vrifier lintgrit
de leur configuration. Cela peut prsenter un risque de scurit, il est conseill de le
dsactiver.

Cisco Discovery Protocol

CDP est un protocole activ par dfaut sur le matriel Cisco fournissant de
nombreuses informations sur les quipements voisins comme les interfaces du routeur
auxquelles ils sont connects, leur numro de modle, etc. Une personne mal intentionne
pourrait utiliser les informations fournies par CDP pour parvenir ses fins.
Proxy arp(En mode de configuration dinterface)

Le proxy arp est utilis sur les routeurs lorsquun PC du rseau ne dispose pas de
passerelle pour joindre un autre rseau. Si celui-ci ne dispose pas dune adresse de passerelle
et possde un masque lui faisant croire tre dans le mme rseau que lhte du rseau distant,
alors il enverra une simple requte ARP pour le joindre et cest le routeur qui y rpondra
grce au proxy arp. Le routeur se fera donc passer pour la machine distante en rpondant sa
place, do le nom proxy arp.
Dsactiv le port auxiliaire

Assurer que le port auxiliaire est dsactiv avec une configuration similaire la suivante
3.3 Scuriser laccs Telnet

1er solution : Limiter laccs au routeur :
Modifier le port d'coute Telnet
Router(config)#line vty 0 4
Router (config)# rotary
La commande rotary met Telnet sur le port 3000. Pour spcifier le numro de port, il est
possible dajouter un nombre 30000.Par exemple rotary 50 changera le port d'coute 3050.
Limiter laccs par Telnet
Pour limiter les accs on utilise une Access Liste
La commande Access-List simplifie n'autorise que le rseau dadresse10.0.0.0/24.

La commande Access-Class 10 active l'Access-List 10 sur les vty 0 4.

Enfin, il est recommand de mettre une temporisation pour dconnecter la session en
cas d'inactivit, l'aide de la commande Exec-Timeout mm ss o mm est le temps en minute
et ss le complment en secondes.
2eme solution: T.A.C.A.C.S
Les authentifications de type TACACS permettent de grer des comptes individuels daccs
associs des types de profils dfinis, dans lesquels les commandes autorises sont clairement
spcifies et limites. On filtre ainsi les classes dadresses IP autorises accder au routeur, tout en
limitant les temps de connexion au routeur sans activit.
Il existe 3 versions, 1 ancienne (poque ARPANET) en UDP, 1 version moins ancienne,
en TCP, et une dernire, avec une bonne prise en compte de la scurit (TACACS+).
La dernire version fait bien la sparation entre les trois A : on peut les mettre sur 3
services diffrents.
Protocole d'authentification :
Start
Reply : dbut de transaction entre client (routeur) et serveur
Renvoi d'AVP (Attribute Value Pair) par le serveur
Request Response, envoi d'autres AVP.
Protocole d'accounting :
Start
Stop
Watchdog
More
On ajoute un serveur Taccas
Figure 31 : schma dun rseau avec serveur Taccas

Configuration du routeur :
Les commandes suivant est pour configurer un client Tacacs (le routeur)
Pour fonctionner, le service AAA doit tre activ sur le routeur avec la commande
suivante: aaa new-model.
La commande aaa authentication login permet de rfrer un ensemble de dfini
prcdemment TACACS + serveurs
Dfinition des adresses IP des serveurs TACACS ainsi que une cl utilise pour
lauthentification des serveurs.
TACACS-server host {IP}
TACACS-server key {cl}
La commande login authentification permet dactive le model Tacacs+ la ligne
Telnet
Un accs administratif au routeur, un seul compte est dfini localement sur le routeur
pour une utilisation dans un cas durgence (serveur dauthentification tombe en panne)
3eme solution Lutilisation du protocole SSH

SSH (Secure SHell) est un protocole hautement scuris, de conception rcente.
L'utilisation du protocole SSH au lieu de Telnet pour se connecter distance au routeur
permet de faire diminuer sensiblement les menaces car :
La signature numrique d'un serveur fournit la vrification pour son identit.
La communication complte entre un systme client et un systme serveur (routeur) ne
peut tre utilis si elle est intercepte car tous les paquets sont chiffrs.
Il n'est pas possible d'usurper l'identit d'un des deux systmes, parce que les paquets
sont chiffrs et leurs cls ne sont connues que par les systmes locaux et distants.

