CHAP2 Book FR

Machine Translated by Google
CHAPITRE 2
Sécurisation des périphériques réseau
Présentation du chapitre
La sécurisation du trafic réseau sortant et l'examen du trafic entrant sont des aspects critiques du réseau
Sécurité. La sécurisation du routeur périphérique, qui se connecte au réseau extérieur, est une première étape importante
dans la sécurisation du réseau.
Le durcissement des appareils est une tâche essentielle qui ne doit jamais être négligée. Il s'agit de mettre en œuvre
méthodes éprouvées pour sécuriser physiquement le routeur et protéger l'accès administratif du routeur
à l'aide de l'interface de ligne de commande (CLI) de Cisco IOS ainsi que de Cisco Router and Security Device Manager (SDM).
Certaines de ces méthodes impliquent la sécurisation de l'accès administratif, y compris
maintenir les mots de passe, configurer des fonctionnalités de connexion virtuelle améliorées et mettre en œuvre Secure
Shell (SSH). Étant donné que tout le personnel informatique ne doit pas avoir le même niveau d'accès aux dispositifs d'infrastructure,
la définition des rôles administratifs en termes d'accès est un autre aspect important de la sécurisation des dispositifs d'infrastructure.
La sécurisation des fonctionnalités de gestion et de génération de rapports des périphériques Cisco IOS est également importante.
Pratiques recommandées pour sécuriser syslog, à l'aide du protocole SNMP (Simple Network Management Protocol) et
la configuration du protocole NTP (Network Time Protocol) sont examinées.
De nombreux services de routeur sont activés par défaut. Un certain nombre de ces fonctionnalités sont activées pour l'historique
raisons mais ne sont plus nécessaires aujourd'hui. Ce chapitre traite de certains de ces services et examine les configurations de
routeur avec la fonction d'audit de sécurité de Cisco SDM. Ce chapitre examine également la fonction de verrouillage en une étape
de Cisco SDM et la commande de sécurité automatique , qui peuvent être
utilisé pour automatiser les tâches de renforcement des périphériques.
Un laboratoire pratique pour le chapitre, Sécurisation du routeur pour l'accès administratif, est un laboratoire très complet qui offre
l'occasion de pratiquer les fonctionnalités de sécurité étendues introduites
dans ce chapitre. Le TP présente les différents moyens de sécurisation des accès administratifs à un routeur,
y compris les meilleures pratiques en matière de mots de passe, la configuration appropriée des bannières, les fonctionnalités de connexion améliorées et
SSH. La fonction d'accès CLI basée sur les rôles repose sur la création de vues comme moyen de fournir différents
niveaux d'accès aux routeurs. La fonctionnalité de configuration résiliente de Cisco IOS permet de sécuriser le routeur
images et fichiers de configuration. Syslog et SNMP sont utilisés pour les rapports de gestion. Cisco Au toSecure est un outil
automatisé pour sécuriser les routeurs Cisco à l'aide de la CLI. L'audit de sécurité SDM
offre des fonctionnalités similaires à AutoSecure. Le laboratoire se trouve dans le manuel du laboratoire sur Acad emy Connection
sur cisco.netacad.net.
Une activité Packet Tracer, Configurer les routeurs Cisco pour les opérations Syslog, NTP et SSH, fournit
les apprenants s'exercent davantage à mettre en œuvre les technologies présentées dans ce chapitre. En particulier,
les apprenants configurent les routeurs avec NTP, syslog, journalisation des messages par horodatage, comptes d'utilisateurs locaux,
connectivité SSH exclusive et paires de clés RSA pour les serveurs SSH. Utilisation de l'accès client SSH à partir d'un
PC Windows et à partir d'un routeur Cisco est également exploré. Activités de Packet Tracer pour CCNA Security
se trouvent sur Academy Connection à l'adresse cisco.netacad.net.
28 Livret de cours sur la sécurité CCNA, version 1.0
2.1 Sécurisation de l'accès à l'appareil
2.1.1 Sécurisation du routeur Edge

La sécurisation de l'infrastructure réseau est essentielle à la sécurité globale du réseau. L'infrastructure réseau comprend
des routeurs, des commutateurs, des serveurs, des terminaux et d'autres périphériques.
Considérez un employé mécontent qui regarde avec désinvolture par-dessus l'épaule d'un administrateur réseau pendant
que l'administrateur se connecte à un routeur périphérique. C'est ce qu'on appelle le surf sur l'épaule, et c'est un moyen
étonnamment facile pour un attaquant d'obtenir un accès non autorisé.
Si un attaquant parvient à accéder à un routeur, la sécurité et la gestion de l'ensemble du réseau peuvent être
compromises, laissant les serveurs et les terminaux en danger. Il est essentiel que les politiques et les contrôles de sécurité
appropriés soient mis en œuvre pour empêcher l'accès non autorisé à tous les périphériques de l'infrastructure. Bien que
tous les périphériques d'infrastructure soient à risque, les routeurs sont une cible principale pour les attaquants du réseau.
En effet, les routeurs agissent comme une police de la circulation, dirigeant le trafic vers, depuis et entre les réseaux.
Le routeur périphérique est le dernier routeur entre le réseau interne et un réseau non approuvé tel qu'Internet. Tout le
trafic Internet d'une organisation passe par ce routeur périphérique ; par conséquent, il fonctionne souvent comme la
première et la dernière ligne de défense d'un réseau. Grâce au filtrage initial et final, le routeur périphérique aide à sécuriser
le périmètre d'un réseau protégé. Il est également responsable de la mise en œuvre des actions de sécurité basées sur les
politiques de sécurité de l'organisation. Pour ces raisons, la sécurisation des routeurs du réseau est impérative.
La mise en œuvre du routeur périphérique varie en fonction de la taille de l'organisation et de la complexité de la conception
de réseau requise. Les implémentations de routeur peuvent inclure un seul routeur protégeant un réseau interne entier ou
un routeur comme première ligne de défense dans une approche de défense en profondeur.
Approche de routeur unique
Dans l'approche à routeur unique, un seul routeur connecte le réseau protégé, ou LAN interne, à Internet. Toutes les
politiques de sécurité sont configurées sur cet appareil. Ceci est plus couramment déployé dans les implémentations de
sites plus petits tels que les sites de succursales et SOHO. Dans les petits réseaux, les fonctions de sécurité requises
peuvent être prises en charge par les ISR sans entraver les capacités de performance du routeur.
Approche de défense en profondeur
Une approche de défense en profondeur est plus sécurisée que l'approche à routeur unique. Dans cette approche, le
routeur périphérique agit comme la première ligne de défense et est appelé routeur de filtrage. Il transmet toutes les
connexions destinées au LAN interne au pare-feu.
La deuxième ligne de défense est le pare-feu. Le pare-feu reprend généralement là où le routeur périphérique s'arrête et
effectue un filtrage supplémentaire. Il fournit un contrôle d'accès supplémentaire en suivant l'état des connexions et agit
comme un dispositif de point de contrôle.
Le routeur périphérique dispose d'un ensemble de règles spécifiant le trafic qu'il autorise et refuse. Par défaut, le pare-feu
refuse l'établissement de connexions depuis les réseaux extérieurs (non approuvés) vers le réseau intérieur (approuvé).
Cependant, il permet aux utilisateurs internes d'établir des connexions aux réseaux non approuvés et permet aux réponses
de revenir via le pare-feu. Il peut également effectuer l'authentification des utilisateurs (proxy d'authentification) où les
utilisateurs doivent être authentifiés pour accéder aux ressources du réseau.
Approche DMZ
Une variante de l'approche de défense en profondeur consiste à offrir une zone intermédiaire, souvent appelée la zone
démilitarisée (DMZ). La DMZ peut être utilisée pour les serveurs qui doivent être accessibles depuis Internet ou un autre
réseau externe. La DMZ peut être configurée entre deux routeurs, avec un routeur interne se connectant au réseau protégé
et un routeur externe se connectant au réseau non protégé, ou simplement être un port supplémentaire hors d'un seul
routeur. Le pare-feu, situé entre les réseaux protégés et non protégés, est configuré pour autoriser les connexions requises
(par exemple, HTTP) depuis les réseaux extérieurs (non approuvés) vers les serveurs publics de la DMZ. Le pare-feu sert
Chapitre 2 : Sécurisation des périphériques réseau 29
comme protection principale pour tous les appareils sur la DMZ. Dans l'approche DMZ, le routeur offre une certaine protection en
filtrant une partie du trafic, mais laisse l'essentiel de la protection au pare-feu.
(Ce cours se concentre sur les fonctionnalités de sécurité ISR, y compris des explications sur la façon de configurer ces
fonctionnalités. En ce qui concerne l'appliance de sécurité adaptative Cisco (ASA), la discussion est limitée à la conception de la
mise en œuvre dans ce cours. Pour la configuration des périphériques ASA, voir www.cisco.com.)
La sécurisation du routeur de périphérie est une première étape essentielle dans la sécurisation du réseau. S'il existe d'autres
routeurs internes, ils doivent également être configurés de manière sécurisée. Trois domaines de la sécurité du routeur doivent être
maintenus.
Sécurité physique
Assurer la sécurité physique des routeursÿ:
ÿ Placez le routeur et les périphériques physiques qui s'y connectent dans une pièce sécurisée et verrouillée
accessible uniquement au personnel autorisé, exempt d'interférences électrostatiques ou magnétiques, anti-incendie et doté
de commandes de température et d'humidité.
ÿ Installez une alimentation sans coupure (UPS) et gardez des composants de rechange disponibles. Cette
réduit la possibilité d'une attaque DoS de la perte de puissance au bâtiment.
Sécurité du système d'exploitation
Sécurisez les fonctionnalités et les performances des systèmes d'exploitation du routeurÿ:
ÿ Configurez le routeur avec la quantité maximale de mémoire possible. La disponibilité de

