Vous êtes sur la page 1sur 34

La sécurisation du trafic réseau sortant et l'analyse du trafic entrant sont des aspects

critiques de la sécurité du réseau. La sécurisation du routeur périphérique, qui se connecte


au réseau extérieur, constitue une première étape importante dans la sécurisation du
réseau.
Le renforcement des périphériques est une tâche critique lors de la sécurisation du réseau. Il
implique l'utilisation de l'interface de ligne de commande (CLI) Cisco IOS pour implémenter
des méthodes éprouvées de sécurisation physique du routeur et de protection de l'accès
administratif du routeur. Certaines de ces méthodes impliquent la sécurisation de l'accès
administratif, notamment la gestion des mots de passe, la configuration des fonctionnalités
de connexion virtuelle améliorée et l'implémentation de Secure Shell (SSH). Comme tout le
personnel des technologies de l'information n'a pas le même niveau d'accès aux
périphériques d'infrastructure, la définition des rôles administratifs en termes d'accès est un
autre aspect important de la sécurisation des périphériques d'infrastructure.
La sécurisation des fonctionnalités de gestion et de génération de rapports des
périphériques Cisco IOS est également importante. Les pratiques recommandées pour la
sécurisation de syslog, l'utilisation du protocole SNMP (Simple Network Management
Protocol) et la configuration du protocole NTP (Network Time Protocol) sont examinées dans
ce chapitre.
De nombreux services de routeur sont activés par défaut. Un certain nombre de ces
fonctionnalités sont activées pour des raisons historiques mais ne sont plus nécessaires. Ce
chapitre traite de certains de ces services et examine le mode de verrouillage en une étape
de la commande auto secure, qui peut être utilisé pour automatiser les tâches de
renforcement des périphériques.

L'authentification du protocole de routage est une meilleure pratique de sécurité requise


pour empêcher l'usurpation du protocole de routage. La configuration de l'authentification
OSPF (Open Shortest Path First) avec le chiffrement Message Digest 5 (MD5) et le
chiffrement SHA (Secure Hash Algorithm) est abordée dans ce chapitre. Les plans de
contrôle, de gestion et de données sont discutés en mettant l'accent sur le fonctionnement
de la police de plan de contrôle (CoPP).

Sécurisation de l'infrastructure réseau


Approches de sécurité du routeur Edge
3 approches possibles
Approche de routeur unique
Approche de défense en profondeur

Approche DMZ

Les trois zones de sécurité du routeur


1) La sécurité physique
 Placez le routeur et les périphériques physiques qui s'y connectent dans une
pièce verrouillée sécurisée accessible uniquement au personnel autorisé,
exempte d'interférences électrostatiques ou magnétiques, de suppression des
incendies et de contrôles de température et d'humidité.
 Installez un onduleur (UPS) ou un groupe électrogène de secours diesel et
conservez des composants de rechange. Cela réduit la possibilité d'une panne de
réseau due à la perte de puissance.
2) La sécurité de l’IOS
Configurez le routeur avec la quantité maximale de mémoire possible. La
disponibilité de la mémoire peut aider à atténuer les risques pour le réseau de
certaines attaques par déni de service (DoS) tout en prenant en charge la plus
large gamme de services de sécurité.
Utilisez la version la plus récente et stable du système d'exploitation qui répond
aux spécifications des fonctionnalités du routeur ou du périphérique réseau. Les
fonctions de sécurité et de cryptage d'un système d'exploitation sont améliorées
et mises à jour au fil du temps, ce qui rend indispensable la mise à jour de la
version la plus récente.
Conservez une copie sécurisée des images du système d'exploitation du routeur
et des fichiers de configuration du routeur en tant que sauvegardes.
3) Renforcement du Router
Éliminer les abus potentiels des ports et services inutilisés:

Contrôle administratif sécurisé. Assurez-vous que seul le personnel autorisé a accès et


que leur niveau d'accès est contrôlé.
Désactiver les ports et les interfaces inutilisés Réduisez le nombre de façons d'accéder
à un périphérique.
Désactiver les services inutiles. Similaire à de nombreux ordinateurs, un routeur a des
services activés par défaut. Certains de ces services sont inutiles et peuvent être utilisés
par un attaquant pour collecter des informations sur le routeur et le réseau, qui sont
ensuite exploités ultérieurement dans une entreprise d'exploitation.

