Vous êtes sur la page 1sur 44

Jour 4 - Sécurité des routeurs et des commutateurs

Jour 4 Taches
 Lisez les notes de cours d'aujourd'hui (ci-dessous)
 Consultez les notes de cours d'hier
 Terminez le TP d'aujourd'hui
Les commutateurs et routeurs ne sont fournis avec aucune configuration de sécurité. Vous devez
l'ajouter en fonction des besoins de votre entreprise. Les commandes et procédures pour sécuriser
votre commutateur sont à peu près les mêmes que celles de votre routeur. Il est maintenant temps
de passer aux mesures pratiques que vous pouvez prendre pour sécuriser votre routeur contre les
tentatives de connexion et de reconfiguration, accidentelles ou malveillantes.
Mon premier emploi chez Cisco était dans l'équipe principale. Notre rôle consistait à aider les
clients avec les listes de contrôle d'accès, les mises à niveau IOS, la reprise après sinistre et les
tâches associées. L’une des premières choses qui m’a frappé a été le fait que de nombreux
ingénieurs n’avaient pas verrouillé leurs routeurs avec un mot de passe. Beaucoup de ceux qui ont
utilisé le mot de passe "password" ou "cisco" - probablement deux des plus faciles à deviner,
j'imagine!
Dans cette section du guide, nous examinerons les étapes de base à suivre sur chaque réseau pour
protéger vos routeurs.
Aujourd'hui, vous apprendrez ce qui suit:
• Protéger l'accès physique
• Accès Telnet
• Mode d'activation de la protection
• Journalisation du routeur
• Sécurisation du commutateur
Ce module correspond aux exigences suivantes du programme CCNA :
 Configurez et vérifiez les fonctionnalités de sécurité des périphériques réseau, telles que:
o Device password security
o Enable secret ou enable
o Transport
o Desactiver Telnet
o SSH
o VTYs (lignes virtuelles)
o Physical security
o Service password
 Décrire les méthodes d'authentification externes
 Configurez et vérifiez les fonctionnalités de sécurité des ports de commutation, telles que:
o Sticky MAC
o MAC address limitation
o Static/dynamic
o Violation modes
o Err disable
o Shutdown
o Protect restrict
o Shut down unused ports
o Err disable recovery
 Attribuez des ports inutilisés à un VLAN inutilisé
 Définissez le VLAN natif sur autre chose que VLAN 1
 Configurer et vérifier NTP en tant que client
Protéger l'accès physique
Étrange que lorsque vous considérez les conséquences désastreuses de la perte d'accès au
réseau pour une entreprise, vous trouvez souvent leur routeur assis sous le bureau de
quelqu'un!
L'équipement réseau doit être stocké dans une pièce sécurisée avec accès par clavier ou au
moins verrou et accès par clé. Les routeurs Cisco peuvent être des équipements très précieux et
sont des cibles attrayantes pour les voleurs. Plus le réseau est grand, plus l'équipement est
précieux et plus il est nécessaire de protéger les données et les fichiers de configuration du
routeur.

Accès à la console
Le port de console est conçu pour donner un accès physique au routeur afin de permettre les
configurations initiales et la reprise après sinistre. Toute personne ayant accès à la console
peut complètement effacer ou reconfigurer les fichiers, c'est pourquoi, pour cette raison, le
port de la console doit être protégé par un mot de passe en ajoutant un mot de passe ou un
nom d'utilisateur et un mot de passe locaux, comme illustré ci-dessous:
 Ajouter un mot de passe
Router(config)#line console 0
Router(config-line)#password cisco
Router(config-line)#login

◻ Ou ajoutez un nom d'utilisateur et un mot de passe locaux

Router(config)#username paul password cisco


Router(config)#line console 0

Router(config-line)#login local

Vous pouvez également créer un délai d'expiration sur les lignes de la console (et VTY) afin
qu'il se déconnecte après un certain laps de temps. La valeur par défaut est de 5 minutes.
Router(config)#line console 0
Router(config-line)#exec-timeout ?
<0-35791> Timeout in minutes
Router(config-line)#exec-timeout 2 ?
<0-2147483> Timeout in seconds
<cr>
Router(config-line)#exec-timeout 2 30
Router(config-line)#

Acces Telnet
Vous ne pouvez pas utiliser Telnet dans un routeur à moins que quelqu'un ajoute un mot de
passe aux lignes Telnet ou VTY. Encore une fois, vous pouvez ajouter un mot de passe aux lignes
VTY ou demander au routeur de rechercher un nom d'utilisateur et un mot de passe locaux
(dans le fichier de configuration ou le nom d'utilisateur et le mot de passe stockés sur un serveur
RADIUS / TACACS), comme indiqué ci-dessous:
Router(config-line)#line vty 0 15
Router(config-line)#password cisco

Router(config-line)#login ← or login local

La sortie ci-dessous est une session Telnet d'un routeur à un autre. Vous pouvez voir le nom d'hôte
changer lorsque vous obtenez un accès Telnet. Le mot de passe ne s'affichera pas lorsque vous le
saisissez:
Router1#telnet 192.168.1.2
Trying 192.168.1.2 ...Open
User Access Verification
Username: paul
Password:
Router2>

Si vous disposez d'une image IOS de sécurité, vous pouvez configurer le routeur pour autoriser
uniquement l'accès SSH plutôt que Telnet. L'avantage de ceci est que toutes les données sont
cryptées. Si vous essayez de Telnet après l'activation de SSH, la connexion sera interrompue:
Router1(config)#line vty 0 15
Router1(config-line)#transport input ssh
Router2#telnet 192.168.1.2
Trying 192.168.1.2 ...Open
[Connection to 192.168.1.2 closed by foreign host]

Protection du mode d'activation


Le mode Enable donne accès à la configuration du routeur, vous voudrez donc le protéger
également. Vous pouvez configurer un secret d'activation ou un mot de passe d'activation. En
fait, vous pourriez avoir les deux en même temps, mais c'est une mauvaise idée..
Un mot de passe d'activation n'est pas chiffré, il peut donc être vu dans la configuration du
routeur. Un secret d'activation reçoit un cryptage de niveau 5 (MD5), ce qui est difficile à
casser. Les nouvelles versions IOS (à partir de 15.0 (1) S) peuvent également utiliser le
cryptage de niveau 4 (SHA256), qui est supérieur au cryptage MD5 (ce cryptage de niveau 5
sera éventuellement déconseillé). Vous pouvez ajouter la commande service password
encryption à votre mot de passe enable, mais cela peut être facilement craqué car il s'agit
d'un cryptage de niveau 7 (c.-à-d. Faible sécurité; Cisco l'appelle «sécurité par dessus
l'épaule», car il ne nécessite que quelqu'un qui regarde par-dessus votre épaule pour
mémoriser une phrase un peu plus difficile, puis la déchiffrer à l'aide des outils de décryptage
de password 7 sur Internet). Vous pouvez voir le cryptage de niveau 7 et de niveau 5 dans la
sortie ci-dessous:
Router(config)#enable password cisco
Router(config)#exit
Router#show run
enable password cisco
Router(config)#enable password cisco
Router(config)#service password-encryption
Router#show run
enable password 7 0822455D0A16
Router(config)#enable secret cisco
Router(config)#exit
Router#show run
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

Gardez à l'esprit que si vous oubliez le mot de passe d'activation, vous devrez effectuer une
récupération de mot de passe sur le routeur ou le commutateur. Google le terme pour le
modèle particulier que vous utilisez, car le processus diffère. Pour les routeurs, cela implique
de recharger le périphérique, d'appuyer sur la touche d'arrêt désignée de votre clavier, de
définir le registre de configuration pour ignorer le fichier de configuration de démarrage
(généralement à 0x2142), puis d'émettre une commande copy start run afin que vous
puissiez créer un nouveau mot de passe.
Pour les commutateurs, c'est un peu plus compliqué (encore une fois, Google le terme pour le
modèle particulier que vous utilisez), mais cela peut également être fait en utilisant une petite
astuce - maintenez le bouton MODE enfoncé pendant huit secondes tout en allumant le
commutateur. Le commutateur démarrera avec une configuration vide et la dernière
configuration de démarrage sera enregistrée dans la mémoire flash dans le fichier nommé
config.text.renamed afin qu'elle puisse être recopiée dans la configuration en cours et modifiée
avec un autre mot de passe..

Protéger l'accès des utilisateurs


Cisco IOS offre la possibilité de donner aux utilisateurs des mots de passe et des noms d'utilisateur
individuels, ainsi que l'accès à une liste restreinte de commandes. Cela serait utile si vous disposez
de plusieurs niveaux de support réseau. Un exemple de ceci est montré dans la sortie suivante:
RouterA#config term
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#username paul password cisco

RouterA(config)#username stuart password hello


RouterA(config)#username davie password football
RouterA(config)#line vty 0 4
RouterA(config-line)#login local
RouterA(config-line)#exit
RouterA(config)#exit

Vous pouvez spécifier des niveaux d'accès pour les comptes d'utilisateurs sur le routeur. Vous
souhaiterez peut-être, par exemple, que les membres de l'équipe réseau junior ne puissent utiliser
que certaines commandes de dépannage de base. Il convient également de rappeler que les
routeurs Cisco ont deux modes de sécurité par mot de passe, le mode utilisateur (Exec) et le mode
privilégié (activer).
Les routeurs Cisco ont 16 niveaux de privilèges différents (0 à 15) disponibles à configurer, où 15
est un accès complet, comme illustré ci-dessous:
RouterA#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#username support privilege 4 password soccer
LINE Initial keywords of the command to modify
RouterA(config)#privilege exec level 4 ping
RouterA(config)#privilege exec level 4 traceroute
RouterA(config)#privilege exec level 4 show ip interface brief
RouterA(config)#line console 0
RouterA(config-line)#password basketball RouterA(config-
line)#login local  le mot de passe est nécessaire
RouterA(config-line)#^z

La personne de support se connecte au routeur et essaie de passer en mode configuration, mais


cette commande et toute autre commande non disponible ne sont pas valides et ne peuvent pas
être vues:
RouterA con0 is now available
Press RETURN to get started.
User Access Verification
Username: support
Password:
RouterA#config t  pas autorisé à utiliser cette commande
^
% Invalid input detected at ‘^’ marker.