La mémoire peut aider à protéger le réseau contre certaines attaques DoS, tout en prenant en charge la plus large gamme
de services de sécurité.
ÿ Utilisez la dernière version stable du système d'exploitation qui répond aux exigences de fonctionnalité du réseau. Les fonctions de
sécurité d'un système d'exploitation évoluent avec le temps. Gardez à l'esprit que la dernière version d'un système d'exploitation
peut ne pas être la version la plus stable disponible.
ÿ Conservez une copie sécurisée de l'image du système d'exploitation du routeur et du fichier de

sauvegarde.
Durcissement du routeur
Éliminer les abus potentiels des ports et services inutilisésÿ:
ÿ Contrôle administratif sécurisé. Assurez-vous que seul le personnel autorisé y a accès et que
leur niveau d'accès est contrôlé.
ÿ Désactivez les ports et interfaces inutilisés. Réduisez le nombre de façons d'accéder à un appareil.
ÿ Désactivez les services inutiles. Comme de nombreux ordinateurs, un routeur dispose de services qui sont
activé par défaut. Certains de ces services sont inutiles et peuvent être utilisés par un attaquant pour recueillir des informations
ou à des fins d'exploitation.
L'accès administratif est requis à des fins de gestion du routeurÿ; par conséquent, la sécurisation de l'accès administratif est une tâche
de sécurité extrêmement importante. Si une personne non autorisée devait obtenir un accès administrateur à un routeur, cette
personne pourrait modifier les paramètres de routage, désactiver les fonctions de routage ou découvrir et accéder à d'autres systèmes
du réseau.
Plusieurs tâches importantes sont impliquées dans la sécurisation de l'accès administratif à un périphérique d'infrastructureÿ:
ÿ Restreindre l'accessibilité de l'appareil - Limitez les ports accessibles, restreignez

communicateurs et restreignent les méthodes d'accès autorisées.
ÿ Journaliser et comptabiliser tous les accès - À des fins d'audit, enregistrez toute personne qui accède à un appareil, y
compris ce qui se produit et quand.
ÿ Authentifier l'accès - Assurez-vous que l'accès est accordé uniquement aux utilisateurs, groupes et services authentifiés. Limitez le
nombre de tentatives de connexion infructueuses et le temps entre les connexions.
ÿ Autoriser les actions - Restreindre les actions et les vues autorisées par un utilisateur, groupe ou
un service.
ÿ Présenter une notification légale - Afficher une notification légale, élaborée en collaboration avec l'entreprise
conseiller juridique, pour des sessions interactives.
ÿ Assurez la confidentialité des données - Protégez les données sensibles stockées localement contre la visualisation et la copie.
Tenez compte de la vulnérabilité des données en transit sur un canal de communication au reniflement, au détournement de
session et aux attaques de l'homme du milieu (MITM).
Il existe deux façons d'accéder à un appareil à des fins administratives, localement et à distance.
Tous les périphériques de l'infrastructure réseau sont accessibles localement. L'accès local à un routeur nécessite généralement une
connexion directe à un port de console sur le routeur Cisco à l'aide d'un ordinateur exécutant un logiciel d'émulation de terminal.
Certains périphériques réseau sont accessibles à distance. L'accès à distance implique généralement d'autoriser les connexions Tel net,
Secure Shell (SSH), HTTP, HTTPS ou SNMP (Simple Network Management Protocol) au routeur à partir d'un ordinateur. L'ordinateur
peut se trouver sur le même sous-réseau ou sur un sous-réseau différent. Certains protocoles d'accès à distance envoient les données, y
compris les noms d'utilisateur et les mots de passe, au routeur en clair. Si un attaquant peut collecter le trafic réseau alors qu'un
administrateur est connecté à distance à un routeur, l'attaquant peut capturer les mots de passe ou les informations de configuration du
routeur.
Pour cette raison, il est préférable de n'autoriser qu'un accès local au routeur. Cependant, l'accès à distance peut toujours être
nécessaire. Lors de l'accès au réseau à distance, quelques précautions doivent être prises :
ÿ Chiffrez tout le trafic entre l'ordinateur administrateur et le routeur. Par exemple, au lieu d'utiliser Telnet,
utilisez SSH. Ou au lieu d'utiliser HTTP, utilisez HTTPS.
ÿ Établir un réseau de gestion dédié. Le réseau de gestion ne doit inclure que des hôtes d'administration
identifiés et des connexions à une interface dédiée sur le routeur.
ÿ Configurez un filtre de paquets pour n'autoriser que les hôtes d'administration identifiés et les
protocoles pour accéder au routeur. Par exemple, n'autorisez que les requêtes SSH provenant de l'adresse IP de l'hôte
d'administration pour initier une connexion aux routeurs du réseau.
Ces précautions sont précieuses, mais elles ne protègent pas complètement le réseau. D'autres lignes de défense doivent également être
mises en place. L'un des plus élémentaires et des plus importants est l'utilisation d'un mot de passe sécurisé.
2.1.2 Configuration de l'accès administratif sécurisé