Renforcer la sécurité du mot de passe


Les attaquants déploient différentes méthodes de découverte de mots de passe
administratifs. Ils peuvent regarder par-dessus l'épaule d'un utilisateur, tenter de deviner
les mots de passe en fonction des informations personnelles de l'utilisateur ou renifler
des paquets contenant des fichiers de configuration en texte brut. Les attaquants peuvent
également utiliser un pirate de mot de passe, tel que L0phtCrack (Figure 1) ou Cain &
Abel pour découvrir les mots de passe.

Les administrateurs doivent s'assurer que les mots de passe forts sont utilisés sur le
réseau. Suivez les consignes relatives aux mots de passe strictes pour protéger les
éléments, tels que les routeurs et les commutateurs. Les directives de mot de passe fort
sont montrées dans la figure 2. En revanche, les figures 3 et 4 montrent des exemples
de mots de passe faibles et de mots de passe forts.

Sur les routeurs Cisco et de nombreux autres systèmes, les espaces menant à un mot de
passe sont ignorés, mais les espaces après le premier caractère ne sont pas ignorés. Une
méthode pour créer un mot de passe fort est d'utiliser un espace vide dans le mot de
passe ou de créer une phrase composée de plusieurs mots. C'est ce qu'on appelle une
phrase secrète. Une phrase secrète est souvent plus facile à retenir qu'un mot de passe
complexe. Une phrase secrète est plus longue et plus difficile à deviner qu'un mot de
passe.
Augmenter la sécurité d'accès

Algorithme de mots de passes sécurisés


Sécuriser les lignes d’accès

Configuration des fonctionnalités d'amélioration de la connexion


Plus précisément, la commande de blocage de connexion surveille l'activité du périphérique
de connexion et fonctionne selon deux modes:

Mode normal - Ceci est également connu comme le mode montre. Le routeur tient compte
du nombre de tentatives de connexion infructueuses dans un délai déterminé.
Mode silencieux - Ceci est également connu comme la période de silence. Si le nombre
d'échecs de connexion dépasse le seuil configuré, toutes les tentatives de connexion utilisant
Telnet, SSH et HTTP sont refusées pendant la durée spécifiée dans la commande de blocage
de connexion.

Journaliser les ouvertures de sessions


Configurer SSH
Pour vérifier SSH et afficher les clés générées, utilisez la commande :
show crypto key mypubkey rsa en mode privilégié EXEC. S'il existe des paires de clés, il est
recommandé de les remplacer à l'aide de la commande crypto key zeroize rsa.

Modifier la configuration de ssh

Pour vérifier les paramètres de commande SSH facultatifs, utilisez la commande show ip
ssh,. Vous pouvez également modifier l'intervalle de délai d'attente SSH par défaut et le
nombre de tentatives d'authentification. Utilisez la commande ip ssh time-out secondes
global configuration mode pour modifier l'intervalle de délai par défaut de 120 secondes.
Cela configure le nombre de secondes que SSH peut utiliser pour authentifier un utilisateur.
Une fois authentifiée, une session EXEC démarre et l'exécution-standard standard configurée
pour la vty s'applique.
Par défaut, un utilisateur qui se connecte dispose de trois tentatives pour entrer le mot de
passe correct avant d'être déconnecté. Pour configurer un nombre différent de tentatives
SSH consécutives, utilisez la commande ip ssh authentication-retries entier en mode de
configuration globale.

Se connecter en utilisant ssh

Configurer les privilèges :


Par défaut, la CLI du logiciel Cisco IOS a deux niveaux d'accès aux commandes:

Mode EXEC utilisateur (niveau de privilège 1) - Fournit les privilèges d'utilisateur en mode
EXEC les plus bas et autorise uniquement les commandes de niveau utilisateur disponibles à
l'invite du routeur>.
Mode EXEC privilège (niveau de privilège 15) - Inclut toutes les commandes de niveau de
validation à l'invite du routeur #.
Il existe au total 16 niveaux de privilège, comme le montre. Plus le niveau de privilège est
élevé, plus l'accès au routeur est important. Les commandes disponibles à des niveaux de
privilège inférieurs sont également exécutables aux niveaux supérieurs. Pour affecter des
commandes à un niveau de privilège personnalisé, utilisez la commande de mode de
configuration globale privilege.
Pour configurer un niveau de privilège avec des commandes spécifiques, utilisez le niveau de
privilège exec level [commande]. La figure 1 montre des exemples pour trois niveaux de
privilège différents.