Vous pouvez voir les niveaux de privilège par défaut aux invites du routeur:
Router>show privilege
Current privilege level is 1
Router>en
Router#show priv
Router#show privilege
Current privilege level is 15
Router#

Mise à jour de l'IOS


Certes, la mise à jour de l'IOS peut parfois introduire de nouveaux bogues ou problèmes
dans votre réseau, il est donc recommandé de le faire sur les conseils de Cisco si vous
avez un contrat de support TAC. En général, cependant, il est fortement recommandé de
garder votre IOS à jour.
Mettre à jour votre IOS :
◻ Corrige les bugs connus
◻ Élimine les vulnérabilités de sécurité
◻ Offre des fonctionnalités améliorées et des capacités IOS

Logging du Routeur (Journalisation du routeur)


Les routeurs offrent la possibilité de consigner des événements. Ils peuvent envoyer les
messages du journal à votre écran ou à un serveur si vous le souhaitez. Vous devez enregistrer
les messages du routeur et huit niveaux de gravité de journalisation sont disponibles (vous
devez les connaître pour l'examen), comme indiqué en gras dans la sortie ci-dessous:
logging buffered ?
<0-7>Logging severity level alerts—
Immediate action needed (severity=1)
critical—Critical conditions (severity=2)
debugging—Debugging messages (severity=7)
emergencies—System is unusable (severity=0)
errors—Error conditions (severity=3)
informational—Informational messages (severity=6)
notifications—Normal but significant conditions (severity=5)
warnings—Warning conditions (severity=4)

Vous pouvez envoyer les messages de journalisation à plusieurs endroits:


Router(config)#logging ?
A.B.C.D IP address of the logging host
buffered Set buffered logging parameters
console Set console logging parameters
host Set syslog server IP address and parameters
on Enable logging to all enabled destinations
trap Set syslog server logging level
userinfo Enable logging of user info on privileged mode enabling

Les messages de journalisation seront généralement affichés à l'écran lorsque vous êtes
consolidé dans le routeur. Cela peut s'avérer quelque peu gênant si vous tapez des commandes
de configuration. Ici, je tape une commande (soulignée) lorsqu'elle est interrompue par un
message de journalisation de la console:
Router(config)#int f0/1
Router(config-if)#no shut
Router(config-if)#end
Router#
*Jun 27 02:06:59.951: %SYS-5-CONFIG_I: Configured from console by console show ver
*Jun 27 02:07:01.151: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

Vous pouvez désactiver les messages de journalisation avec la commande no logging console oit
les configurer pour ne pas les interrompre au fur et à mesure que vous tapez avec la commande
logging synchronous qui réintègre la ligne que vous étiez en train de saisir avant d'être interrompu
par le message de journalisation (également disponible sur Lignes VTY).
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config-line)#
Router(config-line)#exit
Router(config)#int f0/1
Router(config-if)#shut
Router(config-if)#exit
Router(config)#
*Jun 27 02:12:46.143: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to
administratively down
Router(config)#exit

Il convient de mentionner ici que vous ne verrez pas la sortie de la console lorsque vous êtes
connecté à Telnett (ou que vous utilisez SSH) dans le routeur. Si vous souhaitez voir les messages
de journalisation lorsque Telnetted est connecté, émettez la commande terminal monitor.

Simple Network Management Protocol (SNMP)


SNMP est un service que vous pouvez utiliser pour gérer votre réseau à distance. Il se compose d'une
station centrale gérée par un administrateur exécutant le logiciel de gestion SNMP et de fichiers plus
petits (agents) sur chacun de vos périphériques réseau, y compris les routeurs, les commutateurs et
les serveurs.
Plusieurs fournisseurs ont conçu des logiciels SNMP, notamment HP, Cisco, IBM et SolarWinds. Il
existe également des versions open source disponibles. Ce logiciel vous permet de surveiller la bande
passante et l'activité sur les périphériques, comme les connexions et l'état des ports.
Vous pouvez configurer ou arrêter à distance des ports et des périphériques à l'aide de SNMP. Vous
pouvez également le configurer pour envoyer des alertes lorsque certaines conditions sont remplies,
telles qu'une bande passante élevée ou des ports en panne.

Sécurisation du commutateur
Empêcher l'accès Telnet
Le trafic Telnet envoie le mot de passe en texte clair, ce qui signifie qu'il pourrait être facilement
lu sur la configuration ou par un sniffer réseau, s'il y en avait un attaché à votre réseau.
Telnet est en fait désactivé par défaut (c'est-à-dire que vous devez définir un mot de passe et,
éventuellement, un nom d'utilisateur pour le faire fonctionner). Toutefois, si vous souhaitez
toujours avoir un accès à distance aux ports de gestion, vous pouvez activer le trafic SSH vers le
commutateur avec la commande transport input ssh qui a été abordée précédemment.
Activer SSH
Lorsque cela est possible, vous devez toujours utiliser SSH au lieu de Telnet et SNMP pour
accéder à vos commutateurs. SSH signifie Secure Shell et permet un échange sécurisé
d'informations entre deux appareils sur un réseau. SSH utilise la cryptographie à clé publique
pour authentifier le périphérique de connexion. Les versions 1 et 2 de Telnet et SNMP ne sont
pas chiffrées et sont susceptibles de renifler les paquets (la version 3 de SNMP offre la
confidentialité - le chiffrement des paquets pour empêcher le snooping par une source non
autorisée). SSH, en revanche, est crypté.
Pour activer SSH, vous devez disposer d'une version d'IOS prenant en charge le chiffrement. Un
moyen rapide de le découvrir est la commande show version. Recherchez K9 dans le nom de fichier
et / ou la déclaration de sécurité de Cisco Systems.
Switch#sh version
Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICES K9-M), Version
12.2(35)SE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Tue 19-Dec-06 10:54 by antonio
Image text-base: 0x00003000, data-base: 0x01362CA0
ROM: Bootstrap program is C3560 boot loader
BOOTLDR: C3560 Boot Loader (C3560-HBOOT-M) Version 12.2(25r)SEC, RELEASE
SOFTWARE (fc4)
Switch uptime is 1 hour, 8 minutes
System returned to ROM by power-on
System image file is “flash:/c3560-advipservicesk9-mz.122-35.SE1.bin”
This product contains cryptographic features and is subject to United States and local
country laws governing import, export, transfer and use. Delivery of Cisco cryptographic
products does not imply third-party authority to import, export, distribute or use
encryption. Importers, exporters, distributors and users are responsible for compliance
with U.S. and local country laws. By using this product you agree to comply with
applicable laws and regulations. If you are unable to comply with U.S. and local laws,
return this product immediately. A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to export@cisco.com.
--More-

REMARQUE: si vous ne disposez pas d'une version de sécurité de l'IOS, vous devez acheter une licence pour celui-ci.

Pour une connexion cryptée, vous devrez créer une clé privée / publique sur le commutateur (voir
ci-dessous). Lorsque vous vous connectez, utilisez la clé publique pour crypter les données et le
commutateur utilisera sa clé privée pour décrypter les données. Pour l'authentification, utilisez la
combinaison nom d'utilisateur / mot de passe que vous avez choisie. Ensuite, définissez le nom
d'hôte et le nom de domaine du commutateur car les clés privées / publiques seront créées à
l'aide de la nomenclature hostname.domainname. De toute évidence, il est logique que la clé
porte un nom représentant le système..
Tout d'abord, assurez-vous que vous avez un nom d'hôte autre que celui par défaut, qui est
Switch. Ensuite, ajoutez votre nom de domaine (cela correspond généralement à votre nom de
domaine complet dans Windows Active Directory). Ensuite, créez la clé de chiffrement qui sera
utilisée pour le chiffrement. Le module sera la longueur des clés que vous souhaitez utiliser,
dans la plage de 360 à 2048, cette dernière étant la plus sûre; 1024 et plus est considéré comme
sécurisé. À ce stade, SSH est activé sur le commutateur. Vous devez également saisir quelques
commandes de maintenance. La commande ip ssh time-out 60 expirera toute connexion SSH
inactive depuis 60 secondes. La commande ip ssh authentication-retries 2 réinitialisera la
connexion SSH initiale si l'authentification échoue deux fois. Cela n'empêchera pas l'utilisateur
d'établir une nouvelle connexion et de réessayer l'authentification. Ce processus est illustré
dans la sortie ci-dessous:
Switch(config)#hostname SwitchOne
SwitchOne(config)#ip domain-name mydomain.com
SwitchOne(config)#crypto key generate rsa
Enter modulus: 1024
SwitchOne(config)#ip ssh time-out 60
SwitchOne(config)#ip ssh authentication-retries 2

Vous pouvez éventuellement activer SSH version 2 avec la commande ip ssh version 2. Jetons un
coup d'œil à l'une des clés. Dans cet exemple, la clé a été générée pour HTTPS. Étant donné que la
clé a été générée automatiquement lors de l'activation de HTTPS, le nom sera également généré
automatiquement.
firewall#show crypto key mypubkey rsa
Key name: HTTPS_SS_CERT_KEYPAIR.server
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
306C300D 06092A86 4886F70D 01010105 00035B00 30580251 00C41B63 8EF294A1
DC0F7378 7EF410F6 6254750F 475DAD71 4E1CD15E 1D9086A8 BD175433 1302F403
2FD22F82 C311769F 9C75B7D2 1E50D315 EFA0E940 DF44AD5A F717BF17 A3CEDBE1
A6A2D601 45F313B6 6B020301 0001

Pour vérifier que SSH est activé sur le commutateur, entrez la commande suivante:
Switch#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 2
Switch#

