Mesures de sécurité pour les router et ASA Cisco

No Global Description Solution Importance Mise en place (O/N/NA)

1 Vulnérabilité logiciels Mise à jour des IOS Critique
Les ACL intégrées autorisent seulement
2 ACL le trafic légitime Revoir les ACL rigoureusement. Critique

Les ACL donnant accès au services de gestion

3 ACL - Gestion autorisent seulement les Admin Critique

Configurer et mettre en place le module du IPS de

4 IPS / IDS Cisco. Moyen
Désactiver toutes connexions non sécurisées
comme Telnet.
5 Telnet Configurer plutôt SSH transport input [none | ssh] Critique

6 Interface inutiles Les interfaces inutilisées sont désactivées Shut Interface Critique

Services TCP small server Désactiver les services TCP small server et UDP no service tcp-small-servers
7 et UDP small server small server no service udp-small-servers Moyen

8 Service finger Désactiver le service Finger no service finger Moyen

9 Bootp server Désactiver le service Bootp no ipbootp server Moyen

10 Routage source Désactiver le paramètre de routage source no ip source-route Moyen

no ip redirects
Désactiver toutes les réponses et redirection no ipunreachables
11 Redirection ICMP ICMP no ip-mask reply Moyen
Configurer des timeout de session pour
12 SSH les connexions SSH ssh timeout timeout-minutes Moyen

S'assurer de configurer le mode Main plutôt que

le mode Aggressive afin de profiter des mesures
13 VPN Ipsec optimales de sécurité. Moyen
Définir des algorithmes de chiffrement robustes
pour les connexions VPN.
14 VPN Ipsec AES - Sha-DH Moyen
Ajouter de l'authentification des échanges de
15 Authentification du routage routage avec du MD5 Moyen N/A
ip cef [distributed]
interface interface-name
ip verify unicast reverse-path
ipv6 cef [distributed]
interface interface-name
16 Unicast RPF Pour contrer les attaques par spoofing ipv6 verify unicast reverse-path Moyen
Revoir les ACL pour ne pas autoriser des
17 Clear text communications en texte claire ACL Moyen
Pour toute console utilisée, configurer
18 Console timeout un time out console timeout timeout-minutes Moyen
Si SNMP n'est pas utilisé, désactiver le. Sinon,
configurer SNMP avec chiffrement
19 SNMP sécurisé et restriendre les accès en lecture. no snmp-server Moyen

Utiliser SNMP avec un nom de communauté

approprié qui n'est pas un mot du dictionnaire.
20 SNMP communauté Changer les valeurs par défaut Public et Private. Moyen
Afin de vérifier si une connexion est active
ou orpheline. Peut conduire a des attaques
21 TCP keepalives de type DoS. service tcp-keepalives-in Moyen
S'assurer que tous les comptes ont les privilèges
les plus restrictifs selon les tâches administratives
22 Restreindre privilèges à accomplir Critique
Vérifier si le filtrage Unicast Reverse Path
23 uRPF Forwarding devrait être désactivé ip verify unicast reverse-path Moyen
Aucun mot de passe d'un dictionnaire. Configurer password password
des mots de passe complexes. Minimum 8 enable password password
24 Password caractères. username name password password Critique
Si DTP n'est pas requis, désactiver DTP.
DTP est un protocole propriétaire Cisco
et offre des mesures de négociation non
25 DTP sécuritaire. Moyen
S'assurer que le trafic avec le service NTP
26 NTP est contrôlé. ntp access-group serve-only acl Faible

27 Chiffrer mot de passe Tous les mots de passe doivent être chiffrés username user-name secret password Critique

ntp authenticate
Dans la mesure du possible, rajouter ntp authentication-key key-num md5 key-string
28 NTP authentification l'authentification pour le service NTP ntp server ip-address key key-num [prefer] Faible
Configurer du chiffrement fort pour toutes les ssl server-version {sslv3-only | tlsv1-only}
connexions SSL. TLS ou SSL v3 combiné avec AES ssl encryption {3des-sha1 | aes128-sha1 | aes256-
29 SSL chiffrement 128 au minimum. sha1} Critique

CDP est un protocole propriétaire Cisco qui

permet le dialogue par diffusion entre les no cdp run
composantes Cisco. Le problème c'est qu'il n'y a no cdp enable
30 CDP aucune mesure d'authentification ni chiffrement. Moyen
Désactiver le service de Proxy ARP pour éviter de
propager de requêtes ARP dans d'autres
31 Proxy ARP segments. no ip proxy-arp Moyen
32 MOTD Une bannière MOTD devrait être définie. Faible

Pour tous les accès aux consoles de gestion,

33 Accès console configurer un timeout avec authentification Moyen
Désactiver les accès aux ports auxiliaires si pas
34 Ports auxiliaires utilisés Moyen

Pour tous les accès aux lignes VTY, configurer un

35 Ligne VTY timeout avec authentification Moyen

Configurer et controler le trafic pour restreindre

36 ACL VTY les accès aux ligne VTY via des ACL Moyen

Mettre en place une stratégie de changement des

37 Stratégie de mots de passe mots de passes à tous les 6 mois. Moyen OUI
Mettre en place une stratégie de sauvegarde et
de restauration périodique. Vérifier et faire le
38 Backup suivi. Backup Critique
Centraliser tous les logs dans un serveur de suivis
39 Syslog de type Syslog Moyen
Un emplacement avec contrôle d'accès doit être
spécifié pour le stockage des backup des switch
40 Stockage backup et router. permission et droit d'accès sur les backup Moyen
Metter en place un mécanisme de chiffrement
41 Backup chiffrement pour les backup. Chiffrement avec GPG ou PGP ou TrueCrypt. Moyen

Mettre en place un mécanisme de surveillance à

42 Surveillance travers un systèeme d'audit, de log. Syslog Moyen
Désactiver le service HTTP et utiliser au besoin le
43 HTTP protocole HTTPS Moyen