Académique Documents
Professionnel Documents
Culture Documents
Securisation Routeur Cisco PDF
Securisation Routeur Cisco PDF
Elabor par
Tatouh Nejiba
Saida Djebbi
Encadr par :
Mr Bayoudh Abdellatif (POLYGONE)
pargn aucun effort pour le bon droulement de ce travail. Nous ont apport
Introduction Gnrale
Accs physique,
Interception de communication,
Dtournement ou altration de message,
Dni de service(Dos),
Intrusion.
se tenir inform des mises jour des OS et les correctifs des failles ,
mettre en place des dispositifs (pare-feu, systme de dtection dintrusion,
antivirus) permettant de scuriser linfrastructure rseau,
de corriger les erreurs de conception et dimplmentation par les constructeurs
(comme CISCO, Microsoft) ds que la vulnrabilit est dcouverte.
Etant donn que la plupart des entreprises dploient des quipements rseaux de
marque CISCO, les routeurs de cette marque ont t la cible de plusieurs attaques bases sur
lexploitation frauduleuse des protocoles rseaux, ainsi que les failles lies leurs
configurations.
Le prsent projet a pour but de dfinir lensemble des attaques ciblant les routeurs
CISCO en vue de dceler leurs vulnrabilits pour les corriger en appliquant les rgles de
scurit recommandes.
Introduction
Dans ce chapitre, il sagit de mettre mon travail dans son contexte gnral. La
premire section comprend alors la prsentation de lorganisme daccueil et la deuxime, une
brve description de la mthodologie du travail adopte suivie des notions thoriques juges
ncessaires pour le droulement de notre travail.
2. Etude de lexistant :
2.1 Prsentation du rseau de POLYGONE
Le rseau de la socit POLYGONE permet de relier chaque ordinateur entre eux via un
serveur qui va grer l'accs Internet, les mails, les droits d'accs aux documents partags et
le travail collaboratif. Chaque utilisateur du rseau se connecte avec un nom d'utilisateur et un
mot de passe et est authentifi par le serveur. L'utilisateur peut accder ses donnes et au
partage de fichiers. Le rseau permet la socit de centraliser ses donnes, de travailler en
quipe de manire productive.
d'accs, mais il est frquent qu'un audit srieux rvle encore de nombreuses insuffisances,
notamment sur le plan physique (accs aux quipements, continuit de fonctionnement).
3. Approches du travail
Etude bibliographique
Recherche dinformations sur les menaces informatiques, les failles de scurit
des routeurs et des protocoles rseaux et les diffrentes techniques et outils
dattaques afin davoir une meilleure ide sur les procdures appliquer.
Etude thorique :
Etudier les routeurs Cisco et leur configuration,
Etudier les attaques possibles ciblant cet quipement,
Rechercher un simulateur rseau.
Etude dingnierie
Gestion et ralisation du projet : Matrise douvrage et matrise duvre,
Rdaction des procdures correspondantes aux choix techniques et fonctionnels,
Exploitation des bases scientifiques pour comprendre le mcanisme des
attaques pour pouvoir appliquer les procdures de scurit.
Ralisation :
Manipulation des configurations du routeur et application des procdures de
scurit afin dtablir les rgles de protection ncessaires.
Pour tre en mesure de rpondre ces attentes, il est indispensable de garantir la fiabilit de
ces quatre lments essentiels constituant un rseau :
Les protocoles : Les rgles ou conventions qui dterminent la faon dont les
messages sont envoys, orients, reus et interprts,
Les messages ou units dinformation qui transitent dun priphrique un autre,
Un moyen dinterconnecter ces priphriques, cest--dire un support capable de
transporter les messages dun priphrique un autre,
Protection du cblage :
L'aspect de la scurit physique du rseau le plus souvent ignor est celui du cblage.
En effet, si des pirates ont accs des cbles exposs du rseau, ils disposent alors de
plusieurs mthodes pour voler les donnes.
Sur la plupart des rseaux (de diffusion, tels qu'Ethernet ou jetons), les donnes ne
sont jamais envoyes exclusivement au PC auquel elles sont destines. En effet, elles sont
envoyes sur tous les PC connects mais sont ignores par tous, except le PC auquel elles
sont destines. Du fait de cette diffusion des donnes, chaque cble actif du rseau prsente la
capacit de transporter des donnes. Par consquent, il suffit un pirate de se raccorder
clandestinement un cble pour capturer les paquets qui transitent par la ligne.
SNMP utilise le protocole UDP .L'agent reoit les requtes de la station de gestion sur
le port 161. Le port 162 est rserv pour la station de gestion pour recevoir les alertes des
agents.
Les MIBS
Une communaut SNMP est un ensemble de machines gres par la mme station de
supervision. On dit quun quipement appartient une (ou plusieurs) communaut SNMP.
Pendant la transaction SNMP la communaut fait office de mots de passe. Ainsi les stations
ne faisant pas partie de la communaut ne peuvent pas envoyer ou rpondre aux requtes
SNMP.
Vulnrabilit du protocole SNMP
Il est possible de connatre distance l'tat ou la configuration d'un routeur (fonction
GET). Il est galement possible d'influer sur le comportement d'une machine en crivant des
donnes dans la base d'information(MIB) du priphrique (fonction SET).
Les premires versions du protocole (v1 et v2) ne proposaient pas de mesures de
scurit efficaces pour viter l'accs aux informations sensibles. Il suffisait de connatre un
nom de communaut valide pour pouvoir accder aux informations.
Un nom de communaut, actif et prsent par dfaut sur un routeur, peut permettre
un attaquant prsent sur le rseau d'accder en lecture seule la configuration
complte du routeur et mme de la modifier.
Par exemple, des informations comme des adresses IP et Ethernet, le contenu des
tables de routage, des statistiques sur le trafic, seront disponibles. Un attaquant peut
donc rcuprer facilement des informations qui peuvent lui faciliter une attaque
ultrieure.