Si vous avez activé SSH, vous devriez probablement désactiver Telnet et HTTP. Lorsque vous
entrez la commande transport input command, tout protocole entré après il est autorisé. Tout
protocole non saisi n'est pas autorisé. Dans la sortie ci-dessous, vous pouvez voir que seul SSH est
autorisé:
line vty 0 15
transport input ssh

La sortie suivante montre que SSH et Telnet sont autorisés:


line vty 0 15
transport input ssh telnet

Vous pouvez désactiver l'accès HTTP avec une simple commande:


Switch(config)#no ip http server

Pour afficher l'état du serveur HTTP sur le commutateur:


Switch#show ip http server status
HTTP server status: Disabled
HTTP server port: 80
HTTP server authentication method: enable
HTTP server access class: 0
HTTP server base path: flash:html
Maximum number of concurrent server connections allowed: 16
Server idle time-out: 180 seconds
Server life time-out: 180 seconds
Maximum number of requests allowed on a connection: 25
HTTP server active session modules: ALL
HTTP secure server capability: Present
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-12
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint:
HTTP secure server active session modules: ALL

Vous pouvez également appliquer une liste de contrôle d'accès aux lignes VTY et autoriser
uniquement SSH. Nous couvrirons les listes de contrôle d'accès le jour 9.
Définir un Mot de Passe Enable Secret
Le mode de configuration globale permettra à un utilisateur de configurer le commutateur ou
le routeur et d'effacer les configurations, ainsi que de réinitialiser les mots de passe. Vous
devez protéger ce mode en définissant un mot de passe ou un mot de passe secret (qui
empêche en fait l'utilisateur de passer le mode utilisateur). Le mot de passe secret sera affiché
sur les routeurs exécutant le fichier de configuration, tandis que le mot de passe enable secret
sera chiffré.
J'ai déjà mentionné que vous pouvez en fait avoir à la fois un mot de passe et un mot de passe
d'activation secret sur votre routeur et commutateur, mais cela peut prêter à confusion.
Définissez simplement le mot de passe secret d'activation. Le fichier de configuration ci-dessous
illustre comment émettre une commande sans revenir en mode privilégié en tapant do avant la
commande:
Switch1(config)#enable password cisco
Switch1(config)#do show run
Building configuration...
Current configuration: 1144 bytes
hostname Switch1
enable password cisco

“Vous pouvez crypter le mot de passe enable secret avec la commande service password-encryption ”.

Vous pouvez effacer la plupart des lignes de configuration en la relançant avec le mot no avant
la commande. Il est également intéressant de noter que, vous pouvez émettre une commande
service password- encryption mais cela n'offre qu'un cryptage faible (niveau 7), alors qu'en
dessous, le mot de passe secret a un cryptage fort (MD5).:
Switch1(config)#no enable password
Switch1(config)#enable secret cisco
Switch1(config)#do show run
Building configuration...
Current configuration: 1169 bytes
hostname Switch1
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 [strong level 5 password]
Services
Vous devez toujours désactiver les services que vous n'allez pas utiliser. Cisco a fait du bon
travail en ne permettant pas de services / protocoles non sécurisés ou rarement utilisés;
cependant, vous voudrez peut-être les désactiver juste pour être sûr. Certains services sont
également utiles. La majorité des services se trouvent sous la commande service en mode de
configuration globale.
Switch(config)# service ?
compress-config Compress the configuration file
config TFTP load config files
counters Control aging of interface counters
dhcp Enable DHCP server and relay agent
disable-ip-fast-frag Disable IP particle-based fast fragmentation
exec-callback Enable EXEC callback
exec-wait Delay EXEC startup on noisy lines
finger Allow responses to finger requests
hide-telnet-addresses Hide destination addresses in telnet command
linenumber enable line number banner for each exec
nagle Enable Nagle’s congestion control algorithm
old-slip-prompts Allow old scripts to operate with slip/ppp
pad Enable PAD commands
password-encryption Encrypt system passwords
password-recovery Disable password recovery
prompt Enable mode specific prompt
pt-vty-logging Log significant VTY-Async events
sequence-numbers Stamp logger messages with a sequence number
slave-log Enable log capability of slave IPs
tcp-keepalives-in Generate keepalives on idle incoming network
connections
tcp-keepalives-out Generate keepalives on idle outgoing network
connections
tcp-small-servers Enable small TCP servers (e.g., ECHO)
telnet-zeroidle Set TCP window 0 when connection is idle
timestamps Timestamp debug/log messages
udp-small-servers Enable small UDP servers (e.g., ECHO)

De manière générale, les services les plus courants à activer / désactiver sont répertoriés ci-
dessous. La description du service est entre crochets [].
 no service pad [assembleur / désassembleur de paquets, utilisé dans les réseaux
asynchrones; rarement utilisé]
 no service config [empêche le commutateur d'obtenir son fichier de configuration du
réseau]
 no service finger [désactive le serveur finger; rarement utilisé]
 no ip icmp redirect [empêche les redirections ICMP, qui peuvent être utilisées pour
l'empoisonnement du routeur]
 no ip finger [une autre façon de désactiver le service finger]
 no ip gratuitous-arps [désactiver pour empêcher les attaques man-in-the-middle]
 no ip source-route [désactive le routage saut par saut fourni par l'utilisateur vers la
destination]
 service sequence-numbers [dans chaque entrée de journal, lui donne un numéro et augmente
séquentiellement]
 service tcp-keepalives-in [empêche le routeur de garder ouvertes les sessions de gestion
bloquées]
 service tcp-keepalives-out [identique a service tcp-keepalives-in]

 no service udp-small-servers [désactive l'écho, la charge, la suppression, le jour; rarement


utilisé]
 no service tcp-small-servers [désactive l'écho, la charge, la suppression; rarement utilisé]
 service timestamps debug datetime localtime show-timezone [horodate chaque paquet
enregistré (en mode débogage) avec la date et l'heure, en utilisant l'heure locale, et
affiche le fuseau horaire]
 service timestamps log datetime localtime show-timezone [horodate chaque paquet
journalisé (pas en mode débogage) avec la date et l'heure, en utilisant l'heure locale, et
affiche le fuseau horaire - très utile pour observer le fichier journal (surtout si l'horloge est
configurée correctement)]
Changer le VLAN Natif
Le VLAN natif est utilisé par le commutateur pour transporter un trafic de protocole
spécifique, tel que les informations de Cisco Discovery Protocol (CDP), VLAN Trunking
Protocol (VTP), Port Aggregation Protocol (PAgP) et Dynamic Trunking Protocol (DTP). Le
VLAN natif par défaut est toujours VLAN 1; cependant, le VLAN natif peut être changé
manuellement en n'importe quel numéro de VLAN valide (sauf pour 0 et 4096, car ils sont
dans la plage réservée des VLAN).
Vous pouvez vérifier le VLAN natif avec les commandes (émises par interface) illustrées dans
la sortie ci-dessous:
Switch#show interfaces FastEthernet0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none

Avoir des ports dans le VLAN 1 est considéré comme une vulnérabilité de sécurité qui permet
aux pirates d'accéder aux ressources du réseau. Pour atténuer ce problème, il est conseillé
d'éviter de mettre des hôtes dans le VLAN 1. Vous pouvez également changer le VLAN natif sur
tous les ports de jonction en un VLAN inutilisé:
Switch(config-if)#switchport trunk native vlan 888

REMARQUE: C'est l'un des objectifs clés du programme CCNA, alors gardez-le à l'esprit.

Vous pouvez également empêcher les données VLAN natives de passer sur le tronc avec la
commande ci-dessous:
Switch(config-if)#switchport trunk allowed vlan remove 888

Changer le VLAN de Management


Vous pouvez également ajouter une adresse IP au commutateur pour vous permettre de
Telnet à des fins de gestion. Ceci est appelé une interface virtuelle de commutateur (SVI). C'est
une sage précaution d'avoir cet accès de gestion dans un VLAN autre que VLAN 1, comme
indiqué dans la sortie ci-dessous:
Switch(config)#vlan 3
Switch(config-vlan)#interface vlan3
%LINK-5-CHANGED: Interface Vlan3, changed state to up
Switch(config-if)#ip address 192.168.1.1 255.255.255.0

Turn Off CDP


Cisco Discovery Protocol (CDP) will be covered later, but for now, you just need to know that it
is turned on by default on most routers and switches universally and per interface, and its
function is to discover attached Cisco devices. You may not want other Cisco devices to see
information about your network devices, so you can turn this off, at least on the devices at the
edge of your network which connect to other companies or your ISP.
"CDP n'est pas activé par défaut sur toutes les plates-formes, telles que les routeurs ASR, par exemple."

