Vous êtes sur la page 1sur 86

Chapitre 2:

Securiser les Périphériques réseau

v2.0 CCNA sécurité


Translated by JE.BENRAHAL
June 2017
2.0 introduction
2.1 Sécurisation de l'accès des
périphériques
2.2 Attribution des rôles administratifs
2.3 Surveillance et Gestion des
périphériques
2.4 Utilisation des fonctions de sécurité
automatisée
2.5 Fixation du plan de commande
2.6 Résumé

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
À la fin de cette section, vous devriez pouvoir:
• Expliquer comment sécuriser un périmètre réseau.

• Configurer l'accès sécurisé aux routeurs d'administration de Cisco.

• Configurer une sécurité renforcée pour les connexions virtuelles.

• Configurer un démon SSH pour la gestion à distance sécurisée.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
Approche du routeur unique

Défense dans l'approche de la profondeur

approche DMZ

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Les tâches:
• Restreindre l'accessibilité des appareils

• Connectez-vous et compte pour tous les accès

• authentifier accès

• actions autoriser

• notification juridique actuelle

• Assurer la confidentialité des données

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Accès local L'accès à distance Utilisation de Telnet

L'accès à distance en utilisant un modem et Aux Port

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
Réseau de gestion dédié

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
Des lignes directrices:
• Configurer tous les mots de passe secrets en utilisant le type 8 ou tapez 9
mots de passe
• Utilisez la validation syntaxe de commande de type algorithme pour saisir
un mot de passe non crypté

• Utilisez la commande nom de nom d'utilisateur algorithme de type pour


spécifier le type 9 chiffrement

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
améliorations de la sécurité de
connexion virtuelle:
• Mettre en œuvre des retards
entre les tentatives de connexion
successives
• activer connexion arrêt si les
attaques DoS sont soupçonnés
• Générer système
d'enregistrement messages pour
la détection de connexion

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
Syntaxe de la commande: bloc de connexion

Exemple: accès de connexion classe en mode


silencieux

Exemple: retard connexion

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
Générer Connexion Syslog messages

Exemple: échecs de connexion show

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
Exemple de configuration SSH

Exemple de vérification de SSH

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
Deux façons de se connecter:
• Activer SSH et utiliser un routeur Cisco en tant que serveur SSH ou d'un client
SSH.
En tant que serveur, le routeur peut accepter les connexions client SSH
En tant que client, le routeur peut se connecter via SSH à un autre routeur
compatible SSH-
• Utilisez un client SSH en cours d'exécution sur un hôte, comme Mastic,
OpenSSH, ou TeraTerm.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
À la fin de cette section, vous devriez pouvoir:
• Configurer les niveaux de privilèges d'administration pour contrôler la
disponibilité de commande.
• Configurer l'accès CLI basée sur les rôles pour contrôler la disponibilité de
commande.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
Les niveaux de privilège: Les niveaux de commandes d'accès:

• Niveau 0: pour des droits d'Prédéfinie accès au niveau • le mode d'exécution utilisateur (niveau de privilège 1)
utilisateur.
Prix ​le plus bas mode d'exécution des privilèges
d'utilisateur
• Niveau 1: Niveau par défaut pour la connexion à l'invite du
routeur. Seulement commande de niveau utilisateur disponible
sur le routeur invite>
• Niveau 2-14: Peut être personnalisé pour des privilèges
de niveau utilisateur. • mode privilégié (niveau de privilège 15)
Tous les activer au niveau des commandes au niveau du
• Niveau 15: Réservé aux activer les privilèges de mode. routeur invite #

Niveau de privilège Syntaxe

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
• Aucun contrôle d'accès à des interfaces spécifiques, les ports, les
interfaces logiques, et des fentes sur un routeur
• Les commandes disponibles à des niveaux inférieurs de privilège sont
toujours exécutables à des niveaux de privilèges plus élevés
• Les commandes mis spécifiquement à des niveaux de privilèges plus
élevés ne sont pas disponibles pour les utilisateurs de privilèges
inférieurs
• Attribution d'une commande avec plusieurs mots-clés permet
d'accéder à toutes les commandes qui utilisent les

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
Par exemple:
• privilèges d'opérateur de sécurité
Configurer AAA
Problème montrer commandes
configurer le pare-feu
Configurer IDS / IPS
configurer NetFlow

• privilèges ingénieur WAN


configurer le routage
configurer les interfaces
Problème montrer commandes

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
Étape 1

Étape 2

Étape 3

Étape 4

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
Étape 1

Étape 2

Étape 3

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
Activer Racine Voir et vérifier toutes les vues

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
À la fin de cette section, vous devriez pouvoir:
• Utilisez la fonction de configuration résiliente Cisco IOS pour sécuriser l'image
Cisco IOS et des fichiers de configuration.
• Comparez intrabande et hors accès à la gestion de la bande.

• Configurer syslog pour enregistrer les événements du système.

