CCNASv2 InstructorPPT CH2.fr-2 PDF

Chapitre 2:
Securiser les Périphériques réseau
v2.0 CCNA sécurité

Translated by JE.BENRAHAL
June 2017
2.0 introduction
2.1 Sécurisation de l'accès des
périphériques
2.2 Attribution des rôles administratifs
2.3 Surveillance et Gestion des
périphériques
2.4 Utilisation des fonctions de sécurité
automatisée
2.5 Fixation du plan de commande
2.6 Résumé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
À la fin de cette section, vous devriez pouvoir:
• Expliquer comment sécuriser un périmètre réseau.
• Configurer l'accès sécurisé aux routeurs d'administration de Cisco.
• Configurer une sécurité renforcée pour les connexions virtuelles.
• Configurer un démon SSH pour la gestion à distance sécurisée.
Approche du routeur unique
Défense dans l'approche de la profondeur
approche DMZ
Les tâches:
• Restreindre l'accessibilité des appareils
• Connectez-vous et compte pour tous les accès
• authentifier accès
• actions autoriser
• notification juridique actuelle
• Assurer la confidentialité des données
Accès local L'accès à distance Utilisation de Telnet
L'accès à distance en utilisant un modem et Aux Port
Réseau de gestion dédié
Des lignes directrices:
• Configurer tous les mots de passe secrets en utilisant le type 8 ou tapez 9
mots de passe
• Utilisez la validation syntaxe de commande de type algorithme pour saisir
un mot de passe non crypté
• Utilisez la commande nom de nom d'utilisateur algorithme de type pour

spécifier le type 9 chiffrement
améliorations de la sécurité de
connexion virtuelle:
• Mettre en œuvre des retards
entre les tentatives de connexion
successives
• activer connexion arrêt si les
attaques DoS sont soupçonnés
• Générer système
d'enregistrement messages pour
la détection de connexion
Syntaxe de la commande: bloc de connexion
Exemple: accès de connexion classe en mode

silencieux
Exemple: retard connexion
Générer Connexion Syslog messages
Exemple: échecs de connexion show
Exemple de configuration SSH
Exemple de vérification de SSH
Deux façons de se connecter:
• Activer SSH et utiliser un routeur Cisco en tant que serveur SSH ou d'un client
SSH.
En tant que serveur, le routeur peut accepter les connexions client SSH
En tant que client, le routeur peut se connecter via SSH à un autre routeur
compatible SSH-
• Utilisez un client SSH en cours d'exécution sur un hôte, comme Mastic,
OpenSSH, ou TeraTerm.
• Configurer les niveaux de privilèges d'administration pour contrôler la
disponibilité de commande.
• Configurer l'accès CLI basée sur les rôles pour contrôler la disponibilité de
commande.
Les niveaux de privilège: Les niveaux de commandes d'accès:
• Niveau 0: pour des droits d'Prédéfinie accès au niveau • le mode d'exécution utilisateur (niveau de privilège 1)
utilisateur.
Prix le plus bas mode d'exécution des privilèges
d'utilisateur
• Niveau 1: Niveau par défaut pour la connexion à l'invite du
routeur. Seulement commande de niveau utilisateur disponible
sur le routeur invite>
• Niveau 2-14: Peut être personnalisé pour des privilèges
de niveau utilisateur. • mode privilégié (niveau de privilège 15)
Tous les activer au niveau des commandes au niveau du
• Niveau 15: Réservé aux activer les privilèges de mode. routeur invite #
Niveau de privilège Syntaxe
• Aucun contrôle d'accès à des interfaces spécifiques, les ports, les
interfaces logiques, et des fentes sur un routeur
• Les commandes disponibles à des niveaux inférieurs de privilège sont
toujours exécutables à des niveaux de privilèges plus élevés
• Les commandes mis spécifiquement à des niveaux de privilèges plus
élevés ne sont pas disponibles pour les utilisateurs de privilèges
inférieurs
• Attribution d'une commande avec plusieurs mots-clés permet
d'accéder à toutes les commandes qui utilisent les
Par exemple:
• privilèges d'opérateur de sécurité
Configurer AAA
Problème montrer commandes
configurer le pare-feu
Configurer IDS / IPS
configurer NetFlow
• privilèges ingénieur WAN