Les attaquants déploient diverses méthodes pour découvrir les mots de passe administratifs. Ils peuvent surfer sur l'épaule, tenter de
deviner les mots de passe en fonction des informations personnelles de l'utilisateur ou renifler les paquets TFTP contenant des fichiers
de configuration en texte clair. Les attaquants peuvent également utiliser des outils tels que L0phtCrack et Cain & Abel pour tenter des
attaques par force brute et deviner des mots de passe.
Pour protéger les actifs tels que les routeurs et les commutateurs, suivez ces directives courantes pour choisir des mots de passe
forts. Ces directives sont conçues pour rendre les mots de passe moins facilement découverts par des outils intelligents de devinette et
de piratageÿ:
ÿ Utilisez un mot de passe de 10 caractères ou plus. Plus c'est long, mieux c'est.
ÿ Rendre les mots de passe complexes. Inclure un mélange de lettres majuscules et minuscules, de chiffres,
les symboles et les espaces.
ÿ Évitez les mots de passe basés sur la répétition, les mots du dictionnaire, les séquences de lettres ou de chiffres,
noms d'utilisateur, noms de parents ou d'animaux de compagnie, informations biographiques, telles que dates de naissance,
numéros d'identification, noms d'ancêtres ou autres informations facilement identifiables.
ÿ Mal épeler délibérément un mot de passe. Par exemple, Smith = Smyth = 5mYth ou Security =
5sécurité.
ÿ Changez souvent les mots de passe. Si un mot de passe est compromis sans le savoir, la fenêtre de
possibilité pour l'attaquant d'utiliser le mot de passe est limitée.
ÿ N'écrivez pas les mots de passe et ne les laissez pas dans des endroits évidents comme sur le bureau ou
moniteur.
Sur les routeurs Cisco et de nombreux autres systèmes, les espaces de début de mot de passe sont ignorés, mais les espaces
après le premier caractère ne sont pas ignorés. Par conséquent, une méthode pour créer un mot de passe fort consiste à utiliser la
barre d'espace dans le mot de passe et à créer une phrase composée de plusieurs mots. C'est ce qu'on appelle une phrase de passe.
Une phrase de passe est souvent plus facile à retenir qu'un simple mot de passe. Il est également plus long et plus difficile de
deviner.
Les administrateurs doivent s'assurer que des mots de passe forts sont utilisés sur l'ensemble du réseau. Une façon d'y parvenir
consiste à utiliser les mêmes outils de piratage et d'attaque par force brute que les attaquants utilisent pour vérifier la force du mot de
passe.
De nombreux ports d'accès nécessitent des mots de passe sur un routeur Cisco, y compris le port de console, le port auxiliaire et les
connexions de terminal virtuel. La gestion des mots de passe dans un grand réseau doit être maintenue à l'aide d'un serveur
d'authentification central TACACS+ ou RADIUS tel que Cisco Secure Access Control Server (ACS). Tous les routeurs doivent être
configurés avec les mots de passe utilisateur et EXEC privilégié. Une base de données locale des noms d'utilisateur est également
recommandée comme sauvegarde si l'accès à un serveur d'authentification, d'autorisation et de comptabilité (AAA) est compromis.
L'utilisation d'un mot de passe et l'attribution de niveaux de privilège est un moyen simple de fournir un contrôle d'accès aux terminaux
dans un réseau. Des mots de passe doivent être établis pour l'accès privilégié en mode EXEC et les lignes individuelles telles que la
console et les lignes auxiliaires.
Activer le mot de passe secret
La commande de configuration globale enable secret password restreint l'accès au mode EXEC privilégié. Le mot de passe secret
d'activation est toujours haché dans la configuration du routeur à l'aide d'un algorithme de hachage Mes sage Digest 5 (MD5). Si le
mot de passe d'activation secret est perdu ou oublié, il doit être remplacé à l'aide de la procédure de récupération du mot de passe du
routeur Cisco.
Ligne de console
Par défaut, le port de la console ne nécessite pas de mot de passe pour l'accès administratif à la consoleÿ; cependant, il doit
toujours être configuré en tant que mot de passe de niveau ligne du port de console. Utilisez la commande line console 0 suivie des
sous- commandes login et password pour exiger une connexion et établir un mot de passe de connexion sur la ligne de la console.
Lignes terminales virtuelles
Par défaut, les routeurs Cisco prennent en charge jusqu'à cinq sessions simultanées de terminal virtuel vty (Telnet ou SSH). Sur le
routeur, les ports vty sont numérotés de 0 à 4. Utilisez la commande line vty 0 4 suivie des sous-commandes login et password
pour exiger une connexion et établir un mot de passe de connexion sur les sessions Telnet entrantes.
Ligne auxiliaire
Par défaut, les ports auxiliaires du routeur Cisco ne nécessitent pas de mot de passe pour l'accès administratif à distance. Les
administrateurs utilisent parfois ce port pour configurer et surveiller à distance le routeur à l'aide d'un
connexion par modem commuté.
Pour accéder à la ligne auxiliaire, utilisez la commande line aux 0 . Utilisez les sous-commandes login et password pour exiger une
connexion et établir un mot de passe de connexion sur les connexions entrantes.
Par défaut, à l'exception de l'activation du mot de passe secret, tous les mots de passe des routeurs Cisco sont stockés
en clair dans la configuration du routeur. Ces mots de passe peuvent être affichés avec la commande show run ning-config . Les
renifleurs peuvent également voir ces mots de passe si la configuration du serveur TFTP
les fichiers traversent une connexion intranet ou Internet non sécurisée. Si un intrus accède au TFTP
serveur où sont stockés les fichiers de configuration du routeur, l'intrus est en mesure d'obtenir ces mots de passe.
Pour augmenter la sécurité des mots de passe, les éléments suivants doivent être configurésÿ:
ÿ Appliquez des longueurs de mot de passe minimales.
ÿ Désactivez les connexions sans surveillance.
ÿ Chiffrez tous les mots de passe dans le fichier de configuration.
Longueur minimale des caractères
À partir de la version 12.3(1) de Cisco IOS et des versions ultérieures, les administrateurs peuvent définir la longueur minimale des
caractères pour tous les mots de passe de routeur de 0 à 16 caractères à l'aide de la longueur minimale des mots de passe de sécurité
de la commande de configuration globale . Il est fortement recommandé que le minimum
la longueur du mot de passe doit être définie sur au moins 10 caractères pour éliminer les mots de passe courants qui sont courts et
répandu sur la plupart des réseaux, tels que "laboratoire" et "cisco".
Cette commande affecte les mots de passe utilisateur, active les mots de passe secrets et les mots de passe de ligne créés après
l'exécution de la commande. Les mots de passe de routeur existants ne sont pas affectés. Toute tentative de
créer un nouveau mot de passe inférieur à la longueur spécifiée échoue et génère un message d'erreur
semblable à ce qui suitÿ:
Mot de passe trop court - doit comporter au moins 10 caractères. Configuration du mot de passe
manqué.
Désactiver les connexions sans surveillance
Par défaut, une interface d'administration reste active et connectée pendant 10 minutes après la dernière activité de session. Après
cela, l'interface expire et se déconnecte de la session.
Si un administrateur est absent du terminal alors que la connexion console est active, un attaquant
a jusqu'à 10 minutes pour obtenir un accès de niveau privilège. Il est recommandé que ces minuteries soient réglées avec précision
pour limiter la durée à un maximum de deux ou trois minutes. Ces minuteries peuvent être
ajusté à l'aide de la commande exec-timeout en mode de configuration de ligne pour chacun des types de ligne
qui sont utilisés.
Il est également possible de désactiver le processus exec pour une ligne spécifique, comme sur le port auxiliaire,
en utilisant la commande no exec dans le mode de configuration de ligne. Cette commande n'autorise qu'un
connexion sortante sur la ligne. La commande no exec vous permet de désactiver le processus EXEC
pour les connexions qui peuvent tenter d'envoyer des données non sollicitées au routeur.
Crypter tous les mots de passe
Par défaut, certains mots de passe sont affichés en clair, c'est-à-dire non chiffrés, dans la configuration du logiciel Cisco IOS. À
l'exception de l'activation du mot de passe secret, tous les autres mots de passe en clair
dans le fichier de configuration peut être chiffré dans le fichier de configuration à l'aide du mot de passe de service
commande de chiffrement . Cette commande hache les mots de passe en clair actuels et futurs du fichier de
configuration dans un texte chiffré. Pour arrêter le cryptage des mots de passe, utilisez la forme no de la
commande. Seuls les mots de passe créés après l' émission de la commande no seront décryptés. Les mots de
passe existants qui ont été précédemment cryptés le resteront.
La commande service password-encryption est principalement utile pour empêcher les personnes non autorisées de voir les mots
de passe dans le fichier de configuration. L'algorithme utilisé par la commande service password-encryption est simple et peut être
facilement inversé par une personne ayant accès au texte chiffré chiffré et à une application de craquage de mot de passe. Pour
cette raison, cette commande ne doit pas être utilisée dans le but de protéger les fichiers de configuration contre des attaques
sérieuses.
La commande enable secret est beaucoup plus sécurisée car elle crypte le mot de passe à l'aide de MD5, qui est un algorithme
plus puissant.
Une autre fonction de sécurité disponible est l'authentification. Les routeurs Cisco peuvent conserver une liste de noms d'utilisateur et
de mots de passe dans une base de données locale sur le routeur pour effectuer une authentification de connexion locale. Il existe
deux méthodes de configuration des comptes de nom d'utilisateur locaux.
nom d' utilisateur mot de passe mot de