La commande Line vty 0 4 permet de entrer en mode de configuration de ligne telnet

La commande no transport input dsactiver les lignes virtuelle
La commande transport input SSH permet dactiver le SSH
Configuration de SSh :
Etape1 : Rglage des parmtres du routeur
Etape2 : Dfinition du nom de domaine
Etape 3 :Gnration de cls asymtriques
Etape 4 :Configuration de lauthentification locale et VTY
Etape 5 :Configuration des dtails dattente SSH
3.3.1 Scuris le protocole de gestion SNMP :

Il faut :
- Modifier le nom de communaut par dfaut (comme public et private).
- Utiliser la version 3 du protocole qui ajoute la scurit : authentification, intgrit et
confidentialit des donnes.
- Configurer le routeur de telle faon quil filtre le trafic SNMP provenant seulement
des machines lgitimes. (on nautorise que ladministrateur)

Access-list contre le spoofing

L'Access-List suivante interdit l'accs au rseau pour tous les datagrammes en
provenance de l'extrieur, dont :
Ladresse source est locale (127.0.0.0, 0.0.0.0)
Ladresse source est prive (10.0.0.0, 172.16.0.0 et 192.168.0.0),
Ladresse source est une adresse multicast (224.0.0.0) ou broadcast (255.255.255.255)
Ladresse source est sur le rseau interne
access-list 100 deny IP 127.0.0.0 0.255.255.255 any

access-list 100 deny IP host 0.0.0.0 any
access-list 100 deny IP host 255.255.255.255 any
access-list 100 deny IP numro-sous-rseau masque-sous-rseau any
access-list 100 permit IP any any
Cette Access-List doit tre applique sur toutes les interfaces externes laide de lacommande
suivante:
IP Access-Group 100 in
Il est possible aussi de limiter le spoofing sur le rseau interne. L'Access-List suivante ne peut
pas empcher un utilisateur d'usurper une autre adresse IP du rseau, mais elle l'empche
d'usurper une adresse externe.
Access-List 101 permit IP 10.0.10.0 10.0.10.254 any
Access-List 101 deny IP any any
Elle est applique sur l'interface du rseau interne:

3.3.2 Contre attaque Synflood

Ladministrateur doit utiliser la commande TCP intercept pour protger contre les
attaques SYN Flood. Grce cette commande le routeur intercepte ltablissement dune
connexion TCP, et dtermine si ladresse source est joignable .Si la machine est joignable le
routeur permet la connexion, sinon il empche la connexion. La configuration doit tre au :
IP TCP intercept list 107
Access-List 107 permit TCP any 10.0.0.0 255.255.255.0
Access-List 107 deny IP any any
Interface eth0
Exit
3.3.3 Contre lutilisation Frauduleuse du protocole ICMP
Rejet des broadcasts dirigs
Un broadcast dirig permet d'envoyer un datagramme vers toutes les stations d'un
rseau, mme distants. Cette technique est utilise dans les attaques de type Smurf.
No IP directed-broadcast
Cette commande applique sur chaque interface du routeur a pour effet de ne pas
propager les broadcasts dirigs. C'est la configuration par dfaut partir de la version IOS
12.0.
Dsactivation du routage des redirections ICMP
Les messages ICMP redirect permettent de modifier les tables de routage des
quipements.
L'utilisation de messages ICMP redirect peut aussi altrer la politique de routage dfinie
par l'administrateur du rseau. Il est donc prudent de rejeter ces messages.
No IP redirect
Cette commande applique sur chaque interface indique que le routeur ne doit ni
gnrer, ni accepter de paquets ICMP Redirect.
3.3.4 Mise en place dun serveur log (syslog)
Le Syslog se compose d'une partie cliente et d'une partie serveur. La partie cliente
met les informations sur le rseau, via le port UDP 514. Les serveurs collectent l'information
et se chargent de crer les journaux.
L'intrt de Syslog est donc de centraliser les journaux d'vnements, permettant de
reprer plus rapidement et efficacement les dfaillances d'ordinateurs prsents sur un rseau.

Il existe aussi un logiciel appel Syslog, qui est responsable de la prise en charge des
fichiers de journalisation du systme.
La commande logging Ip Active la journalisation des messages systme un

hte distant
La commande logging trap Afin de limiter les messages enregistrs sur les
serveurs syslog fonction de la gravit, utilisez la commande trap enregistrement en mode de
configuration globale. Pour revenir les htes exploitation distance au niveau par dfaut
La commande service timestamps [debug | log] [ uptime | datetime [msec] [localtime]
[show-timezone] [year] ] utilis pour configurer le systme pour appliquer un horodatage
des messages de dbogage ou de messages de journalisation systme, utilisez la commande
service timestamps en mode de configuration globale. Pour dsactiver ce service, utilisez la
forme no de cette commande.
Figure 32: Mise en place dun serveur log (syslog)