Dans la sortie ci-dessous, vous pouvez voir comment un routeur connecté à mon commutateur est
capable de voir les informations de base lorsque j'émets la commande show cdp neighbor detail:
Router#show cdp neighbor detail
Device ID: Switch1
Entry address(es):
Platform: Cisco 2960, Capabilities: Switch
Interface: FastEthernet0/0, Port ID (outgoing port): FastEthernet0/2
Holdtime: 176
Version :
Cisco Internetwork Operating System Software
IOS (tm) C2960 Software (C2960-I6Q4L2-M), Version 12.1(22)EA4, RELEASE SOFTWARE(fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 18-May-05 22:31 by jharirba
advertisement version: 2
Duplex: full
Router#

La commande ci-dessous désactivera CDP pour tout le périphérique:


Switch1(config)#no cdp run

Pour désactiver CDP pour une interface particulière, exécutez la commande suivante:
Switch1(config)#int FastEthernet0/2
Switch1(config-if)#no cdp enable

Ajouter un message de bannière


Un message de bannière s'affiche lorsqu'un utilisateur se connecte à votre routeur ou
commutateur. Il n'offrira aucune sécurité réelle mais affichera un message d'avertissement de
votre choix. Dans la configuration ci-dessous, j'ai choisi la lettre Y comme caractère de
délimitation, ce qui indique au routeur que j'ai fini de taper mon message:
Switch1(config)#banner motd Y
Enter TEXT message. End with the character ‘Y’.
KEEP OUT OR YOU WILL REGRET IT Y
Switch1(config)#

Lorsque je Telnet vers le commutateur de mon routeur, je peux voir le message de bannière.
L'erreur a été de choisir Y comme caractère de délimitation car il coupe mon message:
Router#telnet 192.168.1.3
Trying 192.168.1.3 ...Open
KEEP OUT OR

Les messages de bannière peuvent être:


 S'affiche avant que l'utilisateur ne voit l'invite de connexion – MOTD (message of the day)
 S'affiche avant que l'utilisateur ne voit l'invite de connexion – Login
 Montré à l'utilisateur après l'invite de connexion – Exec (utilisé lorsque vous souhaitez
masquer les informations des utilisateurs non autorisés)
Bannières dans le cadre des laboratoires de ce livre. Je vous suggère d'apprendre à configurer
les trois types et de les tester en vous connectant au routeur. Vous aurez différents choix en
fonction de votre plate-forme et de l'IOS:
Router(config)#banner ?
LINE c banner-text c, where ‘c’ is a delimiting character
exec Set EXEC process creation banner
incoming Set incoming terminal line banner
login Set login banner
motd Set Message of the Day banner
prompt-timeout Set Message for login authentication timeout
slip-ppp Set Message for SLIP/PPP

Définir un mot de passe VTP


VTP garantit que des informations VLAN précises sont transmises entre les commutateurs de
votre réseau. Afin de protéger ces mises à jour, vous devez ajouter un mot de passe VTP sur
votre commutateur (il doit correspondre à tous les commutateurs du domaine VTP), comme
illustré dans la sortie ci-dessous:
Switch1(config)#vtp domain 60days
Changing VTP domain name from NULL to 60days
Switch1(config)#vtp password cisco
Setting device VLAN database password to cisco
Switch1(config)#

Restreindre les informations VLAN


Par défaut, les commutateurs autorisent tous les VLAN sur les liaisons de jonction. Vous pouvez
changer cela en spécifiant quels VLAN peuvent passer, comme illustré dans la sortie suivante:
Switch1(config)#int FastEthernet0/4 Switch1(config-
if)#switchport mode trunk Switch1(config-
if)#switchport trunk allowed vlan ?
WORD VLAN IDs of the allowed VLANs when this port is in trunking mode
add add VLANs to the current list
all all VLANs
except all VLANs except the following
none no VLANs
remove remove VLANs from the current list
Switch1(config-if)#switchport trunk allowed vlan 7-12

Switch1#show interface trunk


Port Mode Encapsulation Status Native vlan
Fa0/4 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/4 7-12

Error Disable Recovery


Une série d'événements peut amener les commutateurs Cisco à mettre leurs ports dans un mode
désactivé spécial appelé err-disabled. Cela signifie essentiellement qu'un port particulier a été
désactivé (arrêté) en raison d'une erreur. Cette erreur peut avoir plusieurs causes, l'une des plus
courantes étant une violation d'une politique de sécurité de port. Il s'agit d'un comportement
normal lorsqu'un utilisateur non autorisé tente de se connecter à un port de commutateur et
empêche les périphériques non autorisés d'accéder au réseau.
Un port désactivé par erreur peut ressembler à ceci:
Switch# show interface f0/1
FastEthernet0/1 is down, line protocol is down [err-disabled]
.....

Afin de réactiver une interface désactivée par erreur, une intervention manuelle est nécessaire
en émettant des commandes shutdown et no shutdown sur l'interface (en référence à un rebond
du port par les ingénieurs réseau). Cependant, certaines situations peuvent nécessiter une
récupération automatique de l'état du port d'origine au lieu d'attendre qu'un administrateur
active manuellement le port. Le mode de récupération err-disable fonctionne en configurant le
commutateur pour réactiver automatiquement un port err-désactivé après une certaine
période, en fonction de l'événement qui a généré l'échec. Cela fournit une granularité pour
décider quels événements peuvent être surveillés par la fonction de récupération err-disable..
La commande pour ce faire est errdisable recovery cause, entrée sous le mode de configuration
du routeur global:
Switch(config)#errdisable recovery cause ?
all Enable timer to recover from all causes
bpduguard Enable timer to recover from bpdu-guard error disable state
dtp-flap Enable timer to recover from dtp-flap error disable state
link-flap Enable timer to recover from link-flap error disable state
pagp-flap Enable timer to recover from pagp-flap error disable state
rootguard Enable timer to recover from root-guard error disable state
udld Enable timer to recover from udld error disable state
......

La commande errdisable recovery cause peut varier en fonction du modèle d'appareil, mais les
paramètres les plus courants sont:
 all
 arp-inspection
 bpduguard
 dhcp-rate-limit
 link-flap
 psecure-violation
 security-violation
 storm-control
 udld
Le temps après lequel le port est automatiquement restauré est de 300 secondes par défaut sur la
plupart des plates-formes, mais cela peut être configuré manuellement avec la commande de
configuration globale errdisable recovery interval:
Switch(config)#errdisable recovery interval ?
<30-86400> timer-interval(sec)

La commande show errdisable recovery fournira des informations sur les fonctionnalités actives
surveillées par la fonction de récupération err-disable et sur les interfaces surveillées, y compris le
temps restant avant que l'interface soit activée.
Switch#show errdisable recovery
ErrDisable Reason Timer Status

arp-inspection Disabled
bpduguard Disabled
channel-misconfig Disabled
dhcp-rate-limit Disabled
dtp-flap Disabled
gbic-invalid Disabled
inline-power Disabled
l2ptguard Disabled
link-flap Disabled
mac-limit Disabled
link-monitor-failure Disabled
loopback Disabled
oam-remote-failure Disabled
pagp-flap Disabled
port-mode-failure Disabled
psecure-violation Enabled
security-violation Disabled
sfp-config-mismatch Disabled
storm-control Disabled
udld Disabled
unicast-flood Disabled
vmps Disabled
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)

Fa0/0 psecure-violation 193

Méthodes d'authentification externes


Plutôt que de stocker les noms d'utilisateur et les mots de passe localement, vous pouvez utiliser
un serveur qui exécute généralement AAA ou TACACS +. L'avantage de cette méthode est de ne
pas avoir à saisir manuellement les noms d'utilisateur et les mots de passe sur chaque routeur et
commutateur. Au lieu de cela, ils sont stockés sur la base de données du serveur.
TACACS + signifie Terminal Access Controller Access Control System Plus. Il s'agit d'un protocole
propriétaire Cisco qui utilise le port TCP 49. TACACS + fournit un contrôle d'accès pour les
périphériques réseau, y compris les routeurs et les serveurs d'accès réseau via un ou plusieurs
serveurs centralisés.
RADIUS est l'acronyme de Remote Authentication Dial-In User Service. C'est un système de sécurité
réseau distribué qui sécurise l'accès distant au réseau et un protocole client / serveur qui utilise
UDP. RADIUS est un standard ouvert.
Si vous avez TACACS + ou RADIUS, vous pouvez activer l'authentification, l'autorisation et la
comptabilité (AAA). AAA est installé sur un serveur et surveille une base de données de comptes
utilisateurs pour le réseau. L'accès des utilisateurs, les protocoles, les connexions et les raisons de
déconnexion, ainsi que de nombreuses autres fonctionnalités, peuvent être surveillés.
Les routeurs et commutateurs peuvent être configurés pour interroger le serveur lorsqu'un
utilisateur tente de se connecter. Le serveur valide alors l'utilisateur. Il ne faut pas s'attendre à ce
que vous configuriez ces protocoles pour l'examen CCNA.
Horloge du routeur et NTP
L'heure d'un interrupteur est souvent négligée; cependant, c'est très important. Lorsque vous
rencontrez des violations de sécurité, des interruptions SNMP ou la journalisation des
événements, il utilise un horodatage. Si l'heure de votre commutateur est incorrecte, il sera
difficile de déterminer quand l'événement s'est produit. Par exemple, examinons le
commutateur ci-dessous et vérifions l'heure:
Switch#show clock
*23:09:45.773 UTC Tue Mar 2 1993
L’heure n’est pas exacte, alors changeons-la. Mais d'abord, définissons quelques attributs:
clock timezone CST -6
clock summer-time CDT recurring
clock summer-time CST recurring 2 Sun Mar 2:00 1 Sun Nov 2:00

Commençons par définir le fuseau horaire. Je suis dans le fuseau horaire du centre et je suis à 6
heures de l'heure GMT. Ensuite, dites au commutateur que l'heure d'été (le changement d'heure)
est récurrente. Enfin, définissez ce qu'est vraiment l'heure d'été. Maintenant, réglons l'heure et la
date:
Switch#clock set 14:55:05 June 19 2007
Switch#
1d23h: %SYS-6-CLOCKUPDATE: System clock has been updated from 17:26:01 CST
Tue Mar 2 1993 to 14:55:05 CST Tue Jun 19 2007, configured from console by console.
Switch#show clock
14:55:13.858 CST Tue Jun 19 2007

Notez que l'horloge a été réglée en mode Activer, pas en mode Configuration. Vous pouvez
également utiliser NTP. NTP signifie Network Time Protocol et vous permet de synchroniser
l'horloge de votre commutateur sur une horloge atomique, garantissant une heure très précise.
Switch(config)#ntp server 134.84.84.84 prefer
Switch(config)#ntp server 209.184.112.199

Vous pouvez voir si votre horloge s'est synchronisée avec vos sources NTP avec les deux
commandes suivantes:
Switch#show ntp associations
Switch#show ntp status

Nous couvrirons NTP plus en détail le jour 40..