passe nom d'utilisateur mot de passe secret
La commande username secret est plus sécurisée car elle utilise l'algorithme le plus puissant, le hachage MD5, pour dissimuler les
mots de passe. MD5 est un algorithme bien meilleur que le type standard 7 utilisé par la commande service password-encryption .
La couche supplémentaire de protection MD5 est utile dans les en vironnements dans lesquels le mot de passe traverse le réseau ou
est stocké sur un serveur TFTP. Gardez à l'esprit que lors de la configuration d'une combinaison de nom d'utilisateur et de mot de
passe, les restrictions de longueur de mot de passe doivent être respectées. Utilisez la commande login local sur la ligne de
configuration pour activer la base de données locale pour l'authentification.
Tous les exemples restants de ce chapitre utilisent la configuration secrète du nom d'utilisateur au lieu du mot de
passe du nom d'utilisateur.
2.1.3 Configuration de la sécurité renforcée pour les connexions virtuelles

L'attribution de mots de passe et l'authentification locale n'empêchent pas un appareil d'être la cible d'attaques. Les attaques DoS
inondent un appareil avec tellement de demandes de connexion que l'appareil peut ne pas fournir un service de connexion normal aux
administrateurs système légitimes. Une attaque par dictionnaire, qui est utilisée pour obtenir un accès administratif à un appareil, inonde
un appareil avec des milliers de combinaisons de nom d'utilisateur et de mot de passe. Le résultat final est sensiblement le même
qu'une attaque DoS, en ce sens que l'appareil ne peut pas traiter les demandes légitimes des utilisateurs. Le réseau doit avoir des
systèmes en place pour détecter et aider à prévenir ces attaques.
En activant un profil de détection, un périphérique réseau peut être configuré pour réagir aux tentatives de connexion
infructueuses répétées en refusant d'autres demandes de connexion (blocage de connexion). Ce bloc peut être configuré pour une
période de temps, qui s'appelle une période calme. Les tentatives de connexion légitimes peuvent toujours être autorisées pendant
une période calme en configurant une liste de contrôle d'accès (ACL) avec les adresses connues pour être associées aux
administrateurs système.
La fonction d'amélioration de la connexion Cisco IOS offre plus de sécurité pour les périphériques Cisco IOS lors de la création
d'une connexion virtuelle, telle que Telnet, SSH ou HTTP, en ralentissant les attaques par dictionnaire et en arrêtant les attaques
DoS. Pour mieux configurer la sécurité des connexions de connexion virtuelles, le processus de connexion doit être configuré avec
des paramètres spécifiquesÿ:
ÿ Délais entre les tentatives de connexion successives
ÿ Arrêt de la connexion si des attaques DoS sont suspectées
ÿ Génération de messages de journalisation système pour la détection de connexion

Ces améliorations ne s'appliquent pas aux connexions console. Il est supposé que seul le personnel autorisé a un accès physique aux
appareils.
Les commandes suivantes sont disponibles pour configurer un périphérique Cisco IOS afin de prendre en charge les fonctionnalités de
connexion améliorées.
Terminal de configuration du routeur #

