Académique Documents
Professionnel Documents
Culture Documents
Sécurité: Depuis la forte croissance d’internet, de nombreuses menaces pour la sécurité sont
apparues !
VIRUS
Que ce soit des virus, Cheval de Troie, Pirates informatiques et même les propres employés
d'une entreprise, tout ça représente des risques pour la sécurité.
Types de menaces
Menaces à distance : si aucun système n’est mis en place pour protéger les accès, des
personnes malveillantes pourront s’y connecter très facilement !
Menace liée à l’accès du local informatique: il peut y avoir des dommages physiques
ou des vols sur le matériel réseau.
Menaces environnementales: des températures extrêmes (que ce soit chaud ou froid)
ou même d'humidité sont des menaces pour la sécurité !
Menaces électriques: des pointe ou chute de tension peuvent avoir de gros impact sur
la sécurité des données !
Menaces de maintenance: que ce soit une mauvaise manipulation des composants
réseau, un stock insuffisant de pièce de rechange et câblage, ou bien même
simplement un mauvais étiquetage, tout cela, présente une menace pour la sécurité !
enable password
Mot de passe affiché en clair dans le fichier de configuration !
enable secret
Mot de passe crypté avec un hachage en MD5
SERVICE PASSWORD-ENCRYPTION
Il est possible d’ajouter encore une autre couche de sécurité, pour les mots de passe qui
circulent dans le réseau ou qui sont stockés sur un serveur TFTP.
Exec-timeout
La commande « exec-timeout » ajoute une tempo, pour éviter que l’accès reste connecté,
lorsque l’admin s’absente de son bureau !
Telnet et SSH
Le VLAN 1 peut être utilisée pour la gestion.
La commande « interface vlan » permet de rentrer dans le mode de configuration du vlan.
Un commutateur ou un routeur comporte des lignes virtuelles, que l’on peut utiliser pour
l'accès à distance. Ce sont des lignes VTY.
Pour le port console, il faut utiliser la commande « Password » pour spécifier un mot de
passe et terminer par la commande « login » pour l’activer.
Telnet
est pratique et facile à configurer, mais il n’est pas sécurisé…
C’est-à-dire que tout circule en clair.
C’est pourquoi il est préférable de configurer et d’utiliser SSH. Avec ce dernier, tout le
trafic sera crypté.
Vérifiez bien avant, s’il est possible d’installer SSH sur votre version D’IOS.
Configurer SSH:
SSH fonctionne avec les noms d'utilisateur. La commande « Username » permet de spécifier
le nom d’utilisateur et la commande « password » le mot de passe lié à ce compte utilisateur.
Ensuite il faut obligatoirement configurer un nom de domaine, car SSH utilise des
certificats. La commande « ip domain-name » permet de renseigner le nom de domaine.
La commande « crypto key generate rsa » permet de générer des clés RSA pour SSH. La clé
doit avoir au moins 1024 bits. Par défaut, il activera la version 1 de SSH mais pour des
raisons de sécurité, il vaut mieux utiliser la V2:
Ensuite, il faut lui indiquer d’utiliser l'utilisateur qu'on a créé juste avant, avec la
commande «login local ».
Et pour finir, il faut autoriser uniquement SSH et pas Telnet, avec la commande « transport
input ssh »
Configuration SSH
Il est possible de lancer une connexion SSH ou Telnet à l'aide d'un client comme Putty qui
est installé sur son PC.
Putty
PuTTY c’est un émulateur pour les protocoles SSH ou Telnet. On peut aussi faire des
connexions directes avec un câble série RS-232.
À l’origine, ce logiciel n’était disponible que sur Windows. Maintenant il est aussi dispo sur
les plates-formes Unix !
Et la commande « login » active la connexion à distance avec un mot de passe pour les
sessions Telnet qui rentre.
SSH VERSION 2
Show ip ssh
Si on veut vérifier que le protocole SSH est bien activé, on peut utiliser la commande
« show ip ssh »
Show SSH
La commande « show ssh » permet de voir si une session SSH est en cours.
Telnet et SSH
C’est pourquoi il vaut mieux limiter les accès VTY, à des adresses IP spécifiques ou à des
sous-réseaux, pour mieux contrôler l'administration à distance !
La commande « deny any log » n’est pas obligatoire, car implicitement il y’a une règle qui
supprime tous les paquets, qui n’ont pas étés matchés par une ACL !
Mais, cette commande, permets en quelque sorte de l’officialiser pour avoir des traces dans
le journal !
Comme ça, toutes les tentatives qui ont été rejetées seront affichées dans le journal !
Banner Motd
Il est possible de configurer une bannière d'accueil qui sera affichée lorsqu’un utilisateur se
connectera sur l’IOS ! Ce message peut être un message d’avertissement, ou bien pour
informer d’une prochaine mise à jour !
Pour créer cette bannière de connexion, il faut utiliser la commande « banner motd » .
Banner login
Port sécurity
Des ports non utilisés sur un switch est un risque pour la sécurité !
Une personne mal-attentionnée pourrait très bien, se connecter sur un des ports non utilisés
du switch et accéder au réseau !