(1) : OID: cest la suite dentiers qui dsigne de manire non ambigu un objet SNMP
TCP est un protocole fiable, orient connexion, qui permet l'acheminement sans erreur
de paquets issus d'une machine d'un internet une autre machine du mme internet. Son rle
est de fragmenter le message transmettre de manire pouvoir le faire passer sur la couche
internet. A l'inverse, sur la machine destination, TCP replace dans l'ordre les fragments
transmis sur la couche internet pour reconstruire le message initial. TCP s'occupe galement
du contrle de flux de la connexion
Vulnrabilit du protocole TCP
Ce protocole est en revanche un protocole plus simple que TCP: il est non fiable et
sans connexion. Son utilisation prsuppose que l'on n'a pas besoin ni du contrle de flux, ni de
la conservation de l'ordre de remise des paquets. Par exemple, on l'utilise lorsque la couche
application se charge de la remise en ordre des messages. On se souvient que dans le modle
OSI, plusieurs couches ont charge la vrification de l'ordre de remise des messages. C'est l
un avantage du modle TCP/IP sur le modle OSI, mais nous y reviendrons plus tard. Une
autre utilisation d'UDP: la transmission de la voix. En effet, l'inversion de 2 phonmes ne
gne en rien la comprhension du message final. De manire plus gnrale, UDP intervient
lorsque le temps de remise des paquets est prdominant.
Le protocole IP est parfois qualifi de protocole non fiable. Cela ne signifie pas qu'il n'envoie
pas correctement les donnes sur le rseau, mais qu'il n'effectue aucune vrification d'erreurs
et ne fournit aucun service de correction. Ces fonctions sont disponibles uniquement dans les
protocoles de couche suprieure des couches application ou transport.
Ce protocole permet de grer les informations relatives aux erreurs du protocole IP. Il
ne permet pas de corriger ces erreurs, mais d'en informer les diffrents metteurs des
Datagrammes en erreurs.
Le mcanisme de requte et de rponse par cho du protocole ICMP est utilis
pour contrler la prsence d'un hte, la commande Ping permet d'envoyer une requte ICMP
'Echo' d'une machine une autre machine. Si la machine ne rpond pas il se peut que l'on ne
puisse pas communiquer avec elle (cest le principe de la commande Ping).
Le protocole ICMP (Internet Control Message Protocol) est souvent considr comme un
protocole innocent et sans danger. Toutefois, si un systme d'exploitation ou un pare feu
vient le manipuler de manire incorrecte, des pirates peuvent alors l'utiliser des fins
malveillantes.
Protocole ARP:
Le protocole ARP a un rle phare parmi les protocoles de la couche Internet de la suite
TCP/IP, car il permet de connatre l'adresse physique d'une carte rseau correspondant une
adresse IP, c'est pour cela qu'il s'appelle Protocole de rsolution d'adresse (en anglais ARP
signifie Address Resolution Protocol).
La couche accs rseau est la premire couche de la pile TCP/IP, elle offre les
capacits accder un rseau physique quel qu'il soit, c'est--dire les moyens mettre en
uvre afin de transmettre des donnes via un rseau. Ainsi, la couche accs rseau contient
toutes les spcifications concernant la transmission de donnes sur un rseau physique, qu'il
s'agisse de rseau local LAN (Ethernet), ou WAN (Frame Relay, RNIS, RTC, LS, ADSL..).
Elle prend en charge les notions suivantes :
En outre, les protocoles de la couche d'accs au rseau mappent les adresses IP avec
les adresses matrielles physiques et encapsulent les paquets IP dans des trames.
Conclusion
Introduction
Dans ce chapitre, nous allons dcrire les procdures suivre pour connecter et
configurer les ordinateurs, les routeurs formant un rseau local Ethernet. Nous allons
prsenter les procdures de configuration de base des priphriques rseau Cisco. Ces
procdures requirent lutilisation du systme dexploitation Cisco Inter network Operating
System (IOS) et des fichiers de configuration connexes pour les priphriques intermdiaires.
Il est essentiel que les administrateurs et les techniciens rseau comprennent le processus de
configuration avec IOS. Lorganisation de ce chapitre est la suivante : dans la premire partie
la dfinition le rle du systme dexploitation Inter network Operating System (IOS), la
deuxime partie prsente les Vulnrabilits de routeur Cisco, enfin tudier le techniques
dattaques rseaux.
Routeurs Intrieurs
Un routeur intrieur transmet le trafic entre deux ou plusieurs rseaux locaux au sein
d'une organisation ou une entreprise. Les rseaux connects par un routeur intrieur partagent
souvent la mme politique de scurit et le niveau de confiance entre eux est d'habitude
haut. Des routeurs intrieurs peuvent imposer certaines restrictions sur le trafic envoy entre
les rseaux.
Routeurs Backbone
Un routeur Backbone ou un routeur extrieur est celui qui transmet le trafic entre les
diffrents sites dune entreprise.
Le niveau de confiance entre les rseaux connects par un routeur Backbone est
d'habitude trs bas. Gnralement, les routeurs de backbone sont conus et configurs pour
acheminer le trafic aussi rapidement que possible, sans imposer de restrictions sur ce point.
Le principal objectif dun routeur backbone pour assur la scurit est de :
Veiller ce que la gestion et le fonctionnement du routeur sont raliss
uniquement par les parties autorises.
Protger lintgrit des donnes achemines on acheminant le trafic avec un
protocole de routage, ou en se rfrant une table de routage statique.
Routeurs frontaux
Un routeur frontal achemine le trafic entre le rseau de lentreprise et le rseau
extrieurs. L'aspect clef d'un routeur de frontire est qu'il prsente la partie intermdiaire entre
les rseaux internes scuriss d'une entreprise et des rseaux externes non scuriss (par
exemple l'Internet). Il peut aider scuriser le primtre d'un rseau d'entreprise en
appliquant des restrictions au trafic qu'il contrle. Un routeur de frontire peut utiliser des
protocoles dacheminement, ou il peut dpendre des routes statiques.
La configuration
Un routeur est semblable beaucoup d'ordinateurs dans lesquels il y a beaucoup de
services permis par dfaut. Beaucoup de ces services sont inutiles et peuvent tre utiliss par
un attaquant pour la collecte d'informations ou pour l'exploitation. Comme les services
SNMP .Parfois aussi les noms des utilisateurs et les mots de passe sont laisss par dfaut.
Gestion du Routeur
Le contrle de l'accs un routeur par des administrateurs est une tche importante.