Router(config)# login block-for seconds tente des tentatives en quelques secondes
Routeur(config)# login quiet-mode access-class {acl-name | numéro_acl}
Routeur (config) # secondes de délai de connexion
Router(config)# login on-failure log [chaque connexion]
Router(config)# login on-success log [chaque connexion]
L'authentification sur les lignes vty doit être configurée pour utiliser une combinaison de nom d'utilisateur et de mot de passe. Si les lignes
vty sont configurées pour n'utiliser qu'un mot de passe, les fonctionnalités de connexion avancées ne sont pas activées.
Qu'est-ce que chaque commande accomplitÿ?
Toutes les fonctionnalités d'amélioration de la connexion sont désactivées par défaut. Utilisez la commande login block-for pour activer les
améliorations de connexion.
La fonction de blocage de connexion surveille l'activité de l'appareil de connexion et fonctionne en deux modesÿ:
ÿ Mode normal (mode veille) - Le routeur comptabilise le nombre de tentatives de connexion infructueuses
dans un délai déterminé.
ÿ Mode silencieux (période silencieuse) - Si le nombre d'échecs de connexion dépasse le seuil configuré, toutes les tentatives de
connexion utilisant Telnet, SSH et HTTP sont refusées.
Lorsque le mode silencieux est activé, toutes les tentatives de connexion, y compris l'accès administratif valide, ne sont pas autorisées.
Cependant, pour fournir un accès permanent aux hôtes critiques, ce comportement peut être remplacé à l'aide d'une ACL. L'ACL doit être
créée et identifiée à l'aide de la commande login quiet-mode access-class .
Par défaut, les périphériques Cisco IOS peuvent accepter des connexions, telles que Telnet, SSH et HTTP, aussi rapidement qu'elles
peuvent être traitées. Cela rend les appareils sensibles aux outils d'attaque par dictionnaire, tels que Cain ou L0phtCrack, qui sont capables
de milliers de tentatives de mot de passe par seconde. Le bloc de connexion pour la commande invoque un délai automatique de 1 seconde
entre les tentatives de connexion. Les attaquants doivent attendre 1 seconde avant de pouvoir essayer un mot de passe différent.
Ce délai peut être modifié à l'aide de la commande login delay . La commande login delay introduit un délai uniforme entre les tentatives
de connexion successives. Le délai se produit pour toutes les tentatives de connexion, y compris les tentatives échouées ou réussies.
Les commandes login block-for, login quiet-mode access-class et login delay permettent de bloquer les tentatives de connexion
infructueuses pendant une période limitée, mais ne peuvent pas empêcher un attaquant de réessayer. Comment un administrateur peut-il
savoir quand quelqu'un essaie d'accéder au réseau en devinant le mot de passe ?
La commande auto secure active la journalisation des messages pour les tentatives de connexion infructueuses. La journalisation des
tentatives de connexion réussies n'est pas activée par défaut.
Ces commandes peuvent être utilisées pour suivre le nombre de tentatives de connexion réussies et échouées.
login on-failure log [chaque connexion] génère des journaux pour les demandes de connexion ayant échoué.
login on-success log [chaque connexion] génère des messages de journal pour les demandes de connexion réussies.
Le nombre de tentatives de connexion avant qu'un message ne soit généré peut être spécifié à l'aide du paramètre [every login] . La
valeur par défaut est 1 tentative. La plage valide est de 1 à 65 535.

Comme alternative, la commande security authentication failure rate threshold-rate log génère un
message de journal lorsque le taux d'échec de connexion est dépassé.
Pour vérifier que la commande login block-for est configurée et dans quel mode se trouve actuellement le routeur,
utilisez la commande show login . Le routeur est en mode normal ou silencieux, selon que les seuils de connexion
ont été dépassés ou non.
La commande show login failures affiche plus d'informations sur les tentatives infructueuses, telles que l'adresse
IP à l'origine des tentatives de connexion infructueuses.
Utilisez des bannières pour présenter une notification légale aux intrus potentiels afin de les informer qu'ils ne sont
pas les bienvenus sur un réseau. Les bannières sont très importantes pour le réseau d'un point de vue juridique.
Les intrus ont gagné des procès parce qu'ils n'ont pas rencontré les messages d'avertissement appropriés lors de
l'accès aux réseaux de routeurs. En plus d'avertir les intrus potentiels, des bannières sont également utilisées pour
informer les administrateurs distants des restrictions d'utilisation.
Le choix de ce qu'il faut placer dans les messages de bannière est important et doit être examiné par un conseiller
juridique avant de les placer sur les routeurs du réseau. N'utilisez jamais le mot de bienvenue ou toute autre salutation
familière qui pourrait être interprétée à tort comme une invitation à utiliser le réseau.
Les bannières sont désactivées par défaut et doivent être explicitement activées. Utilisez la commande banner du
mode de configuration globale pour spécifier les messages appropriés.
bannière {exec | entrant | connexion | mod | slip-ppp} d message d

Les jetons sont facultatifs et peuvent être utilisés dans la section message de la commande bannerÿ:
$(hostname) - Affiche le nom d'hôte du routeur.
$(domain) - Affiche le nom de domaine du routeur.
$(line) - Affiche le numéro de ligne vty ou tty (asynchrone).
$(line-desc) - Affiche la description qui est attachée à la ligne.
Soyez prudent lorsque vous placez ces informations dans la bannière, car elles fournissent plus d'informations à un
éventuel intrus.
Cisco SDM peut également être utilisé pour configurer des messages de bannière.
2.1.4 Configurer SSH

