Vous êtes sur la page 1sur 87

Traduit de Anglais vers Français - www.onlinedoctranslator.

com

Chapitre 2:

Sécurisation des périphériques réseau

Sécurité CCNA v2.0


C. Leghris
2021-2022
2.0 Présentation ;

2.1 Sécurisation de l'accès aux appareils ;

2.2 Attribution des rôles administratifs ;

2.3 Surveillance et gestion des appareils ,

2.4 Utilisation des fonctions de sécurité automatisées ;

2.5 Sécurisation du plan de contrôle ;

2.6 Résumé ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 2
À la fin de cette section, vous devriez être capable de :

• Expliquer comment sécuriser un périmètre réseau ;

• Configurer un accès administratif sécurisé aux routeurs Cisco ;

• Configurer une sécurité renforcée pour les connexions virtuelles ;

• Configurez un démon SSH pour une gestion à distance sécurisée.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 3
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 4
• La sécurisation de l'infrastructure réseau est essentielle à la sécurité globale du réseau ;

o L'infrastructure réseau comprend des routeurs, des commutateurs, des serveurs, des points de terminaison et
d'autres appareils ;

• Pour empêcher l'accès non autorisé à tous les périphériques de l'infrastructure, des politiques et
des contrôles de sécurité appropriés doivent être mis en œuvre .

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 5
Approche à un seul routeur
Toutes les politiques de sécurité
sont configurées sur cet appareil

Approche de défense en profondeur Il existe trois couches principales


de défense : le routeur de
périphérie, le pare-feu et un
routeur interne.

Approche DMZ
La DMZ peut être utilisée pour les
serveurs qui doivent être
accessibles depuis le
Internet ou un autre
réseau externe

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 6
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 7
• La sécurisation des accès administratifs est une tâche de sécurité extrêmement importante ;

o Si une personne non autorisée obtient un accès administratif à un routeur, cette personne peut
modifier les paramètres de routage, désactiver les fonctions de routage ou découvrir et accéder à
d'autres systèmes au sein du réseau.

• Plusieurs tâches importantes sont impliquées dans la sécurisation de l'accès administratif à un


périphérique d'infrastructure :

o Restreindre l'accessibilité de l'appareil ;

o Connectez-vous et comptez pour tous les

o accès ; Authentifier l'accès ;

o Autoriser les actions ;

o Présenter l'avis légal ; Assurer la

o confidentialité des données.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 8
Accès local Accès à distance à l'aide de Telnet

Accès à distance à l'aide d'un modem et d'un port auxiliaire

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 9
Réseau de gestion dédié

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public dix
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 11
Des lignes directrices:

• Utilisez un mot de passe de 10 caractères ou plus ;

• Incluez un mélange de lettres majuscules et minuscules, de chiffres, de symboles et d'espaces ;

• Evitez les mots de passe basés sur des informations facilement identifiables ;

• mal orthographier délibérément un mot de passe (Smith = Smyth = 5mYth) ;

• Changez souvent les mots de passe ;

• N'écrivez pas les mots de passe et laissez-les dans des endroits évidents.

Mot de passe faible Pourquoi c'est faible Fort Pourquoi c'est fort
Mot de passe

secret Mot de passe de dictionnaire simple b67n42d39c Combine des caractères alphanumériques

forgeron Nom de jeune fille de la mère 12^h u4@1p7 Combine des caractères alphanumériques,
des symboles et inclut un espace

toyota Marque de voiture

bob1967 Nom et date de naissance de l'utilisateur

Feuille bleue23 Mots et nombres simples

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 12
• Il existe plusieurs commandes de configuration du
routeur qui peuvent être utilisées pour augmenter la
sécurité du mot de passe

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 13
Des lignes directrices:

• Configurez tous les mots de passe secrets à l'aide de mots de passe de type 8 ou de type 9 ;

• Utilisez le « activer le type d'algorithme » syntaxe de commande pour saisir un mot de passe non
crypté ;