Il y a deux types d'accs :
L'accs local implique une connexion directe un port de console sur le
routeur avec un terminal ou un ordinateur portable,
L'accs distance implique gnralement la permission Telnet ou des
connexions SNMP au routeur partir dun ordinateur sur le mme sous-rseau ou un
sous-rseau diffrent.
Pendant l'accs loign ( distance) tous les mots de passe Telnet ou les noms de
communaut SNMP sont envoys en clair sur le rseau, donc une coute sur le rseau suffit
pour les connatre.
Ainsi ces failles peuvent tre lorigine des diffrentes attaques qui visent prendre
contrle sur le routeur, ce qui veut dire prendre le contrle sur lacheminement des donnes
dans le rseau. Comme elle peut avoir un autre objectif celui darrter le service du routeur
pour perturber le rseau.
Le fichier IOS proprement dit, dont la taille atteint plusieurs mga-octets, est stock
dans une zone de mmoire semi-permanente appele Flash. La mmoire Flash assure un
stockage non volatil. En dautres termes, cette mmoire conserve son contenu lorsque le
priphrique nest plus sous tension. la diffrence dune mmoire morte, toutefois, la
mmoire Flash permet de modifier ou de recouvrir son contenu sil y a lieu.
Grce la mmoire Flash, il est possible de mettre IOS niveau en installant de
nouvelles versions ou de lui ajouter de nouvelles fonctions. Dans de nombreuses architectures
de routeur, IOS est copi en mmoire vive la mise sous tension du priphrique et il
sexcute en mmoire vive. Cette fonction amliore les performances du priphrique.
Port de console
Il est possible daccder lenvironnement ILC par une session console, galement
appele ligne CTY. La console connecte directement un ordinateur ou un terminal au port de
console du routeur ou du commutateur via une liaison srie lente.
Le port de console est un port de gestion permettant un accs hors rseau un routeur.
Le port de console est accessible mme si aucun service rseau na t configur sur le
priphrique. Le port de console est souvent utilis pour accder un priphrique avant que
les services rseau ne soient lancs ou lorsquils sont dfaillants.
La console sutilise en particulier dans les circonstances suivantes :
- configuration initiale du priphrique rseau,
- procdures de reprise aprs sinistre et dpannage lorsque laccs distant est
impossible,
- procdures de rcupration des mots de passe.
Lorsquun routeur est mis en service pour la premire fois, ses paramtres rseau nont
pas t configurs. Le routeur ne peut donc pas communiquer via un rseau. Pour prparer le
dmarrage initial et la configuration du routeur, un ordinateur excutant un logiciel
dmulation de terminal est connect au port de console du priphrique. Ainsi, il est possible
dentrer au clavier de lordinateur connect les commandes de configuration du routeur.
Sil est impossible daccder distance un routeur pendant quil fonctionne, une
connexion son port de console peut permettre un ordinateur de dterminer ltat du
priphrique. Par dfaut, la console transmet les messages de dmarrage, de dbogage et
derreur du priphrique.
Pour de nombreux priphriques IOS, laccs console ne requiert par dfaut aucune
forme de scurit. Il convient toutefois de configurer un mot de passe pour la console afin
dempcher laccs non autoris au priphrique. En cas de perte du mot de passe, un jeu de
procdures spcial permet daccder au priphrique sans mot de passe. Il est recommand de
placer le priphrique dans une pice ou une armoire ferme cl pour interdire laccs
physique.
Telnet et SSH
Une autre mthode daccs distant une session ILC consiste tablir une connexion
Telnet avec le routeur. la diffrence des connexions console, les sessions Telnet requirent
des services rseau actifs sur le priphrique. Le priphrique rseau doit avoir au moins une
interface active configure avec une adresse de couche 3, par exemple une adresse IPv4. Les
priphriques Cisco IOS disposent dun processus serveur Telnet qui est lanc ds le
dmarrage du priphrique. IOS contient galement un client Telnet.
Un hte dot dun client Telnet peut accder aux sessions vty en cours dexcution sur
le priphrique Cisco. Pour des raisons de scurit, IOS exige lemploi dun mot de passe
dans la session Telnet en guise de mthode dauthentification minimale. Les mthodes
permettant de configurer les ouvertures de session et les mots de passe seront expliques plus
loin dans ce chapitre.
Le protocole Secure Shell (SSH) permet un accs distant plus scuris aux
priphriques. linstar de Telnet, ce protocole fournit la structure dune ouverture de
session distance, mais il utilise des services rseau plus scuriss.
SSH fournit une authentification par mot de passe plus rsistante que celle de Telnet et
emploie un chiffrement lors du transport des donnes de la session. La session SSH chiffre
toutes les communications entre le client et le priphrique IOS. Ceci prserve la
confidentialit de liD dutilisateur, du mot de passe et des dtails de la session de gestion. Il
est conseill de toujours utiliser SSH la place de Telnet dans la mesure du possible.
La plupart des versions rcentes de Cisco IOS contiennent un serveur SSH. Dans
certains priphriques, ce service est activ par dfaut. Dautres priphriques requirent une
activation du serveur SSH.
Les priphriques IOS incluent galement un client SSH permettant dtablir des
sessions SSH avec dautres priphriques. De mme, vous pouvez utiliser un ordinateur
distant dot dun client SSH pour dmarrer une session ILC scurise. Le logiciel de client
SSH nest pas fourni par dfaut sur tous les systmes dexploitation. Il peut donc savrer
ncessaire dacqurir, dinstaller et de configurer un logiciel de client SSH pour votre
ordinateur.
Port AUX
Une autre faon douvrir une session ILC distance consiste tablir une connexion
tlphonique commute travers un modem connect au port AUX du routeur. linstar de
la connexion console, cette mthode ne requiert ni la configuration, ni la disponibilit de
services rseau sur le priphrique.
Le port AUX peut galement sutiliser localement, comme le port de console, avec
une connexion directe un ordinateur excutant un programme dmulation de terminal. Le
port de console est requis pour la configuration du routeur, mais les routeurs ne possdent pas
tous un port AUX. En outre, il est prfrable dutiliser le port de console plutt que le port
AUX pour le dpannage, car il affiche par dfaut les messages de dmarrage, de dbogage et
derreur du routeur.
En gnral, le port AUX ne sutilise localement la place du port de console quen cas
de problmes lis au port de console, par exemple lorsque vous ignorez certains paramtres de
la console.
