11/02/2013

Routeur CISCO
Audit de sécurité

ILY CA
HD N
LE BLA
BE SA I
R. CA S SR

1
K - BT

L’audit de sécurité

• Routeurs Cisco sont initialement déployé avec

de nombreux services qui sont activées par
LA

défaut. Ceci est fait de simplifier le processus de

configuration requis pour obtenir le périphérique
opérationnel. Toutefois, certains de ces services
peuvent rendre le périphérique vulnérable à une
attaque si la sécurité n'est pas activée. Les
administrateurs peuvent également activer des
services sur les routeurs Cisco qui peuvent
exposer le routeur à des risques importants. Ces
deux scénarios doivent être pris en compte lors
de la sécurisation du réseau.
2

1
 11/02/2013

L’audit de sécurité

• Par exemple, Cisco Discovery Protocol (CDP)

est un exemple d'un service qui est activé par
défaut sur les routeurs Cisco. Il est utilisé
principalement pour obtenir des adresses de
protocole de périphériques Cisco voisins et de

ILY CA
découvrir les plates-formes de ces appareils.
Malheureusement, un attaquant sur le réseau
peut utiliser CDP pour découvrir les
HD N
périphériques sur le réseau local. En outre, les
attaquants n'ont pas besoin d'avoir CDP activé
LE BLA
BE SA I
R. CA S SR

dans leurs routeur.

3
K - BT

Audit de sécurité
LA

2
 11/02/2013

Audit de sécurité

• Les attaquants choisissent les services et

protocoles qui rendent le réseau plus vulnérable
à l'exploitation malveillante.

Selon les besoins de sécurité d'une organisation,

ILY CA
un grand nombre de ces services doivent être
désactivés ou, au minimum, limités dans leurs
capacités.
HD N
LE BLA
BE SA I
R. CA S SR

5
K - BT

Audit de sécurité

• De nombreuses pratiques aider à assurer la

sécurité d'un périphérique,
LA

- Désactiver les services inutiles et les interfaces.

- Désactiver ou réduire les services de gestion , tels
que SNMP.
- Désactiver les sondes et les scans, tels que ICMP.
- Assurer la sécurité d'accès au terminal.
- Désactiver gratuite et proxy Address Resolution
Protocol (ARP).
- Désactiver IP diffusions dirigées.
6

3
 11/02/2013

Audit de sécurité

ILY CA
HD N
LE BLA
BE SA I
R. CA S SR

7
K - BT

Audit de sécurité
LA

4
 11/02/2013

L’outil d'audit de sécurité - SDM

• Un outil d'audit de sécurité effectue des contrôles

sur le niveau de sécurité d'une configuration en
comparant cette configuration sur les réglages
recommandés et les écarts de suivi.
• Une fois vulnérabilités sont identifiées,

ILY CA
l'administrateurs réseau doit modifier la
configuration pour réduire ou éliminer ces
vulnérabilités pour sécuriser le routeur et le
réseau. HD N
LE BLA
BE SA I
R. CA S SR

9
K - BT

Outils de sécurité
Three security audit tools available
LA

10

5
 11/02/2013

Outils de sécurité : Security Audit Wizard

• Security Audit Wizard fournit une liste des

vulnérabilités et permet à l'administrateur de
choisir les éventuels changements de
configuration liés à la sécurité à mettre en œuvre
sur un routeur.

ILY CA
HD N
LE BLA
BE SA I
R. CA S SR

11
K - BT

Security Audit Wizard

1: Identification des interfaces

2:Identification des vulnérabilités

LA

3: corriger les vulnérabilités

12

6
 11/02/2013

Security Audit Wizard

• The Security Audit wizard compares a router

configuration against recommended settings and
performs the following:
- Shuts down unneeded servers.
- Disables unneeded services.

ILY CA
- Applies the firewall to the outside interfaces.
- Disables or hardens SNMP.

HD N
- Shuts down unused interfaces.
LE BLA
BE SA I
- Checks password strength.
R. CA S SR

- Enforces the use of ACLs.

13
K - BT

Cisco AutoSecure

• Cisco AutoSecure est une fonction qui est initiée

à partir de la CLI et exécute un script.
LA

• AutoSecure fait des recommandations en vue de

corriger les vulnérabilités de sécurité, puis
modifie la configuration de sécurité du routeur.
• AutoSecure peut verrouiller les fonctions de
gestion et les services de transfert et les
fonctions du routeur.

14

7
 11/02/2013

Cisco AutoSecure

• Secure BOOTP, CDP, FTP, TFTP, PAD, UDP, and TCP

small servers, MOP, ICMP (redirects, mask-replies), IP
source routing, Finger, password encryption, TCP
keepalives, gratuitous ARP, proxy ARP, and directed
broadcast
• Legal notification using a banner

ILY CA
• Secure password and login functions
• Secure NTP
HD N
• Secure SSH access
LE BLA
BE SA I
R. CA S SR

• TCP intercept services

15
K - BT

Cisco AutoSecure

• Use the auto secure command to enable the

Cisco AutoSecure feature setup. This setup can
LA

be interactive or non-interactive.

R1#auto secure [no-interact]

16

8
 11/02/2013

Cisco One-Step Lockdown

• One-step lockdown tests a router configuration for any

potential security problems and automatically makes the
necessary configuration changes to correct any
problems.

ILY CA
HD N
LE BLA
BE SA I
R. CA S SR

17
K - BT

Cisco One-Step Lockdown

LA

18

9
 11/02/2013

AutoSecure vs one-step lockdown

• Deciding which automated lockdown feature to use, AutoSecure or SDM
Security Audit one-step lockdown, is basically a matter of preference. There
are differences in how they implement good security practices.
¾Cisco SDM does not implement all the features of Cisco AutoSecure.
Since Cisco SDM version 2.4, the following Cisco AutoSecure features
are not part of the Cisco SDM one-step lockdown:
¾Disabling NTP - Based on input, Cisco AutoSecure disables NTP if it is
not necessary. Otherwise, NTP is configured with MD5 authentication.
Cisco SDM does not support disabling NTP.

ILY CA
¾Configuring AAA - If the AAA service is not configured, Cisco
AutoSecure configures local AAA and prompts for the configuration of a
local username and password database on the router. Cisco SDM does

HD N
not support AAA configuration.
¾Configuring antispoofing ACLs on outside interfaces - Cisco
LE BLA
BE SA I
AutoSecure creates three named access lists to prevent antispoofing
R. CA S SR

source addresses. Cisco SDM does not configure these ACLs.

19
K - BT
LA

20

10