IT Security-Ch2-Securing Network

Traduit de Anglais vers Français - www.onlinedoctranslator.
com
Chapitre 2:
Sécurisation des périphériques réseau
Sécurité CCNA v2.0

C. Leghris
2021-2022
2.0 Présentation ;
2.1 Sécurisation de l'accès aux appareils ;
2.2 Attribution des rôles administratifs ;
2.3 Surveillance et gestion des appareils ,
2.4 Utilisation des fonctions de sécurité automatisées ;
2.5 Sécurisation du plan de contrôle ;
2.6 Résumé ;
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public 2
À la fin de cette section, vous devriez être capable de :
• Expliquer comment sécuriser un périmètre réseau ;
• Configurer un accès administratif sécurisé aux routeurs Cisco ;
• Configurer une sécurité renforcée pour les connexions virtuelles ;
• Configurez un démon SSH pour une gestion à distance sécurisée.
• La sécurisation de l'infrastructure réseau est essentielle à la sécurité globale du réseau ;
o L'infrastructure réseau comprend des routeurs, des commutateurs, des serveurs, des points de terminaison et
d'autres appareils ;
• Pour empêcher l'accès non autorisé à tous les périphériques de l'infrastructure, des politiques et
des contrôles de sécurité appropriés doivent être mis en œuvre .
Approche à un seul routeur
Toutes les politiques de sécurité
sont configurées sur cet appareil
Approche de défense en profondeur Il existe trois couches principales

de défense : le routeur de
périphérie, le pare-feu et un
routeur interne.
Approche DMZ
La DMZ peut être utilisée pour les
serveurs qui doivent être
accessibles depuis le
Internet ou un autre
réseau externe
• La sécurisation des accès administratifs est une tâche de sécurité extrêmement importante ;
o Si une personne non autorisée obtient un accès administratif à un routeur, cette personne peut
modifier les paramètres de routage, désactiver les fonctions de routage ou découvrir et accéder à
d'autres systèmes au sein du réseau.
• Plusieurs tâches importantes sont impliquées dans la sécurisation de l'accès administratif à un

périphérique d'infrastructure :
o Restreindre l'accessibilité de l'appareil ;
o Connectez-vous et comptez pour tous les
o accès ; Authentifier l'accès ;
o Autoriser les actions ;
o Présenter l'avis légal ; Assurer la
o confidentialité des données.
Accès local Accès à distance à l'aide de Telnet
Accès à distance à l'aide d'un modem et d'un port auxiliaire
Réseau de gestion dédié
© 2013 Cisco et/ou ses filiales. Tous les droits sont réservés. Cisco Public dix
Des lignes directrices:
• Utilisez un mot de passe de 10 caractères ou plus ;
• Incluez un mélange de lettres majuscules et minuscules, de chiffres, de symboles et d'espaces ;
• Evitez les mots de passe basés sur des informations facilement identifiables ;
• mal orthographier délibérément un mot de passe (Smith = Smyth = 5mYth) ;
• Changez souvent les mots de passe ;
• N'écrivez pas les mots de passe et laissez-les dans des endroits évidents.
Mot de passe faible Pourquoi c'est faible Fort Pourquoi c'est fort
Mot de passe
secret Mot de passe de dictionnaire simple b67n42d39c Combine des caractères alphanumériques
forgeron Nom de jeune fille de la mère 12^h u4@1p7 Combine des caractères alphanumériques,
des symboles et inclut un espace
toyota Marque de voiture
bob1967 Nom et date de naissance de l'utilisateur
Feuille bleue23 Mots et nombres simples
• Il existe plusieurs commandes de configuration du
routeur qui peuvent être utilisées pour augmenter la
sécurité du mot de passe
Des lignes directrices:
• Configurez tous les mots de passe secrets à l'aide de mots de passe de type 8 ou de type 9 ;
• Utilisez le « activer le type d'algorithme » syntaxe de commande pour saisir un mot de passe non
crypté ;
• Utilisez le "nom d'utilisateur nom d'algorithme-type" commande pour spécifier le cryptage de

type 9
Par défaut :
• La console et les ports auxiliaires ne nécessitent pas de mot de passe pour l'accès
administratif ;
• La commande de mot de passe configurée sur la console, vty et les lignes auxiliaires ne peut
utiliser que le type 7 ;
Améliorations de la sécurité de la connexion virtuelle :
• Implémenter des délais entre les tentatives de connexion successives ;
• Activer l'arrêt de la connexion si des attaques DoS sont suspectées ;
• Générez des messages de journalisation du système pour la détection de connexion.
• Les bannières protègent l'organisation