• Utilisez le "nom d'utilisateur nom d'algorithme-type" commande pour spécifier le cryptage de


type 9

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 14
Par défaut :

• La console et les ports auxiliaires ne nécessitent pas de mot de passe pour l'accès
administratif ;

• La commande de mot de passe configurée sur la console, vty et les lignes auxiliaires ne peut
utiliser que le type 7 ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 15
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 16
Améliorations de la sécurité de la connexion virtuelle :

• Implémenter des délais entre les tentatives de connexion successives ;

• Activer l'arrêt de la connexion si des attaques DoS sont suspectées ;

• Générez des messages de journalisation du système pour la détection de connexion.

• Les bannières protègent l'organisation


d'un point de vue juridique.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 17
• Désactivation des connexions après un nombre
spécifié de tentatives de connexion infructueuses ;

• Seuls les hôtes autorisés peuvent


tenter de se connecter au routeur ;

• Spécifie le nombre de secondes que


l'utilisateur doit attendre entre les
tentatives de connexion infructueuses ;

• Enregistrer les tentatives de connexion réussies ;

• Consigner les tentatives de connexion infructueuses

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 18
Syntaxe de commande : bloc de connexion pour

Exemple: connexion classe d'accès en mode silencieux

Exemple: délai de connexion

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 19
Générer des messages Syslog de connexion

Exemple: afficher les échecs de connexion

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 20
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 21
Exemple de configuration SSH

Exemple de vérification de SSH

• Pour se connecter depuis un PC :


ordinateur> ssh –l SSHadmin 192.168.3.1

• Pour se connecter depuis le routeur :


R2# ssh –v 2 –l SSHadmin 10.2.2.1

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 22
• Nous pouvons modifier l'intervalle de timeout SSH par défaut et le nombre de tentatives
d'authentification ;
• Utilisez le "délai d'attente ip ssh secondes" commande de mode de configuration globale pour
modifier le délai d'attente de 120 secondes par défaut ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 23
Deux façons de se connecter :

• Activez SSH et utilisez un routeur Cisco comme serveur SSH ou client SSH :
o En tant que serveur, le routeur peut accepter les connexions client SSH ;

o En tant que client, le routeur peut se connecter via SSH à un autre routeur compatible SSH ;

• Utilisez un client SSH exécuté sur un hôte, tel que


o Mastic ;
o OpenSSH ;
o TeraTerm.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 24
À la fin de cette section, vous devriez être capable de :

• Configurer les niveaux de privilèges administratifs pour contrôler la disponibilité des commandes ;

• Configurez l'accès CLI basé sur les rôles pour contrôler la disponibilité des commandes.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 25
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 26
Niveaux de privilèges : Niveaux des commandes d'accès :

• Niveau 0: prédéfini pour les privilèges d'accès au niveau utilisateur. • Mode d'exécution utilisateur (niveau de privilège 1)

Privilèges d'utilisateur en mode EXEC les plus bas


• Niveau 1: Niveau par défaut pour la connexion avec l'invite du routeur.
Seule la commande de niveau utilisateur disponible à l'invite router>
• Niveau 2-14: peut être personnalisé pour les privilèges de niveau utilisateur.
• Mode d'exécution privilégié (niveau de privilège 15)
• Niveau 15: Réservé aux privilèges du mode d'activation.
Toutes les commandes de niveau d'activation à l'invite router#

Syntaxe du niveau de privilège

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 27
Deux méthodes pour attribuer des mots de passe aux différents niveaux de privilèges :
• À un utilisateur bénéficiant d'un niveau de privilège spécifique :
Nom d'utilisateur Nom secret de niveau de privilège le mot de passe ;
• Au niveau privilège :
activer le niveau secret mot de passe de niveau

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 28
Les différents niveaux de privilèges configurés :

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 29
L'utilisation des niveaux de privilèges a ses limites :

• Aucun contrôle d'accès à des interfaces, ports, interfaces logiques et emplacements spécifiques sur
un routeur ;

