Académique Documents
Professionnel Documents
Culture Documents
Page 1 sur 8
Aghiles GANI
Page
Curriculum Vitæ
Photos
Categories
802.1ad
802.1Q
AAA
ASA
BGP
Catalyst
Checkpoint
Cisco
Commutation
Debian
DHCP
DNS – BIND
EAPS
Extreme Network
Firewall
Fortigate
Fortinet
GLBP
HSRP
IOS
IPSEC
IPSLA
IronPort
Juniper
Juniper SSG
Linux
MPLS
NAT
Netflow
NHRP
Non classé
PIX/ASA
Port mirroring
Proxy
QOS
Radius
Role Based CLI
Routage
Sécurité
Squid
Stonesoft
Tacacs
Url filtering
Vlan
VPN
Xos
Archives
May 2012
April 2012
March 2012
November 2011
October 2011
August 2011
June 2011
May 2011
April 2011
March 2011
February 2011
January 2011
December 2010
http://aghiles.fr/archives/340 16/09/2015
Cisco – Définir et configurer une stratégie d’accès (role-based) sur un IOS : | Aghiles... Page 2 sur 8
Cisco – ASA/PIX – Mettre en oeuvre un VPN IPSEC Site à site »« Cisco – Retrouver son mot de passe cisco 7
Cisco – Définir et configurer une stratégie d’accès (role-based) sur un IOS : 5 Comments
Filed under AAA, Cisco, IOS, Role Based CLI, Sécurité by aghiles
Cet article a pour objectif de présenter l’implémentation des profils d’accès basés sur des rôles. Ce modèle appelé « role-based cli » par Cisco permet la conception de
profils d’accès afin d’administrer les équipements. Ce qui se traduit dans la pratique par la création de profils disposant de privilèges différents dans le cadre de
l’exploitation des équipements composant l’infrastructure d’un réseau.
Dans le cadre de l’application d’une politique globale de sécurité d’une entreprise, (dans notre cas d’une unité) un technicien de niveau 1 ne doit pas disposer des
mêmes privilèges qu’un architecte. En effet le périmètre d’intervention de ces deux profils n’a pas la même étendue, il est donc nécessaire de limiter les droits aux uns
et pas aux autres.
Cette fonctionnalité de l’IOS est très intéressante dans le cadre de la gestion des accès aux équipements d’un réseau en environnements de productions. Le niveau de
granularité offert par ce modèle permet de donner à chacun un niveau de privilège adéquat en fonction de son périmètre d’intervention.
Pour conclure cette introduction, le modèle de Cisco s’imprègne du modèle très rependu plus connu sous l’acronyme RBAC « Role-Based Access Control ».
Qui ?
Quoi ?
Quel est le domaine d’intervention pour la ou les personnes devant accéder au système. Ceci se traduit dans la pratique, quelle commande l’utilisateur pourra utiliser et
donc quelle information pourra être exploité.
Où ?
Quand ?
Identifier les tranches horaires permettant l’accès au système. A quel moment l’utilisateur en question pourra accéder au système (5 /7, 7/7 etc …).
Comment ?
Dans le cadre de l’accès administratif à un équipement, savoir par quels moyens les exploitants ou autres accéderons au système à administrer.
Pourquoi ?
Le risque
Il est important de rappeler l’existence de moyens permettant de s’affranchir de la connaissance d’un mot de passe pour un compte donné par le biais de l’utilisation
d’un genre d’outil utilisé en cryptanalyse. L’utilisation d’outil de type « brute force » permet de réaliser des tentatives d’accès afin de trouver un mot de passe de
manière dynamique (attaque par dictionnaire, rainbow table ..).
La création d’un compte de connexion doit se faire dans les règles de l’art, à savoir respecter les consignes suivantes :
http://aghiles.fr/archives/340 16/09/2015
Cisco – Définir et configurer une stratégie d’accès (role-based) sur un IOS : | Aghiles... Page 3 sur 8
Un mot de passe ne doit pas être noté sur un bout de papier ou autre support visible par le plus grand nombre.