Dtection des sniffer

En principe, les sniffers sont indtectables puisque ne gnrant aucun trafic, se
contentant dtre passif, en coute active. Il existe des outils pour essayer de les piger. Voici
quelques mthodes utilises pour tenter doprer cette dtection.
Le contrle des temps de latence
La mthode consiste produire une surcharge de travail pour lhte suspect. On teste
le dlai des rponses diverses requtes, avant la surcharge. Puis on surcharge le rseau avec
du trafic suspect dtre sniff. Ceci devrait gnrer une suractivit pour lhte sniffeur et
donc 50 accrotre ses temps de rponses. Les rsultats permettent de renforcer la suspicion ou
de disculper lhte en question.
La mthode Ping
Cette mthode permet didentifier les interfaces rseau en mode promiscuous,
autrement dit celles sur lesquelles coute un sniffer. Une interface Ethernet ne rpond en
principe quaux trames qui lui sont destines.
1. On construit un paquet ICMP Echo Request destination de ladresse IP de lhte
surveill dans lequel ladresse MAC destination a t modifie (i-e diffrente de celle de
lhte surveill).
2. Si lhte est en mode normal, le filtre MAC joue son rle, le dmultiplexage des
couches suprieures ne se fait pas, ladresse IP destination nest pas reconnue et il ny a donc
pas de rponse cette requte.
3. Si maintenant il est en mode promiscuous, le filtre nopre plus, le dmultiplexage
a lieu, ladresse IP est reconnue et une rponse est renvoye.
Si le sniffer prvoit la mise en place dun filtre dadresse MAC, la mthode devient
inefficace.
On peut affiner cette approche par lutilisation de paquets corrompus, devant produire
une rponse ICMP error.
3.3.5 Scurisation des protocoles de routage
Exigence:
Authentification MD5 voisin doit tre mis en uvre pour tous les protocoles de
routage avec tous les routeurs par les pairs au sein mme ou entre systmes autonomes (AS).
Procdure:
Dterminer quels sont les protocoles de routage ont t mis en uvre sur le bord
externe avec leurs pairs ainsi que l'intrieur. l'exception de l'extrieur ou NIPRN et pairs
SIPRN et l'authentification du prochain doit tre implmente en utilisant MD5. Les

protocoles de routage suivant le support MD5: BGP, OSPF, IS-IS, EIGRP et RIP V2. Voici
quelques exemples de configuration pour le protocole BGP, OSPF, EIGRP et
l'authentification voisine.
BGP
router bgp 100
neighbor external-peers peer-group
neighbor 171.69.232.90 remote-as 200
neighbor 171.69.232.90 peer-group external-peers
neighbor 171.69.232.100 remote-as 300
neighbor 171.69.232.100 peer-group external-peers
neighbor 171.69.232.90 password xxxxxxxxxx
neighbor 171.69.232.100 password xxxxxxxxxx
Note: La dclaration mot de passe voisin peut tre applique des groupes de pairs ou de la
dfinition voisine.
OSPF
interface Ethernet0
ip address 10.10.10.10 255.255.255.0
ip ospf message-digest-key 10 md5 mypassword
router ospf 10
network 10.10.0.0 0.0.255.255 area 0
area 0 authentication message-digest
Note: D'authentification doit tre active pour chaque zone. Dans OSPF, une interface
appartient un seul domaine; donc, il y aurait toujours une dclaration de rseau sous l'ID de
processus OSPF pour chaque interface qui a un trafic OSPF. La dclaration de rseau dfinit
la zone dans laquelle le rseau appartient. Le key_id MD5 et mot de passe est dfini pour
chaque interface connecte un voisin OSPF.

Configuration de RIPv2 avec authentification
EIGRP
interface Ethernet0
ip address 10.10.10.10 255.255.255.0
ip authentication mode eigrp 1 md5
ip authentication key-chain eigrp 1 mypassword
key chain mypassword
key 12345
key-string abcdefg

accept-lifetime infinite
router eigrp 1
network 10.0.0.0
no auto-summary
3.3.6 Contrle et filtrage du trafic

Listes d'accs sont utiliss pour contrler et grer l'accs d'intressant et non de trafic
intressant.
Listes d'accs sont des outils puissants pour contrler l'accs vers et partir de deux
segments de rseau. Ils peuvent filtrer les paquets inintressants et tre utilises pour mettre
en uvre les politiques de scurit. En utilisant la bonne combinaison de listes d'accs,
gestionnaires de rseau sera arm avec le pouvoir de faire appliquer une politique d'accs
prs qu'ils peuvent inventer. Aprs les listes sont construites, elles peuvent tre appliques soit
l'arrive ou le trafic sortant sur une interface. En appliquant des listes d'accs du routeur
peut effectuer pour analyser chaque paquet en passant par l'interface spcifique la direction
et galement prendre des mesures.
Les ACL, ou Access Control List permettent de filtrer ce qui entre ou sort par les
interfaces dun routeur, en fonction :
De lIP Source.
De lIP de destination
Du port source
Du port de destination
Du protocole (IP, TCP, UDP, ICMP)
Il est possible dautoriser ou dinterdire les paquets IP. Une ACL contient plusieurs
rgles qui sont lues squentiellement jusqu ce que lune delles corresponde au paquet
trait. La lecture de la liste sarrte alors.