d'un point de vue juridique.
• Désactivation des connexions après un nombre
spécifié de tentatives de connexion infructueuses ;
• Seuls les hôtes autorisés peuvent

tenter de se connecter au routeur ;
• Spécifie le nombre de secondes que

l'utilisateur doit attendre entre les
tentatives de connexion infructueuses ;
• Enregistrer les tentatives de connexion réussies ;
• Consigner les tentatives de connexion infructueuses
Syntaxe de commande : bloc de connexion pour
Exemple: connexion classe d'accès en mode silencieux
Exemple: délai de connexion
Générer des messages Syslog de connexion
Exemple: afficher les échecs de connexion
Exemple de configuration SSH
Exemple de vérification de SSH
• Pour se connecter depuis un PC :

ordinateur> ssh –l SSHadmin 192.168.3.1
• Pour se connecter depuis le routeur :

R2# ssh –v 2 –l SSHadmin 10.2.2.1
• Nous pouvons modifier l'intervalle de timeout SSH par défaut et le nombre de tentatives
d'authentification ;
• Utilisez le "délai d'attente ip ssh secondes" commande de mode de configuration globale pour
modifier le délai d'attente de 120 secondes par défaut ;
Deux façons de se connecter :
• Activez SSH et utilisez un routeur Cisco comme serveur SSH ou client SSH :
o En tant que serveur, le routeur peut accepter les connexions client SSH ;
o En tant que client, le routeur peut se connecter via SSH à un autre routeur compatible SSH ;
• Utilisez un client SSH exécuté sur un hôte, tel que

o Mastic ;
o OpenSSH ;
o TeraTerm.
• Configurer les niveaux de privilèges administratifs pour contrôler la disponibilité des commandes ;
• Configurez l'accès CLI basé sur les rôles pour contrôler la disponibilité des commandes.
Niveaux de privilèges : Niveaux des commandes d'accès :
• Niveau 0: prédéfini pour les privilèges d'accès au niveau utilisateur. • Mode d'exécution utilisateur (niveau de privilège 1)
Privilèges d'utilisateur en mode EXEC les plus bas

• Niveau 1: Niveau par défaut pour la connexion avec l'invite du routeur.
Seule la commande de niveau utilisateur disponible à l'invite router>
• Niveau 2-14: peut être personnalisé pour les privilèges de niveau utilisateur.
• Mode d'exécution privilégié (niveau de privilège 15)
• Niveau 15: Réservé aux privilèges du mode d'activation.
Toutes les commandes de niveau d'activation à l'invite router#
Syntaxe du niveau de privilège
Deux méthodes pour attribuer des mots de passe aux différents niveaux de privilèges :
• À un utilisateur bénéficiant d'un niveau de privilège spécifique :
Nom d'utilisateur Nom secret de niveau de privilège le mot de passe ;
• Au niveau privilège :
activer le niveau secret mot de passe de niveau
Les différents niveaux de privilèges configurés :
L'utilisation des niveaux de privilèges a ses limites :
• Aucun contrôle d'accès à des interfaces, ports, interfaces logiques et emplacements spécifiques sur
un routeur ;
• Les commandes disponibles aux niveaux de privilèges inférieurs sont toujours exécutables aux niveaux
de privilèges supérieurs ;
• Les commandes définies spécifiquement à des niveaux de privilèges supérieurs ne sont pas disponibles pour les
utilisateurs à privilèges inférieurs ;
• L'affectation d'une commande avec plusieurs mots-clés permet d'accéder à toutes les
commandes qui les utilisent ;
o Exemple : Autoriser l'accès à afficher l'itinéraire ip permet à l'utilisateur d'accéder à tous spectacle et afficher l'adresse IP
commandes.
Par exemple:
• Privilèges de l'opérateur de sécurité :
o Configurer AAA ;
o Problème spectacle commandes ;
o Configurer le pare-feu ;
o Configurer IDS/IPS ;
o Configurez NetFlow.
• Privilèges d'ingénieur WAN :