Un utilisateur ne doit en aucun cas divulguer ses accès à qui que ce soit et ce par un quelconque moyen (téléphone, vis-à-vis, courrier électronique etc …).
Toujours s’assurer de l’identité et des intentions de la personne souhaitant obtenir cette information.
Sensibiliser les utilisateurs sur les risques associés à la négligence des règles de sécurité
Qui ne défend pas ses droits mérite de les perdre “Gérard Haas”.
On parle souvent de la complexité du mot de passe, le login ne doit pas être en reste.
Un mot de passe doit avoir une taille maximale pour une plus grande efficacité.
Un mot de passe doit respecter un niveau de complexité. Plus un mot de passe est long et complexe, moins il sera facile de le trouver (le temps de calcul sera
croissant).
Un mot de passe ne doit pas avoir de logique permettant à quiconque d’en déduire la valeur.
Il est nécessaire de limiter le nombre de tentative infructueuse est bloquer l’accès durant un certain temps avant une prochaine tentative (Holdtime).
Avant de parler de paramétrage, il est nécessaire d’introduire le vocabulaire utilisé par Cisco dans le contexte de la mise en œuvre d’une stratégie de type Role based
CLI. Dans le cadre de la conception de cette stratégie d’administration, Cisco a raisonné sur la base d’une logique d’implémentation hiérarchique de la gestion des
différents profils.
L’image pouvant être appliquée à l’utilisation des super vues, est celle de la mise en œuvre d’une stratégie active directory. Un compte est une vue, une
stratégie appliquée à une OU est une superview, le tout dépendant de l’arbre étant la forêt.
Schéma de principe :
http://aghiles.fr/archives/340 16/09/2015
Cisco – Définir et configurer une stratégie d’accès (role-based) sur un IOS : | Aghiles... Page 4 sur 8
rolebased_test(config)#config t
rolebased_test(config)#aaa new-model
rolebased_test(config)#exit
Créer un utilisateur de type administrateur et spécifier un mot de passe enable (mode secret de préférence) :
rolebased_test(config-line)#line console 0 0
rolebased_test(config-line)#login authentication default
rolebased_test(config-line)#line vty 0 15
rolebased_test(config-line)#login authentication default
Dans un premier temps il est nécessaire de passer dans le contexte VIEW afin de créer et administrer les vues.
Dans un premier temps il est nécessaire de passer dans le contexte VIEW afin de créer et administrer les vues.
rolebased_test#enable view
*Mar 1 00:01:34.035: %PARSER-6-VIEW_SWITCH: successfully set to view ‘root’.
1. Créer la superview
2. Définir un mot de passe
3. Intégrer les différentes view dans la superview
Configuration:
http://aghiles.fr/archives/340 16/09/2015
Cisco – Définir et configurer une stratégie d’accès (role-based) sur un IOS : | Aghiles... Page 5 sur 8
La création d’un compte pour un utilisateur de niveau 3 est beaucoup plus simple, l’application d’un compte de type level 15 est largement suffisant.
Exemple ci-dessus:
Les étapes:
rolebased_test#enable view
rolebased_test#conf t
rolebased_test#enable view
rolebased_test#
*Mar 1 00:42:48.359: %PARSER-6-VIEW_SWITCH: successfully set to view ‘root’.
rolebased_test#
rolebased_test#conf t
Enter configuration commands, one per line. End with CNTL/Z.
rolebased_test(config)#no parser view configure
*Mar 1 00:42:54.991: %PARSER-6-VIEW_DELETED: view ‘configure’ successfully deleted.
rolebased_test(config)#no parser view showcommand
*Mar 1 00:42:57.755: %PARSER-6-VIEW_DELETED: view ‘showcommand’ successfully deleted.