HyperTerminal
Mettez sous tension lordinateur et le routeur.
partir de la barre des tches de Windows, accdez au programme HyperTerminal
Dmarrer > Programmes > Accessoires > Communications > Hyper Terminal.
Nommez la session HyperTerminal
Dans la bote de dialogue Description de la connexion , entrez un nom dans le
champ Nom (exemple CISCO). Et cliquez sur OK.
Spcifiez linterface de connexion de lordinateur
Dans la bote de dialogue Connexions , utilisez la flche de droulement dans le
champ Se connecter en utilisant : pour slectionner COM1, puis cliquez sur OK.
Spcifiez les proprits de connexion de linterface
Dans la bote de dialogue COM1 Proprits , utilisez les flches de droulement
pour slectionner : Bits par seconde : 9600 Bits de donnes : 8 Parit : Aucune Bits darrt : 1
Contrle de flux : Aucun
Puis cliquez sur OK.
Invites de commandes
Dans lenvironnement ILC, le mode dans lequel vous travaillez est reconnaissable
son invite de commandes unique. Cette invite est compose des mots et des symboles qui
apparaissent au dbut de la ligne de commande. Comme lindique le mot invite, le systme
vous invite effectuer une entre.
Par dfaut, toute invite commence par le nom du priphrique. Aprs le nom du
priphrique, le reste de linvite prcise le mode. Par exemple, linvite par dfaut pour le
mode de configuration globale sur un routeur est :
Router(config)#
Comme le montre la figure, lorsque vous entrez des commandes et passez dun mode
lautre, linvite change pour reflter le contexte en cours.
Modes principaux
Les deux principaux modes dexcution sont :
- le mode utilisateur,
- le mode privilgi.
Par mesure de scurit, Cisco IOS prvoit deux modes daccs distincts pour les
sessions dexcution. Ces deux modes daccs principaux sont utiliss dans le cadre de la
structure hirarchique de lenvironnement Cisco ILC.
Ces deux modes offrent des commandes semblables. Toutefois, le mode dexcution
privilgi bnficie de pouvoirs plus tendus dans les actions quil permet dexcuter.
Router(config)#
Router(config)#hostname r1
r1(config)#
Observez que le nom dhte apparat dans linvite. Pour quitter le mode de configuration
globale, utilisez la commande exit.
Mot de passe de console - limite laccs au priphrique par une connexion console
r1 (config)#line console 0
r1 (config-line)#password 123
r1 (config-line)#login
La configuration avec le cble console et HyperTerminal n'tant pas trs pratique, il est
possible d'autoriser les administrateurs se connecter au routeur via une session Telnet
partir de n'importe quel poste des deux rseaux.
Passez d'abord en mode de configuration globale, puis en mode de configuration de
ligne VTY:
r1 > enable
Password:
r1 # configure terminal
r1 (config) # line vty 0 4
Va configurer la possibilit de 5 sessions telnet simultanes sur ce routeur.
Nous arrivons maintenant sur le prompt de configuration de ligne. Pour activer le Telnet, il
vous suffit juste d'appliquer un mot de passe la ligne:
r1 (config-line) # password mot_de_passe
r1 (config-line) # login
r1 (config-line) # exit
Il est recommand dutiliser des mots de passe diffrents pour chacun de ces niveaux daccs.
En effet, bien que lutilisation de plusieurs mots de passe diffrents ne facilite pas louverture
dune session, cette prcaution est ncessaire pour protger convenablement linfrastructure
rseau contre laccs non autoris
r1 # configure terminal
r1 # conf t
Mode de configuration d'interface ( effectuer partir du mode de configuration
globale):
r1 (config) # interface nom_interface
r1 (config) # int nom_interface
Mode de configuration de ligne ( effectuer partir du mode de configuration
globale):
r1 (config) # line nom_de_la_ligne
ne leur est pas destin et vont donc lignorer. Mais par contre, beaucoup dordinateurs
peuvent tre programms pour regarder chaque message qui traverse le rseau cest le mode
promiscuit.
Il existe des programmes qui utilisent ce procd et qui capturent tous les messages
qui circulent sur le rseau en reprant les mots de passe. Si quelquun se connecte un
ordinateur travers un rseau ( travers Telnet, par exemple), alors cette personne risque de
donner son mot de passe.
Cest pourquoi il existe une menace srieuse pour les personnes qui se connectent sur
des ordinateurs distants, o les mots de passe apparaissent en clair dans la trame. Comme par
exemple accder un priphrique rseau (routeur, Switch..) pour mettre jour sa
configuration distance.
Parmi les programmes de sniffing les plus connus loutil dsniff [4] : est un renifleur de
trafic rseau, comme tcpdump et ethereal/wireshark, mais il se contente de rechercher les
mots de passe qui transitent en clair, exploitant ainsi les faiblesses de certains protocoles. Il
supporte les protocoles FTP, Telnet, SMTP, http, POP, SNMP, RIP, OSPF.
5.2 L'usurpation d'adresse IP
En anglais IP spoofing, cette technique est base sur le trucage de ladresse source.
Pour pntrer un systme, le pirate substitue son adresse IP par une adresse autorise et met
avec cette adresse. Il peut ainsi passer toutes les barrires qui ne font pas de lanti-spoofing.
Le principe de base de cette attaque consiste forger ses propres paquets IP dans
lesquels le pirate modifiera, entre autres, l'adresse IP source. Effectivement, les rponses
ventuelles des paquets envoys ne peuvent pas arriver la machine du pirate puisque la
source est falsifie. Ils se dirigent donc vers la machine spoofe.
celui-ci rajoute son lot de fonctionnalit. Il est ainsi possible deffectuer des requtes TCP ou
UDP personnalises sur un port de destination quelconque.
5.3 Les scanners
Un scanner est un programme qui permet de savoir quels ports sont ouverts sur une
machine donne. Les Hackers utilisent les scanners pour savoir comment ils vont procder
pour attaquer une machine. Leur utilisation nest heureusement pas seulement malsaine, car
les scanners peuvent aussi permettre de prvenir une attaque.