o Configurer le routage ;
o Configurer les interfaces ;
o Émettez les commandes show.
• L'interface de ligne de commande basée sur les rôles propose trois types :
o Vue racine ;
o Vue ;
o Supervision.
Étape 1 :
• Créer une vue. La racine un est
sans nom (activant pwd ) ;
• Avant, Activez AAA avec le aaa
nouveau-modèle ;
Étape 2 ;
• Cela crée et active la
configuration de la vue
mode
Étape 3 :
• Attribuez un mot de passe secret à la

vue à l'aide de la commande
secret mot de passe-crypté vue
Étape 4 :
• Affecter des commandes à la

vue sélectionnée à l'aide
commandes mode analyseur
Exemple d'une arborescence de config Views :
• La configuration d'une vue d'ensemble est identique à la configuration d'une vue CLI
o Sauf que le vue nom-vue commande est utilisé pour affecter des commandes à la vue d'ensemble ;
• L'administrateur doit être en vue root pour configurer une superview ;

o Utilisez la commande « enable view » ou « enable view root » ;
Étape 1 :
Étape 2 :
Étape 3 :
• Activer la vue racine et vérifier toutes les vues
• Affecter Voir un utilisateur :
R1(config)#username Une vue Un mot de passe ciscoa
• Utilisez la fonction de configuration résiliente Cisco IOS pour sécuriser l'image et les
fichiers de configuration Cisco IOS ;
• Comparez les accès de gestion in-band et out-of-band ;
• Configurer syslog pour enregistrer les événements système ;
• Configurer l'accès SNMPv3 sécurisé à l'aide d'ACL ;
• Configurez NTP pour permettre un horodatage précis entre tous les appareils.
• Permet une récupération plus rapide si quelqu'un reformate malicieusement ou involontairement la
mémoire flash ou efface le fichier de configuration de démarrage dans la NVRAM ;
• Conserve une copie de travail sécurisée du fichier image IOS du routeur et une copie de le
fichier de configuration en cours. Ces fichiers sécurisés ne peuvent pas être supprimés par
l'utilisateur et sont appelés bootset principal.
• Pour sécuriser l'image IOS et activer la résilience de l'image Cisco IOS:
Routeur(config)# image de démarrage sécurisée.
• Pour prendre un instantané de la configuration du routeur en cours d'exécution et l'archiver en toute sécurité :
Routeur(config)# configuration de démarrage sécurisée
• Pour vérifier l'existence de l'archive

(impossible d'utiliser dir) :
Routeur# afficher le bootset sécurisé
• La fonctionnalité Cisco IOS Resilient fournit une méthode pour sécuriser l'image IOS et les
fichiers de configuration localement sur l'appareil.
• La fonction SCP (Secure Copy Protocol) est utilisée pour à distance copier ces fichiers ;
• Configurez le routeur pour le SCP côté serveur avec l'AAA local :

1. Configurer SSH ;
2. Configurez au moins un utilisateur avec le niveau de privilège 15 ;
3. Activer AAA ;
4. Spécifiez que la base de données locale doit être utilisée pour l'authentification ;
5. Configurer l'autorisation de commande ;
6. Activer la fonctionnalité côté serveur SCP ;
1. Connectez-vous au port de la console ;
2. Enregistrez le réglage du registre de configuration ;
3. Redémarrez le routeur ;
4. Lancer la séquence de pause ;
5. Changez le registre de configuration par défaut avec le confreg commande 0x2142 ;
6. Redémarrez le routeur ;
7. Appuyez sur Ctrl-C pour ignorer la procédure de configuration initiale ;
8. Mettre le routeur en mode EXEC privilégié ;

9. Copiez la configuration de démarrage dans la configuration en cours ;
dix. Vérifiez la configuration ;

11. Changez le mot de passe secret d'activation ;
12. Activer toutes les interfaces ;
13. Modifiez le config-register avec le config-register

configuration_register_setting ;
14. Enregistrez les modifications de configuration.
Désactiver la récupération de mot de passe
Pas de récupération de mot de passe de service
Récupération de mot de passe