Figure 33:Fonctionnement des listes de contrle daccs
Types d'ACL
On distingue les types d'ACL selon le type de protocole de niveau 3 concern. Ainsi,
sur les routeurs CISCO on peut voir grce l'instruction access-list ? cette liste (Il faut tre en
mode de configuration)
Figure 34: les types d'ACL

Les plus utilises sont les <100-199> IP Extended Access List, car ce sont souvent des
paquets IP qui transitent, notamment sur l'internet
Masque gnrique
Les ACL permettent de dsigner des groupes d'adresses grce l'utilisation d'un masque
gnrique. Dans un masque gnrique, les 0 signifient qu'il faut vrifier la valeur du bit
correspondant, et les 1 signifient qu'il faut l'ignorer.
Une ACL s'applique en deux temps :
Identification du ou des flux (dfinition de lACL) : access-list
Application des rgles une interface (application de lACL) : access-group
Il faut de plus dfinir le sens sur lequel l'ACL agit, c'est dire si c'est en entr ou en
sortie (In ou Out).Il existe 2 types ACL :
Liste daccs standard :
access-list number { deny | permit } source masque gnrique
Liste daccs tendu :
access-list 100-199 {permit|deny} {ip|tcp|udp|icmp} source source-mask [lt|gt|eq|neq]
[source-port] destination dest-mask [lt|gt|eq|neq] [dest-port] [log]
Mthode souhait
La cration, la mise jour, le dbogage ncessitent beaucoup de temps et de rigueur
dans la syntaxe Il est donc conseill
De crer les ACL l'aide d'un diteur de texte et de faire un copier/coller dans la
configuration du routeur
Placer les extended ACL au plus prs de la source du paquet que possible pour le
dtruire le plus vite possible
Placer les ACL standard au plus prs de la destination sinon, vous risquez de dtruire
un paquet trop top
Rappel : les ACL standard ne regardent que l'IP source
Placer la rgle la plus spcifique en premier
Avant de faire le moindre changement sur une ACL, dsactiver sur l'interface concern
celle-ci (no ip access-group)

Exemples des Access-List
Exigence :
Les administrateurs routeur restreindre le routeur principe d'accepter tous les
paquets entrants qui contiennent une adresse IP du rseau interne, une boucle d'accueil
locales de retour d'adresse (127.0.0.0 / 8), la gamme lien-local adresse IP(169.254.0.0/ 16), ou
toute autre adresse rservs priv dans le domaine source
Procdure :
Examen du principe configuration des routeurs Cisco pour assurer ACL sont
en place pour restreindre les adresses IP entrantes.
interface FastEthernet 0/0
description to NIPRNet core router
ip address 199.36.92.1 255.255.255.252
ip access-group 100 in
access-list 100 deny ip <internal network range> <wildcard mask> any log
access-list 100 deny ip 0.0.0.0 0.255.255.255 any log

Exigence :
Le filtre d'entre n'est pas applique aux interfaces externes ou l'vacuation filtre n'est pas
appliqu aux interfaces internes; la fois sur une direction d'arrive.
Note: Tous les filtres doivent tre appliqus aux interfaces appropries sur une direction d'arrive
Procdure :
Examen de la configuration courante du routeur hypothse et de vrifier que toutes
les interfaces, l'exception des interfaces de bouclage, ont l'entre approprie
ou ACL sortie applique un sens entrant.
description NIPRNet link
ip address 199.36.92.1 255.255.255.252
Remarque: Le sens par dfaut pour le "ip access-group" commande est "out ".
Conclusion
Dans ce chapitre nous avons prsent la diffrente tape de configuration de base des
routeurs Cisco qui a sollicit une bonne comprhension les procdures recommandes pour
leur scurisation ainsi prvenir les techniques dattaques qui menacent lintgrit du routeur.

Conclusion Gnrale
Conclusion Gnrale
Le prsent projet, tait une opportunit pour aborder de prs le domaine le plus
important de nos jours, celui de la scurit des Systmes dInformation(SI). Nous avons
examin de prs la scurit des routeurs CISCO qui prsentent la colonne vertbrale de
linfrastructure rseaux de POLYGONE ou tout autre entreprise dployant ce type de routeur,
en vu de satisfaire le besoin de la socit en matire de scurit des quipements rseaux.
La mthodologie adopte dans ce travail consistait cerner les vulnrabilits qui
peuvent se prsenter, en tudiant les techniques des attaques sur le routeur. Ces dernires
exploitent les vulnrabilits dans les protocoles rseau. Ensuite, tablir les procdures de
scurit pour se protger contre ces menaces au niveau du routeur.
Nous avons galement beaucoup appris les notions de la scurit rseau, ce qui ma
permis de comprendre les techniques utilises par les pirates et la faon de sen protgs.
Ce travail fut aussi un apport considrable, en effet il ma permis de mintgrer au sein
de la socit POLYGONE, de sinitier la vie professionnelle, de collaborer avec les
membres de lquipe rseau et de dvelopper des qualits relationnelles avec lensemble du
personnel.
Puisque tout projet natteint jamais le parfait, la correction des failles de scurit
nempche pas lapparition de nouvelles menaces do la politique de scurit doit tre
priodiquement audite.