• Configurer l'accès sécurisé à l'aide SNMPv3 ACL

• Configurer NTP pour activer précise horodatage entre tous les appareils.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 39
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 40
Configurez le routeur pour côté serveur SCP avec AAA local:
1. Configurer SSH

2. Configurer au moins un utilisateur avec le niveau de privilège 15

3. activer AAA

4. Spécifiez que la base de données locale doit être utilisée pour


l'authentification
5. Configurer l'autorisation de commande

6. Activer la fonctionnalité côté serveur SCP

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
1. Se connecter au port de la console.

2. Notez le paramètre de registre de configuration.

3. Cycle d'alimentation du routeur.

4. Émettre la séquence de pause.

5. Modifier le registre de configuration par défaut avec le confreg commande 0x2142.

6. Redémarrez le routeur.

7. Appuyez sur Ctrl-C pour passer la procédure de configuration initiale.

8. Mettez le routeur en mode privilégié.

9. Copiez la configuration de démarrage à la configuration en cours d'exécution.

10. Vérifiez la configuration.

11. Changer le mot de passe secret.

12. Activer toutes les interfaces.

13. Changer la config-register avec le config-registre configuration_register_setting.

14. Enregistrez les modifications de configuration.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 42
Récupération mot de passe
Désactiver

Pas de service Password


Recovery

Mot de passe Fonctionnalité de


récupération est désactivé

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44
Dans la gestion intrabande:

• Appliquer uniquement aux dispositifs


qui doivent être gérés ou surveillés

• Utilisez IPsec, SSH ou SSL si


possible

• Décider si le canal de gestion doit être


ouvert à tout moment

Out-of-Band (OOB) Gestion:

• Fournir plus haut niveau de sécurité

• Atténuer le risque de transmission des


protocoles de gestion sur le réseau de
production

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 45
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 46
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 47
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 48
Niveaux de sécurité

Niveaux Exemple de gravité

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 50
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 51
Étape 1

Etape 2 (facultatif)

Étape 3

Étape 4

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 52
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 53
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
Cisco MIB
hiérarchie

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 55
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 56
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
l'intégrité du message et l'authentification

Le chiffrement

Contrôle d'accès

• Transmissions de gestionnaire à l'agent peut être authentifiées pour garantir l'identité de


l'expéditeur et l'intégrité et la rapidité d'un message.

• messages SNMPv3 peuvent être cryptés pour assurer la confidentialité.

• Agent peut appliquer un contrôle d'accès pour limiter chaque directeur à certaines actions
sur des parties spécifiques de données.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 58
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 59
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 61
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 62
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 63
Exemple NTP
Topologie

Exemple de
configuration NTP sur
R1

Exemple de
configuration NTP
sur R2

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 64
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 65
À la fin de cette section, vous devriez pouvoir:
• Utiliser des outils de vérification de sécurité pour déterminer les vulnérabilités du
routeur à base d'IOS.
• Utilisation AutoSecure pour activer la sécurité sur les routeurs basés sur IOS.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 66
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 67
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 68
Il y a une liste détaillée des paramètres de sécurité pour les
protocoles et les services fournis à la figure 2 de cette page en cours.

pratiques recommandées supplémentaires pour assurer un dispositif


est sécurisé:
• Désactiver les services inutiles et les interfaces.

• Désactiver et restreindre les services de gestion généralement configurés.

• Désactiver les sondes et les scans. Assurer la sécurité d'accès au terminal.

• Désactiver et proxy ARP gratuits

• Désactiver les émissions-dirigé IP.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 69
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 70
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 71
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 72
1. La commande sécurisé automatique est entré

2. Assistant rassemble des informations sur les interfaces extérieur

3. AutoSecure sécurise le plan de gestion par la désactivation des


services inutiles
4. AutoSecure invites pour une bannière

5. AutoSecure invite les mots de passe et permet des fonctionnalités de


mot de passe et de connexion
6. Les interfaces sont sécurisées

7. plan d'envoi est fixé

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 73
À la fin de cette section, vous devriez pouvoir:
• Configuration d'une authentification de protocole de routage.

• Expliquer la fonction du plan de contrôle de police.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 74
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 75
Les conséquences de l'usurpation de protocole:
• Réorientent le trafic pour créer des boucles de routage.

• Réorientent le trafic peut donc être contrôlé sur un lien non sécurisé.

• Réorientent le trafic pour la supprimer.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 76
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 77
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 78
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 79
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 80
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 81
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 82
Objectifs du chapitre:
• Configurer l'accès sécurisé administratif.

• Configurer l'autorisation de commande en utilisant les niveaux de privilèges et


CLI basée sur les rôles.
• Mettre en œuvre la gestion sécurisée et le contrôle des périphériques réseau.

• Utiliser les fonctions automatisées pour activer la sécurité sur les routeurs basés
sur IOS.
• Mettre en œuvre la sécurité du plan de contrôle.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 83
Thank you.
• Rappelles toi, Il y a des
tutoriels utiles et guides
d'utilisation disponibles via
votre Netspace maison 1
page. (https: 2
//www.netacad.com)
• Ces ressources couvrent
une variété de sujets, y
compris la navigation, des
évaluations et des missions.
• Une capture d'écran a été
fourni ici mettant en lumière
les didacticiels liés à
l'activation des examens, la
gestion des évaluations, et
la création de
questionnaires.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 85
Thank you.