Hanine Abidi et Wissal Ayari Stic L3-SR-B

TP 5: Sécurisation d'un routeur

Sécurisation des accès et mots de passe :

Désactiver le service de réinitialisation des mots de passe

La fonction No Service Password-Recovery est une amélioration de la sécurité qui empêche

toute personne ayant accès à la console d'accéder à la configuration du routeur et d'effacer
le mot de passe.

Configurer la longueur minimale d’un mot de passe

La commande security passwords min-length permet de spécifier une longueur de mot de

passe minimale.

Limiter le nombre de tentatives de connexions échouées

La commande security authentication failure rate fournit un accès de sécurité amélioré au

routeur en générant des messages syslog après que le nombre de tentatives de connexion
infructueuses dépasse le taux de seuil configuré.

 Cette commande garantit qu'il n'y a pas d'échecs continus pour accéder au routeur

La commande login block-for bloquera toutes les connexions telnet et SSH à ce routeur si
des informations d'identification incorrectes sont entrées un nombre de fois spécifié.
 Une ACL permet de vérifier le flux traversant un routeur. Elle peut également
permettre de restreindre l’accès aux lignes virtuelles (vty). Elle se définie comme une
collection séquentielle d’instructions vérifiant des paramètres d’entête (ip, port…) pour
aboutir à un refus ou à une autorisation.

 Création d’une liste d'accès standard (login-permit-adm) qui autorise tous les paquets de
l'adresse IP source.

 Attribuez la liste d'accès à la classe d'accès en mode silencieux

Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)

Dans la configuration de la console de ligne, login est une commande de configuration

requise pour activer la vérification du mot de passe lors de la connexion.

 La commande login montre que la connexion est désactivée sur la ligne 198 jusqu'à ce
que 'mot de passe' soit défini.
 Autoriser juste les accès distants en SSH

Le protocole SSH utilise une communication sécurisée pour éviter que des informations
sensibles (configuration, login, mot de passe,…) soient interceptées durant leur transport
jusqu’à la console d’administration.

Configuration de la sécurité supplémentaire pour les lignes VTY, console et

AUX

La commandes service tcp-keepalives-in et service tcp-keepalives-out sert à surveiller

les connexions TCP vers et depuis le routeur. Ils peuvent mettre fin aux connexions si
le routeur ou le commutateur ne reçoit pas de réponse du périphérique distant.
Configuration de la sécurité SSH
SSH ou Secure Shell est fondamentalement une méthode sécurisée d’accéder et d’envoyer
des commandes à la CLI de votre routeur via une connexion réseau; sans avoir à
brancher un câble de console directement.
Verrouiller le routeur à l’aide de Cisco “auto-Secure”

 La commande autosecure utilisée pour désactiver les services IP courants qui peuvent
être exploités pour les attaques réseau, activer les services IP et les fonctionnalités qui
peuvent aider à la défense d'un réseau en cas d'attaque, et simplifier et renforcer la
configuration de sécurité du routeur.

Configuration d’un routeur pour l’utilisation de SDM

SDM :
Security Device Manager (Cisco SDM) est un outil de gestion de périphériques convivial
qui permet de configurer des fonctions de sécurité Cisco IOS et des connexions réseau par
l'intermédiaire d'une interface utilisateur graphique Web extrêmement intuitive.