Le niveau de privilège 5 a accès à toutes les commandes disponibles pour le niveau prédéfini
1 et la commande ping.
Le niveau de privilège 10 a accès à toutes les commandes disponibles pour le niveau 5 ainsi
qu'à la commande reload.
Le niveau de privilège 15 est prédéfini et n'a pas besoin d'être explicitement configuré. Ce
niveau de privilège a accès à toutes les commandes, y compris l'affichage et la modification
de la configuration.
Les limites des privilèges :
L'utilisation des niveaux de privilèges a ses limites:
Aucun contrôle d'accès à des interfaces, ports, interfaces logiques et emplacements
spécifiques sur un routeur.
Les commandes disponibles aux niveaux inférieurs de privilèges sont toujours exécutables
aux niveaux supérieurs.
Les commandes définies spécifiquement à un niveau de privilège plus élevé ne sont pas
disponibles pour les utilisateurs disposant de privilèges inférieurs.
L'attribution d'une commande avec plusieurs mots clés permet d'accéder à toutes les
commandes utilisant ces mots-clés. Par exemple, autoriser l'accès à show ip route permet à
l'utilisateur d'accéder à toutes les commandes show et show ip.
Remarque: Si un administrateur doit créer un compte d'utilisateur ayant accès à la plupart
des commandes, mais pas à toutes, les instructions exec de privilèges doivent être
configurées pour chaque commande devant être exécutée à un niveau de privilège inférieur
à 15.
Les Vues basées sur les rôles
L'interface CLI basée sur les rôles fournit trois types de vues qui dictent les commandes
disponibles:
Vue racine (Root View)
Pour configurer une vue pour le système, l'administrateur doit être en mode root. La vue
racine a les mêmes privilèges d'accès qu'un utilisateur disposant de privilèges de niveau 15.
Cependant, une vue racine n'est pas la même qu'un utilisateur de niveau 15. Seul un utilisateur
root peut configurer une nouvelle vue et ajouter ou supprimer des commandes des vues
existantes.
CLI View
Un ensemble spécifique de commandes peut être regroupé dans une vue CLI. Contrairement
aux niveaux de privilège, une vue CLI n'a pas de hiérarchie de commandes et pas de vue
supérieure ou inférieure. Chaque vue doit être affectée à toutes les commandes associées à
cette vue. Une vue n'hérite des commandes d'aucune autre vue. De plus, les mêmes
commandes peuvent être utilisées dans plusieurs vues.
Superview

Une vue d'ensemble comprend une ou plusieurs vues CLI. Les administrateurs peuvent définir
quelles commandes sont acceptées et quelles informations de configuration sont visibles. Les
vues supérieures permettent à un administrateur réseau d'affecter simultanément des
utilisateurs et des groupes d'utilisateurs plusieurs vues CLI, au lieu de devoir attribuer une
seule vue CLI par utilisateur avec toutes les commandes associées à cette vue CLI.

Les aperçus ont plusieurs caractéristiques spécifiques:


Une vue CLI unique peut être partagée dans plusieurs aperçus.
Les commandes ne peuvent pas être configurées pour une vue d'ensemble. Un administrateur
doit ajouter des commandes à la vue CLI et ajouter cette vue CLI à la vue supérieure.
Les utilisateurs connectés à une vue supérieure peuvent accéder à toutes les commandes
configurées pour les vues CLI faisant partie de la vue d'ensemble.
Chaque vue supérieure a un mot de passe qui est utilisé pour basculer entre les aperçus ou
depuis une vue CLI vers une vue d'ensemble.
La suppression d'une vue supérieure ne supprime pas les vues CLI associées. Les vues CLI
restent disponibles pour être affectées à une autre vue d'ensemble.