• Les commandes disponibles aux niveaux de privilèges inférieurs sont toujours exécutables aux niveaux
de privilèges supérieurs ;

• Les commandes définies spécifiquement à des niveaux de privilèges supérieurs ne sont pas disponibles pour les
utilisateurs à privilèges inférieurs ;

• L'affectation d'une commande avec plusieurs mots-clés permet d'accéder à toutes les
commandes qui les utilisent ;
o Exemple : Autoriser l'accès à afficher l'itinéraire ip permet à l'utilisateur d'accéder à tous spectacle et afficher l'adresse IP
commandes.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 30
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 31
Par exemple:
• Privilèges de l'opérateur de sécurité :
o Configurer AAA ;
o Problème spectacle commandes ;

o Configurer le pare-feu ;

o Configurer IDS/IPS ;
o Configurez NetFlow.

• Privilèges d'ingénieur WAN :


o Configurer le routage ;

o Configurer les interfaces ;

o Émettez les commandes show.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 32
• L'interface de ligne de commande basée sur les rôles propose trois types :

o Vue racine ;
o Vue ;
o Supervision.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 33
Étape 1 :
• Créer une vue. La racine un est
sans nom (activant pwd ) ;
• Avant, Activez AAA avec le aaa
nouveau-modèle ;

Étape 2 ;
• Cela crée et active la
configuration de la vue
mode

Étape 3 :

• Attribuez un mot de passe secret à la


vue à l'aide de la commande
secret mot de passe-crypté vue

Étape 4 :

• Affecter des commandes à la


vue sélectionnée à l'aide
commandes mode analyseur

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 34
Exemple d'une arborescence de config Views :

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 35
• La configuration d'une vue d'ensemble est identique à la configuration d'une vue CLI

o Sauf que le vue nom-vue commande est utilisé pour affecter des commandes à la vue d'ensemble ;

• L'administrateur doit être en vue root pour configurer une superview ;


o Utilisez la commande « enable view » ou « enable view root » ;

Étape 1 :

Étape 2 :

Étape 3 :

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 36
• Activer la vue racine et vérifier toutes les vues

• Affecter Voir un utilisateur :

R1(config)#username Une vue Un mot de passe ciscoa

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 37
À la fin de cette section, vous devriez être capable de :

• Utilisez la fonction de configuration résiliente Cisco IOS pour sécuriser l'image et les
fichiers de configuration Cisco IOS ;

• Comparez les accès de gestion in-band et out-of-band ;

• Configurer syslog pour enregistrer les événements système ;

• Configurer l'accès SNMPv3 sécurisé à l'aide d'ACL ;

• Configurez NTP pour permettre un horodatage précis entre tous les appareils.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 38
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 39
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 40
• Permet une récupération plus rapide si quelqu'un reformate malicieusement ou involontairement la
mémoire flash ou efface le fichier de configuration de démarrage dans la NVRAM ;

• Conserve une copie de travail sécurisée du fichier image IOS du routeur et une copie de le
fichier de configuration en cours. Ces fichiers sécurisés ne peuvent pas être supprimés par
l'utilisateur et sont appelés bootset principal.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 41
• Pour sécuriser l'image IOS et activer la résilience de l'image Cisco IOS:
Routeur(config)# image de démarrage sécurisée.

• Pour prendre un instantané de la configuration du routeur en cours d'exécution et l'archiver en toute sécurité :
Routeur(config)# configuration de démarrage sécurisée

• Pour vérifier l'existence de l'archive


(impossible d'utiliser dir) :

Routeur# afficher le bootset sécurisé

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 42
• La fonctionnalité Cisco IOS Resilient fournit une méthode pour sécuriser l'image IOS et les
fichiers de configuration localement sur l'appareil.