Bibliographie et Ntrographie
Bibliographie et Ntographie
Bibliographie
Jean Franois Pillou. Tout sur la scurit informatique, Canada, Dunod, 2005,123 pages ;
Michal Zalewski Menaces sur le rseau , France , CampusPress, 322 pages 2004
Laurent Bloch Scurit informatique - Principes et mthodes , Eyrolles,2006 261 pages
Cisco IOS Router Checklist Procedure Guide (Supplement to the Network Infrastructure
Checklist V6R1 DISA FIELD SECURITY OPERATIONS)
Ntographie
[1] www.tcpdump.org
[2] www.wireshark.fr
[3] www.softcities.com/telecharger-mib-browser/60214.htm
[4] www.wiki.backtrack-fr.net
[5] www.hping.org
http://www.ietf.org/rfc.htm
www.cisco.com
www.ansi.tn
http://www2.cegep-rdl.qc.ca/prive/pr-cisco/ccna4e/doc/Exploration_Accessing_WAN_Chapter4-
fr.pdf

ANNEXES
Limitation de lAccs avec Telnet laide Access List
Exemple dAccess- List tendu permettent filtrer des paquets en fonction de

l'adresse de destination IP
Super scan : Logiciel catgorie scanner de ports
Scnario des attaques
Les scnarios reprsentent squentiellement le droulement des traitements et des
interactions entre les lments du systme et/ou les acteurs.
1. Attaque synflood avec NetFlood
Cette attaque consiste envoyer un paquet TCP SYN (qui dbute les
connexions) trs rapidement, de sorte que le routeur attaqu sattend complter un
grand nombre de connexion sur le port spcifi, ce qui puise ses ressources et affecte
les connexions lgitimes.
Figure : Scnario dattaque SynFlood
2. Attaque avec SnmpDos
Cette attaque consiste envoyer une requte Snmp SET qui comporte LOID de
ltat de linterface du routeur le but de cette requte est de dsactiver linterface,
donc rendre le routeur inaccessible partir de cette interface.
Figure: Scnario de lattaque avec SnmpDos
3. Attaque par ICMP flood
Cette attaque vise inonder le routeur avec un nombre important de paquet ICMP, pour
alourdir sont fonctionnement. D'ailleurs, que les cibles rpondent ou pas l'ICMP, l'objectif
premier tant de saturer sa bande passante d'accs rseau, processeurs, mmoire ...
Paquet
ICMP
Paquet
ICMP
Paquet
Routeur victime ICMP
Paquet
ICMP
Paquet
ICMP
Le routeur est
satur
Paquet Pirate
ICMP
Paquet
ICMP
Paquet
ICMP
Figure : Scnario de lattaque ICMP Flood
4. Attaque par UDP flood
NetFlood va se mettre envoyer un maximum de paquets UDP sur le port spcifi de la

machine cible.
Cette masse de paquets va submerger le routeur qui ne pourra plus rpondre aucune
autre requte (d'o le terme de dni de service).
Paquet
UDP
Paquet
UDP
Paquet
Routeur victime UDP
Paquet
UDP
Paquet
UDP
Le routeur est
satur
Paquet Pirate
UDP
Paquet
UDP
Paquet
UDP
Figure: Scnario dUDP Flood
5. Ecoute avec SnifferTelnet
SnifferTelnet met linterface en mode transparent (promiscuous) pour capturer toutes les
trames circulantes dans le rseau. SnifferTelnet applique un filtre interface dcoute selon :
Le port destination : Il naccepte que les paquets ayant le port destination 23
celui du service TELNET ,
Ladresse destination : il nintercepte que les paquets ayant ladresse
destination du routeur pour garantir que le trafic susceptible de contenir le mot de
passe est destin au routeur.
SnifferTelnet
Pirate
capture tout les
paquet telnet
vers le routeur
Client Telnet
Routeur victime
Flux Telnet
Figure : Scnario de capture du mot de passe Telnet