configurer le routage
configurer les interfaces
Problème montrer commandes
Étape 1
Étape 2
Étape 3
Étape 4
Étape 1
Étape 2
Étape 3
Activer Racine Voir et vérifier toutes les vues
• Utilisez la fonction de configuration résiliente Cisco IOS pour sécuriser l'image
Cisco IOS et des fichiers de configuration.
• Comparez intrabande et hors accès à la gestion de la bande.
• Configurer syslog pour enregistrer les événements du système.
• Configurer l'accès sécurisé à l'aide SNMPv3 ACL
• Configurer NTP pour activer précise horodatage entre tous les appareils.
Configurez le routeur pour côté serveur SCP avec AAA local:
1. Configurer SSH
2. Configurer au moins un utilisateur avec le niveau de privilège 15
3. activer AAA
4. Spécifiez que la base de données locale doit être utilisée pour

l'authentification
5. Configurer l'autorisation de commande
6. Activer la fonctionnalité côté serveur SCP
1. Se connecter au port de la console.
2. Notez le paramètre de registre de configuration.
3. Cycle d'alimentation du routeur.
4. Émettre la séquence de pause.
5. Modifier le registre de configuration par défaut avec le confreg commande 0x2142.
6. Redémarrez le routeur.
7. Appuyez sur Ctrl-C pour passer la procédure de configuration initiale.
8. Mettez le routeur en mode privilégié.
9. Copiez la configuration de démarrage à la configuration en cours d'exécution.
10. Vérifiez la configuration.
11. Changer le mot de passe secret.
12. Activer toutes les interfaces.
13. Changer la config-register avec le config-registre configuration_register_setting.
14. Enregistrez les modifications de configuration.
Récupération mot de passe
Désactiver
Pas de service Password

Recovery
Mot de passe Fonctionnalité de

récupération est désactivé
Dans la gestion intrabande:
• Appliquer uniquement aux dispositifs

qui doivent être gérés ou surveillés
• Utilisez IPsec, SSH ou SSL si

possible
• Décider si le canal de gestion doit être

ouvert à tout moment
Out-of-Band (OOB) Gestion:
• Fournir plus haut niveau de sécurité
• Atténuer le risque de transmission des

protocoles de gestion sur le réseau de
production
Niveaux de sécurité
Niveaux Exemple de gravité
Étape 1
Etape 2 (facultatif)
Étape 3
Étape 4
Cisco MIB
hiérarchie
l'intégrité du message et l'authentification
Le chiffrement
Contrôle d'accès
• Transmissions de gestionnaire à l'agent peut être authentifiées pour garantir l'identité de

l'expéditeur et l'intégrité et la rapidité d'un message.
• messages SNMPv3 peuvent être cryptés pour assurer la confidentialité.
• Agent peut appliquer un contrôle d'accès pour limiter chaque directeur à certaines actions
sur des parties spécifiques de données.
Exemple NTP
Topologie
Exemple de
configuration NTP sur
R1
Exemple de
configuration NTP
sur R2
• Utiliser des outils de vérification de sécurité pour déterminer les vulnérabilités du
routeur à base d'IOS.
• Utilisation AutoSecure pour activer la sécurité sur les routeurs basés sur IOS.
Il y a une liste détaillée des paramètres de sécurité pour les
protocoles et les services fournis à la figure 2 de cette page en cours.
pratiques recommandées supplémentaires pour assurer un dispositif

est sécurisé:
• Désactiver les services inutiles et les interfaces.
• Désactiver et restreindre les services de gestion généralement configurés.
• Désactiver les sondes et les scans. Assurer la sécurité d'accès au terminal.
• Désactiver et proxy ARP gratuits
• Désactiver les émissions-dirigé IP.
1. La commande sécurisé automatique est entré
2. Assistant rassemble des informations sur les interfaces extérieur
3. AutoSecure sécurise le plan de gestion par la désactivation des

services inutiles
4. AutoSecure invites pour une bannière
5. AutoSecure invite les mots de passe et permet des fonctionnalités de

mot de passe et de connexion
6. Les interfaces sont sécurisées
7. plan d'envoi est fixé
• Configuration d'une authentification de protocole de routage.
• Expliquer la fonction du plan de contrôle de police.
Les conséquences de l'usurpation de protocole:
• Réorientent le trafic pour créer des boucles de routage.
• Réorientent le trafic peut donc être contrôlé sur un lien non sécurisé.
• Réorientent le trafic pour la supprimer.
Objectifs du chapitre:
• Configurer l'accès sécurisé administratif.
• Configurer l'autorisation de commande en utilisant les niveaux de privilèges et