rolebased_test(config)#
http://aghiles.fr/archives/340 16/09/2015
Cisco – Définir et configurer une stratégie d’accès (role-based) sur un IOS : | Aghiles... Page 6 sur 8
aghiles, Aghiles gani, authentication, CISCO, IOS, profile, RBAC, role based, Role Based Access Control, sécurité
20 April 2011 at 19 h 23 min
5 comments »
6 June 2011 at 14 h 49 mindioum samba
Reply | link
je suis entrain de bosser sur un projet sur la mise en place d’une matrice de droit sur Help Desk, Network administrator et network operator. pouvez-vous me
donner les avantages et leurs roles de Help Desk, Network administrator et network operator et leurs inconvennients
6 June 2011 at 17 h 24 minadmin
Bonjour,
Afin d’essayer de répondre au mieux à votre requête, je dois connaitre le périmètre des trois rôles que vous citez.
Help Desk
Network administrator
Network operateur
La définition d’un rôle dépend de l’entité utilisatrice (chaque structure dispose de sa propre organisation).
De manière générique, la conception d’une matrice de ce type ne peut se faire sans connaitre le besoin et ceux de manière précise.
Cdlt,
Aghiles
6 June 2011 at 19 h 34 mindioum samba
Reply | link
Ses 3 notions sont basé sur les équipements Cisco que je dois configureé
7 June 2011 at 9 h 22 mindioum samba
Reply | link
en faisant mes recherche le network administrator a comme privilege 15 tandis que les privilege vont de 0-15 mais connais tu les privilege de help desk et de
network operator ainsi que l’ensemble des commande additionnelles pour les routur Cisco merci stp
15 April 2013 at 12 h 39 minchan
Reply | link
Bonjour,
J’ai besoin de votre aide car je suis bloqué. Je ne comprends pas pourquoi quand j’applique vote méthode d’authentification AAA. En me demande bien un login
et u mode passe pour me connecter sur les ports Consol et les lignes VTY et SSH. Mais dès que je veux passer en mode ENABLE aucun mot de passe n’est
demandé. Ce que je souhaite c’est qu’un mot de passe soit demandé quand je passe en mode ENABLE et si possible différent de celui qui est mis quand on créé
l’utilisateur. Cela afin de pouvoir renforcer en plus la sécurité sur l’accès à l’équipement
Name (required)
Website
http://aghiles.fr/archives/340 16/09/2015
Cisco – Définir et configurer une stratégie d’accès (role-based) sur un IOS : | Aghiles... Page 7 sur 8
Submit Comment
ads
Rechercher
Tronzadoras
M.G.
Machines pour
le travail de
métal Cisailles -
Tronçonneuse -
Plieuse
Categories
AAA
Catalyst
Cisco
IOS
IronPort
PIX/ASA
Commutation
Debian
DHCP
EAPS
Extreme Network
Firewall
ASA
Checkpoint
Fortigate
Juniper SSG
Stonesoft
http://aghiles.fr/archives/340 16/09/2015
Cisco – Définir et configurer une stratégie d’accès (role-based) sur un IOS : | Aghiles... Page 8 sur 8
Fortinet
IPSLA
Juniper
Linux
DNS – BIND
Squid
NAT
Netflow
NHRP
GLBP
HSRP
Non classé
Port mirroring
Proxy
QOS
Radius
Routage
BGP
Sécurité
IPSEC
MPLS
Role Based CLI
Tacacs
Url filtering
VPN
Vlan
802.1ad
802.1Q
Xos
Aviation
Aviation passion
Culture
EVENE
http://www.musicologie.org
Intélligence économique
ADIT
veille.com
Liens
blindhog.net
CERTA
CISCO Dreamer
Darknet
Frameip.com
frnog.org
GNS3 project
Juniper Hacks Blog
Ma petite parcelle d'Internet…
Reseaux-telecoms
Secuobs
ADIT TIC/TELECOMS
ADIT IT
ADIT Aeronautique
EVENE
http://aghiles.fr/archives/340 16/09/2015