La fonctionnalité est désactivée
Gestion intrabande :
• Appliquer uniquement aux appareils qui

doivent être gérés ou surveillés
• Utilisez IPsec, SSH ou SSL lorsque cela est

possible
• Décidez si le canal de gestion doit

être ouvert à tout moment
Gestion hors bande (OOB) :
• Fournir le plus haut niveau de sécurité
• Atténuer le risque de passer des

protocoles de gestion sur le réseau
de production
• La méthode la plus courante pour accéder aux messages système à partir de périphériques réseau
consiste à utiliser un protocole appelé syslog (RFC 5424) ;
• Syslog utilise UDP, avec le port 514, pour envoyer des messages de notification d'événement sur les réseaux IP
aux collecteurs de messages d'événement.
• Le service de journalisation syslog fournit trois fonctions principales :
o La capacité de rassembler la journalisation

informations pour la surveillance et
le dépannage ;
o La possibilité de sélectionner le type de

les informations de journalisation qui sont
capturées ;
o La capacité à spécifier les

destinations du message syslog
capturé.
Niveaux de sécurité
• Les niveaux numériques les plus petits

sont les alarmes syslog les plus
critiques ;
• Les niveaux Syslog de zéro à quatre sont

des messages concernant les
fonctionnalités logicielles ou matérielles ;
Exemples de niveaux de gravité

• Les niveaux 5 et 6 de Syslog sont
destinés aux notifications et
messages d'information ;
• Le niveau sept du Syslog indique

que les messages sont générés
en émettant diverses
commandes de débogage.
• Les implémentations Syslog contiennent toujours deux types de systèmes :
o Serveurs Syslog - Également appelés hôtes de journal, ces systèmes acceptent et traitent les messages
de journal des clients syslog ;
o Clients Syslog - Routeurs ou autres types d'équipements qui génèrent et transmettent des messages de
journal aux serveurs syslog.
Étape 1 : Définir l'hôte de journalisation de destination
Étape 2 (facultatif) : Définir le niveau de gravité du journal (trap)
Étape 3 : Définir l'interface source
Étape 4 : Activer la journalisation vers toutes les destinations activées
• Le protocole SNMP (Simple Network Management Protocol) a été développé pour permettre
aux administrateurs de gérer les appareils sur un réseau IP ;
• Il permet aux administrateurs réseau de surveiller les performances du réseau, de gérer les
périphériques réseau, de résoudre les problèmes de réseau et de planifier la croissance du réseau ;
• SNMP se compose de 3 éléments :

o gestionnaire SNMP ;
o Agents SNMP (nœud géré) ;
o Base d'informations de gestion

(MIB)
• Au moins un nœud de gestionnaire

doit exécuter le logiciel de gestion
SNMP ;
• Les équipements réseau

administrables sont équipés du
module logiciel agent SNMP ;
Cisco MIB
Hiérarchie
• Plusieurs versions de SNMP sont disponibles :
o SNMPv1 - Défini dans la RFC 1157 ; fourni aucun mécanisme d'authentification ou de

cryptage ;
o SNMPv2c - Défini dans les RFC 1901 à 1908 ; amélioré sur SNMPv1 mais n'a fourni aucun
mécanisme d'authentification ou de cryptage ;
o SNMPv3 - Défini dans les RFC 2273 à 2275 ; fournit un accès sécurisé aux appareils en
authentifiant et en cryptant les paquets sur le réseau.
• SNMP est vulnérable aux attaques précisément parce que les agents SNMP peuvent être interrogés avec
des requêtes get et accepter des modifications de configuration avec des requêtes set ;
• Exemple ;
o Une requête set peut provoquer le redémarrage d'un routeur ;
o Un agent peut également être configuré pour envoyer des traps ou des notifications ;
• SNMPv3 offre trois fonctionnalités de sécurité :
o Les transmissions du gestionnaire à l'agent peuvent être authentifiées pour garantir
l'identité de l'expéditeur ainsi que l'intégrité et l'actualité d'un message ;
o Les messages SNMPv3 peuvent être cryptés pour garantir la confidentialité ;
o L'agent peut appliquer un contrôle d'accès pour restreindre chaque mandant à certaines actions sur des
portions spécifiques de données.
Intégrité et authentification des messages
Chiffrement
Contrôle d'accès
• SNMPv3 peut être sécurisé avec seulement quelques commandes
• Les paramètres de date et d'heure sur le routeur peuvent être définis à l'aide de l'une des deux méthodes suivantes :
o Modifier manuellement la date et l'heure ;

o Configurer le Network Time Protocol (NTP) ;
• Une meilleure solution est de configurer le NTP sur le réseau ;
• Permet aux routeurs du réseau de synchroniser leurs paramètres horaires avec un