Type de scurit des routeurs Cisco selon la check-list DISA
1. Scurisation accs
1re exemple :
Exigences
L'ONS assur que si un serveur dauthentification est utilis pour laccs administratif
au routeur, un seul compte local peut tre pour une utilisation en cas d'urgence
Procdures
Examen de la configuration en cours dexcution et de vrifier qu'un seul
compte local a t dfini. Un exemple d'un compte local est illustr dans l'exemple ci-dessous
username xxxxxxx password 7 xxxxxxxxxxx
2me exemple :
Exigences
L'ONS veillera ce que tous les hors-la gestion des connexions bande au
routeur ncessitent des mots de passe
Procdures
Etude de la configuration de chaque routeur de veiller ce que le port de la console et
les ports vty utilis par le rseau OOBM besoin d'une invite de connexion
line con 0
login authentication admin_only
exec-timeout 15 0
line vty 0 4
exec-timeout 15 0
transport input ssh
2. Scurisation daccs : privilge
1re exemple :
Exigences
Les administrateurs routeur feront en sorte que tous les comptes utilisateurs se voient
attribuer le niveau le plus bas privilge qui leur permet d'exercer leurs fonctions.
Procdures
Il ya 16 niveaux de privilges possibles qui peuvent tre spcifies pour les utilisateurs
dans la configuration du routeur. Les niveaux peuvent carte aux commandes, qui ont mis en
niveaux de privilge - ou vous pouvez raffecter les niveaux des commandes. Les noms
d'utilisateurs avec mot de passe correspondant peuvent tre rgls un niveau spcifique. Il y
aurait plusieurs noms d'utilisateur
name password password
Suivi par nom d'utilisateur
name privilge level.
L'utilisateur sera automatiquement acquis que le niveau de privilge lors de la connexion
en dessous est un exemple d'attribution d'un niveau de privilge un compte dutilisateur
local et de modifier le niveau de privilges par dfaut de la commande terminal configurer
username junior-engineer1 privilege 7 password xxxxxx
username senior-engineer1 privilege 15 password xxxxxx
privilege exec level 7 configure terminal
Remarque : L'exemple ci dessus ne couvre que
Les comptes locaux, vous aurez toujours besoin de vrifier les comptes et leurs niveaux de
privilges associs configur dans le serveur d'authentification. Vous pouvez galement utiliser
TACACS pour granularit encore plus au niveau du commandement. Voici un exemple de Cisco
Secure serveur TACACS
user = junior-engineer1 {
password = clear "xxxxx"
service = shell {
set priv-lvl = 7
3. Dsactivation port console
Exigences
Les administrateurs routeur feront en sorte que les ports auxiliaires du routeur sont
dsactivs.
Procdures
Voir la configuration de chaque routeur Cisco afin de s'assurer que le port

auxiliaire est dsactiv avec une configuration similaire
line aux 0
no exec
transport input none
4. scurisation console
Exigences
Les administrateurs routeur que le port console du routeur sont configurs pour
expirer aprs 15 minutes d'inactivit.
Procdures
Examen de chaque configuration des routeurs Cisco pour assurer que la
console est dsactive aprs 15 minutes d'inactivit
line con 0
exec-timeout 15 0
Note: la valeur par dfaut est de 10 min, ce qui est plus restrictif
5. Scurisation interfaces inactives
Exigences
Les administrateurs routeur permettent de dsactiver les interfaces du routeur qui ne

sont pas en cours d'utilisation
Procdures
En collaboration avec le diagramme de topologie rseau, utilisez l'interface show

interface ou show ip interface brief commande de concilier toutes les interfaces qui
ont un statut de protocole et de la place.
Interfaces avec le statut de administrativement vers le bas et vers le bas du protocole sont
configurs avec un shutdown commande alors que les interfaces avec un statut de haut et
de bas protocole indique que l'interface n'est pas dsactive via "shutdown" de commande et
il n'est pas un lien actif. Cela pourrait aussi tre un lien qui oscille.
Interfaces handicapes pour un routeur Cisco auront le "shutdown" commande en vertu
de la dclaration d'interface
interface Ethernet1
no ip address
no ip directed-broadcast
shutdown
6. Fixation dadresse dadministrateur
Exigences
Les administrateurs routeur feront en sorte que le routeur ne permet que des sances de
gestion dans la bande provenant d'adresses IP autorises partir du rseau interne.
Procdures
Examen toutes les configurations de routeur Cisco et de vrifier que seules les
connexions internes autoriss sont admis sur les ports VTY.
access-list 3 permit 192.168.1.10 log
access-list 3 deny any
line vty 0 4
access-class 3 in
7. Recommandation dutilisation de SSH au lieu de Telnet

Exigences
Les administrateurs routeur assurer l'accs de gestion in-band pour le routeur est limite SSH
Procdures
Examiner toute les configurations des routeurs Cisco et vrifier que ssh est
autoris seulement sur les ports VTY.
line vty 0 4
transport input ssh
8. Log
Exigences
L'administrateur routeur fera en sorte que le routeur enregistre toutes les tentatives
d'accs dans la bande de gestion.
Procdures
Examen de chaque configuration des routeurs Cisco pour s'assurer que toutes les
tentatives de connexion aux ports VTY sont enregistres.
access-list 3 deny any log
line vty 0 4
access-class 3 in
9. Deactivation de HTTP, FTP

Exigences
HTTP, FTP, et tous les r-commandes BSD serveurs doit tre dsactiv.
Procdures
Examen toutes les configurations de routeur Cisco afin de vrifier que la commande IOS pas de
serveur http ip est prsent
Note: Le serveur HTTP n'est pas disponible avec IOS versions antrieures 11.0. En outre, http-
server est dsactive par dfaut dans la version IOS 12.0, d'o le no-ip-serveur http commande n'apparat
pas dans la configuration courante. FTP, RCP et RSH sont dsactivs par dfaut.
ftp-server enable
ip rcmd rcp-enable
ip rcmd rsh-enable
.
.
line vty 0 4
transport input rlogin telnet
10.Scurisation ICMP: Ping