Lors de l'activation de l'accès administratif à distance, il est également important de prendre en compte les implications
de sécurité de l'envoi d'informations sur le réseau. Traditionnellement, l'accès à distance sur les routeurs était configuré
à l'aide de Telnet sur le port TCP 23. Cependant, Telnet a été développé à l'époque où la sécurité n'était pas un
problème, par conséquent, tout le trafic Telnet est transmis en clair. Grâce à ce protocole, les données critiques, telles
que les configurations de routeur, sont facilement accessibles aux attaquants. Les pirates peuvent capturer les paquets
transmis par l'ordinateur d'un administrateur à l'aide d'un analyseur de protocole tel que Wireshark. Si le flux Telnet
initial est découvert et suivi, les attaquants peuvent apprendre le nom d'utilisateur et le mot de passe de l'administrateur.
Cependant, disposer d'une capacité d'accès à distance peut faire gagner du temps et de l'argent à une organisation lors
des modifications de configuration nécessaires. Alors, comment établir une connexion d'accès à distance sécurisée pour
gérer les appareils Cisco IOS ?
SSH a remplacé Telnet en tant que pratique recommandée pour fournir à l'administration du routeur à distance des
connexions qui prennent en charge la confidentialité et l'intégrité de la session. Il fournit des fonctionnalités similaires à
une connexion Telnet sortante, sauf que la connexion est cryptée et fonctionne sur le port 22. Avec l'authentification et le
cryptage, SSH permet une communication sécurisée sur un réseau non sécurisé.
Quatre étapes doivent être effectuées avant de configurer les routeurs pour le protocole SSHÿ:
Étape 1. Assurez-vous que les routeurs cibles exécutent une image Cisco IOS version 12.1(1)T ou ultérieure pour prendre en charge
SSH. Seules les images cryptographiques Cisco IOS contenant l'ensemble de fonctionnalités IPsec prennent en charge SSH.
Plus précisément, Cisco IOS 12.1 ou version ultérieure IPsec DES ou les images cryptographiques Triple Data Encryption Standard
(3DES) prennent en charge SSH. En règle générale, ces images ont des ID d'image k8 ou k9 dans leurs noms d'image. Par exemple,
c1841-advipservicesk9-mz.124-10b.bin est une image qui peut prendre en charge SSH.
Étape 2. Assurez-vous que chacun des routeurs cibles a un nom d'hôte unique.
Étape 3. Assurez-vous que chacun des routeurs cibles utilise le nom de domaine correct du réseau.
Étape 4. Assurez-vous que les routeurs cibles sont configurés pour l'authentification locale ou les services AAA pour l'authentification
par nom d'utilisateur et mot de passe. Ceci est obligatoire pour une connexion SSH de routeur à routeur.
À l'aide de l'interface de ligne de commande, il existe quatre étapes pour configurer un routeur Cisco afin qu'il prenne en charge SSHÿ:
Étape 1. Si le routeur a un nom d'hôte unique, configurez le nom de domaine IP du réseau à l'aide de la commande ip domain-name
domain-name en mode de configuration globale.
Étape 2. Des clés secrètes unidirectionnelles doivent être générées pour qu'un routeur chiffre le trafic SSH. Ces clés sont appelées
clés asymétriques. Le logiciel Cisco IOS utilise l'algorithme Rivest, Shamir et Adleman (RSA) pour générer des clés. Pour créer la clé
RSA, utilisez la commande crypto key generate rsa general-keys modulus modulus-size en mode de configuration globale. Le
module détermine la taille de la clé RSA et peut être configuré de 360 bits à 2048 bits. Plus le module est grand, plus la clé RSA est
sécurisée. Cependant, les clés avec des valeurs de module élevées prennent un peu plus de temps à générer et plus de temps à
chiffrer et à déchiffrer également. La longueur de clé de module minimale recommandée est de 1024 bits.
Pour vérifier SSH et afficher les clés générées, utilisez la commande show crypto key mypubkey rsa en mode EXEC privilégié. S'il
existe des paires de clés, il est recommandé de les écraser à l'aide de la commande crypto key zeroize rsa .
Étape 3. Assurez-vous qu'il existe une entrée de nom d'utilisateur de base de données locale valide. Si ce n'est pas le cas, créez-en
un à l'aide de la commande username name secret secret .
Étape 4. Activez les sessions SSH entrantes vty à l'aide des commandes vty login local et transport input ssh.
SSH est automatiquement activé après la génération des clés RSA. Le service SSH du routeur est accessible à l'aide du logiciel client
SSH.
Commandes SSH facultatives
En option, les commandes SSH peuvent être utilisées pour configurer les éléments suivantsÿ:
ÿ Version SSH
ÿ Délai d'expiration SSH
ÿ Nombre de tentatives d'authentification
Les routeurs Cisco prennent en charge deux versions de SSH : SSH version 1 (SSHv1) et la version 2 plus récente et plus sécurisée
de SSH (SSHv2). SSHv2 offre une meilleure sécurité en utilisant l'échange de clés Diffie-Hellman et le code d'authentification de
message de vérification d'intégrité (MAC) fort.
Cisco IOS version 12.1(1)T et les versions ultérieures prennent en charge SSHv1. La version 12.3(4)T et ultérieure de Cisco IOS fonctionne
en mode de compatibilité et prend en charge SSHv1 et SSHv2. Pour passer du mode de compatibilité à une version spécifique, utilisez la
version ip ssh {1 | 2} commande de configuration globale.

L'intervalle de temps pendant lequel le routeur attend que le client SSH réponde pendant la phase de négociation SSH
peut être configuré à l'aide de la commande ip ssh time-out seconds en mode de configuration globale. La valeur par
défaut est de 120 secondes. Lorsque la session EXEC démarre, le délai d'attente d'exécution standard configuré pour
le vty s'applique.
Par défaut, un utilisateur qui se connecte a trois tentatives avant d'être déconnecté. Pour configurer un nombre différent
de tentatives SSH consécutives, utilisez la commande ip ssh authentication-retries integer en mode de configuration
globale.
Pour vérifier les paramètres de la commande SSH facultative, utilisez la commande show ip ssh .
Une fois SSH configuré, un client SSH est requis pour se connecter à un routeur compatible SSH.
Il existe deux manières différentes de se connecter à un routeur compatible SSHÿ:
ÿ Connectez-vous à l'aide d'un routeur Cisco compatible SSH à l'aide de la commande ssh en mode EXEC privilégié .
ÿ Connectez-vous à l'aide d'un client SSH disponible publiquement et commercialement exécuté sur un hôte. Exemples
de ces clients sont PuTTY, OpenSSH et TeraTerm.
Les routeurs Cisco sont capables d'agir en tant que serveur SSH et en tant que client SSH se connectant à un autre
appareil compatible SSH. Par défaut, ces deux fonctions sont activées sur le routeur lorsque SSH est activé. En tant que
serveur, un routeur peut accepter les connexions client SSH. En tant que client, un routeur peut se connecter en SSH à
un autre routeur compatible SSH.
La procédure de connexion à un routeur Cisco varie en fonction de l'application cliente SSH utilisée. Généralement, le
client SSH initie une connexion SSH au routeur. Le service SSH du routeur demande la bonne combinaison de nom
d'utilisateur et de mot de passe. Une fois la connexion vérifiée, le routeur peut être géré comme si l'administrateur utilisait
une session Telnet standard.
Utilisez la commande show ssh pour vérifier l'état des connexions client.
Cisco SDM peut être utilisé pour configurer un démon SSH sur un routeur. Pour voir les paramètres actuels de la clé
SSH, choisissez Configurer > Tâches supplémentaires > Accès au routeur > SSH. Les paramètres de la clé SSH ont
deux options d'état.
ÿ La clé RSA n'est pas définie sur ce routeur - Cet avis apparaît s'il n'y a pas de clé cryptographique
configuré pour l'appareil. Si aucune clé n'est configurée, entrez une taille de module et générez une clé.
ÿ La clé RSA est définie sur ce routeur - Cet avis s'affiche si une clé cryptographique a été générée, auquel cas SSH
est activé sur ce routeur.
Le fichier de configuration par défaut fourni avec un routeur compatible Cisco SDM active automatiquement l'accès
Telnet et SSH à partir de l'interface LAN et génère une clé RSA.
Le bouton Générer une clé RSA configure une clé cryptographique si aucune n'est définie. La boîte de dialogue Taille du
module clé s'affiche. Si la valeur du module doit être comprise entre 512 et 1024, entrez une valeur entière qui est un
multiple de 64. Si la valeur du module doit être supérieure à 1024, entrez 1536 ou 2048. Si une valeur supérieure à 512
est entrée, la génération de clé peut prendre une minute ou plus.
Une fois que SSH est activé sur le routeur, les lignes vty pour prendre en charge SSH doivent être configurées.
Choisissez Configurer > Tâches supplémentaires > Accès au routeur > VTY. La fenêtre VTY Lines affiche les
paramètres vty sur le routeur. Cliquez sur le bouton Modifier pour configurer les paramètres vty.
2.2 Attribution de rôles administratifs