La méthode la plus simple pour ajouter une sécurité, et que la plupart des
admin utilise, c’est de désactiver tous les ports, qui ne sont pas utilisés.
Interface range
Pour arrêter plusieurs ports d’un coup, on peut utiliser la commande « interface range ».
Cette commande évite de se connecter sur chacun des ports, pour au final, taper les mêmes
commandes.
Port-security
Avec un switch, il est possible contrôler les ports, en limitant l’accès à certaines adresses
MAC. Cette fonctionnalité, très utilisée pour la sécurité, s’appelle « port-security »
2 manières différentes
Rappel
Apprentissage statique :
Configurée manuellement par un admin réseau.
Apprentissage dynamique :
L’adresse MAC est récupérée dynamiquement pour être stockée dans la table MAC
du switch. Comme c’est dynamique, l’adresse sera supprimée après un redémarrage
du switch.
Apprentissage sticky :
L’adresse MAC est aussi apprise dynamiquement, sauf qu’elle est enregistrée dans le
fichier de la running-config.
Mode de protection
Mode Protect:
Supprime les paquets qui ont une adresse MAC inconnue.
Mode Restrict:
Identique au mode Protect, sauf qu’il garde une trace de la violation dans son
journal et génère même une trappe SNMP.
Mode Shutdown:
Mode par défaut. Des qu’une violation de sécurité intervient, il désactivera
automatiquement, le port, qui ne pourra être réactivé que par un admin réseau, en
faisant un shut/no shut sur l’interface.
Configuration
Comme le paramètre précédent est à 1, la première adresse que le port apprendra sera
autorisée et inscrite dans le fichier de configuration du switch.
Aucune autre adresse ne pourra se connecter à ce port. À moins que le switch redémarre.
On aurait pu aussi lui indiquer une adresse mac statique avec la commande :
« switchport port-sécurité mac-address + la mac-address à autoriser »
Show port-security
La commande « show port-sécurity» sur une interface, affiche les paramètres de sécurité du
switch
La commande « show interface status » affiche des infos sur l’état des différents ports du
switch.
Mais comme tous les réseaux n'ont pas les mêmes exigences, certains de ces services ne sont
pas forcement nécessaire.
Le faite, de désactiver les services qu’on ne considère pas utiles, permet de libérer des
ressources système et d’éliminer d’éventuelle faille de sécurité sur l’exploitation de ces
services.
Une bonne pratique consiste à identifier les ports ouverts, afin de pouvoir déterminer quels
services doivent être désactivés.
DÉsactiver CDP
Une seconde pratique serait de désactiver le protocole CDP sur les interfaces qui pourrait
représenter un risque. Par exemple, sur celles qui sont connectées directement à internet.
La commande « no cdp run » permet de désactiver CDP sur toutes les interfaces de
l’équipement.
Et si on souhaite désactiver CDP, seulement sur une interface, il faut se connecter dessus et
entrer la commande « no cdp enable »
DÉsactiver HTTP
Une dernière pratique fortement recommandée serait de désactiver le service HTTP, qui est
activé par défaut sur le routeur. Car s’il est activé, il sera alors possible d’accéder aux
routeurs avec une simple page web.
NTP permet de synchroniser les horloges de plusieurs périphériques sur un réseau. Ce qui
est indispensable pour pouvoir utiliser des certificats numériques, et aussi pour pouvoir bien
interpréter les évènements qui sont dans les logs.
Il est possible de configurer un routeur en tant que serveur NTP, pour que les autres
périphériques, qui eux, seront configurés en client, puissent synchroniser leurs horloges !
Configuration NTP
La commande « ntp server + l’ip » permet de configurer l’équipement en tant que client
NTP en lui indiquant l’adresse du serveur NTP.
Les commandes « show ntp associations » et « show ntp status » permettent de vérifier les
paramètres NTP
Syslog
Le protocole Syslog permet de centraliser les logs de plusieurs équipements réseau.
Le faites de centralisé toutes les logs de l’ensemble de ces équipements, permet de mieux
surveiller et dépanner son propre réseau !
Debug
Severity
Si le niveau de sévérité est configuré sur 0, ça signifie que seuls les messages de type
« Emergency » seront affichés dans la CLI.
Si c’est configuré avec un niveau 4, et bien tous les messages avec des niveaux de sévérité
inférieur ou égal à 4 seront affichés. C’est-à-dire, Emergency, Alert, Critique, erreur et
Warning !
Mode DÉbogage
Le niveau qui donne le plus d’information est donc le niveau 7, qui est le mode de débogage.
S’il est activé, alors beaucoup d'informations seront affichées dans le journal et sur la
console. C’est donc à utiliser avec prudence, car ça diminue fortement, les performances du
réseau.
Debug all
Configuration
Pour mettre en service un serveur syslog , il faut indiquer l’IP du serveur syslog et le degré
de gravités des logs, à tous les équipements à qui on souhaite récupérer ces logs.
Exemple :
R1(config)# logging trap warning Ou R1(config)# logging trap 4