CLI basée sur les rôles.
• Mettre en œuvre la gestion sécurisée et le contrôle des périphériques réseau.
• Utiliser les fonctions automatisées pour activer la sécurité sur les routeurs basés
sur IOS.
• Mettre en œuvre la sécurité du plan de contrôle.
Thank you.
• Rappelles toi, Il y a des
tutoriels utiles et guides
d'utilisation disponibles via
votre Netspace maison 1
page. (https: 2
//www.netacad.com)
• Ces ressources couvrent
une variété de sujets, y
compris la navigation, des
évaluations et des missions.
• Une capture d'écran a été
fourni ici mettant en lumière
les didacticiels liés à
l'activation des examens, la
gestion des évaluations, et
la création de
questionnaires.
Thank you.

CCNASv2 InstructorPPT CH2.fr-2 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CCNASv2 InstructorPPT CH2.fr-2 PDF

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 2:

Securiser les Périphériques réseau

v2.0 CCNA sécurité

• Configurer l'accès sécurisé aux routeurs d'administration de Cisco.

• Configurer une sécurité renforcée pour les connexions virtuelles.

• Configurer un démon SSH pour la gestion à distance sécurisée.

Défense dans l'approche de la profondeur

• Connectez-vous et compte pour tous les accès

• notification juridique actuelle

• Assurer la confidentialité des données

L'accès à distance en utilisant un modem et Aux Port

• Utilisez la commande nom de nom d'utilisateur algorithme de type pour

Exemple: accès de connexion classe en mode

Exemple: retard connexion

Exemple: échecs de connexion show

Exemple de vérification de SSH

Niveau de privilège Syntaxe

• privilèges ingénieur WAN

• Configurer syslog pour enregistrer les événements du système.

• Configurer l'accès sécurisé à l'aide SNMPv3 ACL

2. Configurer au moins un utilisateur avec le niveau de privilège 15

4. Spécifiez que la base de données locale doit être utilisée pour

6. Activer la fonctionnalité côté serveur SCP

2. Notez le paramètre de registre de configuration.

3. Cycle d'alimentation du routeur.

4. Émettre la séquence de pause.

5. Modifier le registre de configuration par défaut avec le confreg commande 0x2142.

7. Appuyez sur Ctrl-C pour passer la procédure de configuration initiale.

8. Mettez le routeur en mode privilégié.

9. Copiez la configuration de démarrage à la configuration en cours d'exécution.

10. Vérifiez la configuration.

11. Changer le mot de passe secret.

12. Activer toutes les interfaces.

13. Changer la config-register avec le config-registre configuration_register_setting.

14. Enregistrez les modifications de configuration.

Pas de service Password

Mot de passe Fonctionnalité de

• Appliquer uniquement aux dispositifs

• Utilisez IPsec, SSH ou SSL si

• Décider si le canal de gestion doit être

Out-of-Band (OOB) Gestion:

• Fournir plus haut niveau de sécurité

• Atténuer le risque de transmission des

Niveaux Exemple de gravité

• Transmissions de gestionnaire à l'agent peut être authentifiées pour garantir l'identité de

• messages SNMPv3 peuvent être cryptés pour assurer la confidentialité.

pratiques recommandées supplémentaires pour assurer un dispositif

• Désactiver et restreindre les services de gestion généralement configurés.

• Désactiver les sondes et les scans. Assurer la sécurité d'accès au terminal.

• Désactiver et proxy ARP gratuits

• Désactiver les émissions-dirigé IP.

2. Assistant rassemble des informations sur les interfaces extérieur

3. AutoSecure sécurise le plan de gestion par la désactivation des

5. AutoSecure invite les mots de passe et permet des fonctionnalités de

7. plan d'envoi est fixé

• Expliquer la fonction du plan de contrôle de police.

• Réorientent le trafic pour la supprimer.

• Configurer l'autorisation de commande en utilisant les niveaux de privilèges et

Centres d'intérêt liés

Vous aimerez peut-être aussi