Académique Documents
Professionnel Documents
Culture Documents
Comments
FILED UNDER AAA, CISCO, IOS, ROLE BASED CLI, SÉCURITÉ BY USER
Cet article a pour objectif de présenter l’implémentation des profils d’accès basés sur des rôles. Ce modèle appelé « role-based
cli » par Cisco permet la conception de profils d’accès afin d’administrer les équipements. Ce qui se traduit dans la pratique par
la création de profils disposant de privilèges différents dans le cadre de l’exploitation des équipements composant
l’infrastructure d’un réseau.
Dans le cadre de l’application d’une politique globale de sécurité d’une entreprise, (dans notre cas d’une unité) un technicien de
niveau 1 ne doit pas disposer des mêmes privilèges qu’un architecte. En effet le périmètre d’intervention de ces deux profils n’a
pas la même étendue, il est donc nécessaire de limiter les droits aux uns et pas aux autres.
Cette fonctionnalité de l’IOS est très intéressante dans le cadre de la gestion des accès aux équipements d’un réseau en
environnements de productions. Le niveau de granularité offert par ce modèle permet de donner à chacun un niveau de privilège
adéquat en fonction de son périmètre d’intervention.
Pour conclure cette introduction, le modèle de Cisco s’imprègne du modèle très rependu plus connu sous l’acronyme RBAC
« Role-Based Access Control ».
Qui ?
Quoi ?
Quel est le domaine d’intervention pour la ou les personnes devant accéder au système. Ceci se traduit dans la pratique, quelle
commande l’utilisateur pourra utiliser et donc quelle information pourra être exploité.
Où ?
Quand ?
Identifier les tranches horaires permettant l’accès au système. A quel moment l’utilisateur en question pourra accéder au
système (5 /7, 7/7 etc …).
Comment ?
Dans le cadre de l’accès administratif à un équipement, savoir par quels moyens les exploitants ou autres accéderons au système
à administrer.
Pourquoi ?
Le risque
Il est important de rappeler l’existence de moyens permettant de s’affranchir de la connaissance d’un mot de passe pour un
compte donné par le biais de l’utilisation d’un genre d’outil utilisé en cryptanalyse. L’utilisation d’outil de type « brute force »
permet de réaliser des tentatives d’accès afin de trouver un mot de passe de manière dynamique (attaque par dictionnaire,
rainbow table ..).
rolebased_test(config)#config t
rolebased_test(config)#aaa new-model
rolebased_test(config)#exit
Créer un utilisateur de type administrateur et spécifier un mot de
passe enable (mode secret de préférence) :
rolebased_test(config)#username aghiles privilege 15 secret M@qu€1tE2016
rolebased_test(config)#enable secret level 15 téS1$2015@*A
rolebased_test(config)#aaa authentication login default local
Dans un premier temps il est nécessaire de passer dans le contexte VIEW afin de créer et administrer les vues.
Passer en mode view:
rolebased_test#enable view
*Mar 1 00:01:34.035: %PARSER-6-VIEW_SWITCH: successfully set to view ‘root’.
Configuration:
rolebased_test(config)#parser view production superview
*Mar 1 00:33:15.967: %PARSER-6-SUPER_VIEW_CREATED: super view ‘production’ successfully created.
rolebased_test(config-view)#?
View commands:
rolebased_test(config-view)#secret production
rolebased_test(config-view)#view exploitn1
*Mar 1 00:33:54.783: %PARSER-6-SUPER_VIEW_EDIT_ADD: view exploitn1 added to superview production.
rolebased_test(config-view)#view exploitn2
*Mar 1 00:33:56.507: %PARSER-6-SUPER_VIEW_EDIT_ADD: view exploitn2 added to superview production.
rolebased_test(config-view)#
Configuration des différentes VIEW :
Affecter les droits pour chacune des vues.
Création du compte exploin1 :
rolebased_test(config)#parser view exploitn1
rolebased_test(config-view)# secret 5 $1$c2MW$M5KUmRH/VcwWt/Ut5yM1y0
rolebased_test(config-view)# commands exec include traceroute
rolebased_test(config-view)# commands exec include ping
rolebased_test(config-view)# commands exec include show ip route
rolebased_test(config-view)# commands exec include show ip
rolebased_test(config-view)# commands exec include show version
rolebased_test(config-view)# commands exec include show interfaces
rolebased_test(config-view)# commands exec include show
rolebased_test(config-view)#
rolebased_test(config-view)#exit
rolebased_test(config)#
Création du compte exploin2:
rolebased_test(config)#parser view exploitn2
rolebased_test(config-view)#
*Mar 1 00:09:52.827: %PARSER-6-VIEW_CREATED: view ‘exploitn2′ successfully created.
rolebased_test(config-view)#password 5 exploitn2
rolebased_test(config-view)#commands exec include ping
rolebased_test(config-view)#commands exec include trace
rolebased_test(config-view)#commands exec include show version
rolebased_test(config-view)#commands exec include show interfaces
rolebased_test(config-view)#commands exec include show run
rolebased_test(config-view)#commands exec include show config
rolebased_test(config-view)#commands exec include show ip hardware
rolebased_test(config-view)#commands configure include access-list
rolebased_test(config-view)#commands configure include clock
rolebased_test(config-view)#commands configure include hostname
rolebased_test(config-view)#commands configure include interface
rolebased_test(config-view)#commands configure include ip
rolebased_test(config-view)#commands configure include line
rolebased_test(config-view)#
Création du compte exploin3:
La création d’un compte pour un utilisateur de niveau 3 est beaucoup plus simple, l’application d’un compte de type level 15 est
largement suffisant.
Exemple ci-dessus:
Les étapes:
Passer en mode enable view
rolebased_test#enable view
Passer en mode de configuration globale
rolebased_test#conf t
Exécuter la commander permettant de supprimer la vue concernée.
rolebased_test#
rolebased_test#conf t
Enter configuration commands, one per line. End with CNTL/Z.
rolebased_test(config)#
exploitn2
exploitn1
production *
rolebased_test#