Configurer les vues


Configurer les superview
Utiliser les vues
Sécuriser CISCO IOS
Cisco IOS Resilient Configuration Feature
Fonction de configuration résiliente de Cisco IOS

La fonction de configuration résiliente de Cisco IOS permet une récupération plus rapide si quelqu'un
reformate malicieusement ou involontairement la mémoire flash ou efface le fichier de configuration
de démarrage dans la mémoire vive non volatile (NVRAM). La fonction conserve une copie de travail
sécurisée du fichier d'image IOS du routeur et une copie du fichier de configuration en cours
d'exécution. Ces fichiers sécurisés ne peuvent pas être supprimés par l'utilisateur et sont appelés le
premier ensemble de démarrage.

Activer Cisco IOS Resilient Configuration Feature

Les commandes pour sécuriser l'image IOS et exécuter le fichier de configuration sont montrées sur
la figure. Pour sécuriser l'image IOS et activer la résilience de l'image Cisco IOS, utilisez la commande
secure boot-image global configuration mode. Lorsqu'il est activé pour la première fois, l'image Cisco
IOS en cours d'exécution est sécurisée et une entrée de journal est générée. La fonctionnalité de
résilience d'image de Cisco IOS peut uniquement être désactivée via une session de console en
utilisant la forme no de la commande. Cette commande fonctionne correctement uniquement
lorsque le système est configuré pour exécuter une image à partir d'un lecteur flash avec une
interface ATA. En outre, l'image en cours d'exécution doit être chargée à partir du stockage
persistant pour être sécurisée en tant que primaire. Les images chargées à partir d'un emplacement
distant, tel qu'un serveur TFTP, ne peuvent pas être sécurisées.

Pour obtenir un instantané du routeur exécutant la configuration et l'archiver de manière sécurisée


dans un stockage persistant, utilisez la commande secure boot-config global configuration mode,
comme illustré dans la figure. Un message de journal est affiché sur la console pour informer
l'utilisateur que la résilience de la configuration est activée. L'archive de configuration est masquée
et ne peut pas être visualisée ou supprimée directement à partir de l'invite CLI. Vous pouvez utiliser
la commande secure boot-config à plusieurs reprises pour mettre à niveau l'archive de configuration
vers une version plus récente après l'émission de nouvelles commandes de configuration.

Les fichiers sécurisés n'apparaissent pas dans la sortie d'une commande dir émise à partir de la CLI.
C'est parce que le système de fichiers Cisco IOS empêche les fichiers sécurisés d'être répertoriés.
L'image en cours d'exécution et les archives de configuration en cours d'exécution ne sont pas
visibles dans la sortie de la commande dir. Utilisez la commande show secure bootset pour vérifier
l'existence de l'archive, comme illustré dans la figure
Restaurez un démarrage initial à partir d'une archive sécurisée après que le routeur a été falsifié, comme illustré
dans la figure:

Étape 1. Rechargez le routeur à l'aide de la commande reload. Si nécessaire, émettez la séquence de rupture
pour entrer en mode ROMmon.

Étape 2. À partir du mode ROMmon, entrez la commande dir pour afficher le contenu du périphérique qui contient
le fichier de démarrage sécurisé.

Étape 3. Amorcez le routeur avec l'image bootset sécurisée à l'aide de la commande boot suivie de
l'emplacement de la mémoire flash (par exemple, flash0), d'un deux-points et du nom de fichier trouvé à l'étape 2.

Étape 4. Entrez en mode de configuration globale et restaurez la configuration sécurisée dans un nom de fichier
de votre choix à l'aide de la commande boot-config restore suivie de l'emplacement de la mémoire flash (par
exemple flash0), deux points et un nom de fichier de votre choix. Dans la figure, le nom de fichier rescue-cfg est
utilisé.

Étape 5. Quittez le mode de configuration globale et exécutez la commande copy pour copier le fichier de
configuration récupéré dans la configuration en cours d'exécution.