Arrêter les ports inutilisés


Les ports inutilisés ou «vides» de tout périphérique réseau présentent un risque de sécurité,
car quelqu'un pourrait y brancher un câble et connecter un périphérique non autorisé au
réseau. Cela peut entraîner un certain nombre de problèmes, notamment:
 Le réseau ne fonctionne pas comme il se doit
 Informations réseau vulnérables aux personnes extérieures
C'est pourquoi vous devez fermer tous les ports qui ne sont pas utilisés sur les routeurs,
commutateurs et autres périphériques réseau. Selon le périphérique, l'état d'arrêt peut être la
valeur par défaut, mais vous devez toujours le vérifier.
L'arrêt d'un port se fait avec la commande shutdown sous le mode de configuration d'interface:
Switch#conf t
Switch(config)#int fa0/0
Switch(config-if)#shutdown
Vous pouvez vérifier qu'un port est en état d'arrêt de plusieurs manières, dont l'une utilise la
commande show ip interface brief :
Router(config-if)#do show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES unset administratively down down
FastEthernet0/1 unassigned YES unset administratively down down

Notez que l'état administrativement arrêté signifie que le port a été arrêté manuellement. Une
autre façon de vérifier l'état d'arrêt consiste à utiliser la commande show interface:
Router#show interface fa0/0
FastEthernet0/0 is administratively down, line protocol is down
Hardware is Gt96k FE, address is c200.27c8.0000 (bia c200.27c8.0000)
MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,

......
Cisco Discovery Protocol (CDP)
Now is as good a time as any to discuss Cisco Discovery Protocol.
Le moment est idéal pour discuter du protocole de découverte Cisco.
CDP est un sujet d'examen brûlant car il permet de découvrir des informations sur les
périphériques réseau avant l'application de toute configuration. C'est un outil de dépannage très
utile; cependant, il présente également un risque pour la sécurité.
CDP est la propriété de Cisco, ce qui signifie qu'il ne fonctionnera que sur les périphériques Cisco.
Il s'agit d'un service de couche 2 utilisé par les appareils pour annoncer et découvrir des
informations de base sur les voisins directement connectés. La version IEEE de CDP est le
protocole LLDP (Link Layer Discovery Protocol), mais cela n'est pas inclus dans le programme
CCNA.
Comme CDP est un service de couche 2, il ne nécessite pas la configuration des adresses IP pour
échanger des informations. L'interface doit seulement être activée. Si une adresse IP est
configurée, elle sera incluse dans le message CDP. CDP est un outil de dépannage très puissant et
vous devrez comprendre comment l'utiliser dans l'examen. La figure 4.1 ci-dessous montre les
sorties CDP du routeur 0. Imaginez si on vous demandait de dépanner ce réseau mais que vous
n'aviez pas de diagramme de topologie à partir duquel travailler.
Figure 4.1 – CDP Outputs from Router 0

Les sorties de configuration suivantes correspondent à la figure 4.1:


Router0#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge, S - Switch, H -
Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Interface Holdtime Capability Platform Port
Switch Fas 0/0 165 S 2960 Fas 0/1
Router Fas 0/1 169 R C1841 Fas 0/0
Router0#

Vous pouvez voir plus d'informations en ajoutant la commande detail à la fin :


Router0#show cdp neighbors detail
Device ID: Switch
Entry address(es):
Platform: cisco 2960, Capabilities: Switch
Interface: FastEthernet0/0, Port ID (outgoing port): FastEthernet0/1
Holdtime: 178
Version :
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE
SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
advertisement version: 2
Duplex: full

Device ID: Router


Entry address(es):
IP address : 192.168.1.2
Platform: cisco C1841, Capabilities: Router
Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0/0
Holdtime: 122
Version :
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE
SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team
advertisement version: 2
Duplex: full
Nous avons déjà expliqué comment désactiver CDP sur l'appareil ou l'interface uniquement.
Deux autres commandes sont show cdp, qui affiche les informations de protocole pour le
périphérique, et show cdp entry <Router>, qui affiche des informations sur un périphérique
spécifique en imputant le nom. Je vous recommande de passer un peu de temps à vérifier les
sorties CDP pendant les laboratoires que vous allez configurer dans ce guide.
Router0#show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
Router0#show cdp ?
entry Information for specific neighbor entry
interface CDP interface status and configuration
neighbors CDP neighbor entries
traffic CDP statistics
| Output modifiers
<cr>

Switch Port Security


La fonctionnalité port security est une fonction de commutateur Catalyst dynamique qui sécurise
les ports du commutateur, et finalement la table CAM, en limitant le nombre d'adresses MAC qui
peuvent être apprises sur un port ou une interface particulier. Avec la fonction de sécurité de
port, le commutateur maintient une table qui est utilisée pour identifier quelle adresse MAC (ou
adresses) peut accéder à quel port de commutateur local.
De plus, le commutateur peut également être configuré pour autoriser l'apprentissage d'un
certain nombre d'adresses MAC sur un port de commutateur donné. La sécurité des ports est
illustrée ci-dessous dans la figure 4.2:

Figure 4.2 – Port Security Operation


La figure 4.2 montre quatre ports sur un commutateur Catalyst configuré pour autoriser une
seule adresse MAC via la fonction de sécurité de port. Les ports 1 à 3 sont connectés à des hôtes
dont l'adresse MAC correspond à l'adresse autorisée par la sécurité des ports. En supposant
qu'aucun autre filtrage n'est en place, ces hôtes sont capables de transmettre des trames via
leurs ports de commutation respectifs. Le port 4, cependant, a été configuré pour autoriser un
hôte avec l'adresse MAC AAAA.0000.0004, mais à la place un hôte avec l'adresse MAC
BBBB.0000.0001 a été connecté à ce port. Étant donné que le MAC hôte et le MAC autorisé ne
sont pas les mêmes, la sécurité du port prendra les mesures appropriées sur le port tel que défini
par l'administrateur. Les actions de sécurité de port valides seront décrites en détail dans une
section suivante.
La fonction de sécurité des ports est conçue pour protéger le réseau local commuté contre deux
principales méthodes d'attaque. Ces méthodes d'attaque, qui seront décrites dans les sections
suivantes, sont:
 Attaques par débordement de table CAM
 d'usurpation MAC

Attaques de débordement de table CAM


Les tables CAM de commutateur sont des emplacements de stockage qui contiennent des listes
d'adresses MAC connues sur les ports physiques, ainsi que leurs paramètres VLAN. Le contenu
appris dynamiquement de la table CAM du commutateur, ou de la table d'adresses MAC, peut être
visualisé en émettant la commande dynamique show mac-address-table, comme illustré dans la
sortie suivante:
VTP-Server-1#show mac-address-table dynamic
Mac Address Table

Vlan Mac Address Type Ports

2 000c.cea7.f3a0 DYNAMIC Fa0/1


2 0013.1986.0a20 DYNAMIC Fa0/2
6 0004.c16f.8741 DYNAMIC Fa0/3
6 0030.803f.ea81 DYNAMIC Fa0/4
8 0004.c16f.8742 DYNAMIC Fa0/5
8 0030.803f.ea82 DYNAMIC Fa0/6
Total Mac Addresses for this criterion: 6

Les commutateurs, comme tous les appareils informatiques, ont des ressources de mémoire
limitées. Cela signifie que la table CAM dispose d'un espace mémoire alloué fixe. Les attaques de
débordement de table CAM ciblent cette limitation en inondant le commutateur d'un grand
nombre d'adresses MAC source et de destination non valides générées aléatoirement jusqu'à ce
que la table CAM se remplisse et que le commutateur ne soit plus en mesure d'accepter de
nouvelles entrées. Dans de telles situations, le commutateur se transforme effectivement en
concentrateur et commence simplement à diffuser toutes les trames nouvellement reçues vers
tous les ports (dans le même VLAN) sur le commutateur, transformant essentiellement le VLAN en
un grand domaine de diffusion.
Les attaques de table CAM sont faciles à exécuter car des outils courants, tels que MACOF et
DSNIFF, sont facilement disponibles pour effectuer ces activités. Tout en augmentant le nombre de
VLAN (ce qui réduit la taille des domaines de diffusion) peut aider à réduire les effets des attaques
de table CAM, la solution de sécurité recommandée consiste à configurer la fonction de sécurité du
port sur le commutateur..
Attaques d'usurpation MAC
L'usurpation d'adresse MAC est utilisée pour usurper une adresse MAC source afin d'emprunter
l'identité d'autres hôtes ou périphériques sur le réseau. L'usurpation d'identité est simplement
un terme qui signifie se faire passer pour quelqu'un ou prétendre être quelqu'un que vous n'êtes
pas. L'objectif principal de l'usurpation d'adresse MAC est de confondre le commutateur et de
lui faire croire que le même hôte est connecté à deux ports, ce qui oblige le commutateur à
tenter de transmettre également les trames destinées à l'hôte de confiance à l'attaquant. La
figure 4.3 ci-dessous montre le tableau CAM d'un commutateur connecté à quatre hôtes réseau
différents:

Figure 4.3 – Building the Switch CAM Table


Dans la figure 4.3, le commutateur fonctionne normalement et, sur la base des entrées de la
table CAM, connaît les adresses MAC de tous les périphériques connectés à ses ports. Sur la base
de la table CAM actuelle, si l'hôte 4 voulait envoyer une trame à l'hôte 2, le commutateur
transfèrerait simplement la trame hors de son interface FastEthernet0 / 2 vers l'hôte 2.
Supposons maintenant que l'hôte 1 a été compromis par un attaquant qui souhaite recevoir tout
le trafic destiné à l'hôte 2. En utilisant l'usurpation d'adresse MAC, l'attaquant crée une trame
Ethernet en utilisant l'adresse source de l'hôte 2. Lorsque le commutateur reçoit cette trame, il
note l'adresse MAC source et écrase l'entrée de la table CAM pour l'adresse MAC de l'hôte 2, et
la pointe vers le port FastEthernet0 / 1 au lieu de FastEthernet0 / 2, où l'hôte réel 2 est connecté.
Ce concept est illustré ci-dessous dans la figure 4.4:
Figure 4.4 – MAC Address Spoofing
En référence à la figure 4.4, lorsque l'hôte 3 ou l'hôte 4 tente d'envoyer des trames à l'hôte 2, le
commutateur les transfère de FastEthernet0 / 1 à l'hôte 1 car la table CAM a été empoisonnée
par une attaque d'usurpation d'adresse MAC. Lorsque l'hôte 2 envoie une autre trame, le
commutateur réapprend son adresse MAC à partir de FastEthernet0 / 2 et réécrit à nouveau
l'entrée de la table CAM pour refléter ce changement. Le résultat est un bras de fer entre l'hôte
2 et l'hôte 1 quant à l'hôte qui possède cette adresse MAC.
De plus, cela confond le commutateur et provoque des réécritures répétitives des entrées de la
table d'adresses MAC, provoquant une attaque de déni de service (DoS) sur l'hôte légitime
(c'est-à-dire l'hôte 2). Si le nombre d'adresses MAC usurpées utilisées est élevé, cette attaque
pourrait avoir de graves conséquences sur les performances du commutateur qui réécrit
constamment sa table CAM. Les attaques d'usurpation d'adresse MAC peuvent être atténuées
en mettant en œuvre la sécurité des ports.
Port Security Adresses sécurisées
La fonction de sécurité de port peut être utilisée pour spécifier quelle adresse MAC spécifique
est autorisée à accéder à un port de commutateur, ainsi que pour limiter le nombre d'adresses
MAC qui peuvent être prises en charge sur un seul port de commutateur. Les méthodes
d'implémentation de la sécurité des ports décrites dans cette section sont les suivantes :
 Static secure MAC addresses (Adresses MAC sécurisées statiques)
 Dynamic secure MAC addresses (sécurisées dynamiques)
 Sticky secure MAC addresses (sécurisées collantes)
Les adresses MAC sécurisées statiques sont configurées de manière statique par les
administrateurs réseau et sont stockées dans la table d'adresses MAC, ainsi que dans la
configuration du commutateur. Lorsque des adresses MAC sécurisées statiques sont attribuées à
un port sécurisé, le commutateur ne transfère pas les trames qui n'ont pas d'adresse MAC source
correspondant à la ou aux adresses MAC sécurisées statiques configurées.
Les adresses MAC sécurisées dynamiques sont apprises dynamiquement par le commutateur et
sont stockées dans la table d'adresses MAC. Cependant, contrairement aux adresses MAC
sécurisées statiques, les entrées d'adresses MAC sécurisées dynamiques sont supprimées du
commutateur lorsque le commutateur est rechargé ou mis hors tension. Ces adresses doivent
ensuite être réapprises par le commutateur lors de son redémarrage.
Les adresses MAC sécurisées rémanentes sont un mélange d'adresses MAC sécurisées statiques et
d'adresses MAC sécurisées dynamiques. Ces adresses peuvent être apprises dynamiquement ou
configurées de manière statique et sont stockées dans la table d'adresses MAC, ainsi que dans la
configuration en cours d'exécution du commutateur. Cela signifie que lorsque le commutateur est
mis hors tension ou redémarré, il n'a pas besoin de découvrir à nouveau dynamiquement les
adresses MAC car elles sont déjà enregistrées dans le fichier de configuration (si vous enregistrez la
configuration en cours).
Actions de sécurité des ports
Une fois la sécurité des ports activée, les administrateurs peuvent définir les actions que le
commutateur entreprendra en cas de violation de la sécurité des ports. Le logiciel Cisco IOS permet
aux administrateurs de spécifier quatre actions différentes à entreprendre lorsqu'une violation se
produit, comme suit:
 Protect
 Shutdown (default)
 Restrict
 Shutdown VLAN (en dehors du syllabus CCNA)
L’option protect force le port en mode Port protégé. Dans ce mode, le commutateur rejettera
simplement toutes les trames Unicast ou Multicast avec des adresses MAC source inconn ues.
Lorsque le commutateur est configuré pour protéger un port, il n'enverra pas de notification
lorsqu'il fonctionne en mode Port protégé, ce qui signifie que les administrateurs ne sauront
jamais quand un trafic a été empêché par le port du commutateur fonctionnant dans ce
mode.
L’option shutdown place un port dans un état de désactivation d'erreur lorsqu'une violation
de sécurité de port se produit. Le voyant du port correspondant sur le commutateur est
également éteint lorsque ce mode d'action configuré est utilisé. En mode Shutdown, le
commutateur envoie une interruption SNMP et un message syslog, et le compteur de
violations est incrémenté. Il s'agit de l'action par défaut effectuée lorsque la sécurité des
ports est activée sur une interface.
L’option restrict est utilisée pour supprimer des paquets avec des adresses MAC inconnues
lorsque le nombre d'adresses MAC sécurisées atteint la limite maximale définie par
l'administrateur pour le port. Dans ce mode, le commutateur continuera à empêcher les
adresses MAC supplémentaires d'envoyer des trames jusqu'à ce qu'un nombre suffisant
d'adresses MAC sécurisées soit supprimé ou que le nombre d'adresses maximum autorisées
soit augmenté. Comme c'est le cas avec l'option shutdown, le commutateur envoie une
interruption SNMP et un message syslog, et le compteur de violations est incrémenté.
L'option shutdown VLAN est similaire à l'option d'arrêt; cependant, cette option arrête un
VLAN au lieu du port de commutateur entier. Cette configuration peut être appliquée aux
ports auxquels plus d'un seul VLAN leur est attribué, comme un VLAN voix et un VLAN de
données, ainsi qu'aux liaisons de jonction sur les commutateurs.
Configuration Port Security
Avant de configurer la sécurité des ports, il est recommandé que le port du commutateur soit
configuré de manière statique en tant que port d'accès de couche 2 (il ne peut être configuré que
sur les ports d'accès statique ou de jonction, pas sur les ports dynamiques). Cette configuration
est illustrée dans la sortie suivante:
VTP-Server-1(config)#interface FastEthernet0/1
VTP-Server-1(config-if)#switchport
VTP-Server-1(config-if)#switchport mode access

REMARQUE: La commande switchport n'est pas requise dans les commutateurs de couche 2 uniquement, tels que les
commutateurs des gammes Catalyst 2950 et Catalyst 2960. Cependant, il doit être utilisé sur les commutateurs
multicouches, tels que les commutateurs des gammes Catalyst 3750, Catalyst 4500 et Catalyst 6500.

Par défaut, la sécurité des ports est désactivée; cependant, cette fonction peut être activée à
l'aide de switchport port-security [mac-address {mac-address} [vlan {vlan-id | {access |
voice}}] | mac- address {sticky} [mac-address | vlan {vlan-id | {access | voice}}]
[maximum {value} [vlan
{vlan-list | {access | voice}}]] commande de configuration d'interface. Les options
disponibles avec cette commande sont décrites ci-dessous dans le tableau 4.1:
Tableau 4.1 - Mot-clé de configuration de la sécurité des ports
Mot Clé Description
mac-address {mac-address} Ce mot clé est utilisé pour spécifier une adresse MAC sécurisée statique. Vous
pouvez ajouter des adresses MAC sécurisées supplémentaires jusqu'à la valeur
maximale configurée.
vlan {vlan id} This keyword should be used on a trunk port only to specify the VLAN ID and the
MAC address. If no VLAN ID is specified, the native VLAN is used.
vlan {access} Ce mot-clé doit être utilisé sur un port de jonction uniquement pour spécifier l'ID
VLAN et l'adresse MAC. Si aucun ID de VLAN n'est spécifié, le VLAN natif est utilisé.
vlan {voice} Ce mot clé doit être utilisé sur un port d'accès uniquement pour spécifier le VLAN
en tant que VLAN voix. Cette option n'est disponible que si un VLAN voix est
configuré sur le port spécifié.
mac-address {sticky} [mac- Ce mot clé est utilisé pour activer l'apprentissage dynamique ou permanent sur
address] l'interface spécifiée ou pour configurer une adresse MAC sécurisée statique.
maximum {value} Ce mot-clé est utilisé pour spécifier le nombre maximum d'adresses sécurisées
pouvant être apprises sur une interface. La valeur par défaut est 1.
Configuration d'adresses MAC sécurisées statiques
La sortie suivante illustre comment activer la sécurité de port sur une interface et configurer une
adresse MAC sécurisée statique de 001f: 3c59: d63b sur un port d'accès de commutateur:
VTP-Server-1(config)#interface GigabitEthernet0/2
VTP-Server-1(config-if)#switchport
VTP-Server-1(config-if)#switchport mode access
VTP-Server-1(config-if)#switchport port-security
VTP-Server-1(config-if)#switchport port-security mac-address 001f.3c59.d63b

La sortie suivante illustre comment activer la sécurité de port sur une interface et configurer une
adresse MAC sécurisée statique de 001f: 3c59: d63b dans VLAN 5 sur un port de jonction de
commutateur:
VTP-Server-1(config)#interface GigabitEthernet0/2
VTP-Server-1(config-if)#switchport
VTP-Server-1(config-if)#switchport trunk encapsulation dot1q
VTP-Server-1(config-if)#switchport mode trunk
VTP-Server-1(config-if)#switchport port-security

VTP-Server-1(config-if)#switchport port-security mac-address 001f.3c59.d63b vlan 5

La sortie suivante illustre comment activer la sécurité de port sur une interface et configurer
une adresse MAC sécurisée statique de 001f: 3c59: 5555 pour le VLAN 5 (le VLAN de données)
et une adresse MAC sécurisée statique de 001f: 3c59: 7777 pour le VLAN 7 ( le VLAN voix) sur
un port d'accès au commutateur::
VTP-Server-1(config)#interface GigabitEthernet0/2
VTP-Server-1(config-if)#switchport
VTP-Server-1(config-if)#switchport mode access
VTP-Server-1(config-if)#switchport access vlan 5
VTP-Server-1(config-if)#switchport voice vlan 7
VTP-Server-1(config-if)#switchport port-security
VTP-Server-1(config-if)#switchport port-security maximum 2
VTP-Server-1(config-if)#switchport port-security mac-address 001f.3c59.5555 vlan access
VTP-Server-1(config-if)#switchport port-security mac-address 001f.3c59.7777 vlan voice