serveur NTP ;
• Lorsque NTP est implémenté dans le réseau, il peut être configuré pour se synchroniser avec une
horloge maître privée ou il peut se synchroniser avec un serveur NTP accessible au public sur
Internet.
Exemple de topologie NTP
Exemple de NTP
Configuration sur R1
Exemple de NTP
Configuration sur R2
• NTP version 3 (NTPv3), et versions ultérieures, prend en charge un mécanisme d'authentification
cryptographique entre les pairs NTP ;
• Trois commandes sont utilisées sur le maître NTP et le client NTP :

o ntp authentifier ;
o clé d'authentification ntp numéro de clé md5 valeur clé ;clé de
o confiance ntp numéro de clé ;
• Pour confirmer que le serveur est une source authentifiée, utilisez la commande :
o afficher le détail des associations ntp
• Utilisez des outils d'audit de sécurité pour déterminer les vulnérabilités des routeurs basés sur IOS.
• Utilisez AutoSecure pour activer la sécurité sur les routeurs basés sur IOS.
• Certains services peuvent rendre l'appareil vulnérable aux attaques si la sécurité n'est pas
activée ;
• Le Link Layer Discovery Protocol (LLDP) est un standard ouvert qui peut être
activé sur les appareils ;
o La configuration et la vérification LLDP sont similaires au CDP (Cisco Discovery Protocol) ;
• La sortie pour afficher le détail des voisins lldp révélera l'adresse, la plate-forme et les détails
du système d'exploitation d'un appareil.
o Les logiciels disponibles, tels que CDP Monitor, peuvent également être utilisés pour obtenir les informations ;
• Les attaquants choisissent des services et des protocoles qui rendent le réseau
plus vulnérable à l'exploitation malveillante ;
• Pratiques recommandées supplémentaires pour garantir la sécurité d'un appareil :
o Désactiver les services et interfaces inutiles ;

o Désactiver et restreindre les services de gestion couramment configurés ;
o Désactivez les sondes et les analyses. Assurer la sécurité d'accès aux terminaux ;
o Désactiver les ARP gratuits et proxy ;
o Désactivez les diffusions dirigées par IP.
• Cisco AutoSecure est une fonctionnalité qui exécute un script, à partir de la CLI ;
• Il fait d'abord des recommandations pour corriger les failles de sécurité puis modifie
la configuration de sécurité du routeur ;
• Il peut verrouiller les fonctions du plan de gestion et les services et fonctions du
plan de transfert d'un routeur ;
• Pour activer la configuration de la fonction AutoSecure : Routeur# auto sécurisé
Quand le sécurité automatique est lancée, un assistant CLI guide l'administrateur tout au long de la
configuration du périphérique. L'entrée de l'utilisateur est requise :
1. La commande auto secure est saisie ;
2. L'assistant rassemble des informations sur les interfaces externes ;
3. AutoSecure sécurise le plan de gestion en désactivant les services

inutiles ;
4. AutoSecure demande une bannière ;
5. AutoSecure demande des mots de passe et active les fonctions de mot de passe et de connexion
6. Les interfaces sont sécurisées ;
7. L'avion d'expédition est sécurisé.
• Configurer une authentification de protocole de routage ;
• Expliquer la fonction de Control Plane Policing.
• L'usurpation d'informations de routage peut généralement être utilisée pour amener les
systèmes à se désinformer (mentir), à provoquer une attaque DoS ou à faire suivre au trafic un
chemin qu'il ne suivrait pas normalement.
• Conséquences de l'usurpation de
protocole :
o Rediriger le trafic pour créer

boucles de routage ;
o Rediriger le trafic afin qu'il puisse être

surveillé sur un lien non
sécurisé ;
o Redirigez le trafic pour le supprimer.
• OSPF prend en charge l'authentification du protocole de routage à l'aide de MD5. L'authentification MD5
peut être activée globalement pour toutes les interfaces ou interface par interface.
• Activer l'authentification MD5 interface par interface :