Configurer une copie sécurisée


La fonctionnalité Cisco IOS Resilient fournit une méthode pour sécuriser l'image IOS et les fichiers de
configuration localement sur le périphérique. Utilisez la fonctionnalité SCP (Secure Copy Protocol)
pour copier à distance ces fichiers. SCP fournit une méthode sécurisée et authentifiée pour copier
des fichiers de configuration de routeur ou d'image de routeur vers un emplacement distant. SCP
s'appuie sur SSH et requiert que l'authentification et l'autorisation AAA soient configurées pour que
le routeur puisse déterminer si l'utilisateur a le niveau de privilège correct.

Remarque: la configuration AAA sera traitée plus en détail dans un chapitre ultérieur.

Configurez le routeur pour SCP côté serveur avec AAA local:

Étape 1. Configurez SSH, s'il n'est pas déjà configuré.

Étape 2. Pour l'authentification locale, configurez au moins un utilisateur avec le niveau de privilège
15.

Étape 3. Activez AAA avec la commande de mode de configuration globale aaa new-model.
Étape 4. Utilisez la commande aaa authentication login default local pour spécifier que la base de
données locale doit être utilisée pour l'authentification.

Étape 5. Utilisez la commande aaa author exec default local pour configurer l'autorisation de
commande. Dans cet exemple, tous les utilisateurs locaux auront accès aux commandes EXEC.

Étape 6. Activez la fonctionnalité côté serveur SCP avec la commande ip scp server enable.

R1 est maintenant un serveur SCP et utilisera les connexions SSH pour accepter les transferts de
copie sécurisés provenant d'utilisateurs authentifiés et autorisés. Les transferts peuvent provenir de
n'importe quel client SCP, que ce client soit un autre routeur, commutateur ou poste de travail.

La Figure 2 illustre un transfert SCP entre un routeur et un routeur. Sur R2, utilisez la commande de
copie. Indiquez d'abord l'emplacement du fichier source (flash0: R2backup.cfg) puis la destination
(scp :). Répondez à la série d'invites pour établir une connexion au serveur SCP sur R1. Sur R1, vous
pouvez entrer la commande debug ip scp pour voir le transfert se poursuivre. Le problème
d'authentification le plus courant est une combinaison nom d'utilisateur / mot de passe incorrecte. Il
y a également un échec d'authentification si la combinaison nom d'utilisateur / mot de passe n'a pas
été configurée avec le mot-clé privilège 15 sur le serveur SCP.
Utiliser SYSLOG
Introduction to Syslog

UDP Port 514


De nombreux périphériques réseau prennent en charge syslog, notamment les routeurs, les
commutateurs, les serveurs d'applications, les pare-feu et d'autres périphériques en réseau.
Le service de journalisation syslog fournit trois fonctions principales:

La capacité de rassembler des informations de journalisation pour la surveillance et le


dépannage
La possibilité de sélectionner le type d'informations de journalisation capturées
La possibilité de spécifier les destinations des messages syslog capturés
SYSLOG
Les implémentations Syslog contiennent toujours deux types de systèmes:

Serveurs Syslog - Également connus sous le nom d'hôtes de journal, ces systèmes acceptent
et traitent les messages de journal des clients syslog.
Clients Syslog - Routeurs ou autres types d'équipements qui génèrent et transmettent des
messages de journal aux serveurs Syslog.
La topologie de la figure identifie le serveur syslog à l'adresse IP 10.2.2.6. Le reste des
serveurs et des périphériques de la topologie peut être configuré en tant que clients syslog,
qui envoient des messages syslog au serveur syslog.
Config de syslog
Utiliser SNMP :
Un autre outil de surveillance commun est le protocole SNMP (Simple Network Management
Protocol). SNMP a été développé pour permettre aux administrateurs de gérer les
périphériques sur un réseau IP. Il permet aux administrateurs réseau de surveiller les
performances du réseau, de gérer les périphériques réseau, de résoudre les problèmes
réseau et de planifier la croissance du réseau.