Nmap[6] est parmi les scanners les plus utiliss. Nmap utilise diverses techniques
d'analyse bases sur des protocoles tels que TCP, IP, UDP ou ICMP
5.4 Attaque de type " Deny of Service "
Les attaques par dni de service sont destines refuser des services des htes
lgitimes qui tentent dtablir des connexions. Les attaques par dni de service sont
utilises par les pirates pour bloquer les rponses systme.
Dans une attaque par dni de service, le pirate lance une synchronisation mais
usurpe ladresse IP source. On parle de spoofing lorsque lunit rceptrice rpond
une adresse IP inexistante et inaccessible, puis est place dans un tat dattente jusqu
recevoir laccus de rception final de lunit mettrice. La requte dattente est place dans
une file dattente de connexion ou dans une zone dattente en mmoire. Cet tat dattente
oblige lunit attaque consommer des ressources systme, telles que la mmoire, jusqu ce
que le dlai de connexion expire.
Les pirates inondent lhte attaqu de fausses requtes SYN, lobligeant utiliser
toutes ses ressources de connexion, ce qui lempche de rpondre aux requtes de connexion
lgitimes. TCP dclare une connexion "ouverte" aprs un double acquittement. Le SYN flood
consiste faire la moiti du travail chaque connexion qui reste demie ouverte consomme de
la mmoire dans la pile TCP/IP. Au bout d'un moment, le noyau les dtruit. La solution
consiste donc "ouvrir" ces connexions suffisamment vite. Quand la table du noyau est
pleine, le serveur refuse les nouvelles connexions et devient inaccessible.
5.4.2 Utilisation frauduleuse des commandes ICMP
ICMP Flooding :
LICMP Flooding est lorigine identique un Ping mais quon renouvelle un nombre
de fois suffisant pour bloquer la machine attaque et saturer sa bande passante. Cette
opration ncessite davoir une connexion Internet plus rapide que la victime.
ICMP redirect
Attaque Smurf
La technique dite attaque par rflexion (en anglais smurf ) est base sur
l'utilisation de serveurs de diffusion (broadcast) pour paralyser un rseau. Un serveur
broadcast est un serveur capable de dupliquer un message et de l'envoyer toutes les
machines prsentes sur le mme rseau.
Le scnario d'une telle attaque est le suivant :
la machine attaquante envoie une requte Ping un ou plusieurs serveurs de
diffusion en falsifiant l'adresse IP source (adresse laquelle le serveur doit
thoriquement rpondre) et en fournissant l'adresse IP d'une machine cible,
le serveur de diffusion rpercute la requte sur l'ensemble du rseau,
toutes les machines du rseau envoient une rponse au serveur de diffusion,
le serveur broadcast redirige les rponses vers la machine cible.
Conclusion
Dans ce chapitre, nous avons appris comment accder aux modes et aux procdures
de configuration de base dun routeur Cisco.
Ltude du routeur ainsi que sa configuration nous a permis de mettre en vidence les
diffrentes failles qui peuvent infecter les routeurs ainsi que les protocoles de communication.
Introduction
Dans ce chapitre, nous allons prsenter les procdures de configuration de base des
routeurs Cisco et prvenir les techniques dattaques qui menacent lintgrit du routeur. Nous
allons exposer aussi notre environnement de travail tout en dfinissant les exigences de
scurit prendre en compte.
LIOS offre diverses commandes permettant de rpondre ce besoin, principalement
les ACL (Access Control List) qui permettent de filtrer des paquets suivant des critres dfinis
ainsi que les diffrentes mthodes peuvent empcher ces menaces.
1. Environnement du Travail
1.1 Environnement Matriel
Lenvironnement matriel sur lequel nous avons travaill est constitu :
PC portable DELL INSPIRAN 5010,
Un Processeur Core I3-350 (2,13GHz) 3Mo CACHE,
Memoire 4G ,
DISQUE DUR 320 Go.
1.2 Environnement Logiciel
Pour la configuration des routeurs in a fait recours au logiciel de simulation Packet tracer
Prsentation de Packet Tracer
Packet Tracer est un logiciel permettant de construire un rseau physique virtuel et de
simuler le comportement des protocoles rseaux sur ce rseau. Lutilisateur construit son
rseau laide dquipements tels que les routeurs, les commutateurs ou des ordinateurs. Ces
quipements doivent ensuite tre relis via des connexions (cbles divers, bre optique). Une
fois lensemble des quipements relis, il est possible pour chacun dentre eux, de congurer
les adresses IP, les services disponibles, etc .
Description gnrale
La gure ci-dessous montre un aperu gnral de Packet Tracer. La zone (1) est la
partie dans laquelle le rseau est construit. Les quipements sont regroups en catgories
accessibles dans la zone (2). Une fois la catgorie slectionne, le type dquipements peut
tre slectionn dans la zone (3). La zone (6) contient un ensemble doutils comme select
pour dplacer des quipements, Move Layout pour dplacer le plan de travail,plcae note,
delete.
La zone (5) permet dajouter des indications dans le rseau. Enn, la zone (4) permet
de passer du mode temps rel au mode simulation.
Construire un rseau
Pour construire un rseau, on doit choisir lquipement configurer routeur
Emplacement du routeur:
Il est important de vrifier l'emplacement du routeur sur le rseau car cela a un impact
sur certains lments de scurit, par exemple dsactivation du service SSL n'est pas
approprie lorsque le routeur est de routage du trafic vers un serveur web externe.
Aspect pratique des recommandations de scurit:
La liste des listes des considrations de scurit de nombreux, qui ne peut tre
pratique, car elle pourrait nuire aux performances du rseau. Il est important de dterminer le
risque de ne pas avoir attribu certains lments de scurit et si la direction a dcid
d'accepter le risque de ne pas avoir ces lments.
Attnuer les contrles:
Le contrle des routeurs Cisco ne peut pas tre effectue dans le vide. L'auditeur doit
prendre en compte l'impact de la scurit dans d'autres lments, par exemple pare-feu,
systme d'exploitation hte, etc Une faiblesse en matire de scurit au niveau du routeur peut
tre attnu par un contrle rigoureux au niveau du firewall par exemple filtrage des ports qui
ne sont pas 80,23, etc
Interoprabilit:
Dans des circonstances o le routeur utilise la fonctionnalit d'autres lments dans
l'environnement par exemple un serveur syslog pour enregistrer les vnements de routeurs
Cisco ou une station de gestion SNMP, l'auditeur doit examiner la scurit sur les autres
lments. Cette liste ne fournit pas les considrations de scurit pour ces autres lments.