1re exemple :
Exigences
Notifications ICMP inaccessible, les rponses masquent, et les redirections ne sont pas
handicapes sur toutes les interfaces externes du routeur prmisse.
Procdures
Pour la version IOS 12.0 et d'examiner ultrieurement la configuration courante du
routeur principe et d'assurer les commandes suivantes ne sont pas prsents sur toutes les interfaces
externes: ip unreachable, ip redirects, et ip mask-reply. Pour les versions antrieures 12,0,
d'assurer les commandes suivantes sont presents: "no ip unreachable, no ip redirects, et no ip mask-
repy.
description NIPRNet link
ip address 199.36.92.1 255.255.255.252
no ip redirects
no ip unreachables
no ip mask-reply
2me exemple
Exigences
Deux Network Time Protocol (NTP) des serveurs doivent tre utiliss pour synchroniser toutes les
horloges routeur.
Procdures
Examen des configurations de routeur et de vrifier que les serveurs NTP ont t dfinis comme dans
l'exemple suivant:
ntp update-calendar
ntp server 129.237.32.2
ntp server 142.181.31.6
11. Access Control List

1re exemple :
Exigences
L'administrateur routeur fera en sorte que toutes les tentatives de n'importe quel port, protocole
ou service qui est refuse sera connect
Procdures
Examen de la configuration courante du routeur hypothse et de vrifier que la pntration la

fois le routeur et ACL vacuation ont un mot-clef log aprs chaque infirmer la dclaration.
access-list 101 permit tcp

2me exemple :
Exigences
L'administrateur routeur mettra en uvre entre et la sortie de filtrage sur tous

les routeurs principe repose sur une politique de rejet par dfaut.
Procdures
Examen de la configuration courante du routeur hypothse et de vrifier que les deux du

routeur d'entre et de sortie ACL sont bass sur une nier par la politique par dfaut. Lorsque la
vrification du respect par Deny exigence par dfaut, vrifiez que l'ACL se termine avec le nier toute
rgle (implicite ou explicite) que la dernire ligne de l'ACL.
access-list 101 permit tcp . . . . . . .
3me exemple:
Exigences
L'administrateur routeur restreindre le routeur d'accepter tous les paquets IP sortants qui
contient une adresse illgitime dans le champ d'adresse source par lintermdiaire
d'vacuation ou ACL en permettant Unicast Reverse Path Forwarding (RPF).
Procdures
Examen de la configuration des routeurs pour assurer principe ACL vacuation sont
en place sur toutes les interfaces internes pour restreindre le routeur d'accepter les paquets
sortants IP qui contiennent une adresse IP externe dans le domaine source.
Afin de se conformer la nier par la politique par dfaut, permis des dclarations pour
ces ports, qui sont autoriss devront tre dfinies par le suivi nier toute dclaration. Les tats de
permis doit bnficier de l'adresse source avec la plage d'adresses rseau interne.
Procdure d'Unicast Reverse
Path Forwarding: Examen de la configuration des routeurs pour assurer principe FPR a t
configur sur toutes les interfaces internes. Voici un exemple de configuration:
description downstream link to our network
ip address 199.36.90.1 255.255.255.0
ip verify unicast reverse-path 197
access-list 197 deny ip any any log
*****
description downstream link to our network
ip address 199.36.90.1 255.255.255.0
access-list 102 permit tcp any any established
access-list 102 permit udp host [external DNS] any eq domain
access-list 102 permit udp host [external DNS] any gt 1023
access-list 102 permit tcp [internal network] [wildcard mask] any eq ftp-data
access-list 102 permit tcp [internal network] [wildcard mask] any eq ftp
access-list 102 permit tcp [internal network] [wildcard mask] any eq http
access-list 102 permit . . . . . . .
access-list 102 deny any
12.Simple Network Management Protocol (SMNP)
Exigences
Les administrateurs routeur assurer SNMP est activ dans le mode lecture seule; en lecture
/ criture ne sera pas permis que s'il est approuv par l'ONS.
Procdures
Examen toutes les configurations de routeur Cisco pour assurer l'accs SNMP partir des
stations de gestion de rseau est en lecture seule.
access-list 10 permit host 7.7.7.5
snmp-server community xxxxxxxxx ro 10
SYNC
Exigences
Les administrateurs routeur utilise le protocole TCP Intercepte commande pour protger les
serveurs contre les attaques TCP SYN flood de tout un rseau extrieur.
Procdures
Examen du principe ou de routeur de bordure de configuration pour assurer la commande