SNMP se compose de trois éléments pertinents pour le système de gestion de réseau (NMS):

Gestionnaire SNMP
Agents SNMP (noeud géré)
Base d'informations de gestion (MIB)
Les gestionnaires et les agents SNMP utilisent UDP pour échanger des informations. Plus
précisément, les agents SNMP écoutent le port UDP 161 tandis que les gestionnaires SNMP
écoutent le port UDP 162. Le gestionnaire SNMP exécute le logiciel de gestion SNMP.
Comme le montre la figure, le gestionnaire SNMP peut collecter des informations à partir
d'un agent SNMP à l'aide de requêtes get et peut modifier les configurations sur un agent à
l'aide de l'action set requests. L'agent SNMP doit être configuré pour fournir l'accès à la MIB
locale. De plus, les agents SNMP peuvent être configurés pour transférer les notifications
(traps) directement vers un gestionnaire SNMP.

La base de données MIB :


Versions SNMP

Plusieurs versions de SNMP sont disponibles:

SNMPv1 - Défini dans RFC 1157; fourni aucun mécanisme d'authentification ou de cryptage
SNMPv2c - défini dans les RFC 1901 à 1908; améliorée sur SNMPv1, mais n'a fourni aucun
mécanisme d'authentification ou de chiffrement
SNMPv3 - Défini dans les RFC 2273 à 2275; fournit un accès sécurisé aux périphériques en
authentifiant et en chiffrant les paquets sur le réseau
Les détails du modèle de sécurité pour chaque version sont indiqués dans la figure.
Configuration NTP
NTP utilise UDP port 123

NTP SERVER

Lors de la détermination de l'utilisation d'une horloge privée pour la synchronisation par rapport à une horloge
publique, il est nécessaire de peser les risques et les avantages des deux.

Dans un environnement LAN, NTP peut être configuré pour utiliser les messages de diffusion IP en utilisant la
commande de mode de configuration de l'interface NTP BROADCAST CLIENT, comme illustré dans la Figure 3.
Cette alternative réduit la complexité de configuration car chaque machine peut être configurée pour envoyer ou
recevoir des messages. La précision du chronométrage est légèrement réduite car le flux d'informations est à
sens unique.

L’authentification NTP

NTP version 3 (NTPv3), et plus tard, prend en charge un mécanisme d'authentification


cryptographique entre les homologues NTP. Ce mécanisme d'authentification peut être utilisé pour
aider à atténuer une attaque. Trois commandes sont utilisées sur le maître NTP et le client NTP:

 ntp authenticate (Figure 1)

 ntp authentication-key key-number md5 key-value (Figure 2)

 ntp trusted-key key-number (Figure 3)


Discovery Protocols CDP and LLDP
Les routeurs Cisco sont initialement déployés avec de nombreux services activés par défaut. Ceci est
fait pour plus de commodité et pour simplifier le processus de configuration requis pour rendre le
dispositif opérationnel. Cependant, certains de ces services peuvent rendre l'appareil vulnérable aux
attaques si la sécurité n'est pas activée. Les administrateurs peuvent également activer les services
sur les routeurs Cisco qui peuvent exposer le périphérique à un risque important. Ces deux scénarios
doivent être pris en compte lors de la sécurisation du réseau.

Le protocole Cisco Discovery Protocol (CDP) est un exemple de service activé par défaut sur les
routeurs Cisco. Le protocole LLDP (Link Layer Discovery Protocol) est un standard ouvert qui peut
être activé sur les périphériques Cisco, ainsi que sur d'autres périphériques fournisseurs prenant en
charge LLDP. La configuration et la vérification LLDP sont similaires à CDP. Dans la Figure 1, R1 et S1
sont tous deux configurés avec LLDP, en utilisant la commande de configuration LLDP RUN GLOBAL.
Les deux appareils exécutent CDP par défaut. La sortie pour le détail des voisins de show cdp et le
détail des voisins lldp révèlent l'adresse, la plate-forme et les détails du système d'exploitation d'un
périphérique.

Malheureusement, les pirates n'ont pas besoin de périphériques compatibles CDP ou LLDP pour
collecter ces informations sensibles. Un logiciel facilement disponible, tel que le moniteur CDP de
Cisco montré dans la figure 2, peut être téléchargé pour obtenir l'information. L'objectif de CDP et de
LLDP est de permettre aux administrateurs de découvrir et de dépanner plus facilement les autres
périphériques du réseau. Cependant, en raison des implications de sécurité, ces protocoles de
découverte doivent être utilisés avec précaution. Bien que ce soit un outil extrêmement utile, il ne
devrait pas être partout dans le réseau. Les périphériques Edge sont un exemple de périphérique sur
lequel cette fonctionnalité doit être désactivée.