Il est très important de se rappeler que lors de l'activation de la sécurité de port sur une interface
qui est également configurée avec un VLAN voix en conjonction avec le VLAN de données, les
adresses sécurisées maximales autorisées sur le port doivent être définies sur 2. Ceci est effectué
via la commande de configuration d’interface switchport port-security maximum 2, qui est inclus
dans la sortie ci-dessus.
L'une des deux adresses MAC est utilisée par le téléphone IP et le commutateur apprend cette
adresse sur le VLAN vocal. L'autre adresse MAC est utilisée par un hôte (tel qu'un PC) qui peut
être connecté au téléphone IP. Cette adresse MAC sera apprise par le commutateur sur le VLAN
de données.
Vérification de la configuration de l'adresse MAC sécurisée statique
Les paramètres de configuration de la sécurité globale des ports peuvent être validés en émettant
la commande show port-security. Ce qui suit montre la sortie imprimée par cette commande
basée sur les valeurs par défaut:
VTP-Server-1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)

Gi0/2 1 1 0 Shutdown

Total Addresses in System : 1


Max Addresses limit in System : 1024

Comme indiqué dans la sortie ci-dessus, par défaut, une seule adresse MAC sécurisée est
autorisée par port. De plus, l'action par défaut en cas de violation est de fermer le port. Le texte en
gras indique qu'une seule adresse sécurisée est connue, qui est l'adresse statique configurée sur
l'interface. La même chose peut également être confirmée en émettant la commande show port-
security interface [name], comme illustré dans la sortie suivante:
VTP-Server-1#show port-security interface gi0/2
Port Security : Enabled
Port status : SecureUp
Violation mode : Shutdown
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Aging time : 0 mins
Aging type : Absolute
SecureStatic address aging : Disabled
Security Violation count : 0

REMARQUE: La modification des autres paramètres par défaut dans la sortie ci-dessus sera décrite en détail au fur et à
mesure que nous progressons dans cette section.

Pour voir l'adresse MAC sécurisée statique configurée réelle sur le port, les commandes show
port-security address ou show running-config interface [name] doit être utilisée. La sortie
suivante illustre la commande show port-security address:
VTP-Server-1#show port-security address
Secure Mac Address Table

Vlan Mac Address Type Ports Remaining Age


(mins)
1 001f.3c59.d63b SecureConfigured Gi0/2 -

Total Addresses in System : 1


Max Addresses limit in System : 1024

Configuration des adresses MAC sécurisées dynamiques


Par défaut, lorsque la sécurité du port est activée sur un port, le port apprendra et sécurisera
dynamiquement une adresse MAC sans autre configuration de la part de l'administrateur. Pour
permettre au port d'apprendre et de sécuriser plus d'une seule adresse MAC, la commande
switchport port-security maximum [number] doit être utilisée. Gardez à l'esprit que le mot-clé
[number] dépend de la plate-forme et variera selon les différents modèles de commutateurs
Cisco Catalyst.

Mise en œuvre dans le monde réel


Dans les réseaux de production avec des commutateurs Cisco Catalyst 3750, il est toujours
judicieux de déterminer à quoi le commutateur sera utilisé, puis de sélectionner le modèle SDM
(Switch Database Management) approprié via la commande de configuration globale sdm
prefer {access | default | dual-ipv4-and-ipv6 {default | routing |
vlan} | routing | vlan} [desktop.
Chaque modèle alloue des ressources système pour prendre en charge au mieux les
fonctionnalités utilisées ou qui seront utilisées. Par défaut, le commutateur tente de fournir un
équilibre entre toutes les fonctionnalités. Cependant, cela peut imposer une limite aux valeurs
maximales possibles pour d'autres caractéristiques et fonctions disponibles. Un exemple serait le
nombre maximum possible d'adresses MAC sécurisées qui peuvent être apprises ou configurées
lors de l'utilisation de la sécurité des ports.
La sortie suivante illustre comment configurer un port de commutateur pour apprendre et
sécuriser dynamiquement jusqu'à deux adresses MAC sur l'interface GigabitEthernet0 / 2:
VTP-Server-1(config)#interface GigabitEthernet0/2
VTP-Server-1(config-if)#switchport
VTP-Server-1(config-if)#switchport mode access
VTP-Server-1(config-if)#switchport port-security
VTP-Server-1(config-if)#switchport port-security maximum 2

Vérification des adresses MAC sécurisées dynamiques


La configuration d'adresse MAC sécurisée dynamique peut être vérifiée à l'aide des mêmes
commandes que celles illustrées dans les exemples de configuration d'adresse sécurisée statique,
à l'exception de la commande show running-config. En effet, contrairement aux adresses MAC
sécurisées statiques ou collantes, toutes les adresses apprises dynamiquement ne sont pas
enregistrées dans la configuration du commutateur et sont supprimées si le port est arrêté. Ces
mêmes adresses doivent ensuite être réapprises lorsque le port revient. La sortie suivante
illustre la commande show port-security address qui montre une interface configurée pour
l'apprentissage sécurisé des adresses MAC dynamiques:
VTP-Server-1#show port-security address
Secure Mac Address Table

Vlan Mac Address Type Ports Remaining Ag e


(mins)

1 001d.09d4.0238 SecureDynamic Gi0/2 -


1 001f.3c59.d63b SecureDynamic Gi0/2 -

Total Addresses in System : 2


Max Addresses limit in System : 1024

Configuring Sticky Secure MAC Addresses (Configuration d'adresses MAC


sécurisées collantes)
La sortie suivante illustre comment configurer l'apprentissage dynamique dynamique sur un port
et restreindre le port à apprendre dynamiquement jusqu'à un maximum de 10 adresses MAC:
VTP-Server-1(config)#interface GigabitEthernet0/2
VTP-Server-1(config-if)#switchport
VTP-Server-1(config-if)#switchport mode access
VTP-Server-1(config-if)#switchport port-security
VTP-Server-1(config-if)#switchport port-security mac-address sticky
VTP-Server-1(config-if)#switchport port-security maximum 10

Sur la base de la configuration ci-dessus, par défaut, jusqu'à 10 adresses seront apprises
dynamiquement sur l'interface GigabitEthernet0 / 2 et seront ajoutées à la configuration actuelle
du commutateur. Lorsque l'apprentissage des adresses persistantes est activé, les adresses MAC
apprises sur chaque port sont automatiquement enregistrées dans la configuration actuelle du
commutateur et ajoutées à la table d'adresses. La sortie suivante montre les adresses MAC
apprises dynamiquement (en gras) sur l'interface GigabitEthernet0 / 2:
VTP-Server-1#show running-config interface GigabitEthernet0/2
Building configuration...
Current configuration : 550 bytes
!
interface GigabitEthernet0/2
switchport
switchport mode access
switchport port-security
switchport port-security maximum 10
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0004.c16f.8741
switchport port-security mac-address sticky 000c.cea7.f3a0
switchport port-security mac-address sticky 0013.1986.0a20
switchport port-security mac-address sticky 001d.09d4.0238
switchport port-security mac-address sticky 0030.803f.ea81
...

Les adresses MAC en gras dans la sortie ci-dessus sont apprises dynamiquement et ajoutées à
la configuration actuelle. Aucune configuration administrateur manuelle n'est requise pour
ajouter ces adresses à la configuration. Par défaut, les adresses MAC sécurisées persistantes ne
sont pas automatiquement ajoutées à la configuration de démarrage (NVRAM). Pour vous
assurer que ces informations sont enregistrées dans la NVRAM, ce qui signifie que ces adresses
ne sont pas réapprises lorsque le commutateur est redémarré, il est important de se rappeler
d'émettre la commande copy running-config startup-config, ou la commande copy
system:running-config nvram:startup-config, dependant selon la version IOS du commutateur
sur lequel cette fonctionnalité est implémentée. La sortie suivante illustre la commande show
port-security address sur un port configuré pour l'apprentissage des adresses persistantes:
VTP-Server-1#show port-security address
Secure Mac Address Table

Vlan Mac Address Type Ports Remaining Age


(mins)

1 0004.c16f.8741 SecureSticky Gi0/2 -


1 000c.cea7.f3a0 SecureSticky Gi0/2 -
1 0013.1986.0a20 SecureSticky Gi0/2 -
1 001d.09d4.0238 SecureSticky Gi0/2 -
1 0030.803f.ea81 SecureSticky Gi0/2 -

Total Addresses in System : 5


Max Addresses limit in System : 1024

Vous pouvez également définir une durée et un type de vieillissement sur le commutateur, mais
cela va au-delà des exigences de niveau CCNA. (Essayez à votre rythme si vous le souhaitez.)
Configuration de l'action de violation de la sécurité du port
Comme indiqué précédemment, le logiciel Cisco IOS permet aux administrateurs de spécifier
quatre actions différentes à entreprendre lorsqu'une violation se produit, comme suit:
 Protect
 Shutdown (default)
 Restrict
 Shutdown VLAN (cela ne fait pas partie du programme du CCNA)
Ces options sont configurées à l'aide de la commande de configuration d’interface switchport
port-security [violation {protect | restrict | shutdown | shutdown vlan}]. Si un port est
arrêté en raison d'une violation de sécurité, il s'affichera comme errdisabled, et shutdown et
aussi la commande no shutdown devra être appliqué pour le réactiver.
Switch#show interfaces FastEthernet0/1 status
Port Name Status Vlan Duplex Speed Type
Fa0/1 errdisabled 100 full 100 100BaseSX

Cisco veut que vous sachiez quelle action de violation déclenche un message SNMP pour
l'administrateur réseau et un message de journalisation, voici donc ces informations pour vous
dans le tableau 4.2 ci-dessous:
Tableau 4.2 - Actions de violation de la sécurité des ports
Mode Port Action Trafic Syslog Compteur de
Violation
Protect Protected MAC inconnus No No
supprimés

Shutdown Errdisabled désactivé Yes et SNMP trap Incrementé

Restrict Open # de trafic MAC Yes et SNMP trap Incrementé


excédentaire
refusé

Assurez-vous de mémoriser le tableau ci-dessus pour l'examen!