Applicabilit des considrations de scurit:
Cette liste de contrle pour les tentatives de fournir une liste complte de tous les
lments de scurit considrer lors d'une vrification du routeur Cisco, cependant, dans
certains environnements certains lments peuvent ne pas tre applicable, par exemple dans
un environnement Windows, il n'est pas ncessaire de se proccuper de filtrer les services
rlogin ou ssh.
Serveurs de rseau:
Cette liste ne comprend pas les considrations de scurit pour le systme
d'exploitation excutant TACACS ou RADIUS.
2.2 Les tapes dune politique de scurit rseau
Une politique de scurit dun routeur doit passer par les tapes suivantes :
Vrification
Vrification
Bootp
Bootp est un protocole permettant une machine de booter sur le rseau. Ce service
permet un routeur dtre utilis comme serveur Bootp pour les autres routeurs.
Requtes TFTP
Les routeurs Cisco mettent des requtes TFTP intervalles rguliers pour vrifier lintgrit
de leur configuration. Cela peut prsenter un risque de scurit, il est conseill de le
dsactiver.
Configuration du routeur :
Les commandes suivant est pour configurer un client Tacacs (le routeur)
Pour fonctionner, le service AAA doit tre activ sur le routeur avec la commande
suivante: aaa new-model.
La commande aaa authentication login permet de rfrer un ensemble de dfini
prcdemment TACACS + serveurs
Dfinition des adresses IP des serveurs TACACS ainsi que une cl utilise pour
lauthentification des serveurs.
TACACS-server host {IP}
TACACS-server key {cl}
La commande login authentification permet dactive le model Tacacs+ la ligne
Telnet
Un accs administratif au routeur, un seul compte est dfini localement sur le routeur
pour une utilisation dans un cas durgence (serveur dauthentification tombe en panne)
Cette Access-List doit tre applique sur toutes les interfaces externes laide de lacommande
suivante:
IP Access-Group 100 in
Il est possible aussi de limiter le spoofing sur le rseau interne. L'Access-List suivante ne peut
pas empcher un utilisateur d'usurper une autre adresse IP du rseau, mais elle l'empche
d'usurper une adresse externe.
Access-List 101 permit IP 10.0.10.0 10.0.10.254 any
Access-List 101 deny IP any any
Elle est applique sur l'interface du rseau interne:
IP Access-Group 101 in
Il existe aussi un logiciel appel Syslog, qui est responsable de la prise en charge des
fichiers de journalisation du systme.
protocoles de routage suivant le support MD5: BGP, OSPF, IS-IS, EIGRP et RIP V2. Voici
quelques exemples de configuration pour le protocole BGP, OSPF, EIGRP et
l'authentification voisine.
BGP
router bgp 100
Note: La dclaration mot de passe voisin peut tre applique des groupes de pairs ou de la
dfinition voisine.
OSPF
interface Ethernet0
router ospf 10
Note: D'authentification doit tre active pour chaque zone. Dans OSPF, une interface
appartient un seul domaine; donc, il y aurait toujours une dclaration de rseau sous l'ID de
processus OSPF pour chaque interface qui a un trafic OSPF. La dclaration de rseau dfinit
la zone dans laquelle le rseau appartient. Le key_id MD5 et mot de passe est dfini pour
chaque interface connecte un voisin OSPF.
EIGRP
interface Ethernet0
key 12345
key-string abcdefg
accept-lifetime infinite
router eigrp 1
network 10.0.0.0
no auto-summary
Les ACL, ou Access Control List permettent de filtrer ce qui entre ou sort par les
interfaces dun routeur, en fonction :
De lIP Source.
De lIP de destination
Du port source
Du port de destination
Du protocole (IP, TCP, UDP, ICMP)
Il est possible dautoriser ou dinterdire les paquets IP. Une ACL contient plusieurs
rgles qui sont lues squentiellement jusqu ce que lune delles corresponde au paquet
trait. La lecture de la liste sarrte alors.
Types d'ACL
On distingue les types d'ACL selon le type de protocole de niveau 3 concern. Ainsi,
sur les routeurs CISCO on peut voir grce l'instruction access-list ? cette liste (Il faut tre en
mode de configuration)
Les plus utilises sont les <100-199> IP Extended Access List, car ce sont souvent des
paquets IP qui transitent, notamment sur l'internet
Masque gnrique
Les ACL permettent de dsigner des groupes d'adresses grce l'utilisation d'un masque
gnrique. Dans un masque gnrique, les 0 signifient qu'il faut vrifier la valeur du bit
correspondant, et les 1 signifient qu'il faut l'ignorer.
Il faut de plus dfinir le sens sur lequel l'ACL agit, c'est dire si c'est en entr ou en
sortie (In ou Out).Il existe 2 types ACL :
Mthode souhait
La cration, la mise jour, le dbogage ncessitent beaucoup de temps et de rigueur
dans la syntaxe Il est donc conseill
De crer les ACL l'aide d'un diteur de texte et de faire un copier/coller dans la
configuration du routeur
Placer les extended ACL au plus prs de la source du paquet que possible pour le
dtruire le plus vite possible
Placer les ACL standard au plus prs de la destination sinon, vous risquez de dtruire
un paquet trop top
Rappel : les ACL standard ne regardent que l'IP source
Placer la rgle la plus spcifique en premier
Avant de faire le moindre changement sur une ACL, dsactiver sur l'interface concern
celle-ci (no ip access-group)
Exigence :
Les administrateurs routeur restreindre le routeur principe d'accepter tous les
paquets entrants qui contiennent une adresse IP du rseau interne, une boucle d'accueil
locales de retour d'adresse (127.0.0.0 / 8), la gamme lien-local adresse IP(169.254.0.0/ 16), ou
toute autre adresse rservs priv dans le domaine source
Procdure :
Examen du principe configuration des routeurs Cisco pour assurer ACL sont
en place pour restreindre les adresses IP entrantes.
ip access-group 100 in
access-list 100 deny ip <internal network range> <wildcard mask> any log
Exigence :
Le filtre d'entre n'est pas applique aux interfaces externes ou l'vacuation filtre n'est pas
appliqu aux interfaces internes; la fois sur une direction d'arrive.