Paramètres pour les protocoles et les services

Les pirates choisissent les services et les protocoles qui rendent le réseau plus vulnérable à
l'exploitation malveillante.

La plupart de ces fonctionnalités doivent être désactivées ou limitées dans leurs capacités en
fonction des besoins de sécurité d'une organisation. Ces fonctionnalités vont des protocoles de
découverte de réseau, tels que CDP et LLDP, aux protocoles globalement disponibles tels que ICMP et
d'autres outils d'analyse.

Certains des paramètres par défaut dans le logiciel Cisco IOS sont là pour des raisons historiques. Ils
étaient des paramètres par défaut logiques au moment de l'écriture initiale du logiciel. D'autres
paramètres par défaut ont un sens pour la plupart des systèmes, mais peuvent créer des expositions
de sécurité s'ils sont utilisés dans des dispositifs faisant partie d'une défense de périmètre de réseau.
D'autres paramètres par défaut sont requis par les normes mais ne sont pas toujours souhaitables du
point de vue de la sécurité.

La figure 1 résume les paramètres de fonctionnalité et les paramètres par défaut pour les protocoles
et les services. La figure 2 montre les paramètres de sécurité recommandés pour les protocoles et les
services.

Plusieurs pratiques importantes sont disponibles pour garantir la sécurité d'un périphérique:

Désactiver les services et les interfaces inutiles.

Désactivez et restreignez les services de gestion couramment configurés, tels que SNMP.

Désactiver les sondes et les analyses, telles que ICMP. Assurez la sécurité de l'accès au terminal.

Désactiver les protocoles de résolution d'adresse (ARP) gratuits et proxy.

Désactiver les diffusions dirigées IP.


Cisco AutoSecure
Sorti dans la version 12.3 d'IOS, Cisco Auto Secure est une fonctionnalité lancée à partir de la CLI et
qui exécute un script. AutoSecure propose d'abord des recommandations pour la correction des
failles de sécurité, puis modifie la configuration de sécurité du routeur, comme illustré dans la figure.

AutoSecure peut verrouiller les fonctions du plan de gestion et les services et les fonctions du plan de
transfert d'un routeur. Il existe plusieurs services et fonctions de plan de gestion:

Serveurs BOOTP, CDP, FTP, TFTP, PAD, UDP et TCP sécurisés, MOP, ICMP (redirections, masques-
réponses), routage source IP, Finger, cryptage de mot de passe, keepalives TCP, ARP gratuit, ARP
proxy et diffusion dirigée

Notification légale en utilisant une bannière

Mot de passe sécurisé et fonctions de connexion

NTP sécurisé

Accès sécurisé SSH

Services d'interception TCP

Il existe trois services et fonctions de plan de transfert qu'AutoSecure permet:

Cisco Express Forwarding (CEF)

Filtrage du trafic avec ACL

Inspection de pare-feu Cisco IOS pour les protocoles communs

AutoSecure est souvent utilisé sur le terrain pour fournir une politique de sécurité de base sur un
nouveau routeur. Les fonctionnalités peuvent ensuite être modifiées pour prendre en charge la
stratégie de sécurité de l'organisation.

À propos de Google TraductionCommunautéMobileÀ propos de Goog


SPOOFING Routing protocole
Configurer l’authentification MD5 pour l’OSPF

OSPF SHA Routing Protocol Authentication


MD5 est maintenant considéré comme vulnérable aux attaques et ne devrait être
utilisé que lorsqu'une authentification plus forte n'est pas disponible. La version 15.4
(1) de Cisco IOS T a ajouté le support pour l'authentification SHA OSPF, comme
détaillé dans RFC 5709. Par conséquent, l'administrateur devrait utiliser
l'authentification SHA tant que tous les systèmes d'exploitation de routeur supportent
l'authentification SHA OSPF.