o ip ospf message-digest-key clé md5 le mot de passe .ip
o ospf authentification message-digest
• D5 est désormais considéré comme vulnérable aux attaques et ne doit être utilisé que lorsqu'une
authentification plus forte n'est pas disponible ;
• Cisco IOS version 15.4(1)T a ajouté la prise en charge de l'authentification OSPF SHA (RFC
5709) ;
• L'authentification OSPF SHA comprend deux étapes principales :
• Les routeurs doivent pouvoir distinguer :
o Paquets de plan de données - Paquets générés par l'utilisateur
o Paquets du plan de contrôle - Périphérique réseau Paquets générés ou reçus qui sont
utilisés pour la création et le fonctionnement du réseau
o Paquets du plan de gestion - Périphérique réseau Paquets générés ou reçus qui sont
utilisés pour gérer le réseau ;
• Control Plane Policing (CoPP) est une fonctionnalité de Cisco IOS conçue pour permettre
aux administrateurs de gérer le flux de trafic qui est « envoyé » au processeur de
routage ;
Objectifs du chapitre:
• Configurez un accès administratif sécurisé.
• Configurez l'autorisation de commande à l'aide des niveaux de privilège et de l'interface de ligne de commande basée sur les rôles.
• Mettre en œuvre la gestion et la surveillance sécurisées des périphériques réseau.
• Utilisez des fonctionnalités automatisées pour activer la sécurité sur les routeurs basés sur IOS.
• Mettre en œuvre la sécurité du plan de contrôle.
Merci.

Langue

IT Security-Ch2-Securing Network

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

IT Security-Ch2-Securing Network

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Traduit de Anglais vers Français - www.onlinedoctranslator.

Sécurisation des périphériques réseau

Sécurité CCNA v2.0

2.1 Sécurisation de l'accès aux appareils ;

2.2 Attribution des rôles administratifs ;

2.3 Surveillance et gestion des appareils ,

2.4 Utilisation des fonctions de sécurité automatisées ;

2.5 Sécurisation du plan de contrôle ;

• Expliquer comment sécuriser un périmètre réseau ;

• Configurer un accès administratif sécurisé aux routeurs Cisco ;

• Configurer une sécurité renforcée pour les connexions virtuelles ;

• Configurez un démon SSH pour une gestion à distance sécurisée.

Approche de défense en profondeur Il existe trois couches principales

• Plusieurs tâches importantes sont impliquées dans la sécurisation de l'accès administratif à un

o Restreindre l'accessibilité de l'appareil ;

o Connectez-vous et comptez pour tous les

o accès ; Authentifier l'accès ;

o Autoriser les actions ;

o Présenter l'avis légal ; Assurer la

o confidentialité des données.

Accès à distance à l'aide d'un modem et d'un port auxiliaire

• Utilisez un mot de passe de 10 caractères ou plus ;

• Incluez un mélange de lettres majuscules et minuscules, de chiffres, de symboles et d'espaces ;

• mal orthographier délibérément un mot de passe (Smith = Smyth = 5mYth) ;

• Changez souvent les mots de passe ;

toyota Marque de voiture

bob1967 Nom et date de naissance de l'utilisateur

Feuille bleue23 Mots et nombres simples

• Utilisez le "nom d'utilisateur nom d'algorithme-type" commande pour spécifier le cryptage de

• Implémenter des délais entre les tentatives de connexion successives ;

• Activer l'arrêt de la connexion si des attaques DoS sont suspectées ;

• Générez des messages de journalisation du système pour la détection de connexion.

• Les bannières protègent l'organisation

• Seuls les hôtes autorisés peuvent

• Spécifie le nombre de secondes que

• Enregistrer les tentatives de connexion réussies ;

• Consigner les tentatives de connexion infructueuses

Exemple: connexion classe d'accès en mode silencieux

Exemple: délai de connexion

Exemple: afficher les échecs de connexion

Exemple de vérification de SSH

• Pour se connecter depuis un PC :

• Pour se connecter depuis le routeur :

• Utilisez un client SSH exécuté sur un hôte, tel que

Privilèges d'utilisateur en mode EXEC les plus bas

Syntaxe du niveau de privilège

• Privilèges d'ingénieur WAN :

o Configurer les interfaces ;

o Émettez les commandes show.

• Attribuez un mot de passe secret à la

• Affecter des commandes à la

• L'administrateur doit être en vue root pour configurer une superview ;

• Affecter Voir un utilisateur :

R1(config)#username Une vue Un mot de passe ciscoa

• Comparez les accès de gestion in-band et out-of-band ;

• Configurer syslog pour enregistrer les événements système ;

• Configurer l'accès SNMPv3 sécurisé à l'aide d'ACL ;

• Pour vérifier l'existence de l'archive

Routeur# afficher le bootset sécurisé

• Configurez le routeur pour le SCP côté serveur avec l'AAA local :

5. Configurer l'autorisation de commande ;