Note: Tous les filtres doivent tre appliqus aux interfaces appropries sur une direction d'arrive
Procdure :
Examen de la configuration courante du routeur hypothse et de vrifier que toutes
les interfaces, l'exception des interfaces de bouclage, ont l'entre approprie
ou ACL sortie applique un sens entrant.
ip access-group 101 in
Remarque: Le sens par dfaut pour le "ip access-group" commande est "out ".
Conclusion
Dans ce chapitre nous avons prsent la diffrente tape de configuration de base des
routeurs Cisco qui a sollicit une bonne comprhension les procdures recommandes pour
leur scurisation ainsi prvenir les techniques dattaques qui menacent lintgrit du routeur.
Conclusion Gnrale
Le prsent projet, tait une opportunit pour aborder de prs le domaine le plus
important de nos jours, celui de la scurit des Systmes dInformation(SI). Nous avons
examin de prs la scurit des routeurs CISCO qui prsentent la colonne vertbrale de
linfrastructure rseaux de POLYGONE ou tout autre entreprise dployant ce type de routeur,
en vu de satisfaire le besoin de la socit en matire de scurit des quipements rseaux.
La mthodologie adopte dans ce travail consistait cerner les vulnrabilits qui
peuvent se prsenter, en tudiant les techniques des attaques sur le routeur. Ces dernires
exploitent les vulnrabilits dans les protocoles rseau. Ensuite, tablir les procdures de
scurit pour se protger contre ces menaces au niveau du routeur.
Nous avons galement beaucoup appris les notions de la scurit rseau, ce qui ma
permis de comprendre les techniques utilises par les pirates et la faon de sen protgs.
Ce travail fut aussi un apport considrable, en effet il ma permis de mintgrer au sein
de la socit POLYGONE, de sinitier la vie professionnelle, de collaborer avec les
membres de lquipe rseau et de dvelopper des qualits relationnelles avec lensemble du
personnel.
Puisque tout projet natteint jamais le parfait, la correction des failles de scurit
nempche pas lapparition de nouvelles menaces do la politique de scurit doit tre
priodiquement audite.
Bibliographie et Ntographie
Bibliographie
Jean Franois Pillou. Tout sur la scurit informatique, Canada, Dunod, 2005,123 pages ;
Michal Zalewski Menaces sur le rseau , France , CampusPress, 322 pages 2004
Cisco IOS Router Checklist Procedure Guide (Supplement to the Network Infrastructure
Checklist V6R1 DISA FIELD SECURITY OPERATIONS)
Ntographie
[1] www.tcpdump.org
[2] www.wireshark.fr
[3] www.softcities.com/telecharger-mib-browser/60214.htm
[4] www.wiki.backtrack-fr.net
[5] www.hping.org
http://www.ietf.org/rfc.htm
www.cisco.com
www.ansi.tn
http://www2.cegep-rdl.qc.ca/prive/pr-cisco/ccna4e/doc/Exploration_Accessing_WAN_Chapter4-
fr.pdf
Cette attaque consiste envoyer un paquet TCP SYN (qui dbute les
connexions) trs rapidement, de sorte que le routeur attaqu sattend complter un
grand nombre de connexion sur le port spcifi, ce qui puise ses ressources et affecte
les connexions lgitimes.
Cette attaque consiste envoyer une requte Snmp SET qui comporte LOID de
ltat de linterface du routeur le but de cette requte est de dsactiver linterface,
donc rendre le routeur inaccessible partir de cette interface.
Figure: Scnario de lattaque avec SnmpDos
Cette attaque vise inonder le routeur avec un nombre important de paquet ICMP, pour
alourdir sont fonctionnement. D'ailleurs, que les cibles rpondent ou pas l'ICMP, l'objectif
premier tant de saturer sa bande passante d'accs rseau, processeurs, mmoire ...
Paquet
ICMP
Paquet
ICMP
Paquet
Routeur victime ICMP
Paquet
ICMP
Paquet
ICMP
Le routeur est
satur
Paquet Pirate
ICMP
Paquet
ICMP
Paquet
ICMP
Paquet
UDP
Paquet
Routeur victime UDP
Paquet
UDP
Paquet
UDP
Le routeur est
satur
Paquet Pirate
UDP
Paquet
UDP
Paquet
UDP
SnifferTelnet met linterface en mode transparent (promiscuous) pour capturer toutes les
trames circulantes dans le rseau. SnifferTelnet applique un filtre interface dcoute selon :
Le port destination : Il naccepte que les paquets ayant le port destination 23
celui du service TELNET ,
Ladresse destination : il nintercepte que les paquets ayant ladresse
destination du routeur pour garantir que le trafic susceptible de contenir le mot de
passe est destin au routeur.
SnifferTelnet
Pirate
capture tout les
paquet telnet
vers le routeur
Client Telnet
Routeur victime
Flux Telnet
1. Scurisation accs
1re exemple :
Exigences
L'ONS assur que si un serveur dauthentification est utilis pour laccs administratif
au routeur, un seul compte local peut tre pour une utilisation en cas d'urgence
Procdures
Examen de la configuration en cours dexcution et de vrifier qu'un seul
compte local a t dfini. Un exemple d'un compte local est illustr dans l'exemple ci-dessous
username xxxxxxx password 7 xxxxxxxxxxx
2me exemple :
Exigences
L'ONS veillera ce que tous les hors-la gestion des connexions bande au
routeur ncessitent des mots de passe
Procdures
Etude de la configuration de chaque routeur de veiller ce que le port de la console et
les ports vty utilis par le rseau OOBM besoin d'une invite de connexion
line con 0
login authentication admin_only
exec-timeout 15 0
line vty 0 4
login authentication admin_only
exec-timeout 15 0
transport input ssh
2. Scurisation daccs : privilge
1re exemple :
Exigences
Les administrateurs routeur feront en sorte que tous les comptes utilisateurs se voient
attribuer le niveau le plus bas privilge qui leur permet d'exercer leurs fonctions.
