Sécurisation des périphériques réseau

Sécurisation des périphériques réseau: Depuis la forte croissance d’internet, de nombreuses

menaces pour la sécurité sont apparues !

|Que ce soit :

 des virus,
 Cheval de Troie,
 Pirates informatiques
 et même les propres employés d'une entreprise,

tout ça représente des risques pour la sécurité.

L’ensemble de ces menaces peuvent voler ou détruire des données sensibles.

Ce qui peut entrainer des couts et même paralyser financièrement une entreprise.

Une violations de sécurité peut très bien arrivé chez nous, dans notre réseau domestique,
ou bien en privée, dans une entreprise !
On va détailler plusieurs types de menaces:

|On a les Menaces à distance :

si aucun système n’est mis en place pour protéger les accès, des personnes malveillantes
pourront s’y connecter très facilement !
Pour augmenter cette sécurité, il est possible de mettre en place :

 -une authentification
 -un cryptage sur l’accès
 -des règles d’accès
 -une bannière de connexion pour dissuadé
 -d’utilisé des ACL.
 -Ou même, de mettre en place un accès VPN !

|Un autre type de menace est celle qui sont liée à l’accès du local informatique:
il peut y avoir des dommages physiques ou des vols sur le matériel réseau.

Pour sécurisé cette menace, il est conseillé de verrouillé l’accès à la salle serveur, et de laisser
entrer, que les personnes habilitées !

On peut aussi mettre en place des caméras pour surveiller les machines !

|On a les Menaces environnementales:

des températures extrêmes (que ce soit chaude ou froide) ou même d'humidité sont
des menaces pour la sécurité !

Pour avoir un environnement d’exploitation sain de la salle serveur, il faut

pouvoir contrôler la température ainsi que la qualité de l’air, tout en contrôlant et
en enregistrant les données !

On peut même mettre en place, des alarmes pour prévenir tout danger dans la salle à
sécurisé !

|Il faut aussi faire attention aux menaces électriques:

des pointe ou chute de tension peuvent avoir de gros impact sur la sécurité des données !

Il est possible de mettre en place des systèmes de redondance pour éviter toute panne
électrique. On peut aussi installer des groupes électrogènes ou équiper les machines d’une
seconde alim, et ce, sur un réseau électrique différent !

|Et on a les Menaces de maintenance:

que ce soit une mauvaise manipulation des composants réseau, un stock insuffisant de pièce
de rechange et câblage, ou bien même simplement un mauvais étiquetage, tout cela, présente
une menace pour la sécurité !

Sécurisation du mode privilégié de l’IOS

|Il est possible de sécuriser un routeur ou un switch en utilisant un mot de passe pour
accéder au mode privilège de l’IOS.
Pour ça, il existe deux commandes pour sécuriser cet accès .

 |Il y’a la commande « enable password »

 et| la commande « enable secret »

|Ces deux commandes, protège l’accès IOS, à l’aide du mot de passe que l’on aura défini !

|La différence entre les deux c’ est qu’ avec « enable password » le mot de passe est affiché
en clair dans le fichier de configuration !

Tandis qu’avec la commande « enable secret » le mot de passe est crypté avec un hachage en
MD5, ce qui est beaucoup plus sécurisé…

|Le petit « 5 » que l’on voit dans la sortit d’un « show running-config » sur la
commande « enable secret », et pour indiquer à l’équipement, qu’il s’agit d’un mot de passe
crypté, pour ne pas qu’il repasse par le hachage MD5, quand on copie/colle la
configuration !

Il est donc fortement recommandé d'utiliser plutôt la commande| « enable secret » que
la commande | « enable password ».

Il est possible d’ajouter encore une autre couche de sécurité, pour les mots de passe qui
circulent dans le réseau ou qui sont stockés sur un serveur TFTP.
La commande | « service password-encryption » permet de crypter l’ensemble des mots de
passe qui sont présents sur l’IOS.

|Ici nous voyons bien que désormais, le mot de passe de la commande « enable
password » n’est plus affiché en clair dans le fichier de la running-config !

Alors même, si ce type de cryptage, |qui est le type 7, n’est pas très sécurisé, c’est toujours
mieux que rien !

Sur internet, il est possible de trouver des outils qui vont convertir les mots de passe |cryptés
de type 7, en clair !

La commande « enable secret » qui utilise le type 5| reste beaucoup + sécurisée !

Sécurisation du port console

Nous avons vu comment sécuriser l’accès au mode privilège de l’IOS.
|On va maintenant voir, comment sécuriser l’accès au port console de l’équipement!

|La commande : «ligne console 0» permet de rentrer dans le mode de configuration du port
console.

|On peut voir que le sigle est passer de (config) à (config-line).

La commande « password » permet de spécifier le mot de passe que l’on veut mettre.
Dans l’exemple on a choisi « Pass3456 »
Et la commande « login » permet d’activer cette fonctionnalité !

|La commande « exec-timeout » ajoute une tempo, pour éviter que l’accès reste connecté,
lorsque l’admin s’absente de son bureau !

Dans l'exemple, lorsqu'aucune activité n'est détectée sur la console pendant 5 minutes,
l'utilisateur sera automatiquement déconnecté.

|Et la commande « service password-encryption » permet aussi de crypter ce mot de passe.

Même si ce cryptage est faible, car il est facilement déchiffrable, c’est tout de même mieux
qu’un mot de passe en clair dans la running-config de l’IOS !