• La fonction SCP (Secure Copy Protocol) est utilisée pour à distance copier ces fichiers ;

• Configurez le routeur pour le SCP côté serveur avec l'AAA local :


1. Configurer SSH ;
2. Configurez au moins un utilisateur avec le niveau de privilège 15 ;

3. Activer AAA ;
4. Spécifiez que la base de données locale doit être utilisée pour l'authentification ;

5. Configurer l'autorisation de commande ;

6. Activer la fonctionnalité côté serveur SCP ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 43
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 44
1. Connectez-vous au port de la console ;

2. Enregistrez le réglage du registre de configuration ;

3. Redémarrez le routeur ;
4. Lancer la séquence de pause ;

5. Changez le registre de configuration par défaut avec le confreg commande 0x2142 ;

6. Redémarrez le routeur ;

7. Appuyez sur Ctrl-C pour ignorer la procédure de configuration initiale ;

8. Mettre le routeur en mode EXEC privilégié ;


9. Copiez la configuration de démarrage dans la configuration en cours ;

dix. Vérifiez la configuration ;


11. Changez le mot de passe secret d'activation ;

12. Activer toutes les interfaces ;

13. Modifiez le config-register avec le config-register


configuration_register_setting ;
14. Enregistrez les modifications de configuration.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 45
Désactiver la récupération de mot de passe

Pas de récupération de mot de passe de service

Récupération de mot de passe


La fonctionnalité est désactivée

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 46
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 47
Gestion intrabande :

• Appliquer uniquement aux appareils qui


doivent être gérés ou surveillés

• Utilisez IPsec, SSH ou SSL lorsque cela est


possible

• Décidez si le canal de gestion doit


être ouvert à tout moment

Gestion hors bande (OOB) :

• Fournir le plus haut niveau de sécurité

• Atténuer le risque de passer des


protocoles de gestion sur le réseau
de production

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 48
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 49
• La méthode la plus courante pour accéder aux messages système à partir de périphériques réseau
consiste à utiliser un protocole appelé syslog (RFC 5424) ;

• Syslog utilise UDP, avec le port 514, pour envoyer des messages de notification d'événement sur les réseaux IP
aux collecteurs de messages d'événement.

• Le service de journalisation syslog fournit trois fonctions principales :

o La capacité de rassembler la journalisation


informations pour la surveillance et
le dépannage ;

o La possibilité de sélectionner le type de


les informations de journalisation qui sont
capturées ;

o La capacité à spécifier les


destinations du message syslog
capturé.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 50
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 51
Niveaux de sécurité

• Les niveaux numériques les plus petits


sont les alarmes syslog les plus
critiques ;

• Les niveaux Syslog de zéro à quatre sont


des messages concernant les
fonctionnalités logicielles ou matérielles ;

Exemples de niveaux de gravité


• Les niveaux 5 et 6 de Syslog sont
destinés aux notifications et
messages d'information ;

• Le niveau sept du Syslog indique


que les messages sont générés
en émettant diverses
commandes de débogage.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 52
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 53
• Les implémentations Syslog contiennent toujours deux types de systèmes :

o Serveurs Syslog - Également appelés hôtes de journal, ces systèmes acceptent et traitent les messages
de journal des clients syslog ;

o Clients Syslog - Routeurs ou autres types d'équipements qui génèrent et transmettent des messages de
journal aux serveurs syslog.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 54
Étape 1 : Définir l'hôte de journalisation de destination

Étape 2 (facultatif) : Définir le niveau de gravité du journal (trap)

Étape 3 : Définir l'interface source

Étape 4 : Activer la journalisation vers toutes les destinations activées

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 55
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 56
• Le protocole SNMP (Simple Network Management Protocol) a été développé pour permettre
aux administrateurs de gérer les appareils sur un réseau IP ;

• Il permet aux administrateurs réseau de surveiller les performances du réseau, de gérer les
périphériques réseau, de résoudre les problèmes de réseau et de planifier la croissance du réseau ;

• SNMP se compose de 3 éléments :


o gestionnaire SNMP ;

o Agents SNMP (nœud géré) ;

o Base d'informations de gestion


(MIB)

• Au moins un nœud de gestionnaire


doit exécuter le logiciel de gestion
SNMP ;

