Iskander BARGAOUI Module 

: TP Audit de sécurité STIC L3 SR-C

Zied JMAL A.U :2020-2021

Audit et sécurisation d’un routeur CISCO
I. Travail demandé :
1. Consulter la configuration du routeur n°3 (indication : la commande qui permet
d’afficher la configuration est show running config) fournit au niveau du fichier
resource.pkt et déterminer les vulnérabilités relatives à ce routeur :
Capture1 :

Vulnérabilités observées :
1- Absence de protection (accès au mode privilégié) du console VTY par un mot de
passe crypté (No service password-encryption) : ce qui permet d´accéder de façon non
sécurisée à la configuration du périphérique et d´effacer le mot de passe. Elle également ne
permet pas aux utilisateurs malveillants de changer la valeur du registre de configuration et
d'accéder NVRAM. => la prochaine fois qu'un utilisateur tentera de se connecter en mode
utilisateur privilégié, un mot de passe vous sera demandé
Iskander BARGAOUI Module : TP Audit de sécurité STIC L3 SR-C

Zied JMAL A.U :2020-2021

2- Absence du service d’horodatage (Timestamping); No service timestamps log
datetime msec: D’où absence de protection du routeur contre un attaque de type
rejeu, ce qui permet à l’intrus de changer le « Timestamp » et renvoyer plusieurs
paquets à la fois avec numéro de séquence croissant différent.
3- Absence du service LOG pour l’horodatage : Ainsi l’administrateur ne peut pas
vérifier l’intégrité des paquets en suivant leurs horodatages.
 Les horodatages peuvent être ajoutés au débogage ou à l’enregistrement des
messages indépendamment. La forme de disponibilité de la commande ajoute des
horodatages au format HHHH :MM : SS, indiquant le temps écoulé depuis le
redémarrage du système. Le formulaire datetime de la commande ajoute des
horodatages au format MMM DD HH :MM : SS, indiquant la date et l’heure selon
l’horloge du système. Si l’horloge du système n’a pas été réglée, la date et l’heure
sont précédées d’un astérisque (*) pour indiquer que la date et l’heure ne sont
probablement pas correctes.
4- Absence du service Password-recovery qui permet à un utilisateur de récupérer son
mot de passe en cas d’oubli ou de perte.
5- Absence d’une règle de filtrage (Liste de contrôle d’accès ACL) se qui permettent un
niveau d’accès indésirable à plusieurs utilisateurs.
Capture2 :
Iskander BARGAOUI Module : TP Audit de sécurité STIC L3 SR-C

Zied JMAL A.U :2020-2021

1- Absence du service de commutation des paquets IPV6 (no ipv6 cef).
2- Limitation de l’accès aux périphériques avec mots de passe (line vty).
Capture 3 :
Iskander BARGAOUI Module : TP Audit de sécurité STIC L3 SR-C

Zied JMAL A.U :2020-2021

1- Absence de protection par mot de passe à l’accès réseau TELNET (Ligne VTY) ainsi
que la présence de la possibilité d’avoir 5 connexions TELNET simultanées sur ce
routeur.
2- Absence de définition du nom du routeur.
3- Absence de protection par mot de passe aux ligne Console 0 et auxiliaire (AUX).

2. Proposer les mesures nécessaires pour éliminer les vulnérabilités détectées et afin
des sécuriser le routeur. Il est nécessaire de donner les commandes à appliquer pour
éliminer ces vulnérabilités :
Pour les vulnérabilités observées on peut appliquer :
1. Protéger l’accès au mode privilégié (Service password encryption) afin que la
prochaine fois qu'un utilisateur tentera de se connecter en mode utilisateur
privilégié, un mot de passe sera demandé ce qui élimine la possibilité d’accès non
indésirable ce qui limite l’accès au mode d’exécution privilégié.
2. Activer l’horodatage (Timestamping Service) : La configuration des horodatages
vous aide à corréler les événements entre les périphériques réseau. Il est important
de mettre en œuvre une configuration correcte et cohérente d’horodatage de
journalisation pour vous assurer que vous êtes en mesure de corréler les données de
journalisation. Les horodatages doivent être configurés pour inclure la date et l’heure
avec une précision de milliseconde et pour inclure le fuseau horaire utilisé sur
l’appareil / Si vous préférez ne pas enregistrer les heures relatives à UTC, vous
pouvez configurer un fuseau horaire local spécifique et configurer ces informations
pour qu’elles soient présentes dans les messages générés.
3. Activer et ou configurer des Listes de contrôles d’accès afin d’empêcher un accès
ACL pour filtrer les paquets IP en fonction des options IP contenues dans le paquet.
Les options IP posent un problème de sécurité pour les périphériques réseau car ces
options doivent être traitées comme des paquets d’exception. Cela nécessite un
niveau d’effort CPU qui n’est pas nécessaire pour les paquets typiques qui traversent
le réseau. La présence d’options IP dans un paquet peut également indiquer une
tentative de contourner les contrôles de sécurité dans le réseau ou de modifier les
caractéristiques de transit d’un paquet. C’est pour ces raisons que les paquets avec
des options IP doivent être filtrés au bord du réseau.
4. Activer la journalisation (log) pour l’horodatage : La configuration des horodatages
vous aide à corréler les événements entre les périphériques réseau. Il est important
de mettre en œuvre une configuration correcte et cohérente d’horodatage de
journalisation pour vous assurer que vous êtes en mesure de corréler les données de
journalisation. Les horodatages doivent être configurés pour inclure la date et l’heure
avec une précision de milliseconde et pour inclure le fuseau horaire utilisé sur
l’appareil.
5. Activer la protection par mode passe pour l’accès distant au console VTY et AUX : et
cela car La configuration avec le câble console et HyperTerminal n'étant pas très
Iskander BARGAOUI Module : TP Audit de sécurité STIC L3 SR-C

Zied JMAL A.U :2020-2021

pratique, il est possible d'autoriser les administrateurs à se connecter au routeur via
une session Telnet à partir de n'importe quel poste des deux réseaux.
 Appliquer les politiques de mot de passes pour les différentes interfaces
(Authentification d’accès pour les utilisateurs).

3. Appliquer les mesures de correction pour éliminer les vulnérabilités détectées en

utilisant PacketTracer et mettre au niveau du compte rendu, le nouveau fichier de
configuration obtenu par suite de l’application des mesures de sécurisation du
routeur :
1- Configuration et association des mot de passes pour les différentes interfaces :
Iskander BARGAOUI Module : TP Audit de sécurité STIC L3 SR-C

Zied JMAL A.U :2020-2021

2- Configuration de l’horodatage :

3- Changement du nom du périphérique (Routeur) :

4- Configuration des ACL :

Permettre les adresses IP :