2.2.1 Configuration des niveaux de privilège
Bien qu'il soit important qu'un administrateur système puisse se connecter et gérer un appareil en toute sécurité,
davantage de configurations sont nécessaires pour assurer la sécurité du réseau. Par exemple, doit-on compléter l'accès
être proposé à tous les salariés d'une entreprise ? La réponse à cette question est généralement non. La plupart des employés de
l'entreprise n'ont besoin que de zones spécifiques d'accès au réseau. Qu'en est-il de l'accès complet
pour tous les employés du service informatiqueÿ? Gardez à l'esprit que les grandes organisations ont de nombreux
fonctions au sein d'un service informatique. Par exemple, les titres de poste incluent Chief Information Officer
(CIO), opérateur de sécurité, administrateur réseau, ingénieur WAN, administrateur LAN, logiciel
Administrateur, assistance technique PC, assistance technique et autres. Toutes les fonctions professionnelles ne devraient pas avoir
le même niveau d'accès aux périphériques de l'infrastructure.
A titre d'exemple, un administrateur réseau senior part en vacances et, par précaution, fournit un
administrateur junior avec les mots de passe du mode EXEC privilégié pour tous les périphériques de l'infrastructure. Quelques
quelques jours plus tard, l'administrateur junior curieux désactive accidentellement le réseau de l'entreprise. Ce n'est pas
un scénario peu courant, car trop souvent un routeur est sécurisé avec un seul EXEC privilégié
le mot de passe. Toute personne connaissant ce mot de passe a un accès ouvert à l'ensemble du routeur.
La configuration des niveaux de privilège est la prochaine étape pour l'administrateur système qui souhaite sécuriser le réseau. Les
niveaux de privilège déterminent qui doit être autorisé à se connecter à l'appareil et ce que cette personne doit pouvoir en faire.
L'interface de ligne de commande du logiciel Cisco IOS dispose de deux niveaux d'accès aux commandes.
ÿ Mode EXEC utilisateur (niveau de privilège 1) - Fournit les privilèges utilisateur du mode EXEC les plus bas et
autorise uniquement les commandes de niveau utilisateur disponibles à l' invite router> .
ÿ Mode EXEC privilégié (niveau de privilège 15) - Inclut toutes les commandes de niveau
invite de routeur # .
Bien que ces deux niveaux fournissent un contrôle, un niveau de contrôle plus précis est parfois requis.
Le logiciel Cisco IOS dispose de deux méthodes pour fournir un accès à l'infrastructureÿ: le niveau de privilège et l'interface de ligne de commande
basée sur les rôles.
Attribution de niveaux de privilège
Depuis la version 10.3 de Cisco IOS, les routeurs Cisco permettent à un administrateur de configurer plusieurs niveaux de privilège.
La configuration des niveaux de privilège est particulièrement utile dans un environnement de service d'assistance où certains
administrateurs doivent pouvoir configurer et surveiller chaque partie du routeur (niveau 15), et
les autres administrateurs n'ont qu'à surveiller, et non à configurer, le routeur (niveaux personnalisés 2 à 14).
Il existe 16 niveaux de privilèges au total. Les niveaux 0, 1 et 15 ont des paramètres prédéfinis.
Un administrateur peut définir plusieurs niveaux de privilèges personnalisés et attribuer différentes commandes à
chaque niveau. Plus le niveau de privilège est élevé, plus un utilisateur dispose d'un accès au routeur. Les commandes qui sont
disponibles à des niveaux de privilège inférieurs sont également exécutables à des niveaux supérieurs, car un niveau de privilège
inclut les privilèges de tous les niveaux inférieurs. Par exemple, un utilisateur autorisé au niveau de privilège 10 est
accordé l'accès aux commandes autorisées aux niveaux de privilège 0 à 10 (si également définis). Un utilisateur de niveau de
privilège 10 ne peut pas accéder aux commandes accordées au niveau de privilège 11 (ou supérieur). Un utilisateur autorisé
pour le niveau de privilège 15 peut exécuter toutes les commandes Cisco IOS.
Pour affecter des commandes à un niveau de privilège personnalisé, utilisez la commande de privilège du mode de configuration
globale.
Routeur(config)# mode de privilège { commande de niveau de niveau | commande reset}

Il est important de noter que l'attribution d'une commande avec plusieurs mots clés, tels que show ip route,
à un niveau de privilège spécifique attribue automatiquement toutes les commandes associées aux premières touches
mots au niveau de privilège spécifié. Par exemple, la commande show et la commande show ip sont automatiquement
définies sur le niveau de privilège où show ip route est défini. Cela est nécessaire car la commande show ip route ne
peut pas être exécutée sans accès aux commandes show et show ip . Les sous- commandes relevant de show ip route
sont également automatiquement affectées au même niveau de privilège. L'attribution de la route show ip permet à
l'utilisateur d'émettre toutes les commandes show , telles que show version.
Les niveaux de privilège doivent également être configurés pour l'authentification. Il existe deux méthodes pour attribuer
des mots de passe aux différents niveauxÿ:
ÿ Au niveau de privilège à l'aide de la commande de configuration globale enable secret level level
le mot de passe.
ÿ À un utilisateur disposant d'un niveau de privilège spécifique, à l'aide de la commande de configuration globale
nom d' utilisateur niveau de privilège mot de passe secret .
Par exemple, un administrateur peut attribuer quatre niveaux d'accès aux appareils au sein d'une organisationÿ:
ÿ Un compte USER (nécessitant le niveau 1, hors ping)
ÿ Un compte SUPPORT (nécessitant tous les accès de niveau 1, plus la commande ping )
ÿ Un compte JR-ADMIN (nécessitant tous les accès de niveau 1 et 5, plus la commande de rechargement )
ÿ Un compte ADMIN (nécessitant un accès complet)
La mise en œuvre des niveaux de privilège varie en fonction de la structure de l'organisation et des différentes fonctions
professionnelles qui nécessitent l'accès aux périphériques de l'infrastructure.
Dans le cas de l'UTILISATEUR, qui nécessite un accès par défaut de niveau 1 (Routeur>) , aucun niveau de privilège
personnalisé n'est défini. En effet, le mode utilisateur par défaut équivaut au niveau 1.
Le compte SUPPORT peut se voir attribuer un accès de niveau supérieur, tel que le niveau 5. Le niveau 5 hérite
automatiquement des commandes des niveaux 1 à 4, et des commandes supplémentaires peuvent être attribuées.
Gardez à l'esprit que lorsqu'une commande est affectée à un niveau spécifique, l'accès à cette commande est retiré à tout
niveau inférieur. Par exemple, pour attribuer le niveau 5 à la commande ping , utilisez la séquence de commandes suivante.
privilège exec niveau 5 ping
Le compte USER (niveau 1) n'a plus accès à la commande ping, car un utilisateur doit avoir accès au niveau 5 ou supérieur
pour exécuter la fonction ping.
Pour attribuer un mot de passe au niveau 5, entrez la commande suivante.
activer le niveau secret 5 cisco5
Pour accéder au niveau 5, le mot de passe cisco5 doit être utilisé.
Pour attribuer un nom d'utilisateur spécifique au niveau de privilège 5, entrez la commande suivante.
nom d'utilisateur prise en charge privilège 5 secret cisco5
Un utilisateur qui se connecte sous le nom d'utilisateur support ne peut accéder qu'au niveau de privilège 5, qui hérite
également du niveau de privilège 1.
Le compte JR-ADMIN doit avoir accès à toutes les commandes de niveau 1 et 5 ainsi qu'au rechargement
commande. Ce compte doit se voir attribuer un accès de niveau supérieur, tel que le niveau 10. Le niveau 10 hérite
automatiquement de toutes les commandes des niveaux inférieurs.
Pour affecter le niveau 10 à la commande de rechargement du mode EXEC privilégié , utilisez la commande suivante
séquence.
privilège exec niveau 10 recharger le