• Les équipements réseau


administrables sont équipés du
module logiciel agent SNMP ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 57
Cisco MIB
Hiérarchie

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 58
• Plusieurs versions de SNMP sont disponibles :

o SNMPv1 - Défini dans la RFC 1157 ; fourni aucun mécanisme d'authentification ou de


cryptage ;

o SNMPv2c - Défini dans les RFC 1901 à 1908 ; amélioré sur SNMPv1 mais n'a fourni aucun
mécanisme d'authentification ou de cryptage ;

o SNMPv3 - Défini dans les RFC 2273 à 2275 ; fournit un accès sécurisé aux appareils en
authentifiant et en cryptant les paquets sur le réseau.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 59
• SNMP est vulnérable aux attaques précisément parce que les agents SNMP peuvent être interrogés avec
des requêtes get et accepter des modifications de configuration avec des requêtes set ;

• Exemple ;
o Une requête set peut provoquer le redémarrage d'un routeur ;

o Un agent peut également être configuré pour envoyer des traps ou des notifications ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 60
• SNMPv3 offre trois fonctionnalités de sécurité :
o Les transmissions du gestionnaire à l'agent peuvent être authentifiées pour garantir
l'identité de l'expéditeur ainsi que l'intégrité et l'actualité d'un message ;

o Les messages SNMPv3 peuvent être cryptés pour garantir la confidentialité ;

o L'agent peut appliquer un contrôle d'accès pour restreindre chaque mandant à certaines actions sur des
portions spécifiques de données.

Intégrité et authentification des messages

Chiffrement

Contrôle d'accès

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 61
• SNMPv3 peut être sécurisé avec seulement quelques commandes

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 62
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 63
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 64
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 65
• Les paramètres de date et d'heure sur le routeur peuvent être définis à l'aide de l'une des deux méthodes suivantes :

o Modifier manuellement la date et l'heure ;


o Configurer le Network Time Protocol (NTP) ;

• Une meilleure solution est de configurer le NTP sur le réseau ;

• Permet aux routeurs du réseau de synchroniser leurs paramètres horaires avec un


serveur NTP ;

• Lorsque NTP est implémenté dans le réseau, il peut être configuré pour se synchroniser avec une
horloge maître privée ou il peut se synchroniser avec un serveur NTP accessible au public sur
Internet.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 66
Exemple de topologie NTP

Exemple de NTP
Configuration sur R1

Exemple de NTP
Configuration sur R2

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 67
• NTP version 3 (NTPv3), et versions ultérieures, prend en charge un mécanisme d'authentification
cryptographique entre les pairs NTP ;

• Trois commandes sont utilisées sur le maître NTP et le client NTP :


o ntp authentifier ;
o clé d'authentification ntp numéro de clé md5 valeur clé ;clé de

o confiance ntp numéro de clé ;

• Pour confirmer que le serveur est une source authentifiée, utilisez la commande :
o afficher le détail des associations ntp

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 68
À la fin de cette section, vous devriez être capable de :

• Utilisez des outils d'audit de sécurité pour déterminer les vulnérabilités des routeurs basés sur IOS.

• Utilisez AutoSecure pour activer la sécurité sur les routeurs basés sur IOS.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 69
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 70
• Certains services peuvent rendre l'appareil vulnérable aux attaques si la sécurité n'est pas
activée ;
• Le Link Layer Discovery Protocol (LLDP) est un standard ouvert qui peut être
activé sur les appareils ;
o La configuration et la vérification LLDP sont similaires au CDP (Cisco Discovery Protocol) ;

• La sortie pour afficher le détail des voisins lldp révélera l'adresse, la plate-forme et les détails
du système d'exploitation d'un appareil.
o Les logiciels disponibles, tels que CDP Monitor, peuvent également être utilisés pour obtenir les informations ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 71
• Les attaquants choisissent des services et des protocoles qui rendent le réseau
plus vulnérable à l'exploitation malveillante ;