Procdures
Il ya 16 niveaux de privilges possibles qui peuvent tre spcifies pour les utilisateurs
dans la configuration du routeur. Les niveaux peuvent carte aux commandes, qui ont mis en
niveaux de privilge - ou vous pouvez raffecter les niveaux des commandes. Les noms
d'utilisateurs avec mot de passe correspondant peuvent tre rgls un niveau spcifique. Il y
aurait plusieurs noms d'utilisateur
name password password
Suivi par nom d'utilisateur
name privilge level.
L'utilisateur sera automatiquement acquis que le niveau de privilge lors de la connexion
en dessous est un exemple d'attribution d'un niveau de privilge un compte dutilisateur
local et de modifier le niveau de privilges par dfaut de la commande terminal configurer
username junior-engineer1 privilege 7 password xxxxxx
username senior-engineer1 privilege 15 password xxxxxx
privilege exec level 7 configure terminal
Remarque : L'exemple ci dessus ne couvre que
Les comptes locaux, vous aurez toujours besoin de vrifier les comptes et leurs niveaux de
privilges associs configur dans le serveur d'authentification. Vous pouvez galement utiliser
TACACS pour granularit encore plus au niveau du commandement. Voici un exemple de Cisco
Secure serveur TACACS
user = junior-engineer1 {
service = shell {
set priv-lvl = 7
Exigences
Les administrateurs routeur feront en sorte que les ports auxiliaires du routeur sont
dsactivs.
Procdures
4. scurisation console
Exigences
Les administrateurs routeur que le port console du routeur sont configurs pour
expirer aprs 15 minutes d'inactivit.
Procdures
Examen de chaque configuration des routeurs Cisco pour assurer que la
console est dsactive aprs 15 minutes d'inactivit
line con 0
login authentication admin_only
exec-timeout 15 0
Note: la valeur par dfaut est de 10 min, ce qui est plus restrictif
5. Scurisation interfaces inactives
Exigences
no ip address
no ip directed-broadcast
shutdown
6. Fixation dadresse dadministrateur
Exigences
Les administrateurs routeur feront en sorte que le routeur ne permet que des sances de
gestion dans la bande provenant d'adresses IP autorises partir du rseau interne.
Procdures
Examen toutes les configurations de routeur Cisco et de vrifier que seules les
connexions internes autoriss sont admis sur les ports VTY.
access-list 3 permit 192.168.1.10 log
access-list 3 permit 192.168.1.11 log
access-list 3 deny any
line vty 0 4
access-class 3 in
8. Log
Exigences
L'administrateur routeur fera en sorte que le routeur enregistre toutes les tentatives
d'accs dans la bande de gestion.
Procdures
Examen de chaque configuration des routeurs Cisco pour s'assurer que toutes les
tentatives de connexion aux ports VTY sont enregistres.
access-list 3 permit 192.168.1.10 log
line vty 0 4
access-class 3 in
ftp-server enable
ip rcmd rcp-enable
ip rcmd rsh-enable
.
.
line vty 0 4
transport input rlogin telnet
ip access-group 101 in
no ip redirects
no ip unreachables
no ip mask-reply
2me exemple
Exigences
Deux Network Time Protocol (NTP) des serveurs doivent tre utiliss pour synchroniser toutes les
horloges routeur.
Procdures
Examen des configurations de routeur et de vrifier que les serveurs NTP ont t dfinis comme dans
l'exemple suivant:
ntp update-calendar
ntp server 129.237.32.2
ntp server 142.181.31.6
Exigences
3me exemple:
Exigences
L'administrateur routeur restreindre le routeur d'accepter tous les paquets IP sortants qui
contient une adresse illgitime dans le champ d'adresse source par lintermdiaire
d'vacuation ou ACL en permettant Unicast Reverse Path Forwarding (RPF).
Procdures
Examen de la configuration des routeurs pour assurer principe ACL vacuation sont
en place sur toutes les interfaces internes pour restreindre le routeur d'accepter les paquets
sortants IP qui contiennent une adresse IP externe dans le domaine source.
Afin de se conformer la nier par la politique par dfaut, permis des dclarations pour
ces ports, qui sont autoriss devront tre dfinies par le suivi nier toute dclaration. Les tats de
permis doit bnficier de l'adresse source avec la plage d'adresses rseau interne.
Procdure d'Unicast Reverse
Path Forwarding: Examen de la configuration des routeurs pour assurer principe FPR a t
*****
ip access-group 102 in
access-list 102 permit tcp [internal network] [wildcard mask] any eq ftp-data
access-list 102 permit tcp [internal network] [wildcard mask] any eq ftp
access-list 102 permit tcp [internal network] [wildcard mask] any eq http
Exigences
Les administrateurs routeur assurer SNMP est activ dans le mode lecture seule; en lecture
/ criture ne sera pas permis que s'il est approuv par l'ONS.
Procdures
Examen toutes les configurations de routeur Cisco pour assurer l'accs SNMP partir des
stations de gestion de rseau est en lecture seule.
access-list 10 permit host 7.7.7.5
SYNC
Exigences
Les administrateurs routeur utilise le protocole TCP Intercepte commande pour protger les
serveurs contre les attaques TCP SYN flood de tout un rseau extrieur.
Procdures
access-list 107 permit tcp any <internal network> < wildcard mask>
13.Ping
1re exemple :
Exigences
l'exception dEcho Reply (type 0), Temps dpass (type 11), et Destination unreachable
(type 3), le filtre d'entre permet de bloquer tous les messages ICMP.
Procdures
Examen du principe configuration des routeurs Cisco pour assurer que les blocs ACL
pntration tous les types de trafic entrant message ICMP l'exception de Echo Reply
(type 0),Temps dpass(type 11), et Destination unreachable (type 3).
interface FastEthernet 0/0
ip access-group 100 in
.
access-list 100 permit icmp any any echo-reply
Note: The above ACL could also look similar to the following using the icmp type codes
instead of the icmp message type:
2me exemple
Exigences
L'administrateur routeur bloque sortant types message ICMP Echo Request trafic
l'exception (type 8), de problme de paramtre (type 12) et Source Quench (type 4).
Procdures
Examen du principe configuration des routeurs Cisco pour assurer l'vacuation ACL
sont lis aux interfaces appropries pour bloquer tous les types de message ICMP sortant de la
circulation, sauf Echo, de problme de paramtre et Source Quench.
interface FastEthernet 0/0
ip access-group 107 in