d'intercepter TCP est en place pour intercepter les demandes dconnexion TCP SYN.
ip tcp intercept list 107
access-list 107 permit tcp any <internal network> < wildcard mask>
13.Ping
1re exemple :
Exigences
l'exception dEcho Reply (type 0), Temps dpass (type 11), et Destination unreachable
(type 3), le filtre d'entre permet de bloquer tous les messages ICMP.
Procdures
Examen du principe configuration des routeurs Cisco pour assurer que les blocs ACL
pntration tous les types de trafic entrant message ICMP l'exception de Echo Reply
(type 0),Temps dpass(type 11), et Destination unreachable (type 3).
description to NIPRNet core router
ip address 199.36.92.1 255.255.255.252
.
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any unreachable
access-list 100 deny icmp any any log
Note: The above ACL could also look similar to the following using the icmp type codes
instead of the icmp message type:
access-list 100 permit icmp any any 0
2me exemple
Exigences
L'administrateur routeur bloque sortant types message ICMP Echo Request trafic
l'exception (type 8), de problme de paramtre (type 12) et Source Quench (type 4).
Procdures
Examen du principe configuration des routeurs Cisco pour assurer l'vacuation ACL
sont lis aux interfaces appropries pour bloquer tous les types de message ICMP sortant de la
circulation, sauf Echo, de problme de paramtre et Source Quench.
description link to our network
ip address 199.36.90.1 255.255.255.0
access-list 107 permit icmp 199.36.90.0 0.0.255.255 any echo
access-list 107 permit icmp 199.36.90.0 0.0.255.255 any parameter-problem
access-list 107 permit icmp 199.36.90.0 0.0.255.255 any source-quench

Securisation Routeur Cisco PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securisation Routeur Cisco PDF

Transféré par

Droits d'auteur :

Formats disponibles

Sujet :

Scurisation des routeurs Cisco

Socit daccueil : POLYGONE

Anne Universitaire : 2010/2011

Au terme de ce travail du projet de fin dtudes, nous tenons exprimer

nos sincres remerciements notre encadreur M .Bayoudh Abdellatif, qui na

leur encouragement, leurs remarques critiques et leur disponibilit.

Nos estimes les plus sincres sadressent galement ceux qui

sintressent notre travail, en vu dexploiter et particulirement les

responsables de la socit POLYGONE.

Nous remercions le prsident et les membres de jury en particulier

Monsieur le rapporteur de notre rapport pour sa patience et pour tous les

conseils quil va nous accorder.

Quils acceptent tous nos respectueux remerciements.

1. Rappel sur un routeur.. 15

2. Les routeurs et leurs rles le rseau des PME....16

3. Inter network operating System IOS. 18

4. Configuration de base dun routeur Cisco. 24

Figure 1 : schma du rseau de la socit POLYGONE 4

Les rseaux informatiques sont devenus indispensables la bonne marche des

Afin de pouvoir immuniser un systme contre ces menaces, il est ncessaire de

Linfrastructure rseau, qui prsente le primtre du Systme dInformation, est

En vue de protger son Systme dInformation, et essentiellement son

Scurisation des routeurs Cisco 1

POLYGONE a eu le besoin de prvenir les menaces susceptibles de nuire au bon

Dou le travail demand est :

Identifier les failles des routeurs CISCO,

Ce rapport est organis conformment au plan suivant :

Le premier chapitre inclut le cadre du projet et un ensemble de concepts thoriques

Scurisation des routeurs Cisco 2

Chapitre1 : Prsentation du cadre du projet et gnralits sur la

1. Prsentation de lorganisme daccueil, POLYGONE

Scurisation des routeurs Cisco 3

Figure 1 : schma du rseau de la socit POLYGONE

Le rseau local dune entreprise reprsente le cur de la majeure partie de l'activit

Par ailleurs, il est gnralement estim que la majorit des malveillances

Devant cette spcificit, la socit POLYGONE a eu le ncessit donc essentiel

Il est aise d'chafauder sur le papier des configurations de systmes d'information,

Scurisation des routeurs Cisco 4

Ce sont prcisment des situations de ce type qu'il est ncessaire de prendre en

Scurisation des routeurs Cisco 5

4. Les exigences de la scurit des rseaux

Pannes du rseau empchant les communications et les transactions et entranant

La disponibilit : demande que l'information sur le systme soit disponible aux

Scurisation des routeurs Cisco 6

Les priphriques du rseau (routeur, commutateur, hub) qui changent des

Intgrit des messages :

Fiabilit des protocoles :

Scurisation des routeurs Cisco 7

5. Rappel sur le protocole TCP/IP

Figure 2 : Modle TCP/IP

5.2 Couche application

Scurisation des routeurs Cisco 8

Protocole Telnet (TErminal NETwork ou TELecommunication NETwork):

Fonctionnement du protocole SNMP

Figure 3: Fonctionnement du protocole SNMP

Scurisation des routeurs Cisco 9

La MIB (Management Information base) est la base de donnes des informations de

Ensuite, pour accder aux variables souhaites, on utilisera l'OID (Object

Notion de communaut dans SNMP

Scurisation des routeurs Cisco 10

5.3 Couche transport

Une vulnrabilit dans sa mise en uvre permet un individu mal intentionn