• Pratiques recommandées supplémentaires pour garantir la sécurité d'un appareil :

o Désactiver les services et interfaces inutiles ;


o Désactiver et restreindre les services de gestion couramment configurés ;

o Désactivez les sondes et les analyses. Assurer la sécurité d'accès aux terminaux ;

o Désactiver les ARP gratuits et proxy ;

o Désactivez les diffusions dirigées par IP.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 72
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 73
• Cisco AutoSecure est une fonctionnalité qui exécute un script, à partir de la CLI ;

• Il fait d'abord des recommandations pour corriger les failles de sécurité puis modifie
la configuration de sécurité du routeur ;
• Il peut verrouiller les fonctions du plan de gestion et les services et fonctions du
plan de transfert d'un routeur ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 74
• Pour activer la configuration de la fonction AutoSecure : Routeur# auto sécurisé

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 75
Quand le sécurité automatique est lancée, un assistant CLI guide l'administrateur tout au long de la
configuration du périphérique. L'entrée de l'utilisateur est requise :

1. La commande auto secure est saisie ;

2. L'assistant rassemble des informations sur les interfaces externes ;

3. AutoSecure sécurise le plan de gestion en désactivant les services


inutiles ;

4. AutoSecure demande une bannière ;

5. AutoSecure demande des mots de passe et active les fonctions de mot de passe et de connexion

6. Les interfaces sont sécurisées ;

7. L'avion d'expédition est sécurisé.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 76
À la fin de cette section, vous devriez être capable de :

• Configurer une authentification de protocole de routage ;

• Expliquer la fonction de Control Plane Policing.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 77
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 78
• L'usurpation d'informations de routage peut généralement être utilisée pour amener les
systèmes à se désinformer (mentir), à provoquer une attaque DoS ou à faire suivre au trafic un
chemin qu'il ne suivrait pas normalement.

• Conséquences de l'usurpation de
protocole :

o Rediriger le trafic pour créer


boucles de routage ;

o Rediriger le trafic afin qu'il puisse être


surveillé sur un lien non
sécurisé ;

o Redirigez le trafic pour le supprimer.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 79
• OSPF prend en charge l'authentification du protocole de routage à l'aide de MD5. L'authentification MD5
peut être activée globalement pour toutes les interfaces ou interface par interface.

• Activer l'authentification MD5 interface par interface :


o ip ospf message-digest-key clé md5 le mot de passe .ip
o ospf authentification message-digest

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 80
• D5 est désormais considéré comme vulnérable aux attaques et ne doit être utilisé que lorsqu'une
authentification plus forte n'est pas disponible ;

• Cisco IOS version 15.4(1)T a ajouté la prise en charge de l'authentification OSPF SHA (RFC
5709) ;
• L'authentification OSPF SHA comprend deux étapes principales :

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 81
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 82
• Les routeurs doivent pouvoir distinguer :
o Paquets de plan de données - Paquets générés par l'utilisateur

o Paquets du plan de contrôle - Périphérique réseau Paquets générés ou reçus qui sont
utilisés pour la création et le fonctionnement du réseau
o Paquets du plan de gestion - Périphérique réseau Paquets générés ou reçus qui sont
utilisés pour gérer le réseau ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 83
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 84
• Control Plane Policing (CoPP) est une fonctionnalité de Cisco IOS conçue pour permettre
aux administrateurs de gérer le flux de trafic qui est « envoyé » au processeur de
routage ;

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 85
Objectifs du chapitre:

• Configurez un accès administratif sécurisé.

• Configurez l'autorisation de commande à l'aide des niveaux de privilège et de l'interface de ligne de commande basée sur les rôles.

• Mettre en œuvre la gestion et la surveillance sécurisées des périphériques réseau.

• Utilisez des fonctionnalités automatisées pour activer la sécurité sur les routeurs basés sur IOS.

• Mettre en œuvre la sécurité du plan de contrôle.

© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 86
Merci.

Vous aimerez peut-être aussi