Politique de plan de contrôle


Alors que la fonction principale des routeurs est de transmettre le contenu généré par
l'utilisateur à travers le plan de données, les routeurs génèrent et reçoivent également du
trafic destiné aux plans de contrôle et de gestion. Par conséquent, les routeurs doivent être
capables de distinguer entre le plan de données, le plan de contrôle et les paquets du plan de
gestion pour traiter chaque paquet de manière appropriée, comme le montre la figure.

Paquets de plan de données - paquets générés par l'utilisateur qui sont toujours transmis par
les périphériques réseau à d'autres périphériques de station terminale. Du point de vue du
périphérique réseau, les paquets de plan de données ont toujours une adresse IP de
destination de transit et peuvent être traités par des processus de transfert basés sur une
adresse IP de destination normale.
Paquets du plan de contrôle - Périphérique réseau généré ou reçu des paquets qui sont
utilisés pour la création et le fonctionnement du réseau. Les exemples incluent des protocoles,
tels que OSPF, ARP, BGP (Border Gateway Protocol) et d'autres protocoles qui maintiennent
le réseau convergé et fonctionnent correctement. Les paquets du plan de contrôle sont
généralement des paquets envoyés au routeur ou au périphérique réseau. L'adresse IP de
destination est celle du routeur.
Paquets du plan de gestion - Périphérique réseau généré ou reçu des paquets qui sont utilisés
pour gérer le réseau. Les exemples incluent des protocoles tels que Telnet, SSH, SNMP, NTP
et d'autres protocoles utilisés pour gérer le périphérique ou le réseau.
Dans des conditions de fonctionnement réseau normales, la grande majorité des paquets
gérés par les périphériques réseau sont des paquets de plan de données. Ces paquets sont
gérés par Cisco Express Forwarding (CEF). CEF utilise le plan de contrôle pour préremplir la
table FIB (Forwarding Information Base) dans le plan de données avec l'interface de sortie
appropriée pour un flux de paquets donné. Les paquets suivants qui circulent entre cette
même source et cette destination sont renvoyés par le plan de données en fonction des
informations contenues dans le FIB

Vulnérabilités du plan de contrôle et de gestion


Le processeur du routeur (le CPU dans le plan de contrôle) est nettement moins capable de
gérer les types de paquets reçus par le CEF, et par conséquent, il n'est jamais directement
impliqué dans la transmission des paquets du plan de données.

En revanche, lorsque les débits de paquets élevés surchargent le plan de contrôle ou de


gestion, les ressources du processeur d'acheminement peuvent être dépassées. Cela réduit la
disponibilité de ces ressources pour les tâches critiques pour l'exploitation et la maintenance
du réseau. Les événements malveillants et non malveillants peuvent surcharger les ressources
du processeur d'acheminement. Les événements malveillants incluent des attaques par
paquets ou des taux simplement élevés de paquets dirigés vers le plan de contrôle. Des
événements non malveillants peuvent résulter d'une mauvaise configuration du routeur ou
du réseau, de bogues logiciels ou d'événements de reconver- sion d'échec de réseau. Il est
important de prendre les mesures appropriées pour éviter que le processeur d'itinéraire ne
soit débordé, que ce soit par des événements malveillants ou non malveillants

Opérations CoPP
Le contrôle de plan de contrôle (CoPP) est une fonctionnalité de Cisco IOS conçue pour
permettre aux administrateurs de gérer le flux de trafic qui est "réduit" au processeur de route,
comme indiqué dans la figure. Le terme "punt" est défini par Cisco pour décrire l'action qu'une
interface prend lors de l'envoi d'un paquet au processeur de route. CoPP est conçu pour
empêcher le trafic inutile d'écraser le processeur de route qui, s'il n'est pas affecté, pourrait
affecter les performances du système.

CoPP protège le processeur de route sur les périphériques réseau en traitant les ressources du
processeur de route comme une entité distincte avec sa propre interface. Par conséquent, une
politique CoPP peut être développée et appliquée uniquement à ces paquets dans le plan de
contrôle. Contrairement aux ACL d'interface, aucun effort n'est gaspillé pour étudier les paquets
de plan de données qui n'atteindront jamais le plan de contrôle.

Vous aimerez peut-être aussi