La sortie suivante illustre comment activer l'apprentissage permanent sur un port pour un
maximum de 10 adresses MAC. Dans le cas où une adresse MAC inconnue (par exemple, une
onzième adresse MAC) est détectée sur le port, le port sera configuré pour supprimer les trames
reçues:
VTP-Server-1(config)#interface GigabitEthernet0/2
VTP-Server-1(config-if)#switchport port-security
VTP-Server-1(config-if)#switchport port-security mac-address sticky
VTP-Server-1(config-if)#switchport port-security maximum 10
VTP-Server-1(config-if)#switchport port-security violation restrict

Vérification de l'action de violation de la sécurité du port


L'action de violation de sécurité de port configurée est validée via la commande show port-
security, comme indiqué dans la sortie suivante:
VTP-Server-1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
Gi0/2 10 5 0 Restrict
Total Addresses in System : 5
Max Addresses limit in System : 1024

Si la journalisation est activée et que le mode de restriction ou le mode de violation d'arrêt


est configuré sur le commutateur, les messages similaires à ceux affichés dans la sortie
suivante seront imprimés sur la console du commutateur, connectés au tampon local ou
envoyés à un serveur syslog:
VTP-Server-1#show logging
...
[Truncated Output]
...
04:23:21: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC
address 0013.1986.0a20 on port Gi0/2.
04:23:31: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC
address 000c.cea7.f3a0 on port Gi0/2.
04:23:46: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC
address 0004.c16f.8741 on port Gi0/2.

One final point is that switch security can be configured on Packet Tracer, but many of the
commands and show commands don’t work.
Questions du jour 4
1. Écrivez les deux façons de configurer les mots de passe de la console. Écrivez les
commandes réelles.
2. Quelle commande autorisera uniquement le trafic SSH dans les lignes VTY ?
3. Quelle commande cryptera un mot de passe avec un cryptage de niveau 7 ?
4. Nommez les huit niveaux de journalisation disponibles sur le routeur.
5. Pourquoi choisiriez-vous l'accès SSH sur Telnet ? Vos trois options en cas de violation de la
sécurité de votre port sont protect, , et
.
6. Comment définiriez-vous un port pour n'accepter que MAC 0001.c74a.0a01?
7. Quelle commande désactive CDP pour une interface particulière ?
8. Quelle commande désactive le CDP pour l'ensemble du routeur ou du commutateur ?
9. Quelle commande ajoute un mot de passe à votre domaine VTP ?
10. Quelle commande autoriserait uniquement les VLAN 10 à 20 sur votre interface ?

Réponses au jour 4
Si tu es arrivé jusqu’ici je te félicite car tu fais partie de l’Elite
qui se démarque et veut vraiment évoluer dans sa carrière en
réussissant une certification CCNA.
C’est essentiel et c’est important de se démarquer de nos jours
dans le monde professionnel. Je peux te le dire tu as fait un
grand pas en arrivant au terme de ce document.
Pour obtenir les réponses a ces question, n’hésite pas à
m’écrire aux contacts suivants :
WhatsApp: +237 691463364 ; Email : ottou.abed@gmail.com
TP du jour 4
TP de sécurité de base des routeurs
Topologie

Objectif
Découvrez quelques étapes de base à suivre pour verrouiller votre routeur.
Procédure pas à pas
1. Connectez-vous en utilisant le mode Activer la protection avec un mot de passe secret
d'activation. Testez cela en vous déconnectant du mode privilégié, puis en vous
reconnectant.
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable secret cisco
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#exi
Router con0 is now available
Press RETURN to get started.
Router>en
Password:
Router#

2. Définissez un mot de passe d'activation, puis ajoutez le cryptage du mot de passe de


service. Ceci est rarement fait sur les routeurs en direct car ce n'est pas sécurisé.
Router(config)#no enable secret
Router(config)#enable password cisco
Router(config)#service pass
Router(config)#service password-encryption
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show run
Building configuration...
Current configuration: 480 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Router
!
enable password 7 0822455D0A16

3. Protégez les lignes Telnet. Définissez un nom d'utilisateur et un mot de passe locaux et
demandez aux utilisateurs de les saisir lors de la connexion au routeur.
Router(config)#line vty 0 ?
<1-15> Last Line number
<cr>
Router(config)#line vty 0 15
Router(config-line)#login local
Router(config-line)#exit
Router(config)#username in60days password cisco
Router(config)#

Vous avez déjà testé Telnet, mais n'hésitez pas à ajouter un PC et Telnet au routeur afin que vous
soyez invité à entrer un nom d'utilisateur et un mot de passe.
4. Protégez le port de console avec un mot de passe. Définissez-en un directement sur le port
de console.
Router(config)#line console 0
Router(config-line)#password cisco

Vous pouvez tester cela en débranchant et en rebranchant le câble de votre console dans le
routeur. Vous pouvez également protéger le port auxiliaire de votre routeur si vous en avez un:
Router(config)#line aux 0
Router(config-line)#password cisco

5. Protégez les lignes Telnet en autorisant uniquement le trafic SSH à entrer. Vous pouvez
également autoriser uniquement le trafic SSH sortant. Vous aurez besoin d'une image
de sécurité pour que cette commande fonctionne.
Router(config)#line vty 0 15
Router(config-line)#transport input ssh
Router(config-line)#transport output ssh

6. Ajoutez une bannière de message du jour (MOTD). Définissez le caractère qui indique
au routeur que vous avez terminé votre message comme «X» (le caractère de
délimitation).
Router(config)#banner motd X
Enter TEXT message. End with the character ‘X’.
Do not use this router without authorization. X
Router(config)#
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Exit
Router con0 is now available
Press RETURN to get started.
Do not use this router without authorization.
Router>

7. Désactivez CDP sur l'ensemble du routeur. Vous pouvez le désactiver sur une interface
uniquement avec la commande no cdp enable interface.
Router(config)#no cdp run

Vous pouvez tester si cela fonctionne en connectant un commutateur ou un routeur à votre


routeur avant d'éteindre CDP et d'émettre la commande show cdp neighbor (detail.
8. Configurez le routeur pour envoyer des messages de journalisation à un hôte sur le réseau.
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#logging ?
A.B.C.D IP address of the logging host
buffered Set buffered logging parameters
console Set console logging parameters
host Set syslog server IP address and parameters
on Enable logging to all enabled destinations
trap Set syslog server logging level
userinfo Enable logging of user info on privileged mode enabling
Router(config)#logging 10.1.1.1

TP de sécurité de base du commutateur


Topologie

Veuillez noter que votre commutateur devra avoir une image de sécurité qui autorise les
paramètres de sécurité de base.
Objectif
Découvrez comment appliquer les paramètres de sécurité de base à un commutateur Cisco.
Procédure pas à pas
Connectez un PC ou un ordinateur portable à votre commutateur sur packet tracer. De plus,
configurez une connexion console pour votre configuration. Le port auquel vous connectez votre
PC sera celui sur lequel vous configurez les paramètres de sécurité dans ce laboratoire. J'ai choisi
FastEthernet 0/1 sur mon commutateur.
1. Connectez-vous aux lignes VTY et configurez l'accès Telnet en vous référant à un
nom d'utilisateur et un mot de passe locaux.
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#line vty 0 ?
<1-15> Last Line number
<cr>
Switch(config)#line vty 0 15
Switch(config-line)#?
Switch(config-line)#login local
Switch(config-line)#exit
Switch(config)#username in60days password cisco
Switch(config)#

2. Ajoutez une adresse IP au VLAN 1 sur le commutateur (tous les ports sont
automatiquement dans le VLAN 1). De plus, ajoutez l’adresse IP 192.168.1.1 à
l’interface FastEthernet de votre PC.
Switch(config)#interface vlan1
Switch(config-if)#ip address 192.168.1.2 255.255.255.0
Switch(config-if)#no shut
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to up

Switch(config-if)#^Z ← appuyez sur les touches Ctrl + Z


Switch#

Switch#ping 192.168.1.1 ← Tester la connexion du commutateur au PC


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 31/31/32 ms
Switch#
3. Testez Telnet par Telnetting de votre PC vers votre commutateur.

4. Votre responsable informatique change d'avis et ne souhaite qu'un accès SSH, alors
changez-le sur vos lignes VTY. Seuls certains modèles et versions IOS prendront en
charge la commande SSH.
Switch(config)#line vty 0 15
Switch(config-line)#transport input ssh

5. Maintenant Telnet de votre PC au commutateur. Étant donné que seul SSH est autorisé, la
connexion doit échouer.

6. Définissez la sécurité du port sur votre commutateur pour le port FastEthernet. Il échouera
si vous n'avez pas défini le port d'accès (par opposition à dynamique ou à tronc).
Switch(config)#interface FastEthernet0/1
Switch(config-if)#switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#

7. Définissez en dur l'adresse MAC de votre PC pour qu'elle soit autorisée sur ce port. Vous
pouvez vérifier cela avec la commande ipconfig / all sur la ligne de commande de votre PC.
Vérifiez ensuite l'état et les paramètres de sécurité du port.
Switch(config-if)#switchport port-security mac-address 0001.C7DD.CB18
Switch(config-if)#^Z
Switch#show port-security int FastEthernet0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0001.C7DD.CB18:1
Security Violation Count : 0

8. Modifiez l’adresse MAC de votre PC ou, si vous ne pouvez pas le faire, branchez un autre
appareil sur le port du commutateur. Cela devrait entraîner la fermeture du port en raison
d'une violation des paramètres de sécurité. La capture d'écran ci-dessous montre où vous
changeriez l'adresse MAC dans Packet Tracer
9. Vous devriez voir votre port FastEthernet tomber immédiatement
Switch#
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down Switch#
%SYS-5-CONFIG_I: Configured from console by console Switch#show port-security interface
FastEthernet0/1 Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC
Addresses : 1
Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses
: 0
Last Source Address:Vlan : 0001.C7DD.CB19:1
Security Violation Count : 1

Vous aimerez peut-être aussi