nom d'utilisateur jr-admin privilège 10 secret cisco10 activer le
niveau secret 10 cisco10
En exécutant ces commandes, la commande de rechargement n'est disponible que pour les utilisateurs disposant d'un accès de niveau
10 ou supérieur. Le nom d'utilisateur jr-admin a accès au niveau de privilège 10 et à toutes les commandes associées, y compris les
commandes affectées à des niveaux de privilège inférieurs. Pour accéder au mode niveau 10, le mot de passe cisco10 est requis.
Un compte ADMIN peut se voir attribuer l'accès de niveau 15 par défaut pour le mode EXEC privilégié. Dans ce cas, aucune commande
personnalisée n'a besoin d'être définie. Un mot de passe personnalisé peut être attribué à l'aide de la commande enable secret level
15 cisco123 , mais cela ne remplace pas le mot de passe enable secret, qui peut également être utilisé pour accéder au niveau 15.
Utilisez la commande username admin priv ilege 15 secret cisco15 pour attribuer le niveau 15 accès à l'utilisateur ADMIN avec un mot
de passe cisco15.
N'oubliez pas que lors de l'attribution de noms d'utilisateur à des niveaux de privilège, les mots-clés privilège et secret ne sont pas
interchangeables. Par exemple, la commande username USER secret cisco privilege 1 n'attribue pas l'accès de niveau 1 au compte
USER. Au lieu de cela, il crée un compte nécessitant le mot de passe "cisco privilege 1".
Pour accéder aux niveaux de privilège établis, entrez la commande enablelevel à partir du mode utilisateur et entrez le mot de passe qui
a été attribué au niveau de privilège personnalisé. Utilisez la même commande pour passer d'un niveau inférieur à un niveau supérieur.
ÿ Pour passer du niveau 1 au niveau 5, utilisez la commande enable 5 à l'invite EXEC.
ÿ Pour passer au niveau 10, utilisez enable 10 avec le mot de passe correct.
ÿ Pour passer du niveau 10 au niveau 15, utilisez la commande enable . Si aucun niveau de privilège n'est
spécifié, le niveau 15 est supposé.
Il est parfois facile d'oublier le niveau d'accès dont dispose actuellement un utilisateur. Utilisez la commande show privilege pour afficher
et confirmer le niveau de privilège actuel. N'oubliez pas que les niveaux de privilège supérieurs héritent automatiquement de l'accès aux
commandes des niveaux inférieurs.
Bien que l'attribution de niveaux de privilège offre une certaine flexibilité, certaines organisations peuvent ne pas les trouver appropriés
en raison des limitations suivantesÿ:
ÿ Aucun contrôle d'accès à des interfaces, ports, interfaces logiques et emplacements spécifiques sur un routeur.
ÿ Les commandes disponibles à des niveaux de privilège inférieurs sont toujours exécutables à des niveaux supérieurs.
ÿ Les commandes spécifiquement définies sur un niveau de privilège supérieur ne sont pas disponibles pour les privilèges inférieurs.
utilisateurs.
ÿ L'attribution d'une commande avec plusieurs mots-clés à un niveau de privilège spécifique attribue également tous
commandes associées aux premiers mots clés au même niveau de privilège. Un exemple est la commande show ip route .
Cependant, la plus grande limitation est que si un administrateur doit créer un compte d'utilisateur qui a accès à la plupart des
commandes, mais pas à toutes, les instructions privilège exec doivent être configurées pour chaque commande qui doit être exécutée
à un niveau de privilège inférieur à 15. Cela peut être un processus fastidieux.
Comment surmonter les limites de l'attribution des niveaux de privilège ?

2.2.2 Configuration de l'accès CLI basé sur les rôles

CLI basée sur les rôles
Pour offrir plus de flexibilité que les niveaux de privilèges, Cisco a introduit la fonctionnalité d'accès CLI basée sur les rôles dans la
version 12.3(11)T de Cisco IOS. Cette fonctionnalité offre un accès plus fin et plus granulaire en contrôlant spécifiquement les
commandes disponibles pour des rôles spécifiques. L'accès CLI basé sur les rôles permet à l'administrateur réseau de créer
différentes vues des configurations de routeur pour différents utilisateurs.
Chaque vue définit les commandes CLI auxquelles chaque utilisateur peut accéder.
Sécurité
L'accès CLI basé sur les rôles améliore la sécurité de l'appareil en définissant l'ensemble des commandes CLI accessibles par
un utilisateur particulier. De plus, les administrateurs peuvent contrôler l'accès des utilisateurs à des ports, des interfaces logiques
et des emplacements spécifiques sur un routeur. Cela empêche un utilisateur de modifier accidentellement ou délibérément une
configuration ou de collecter des informations auxquelles il ne devrait pas avoir accès.
Disponibilité
L'accès CLI basé sur les rôles empêche l'exécution involontaire de commandes CLI par du personnel non autorisé, ce qui
pourrait entraîner des résultats indésirables. Cela minimise les temps d'arrêt.
Efficacité opérationnelle
Les utilisateurs ne voient que les commandes CLI applicables aux ports et CLI auxquels ils ont accèsÿ; par conséquent, le
routeur semble être moins complexe et les commandes sont plus faciles à identifier lors de l'utilisation de la fonction d'aide sur
l'appareil.
L'interface de ligne de commande basée sur les rôles fournit trois types de vuesÿ:
ÿ Vue racine
ÿ Vue CLI
ÿ Supervision
Chaque vue détermine les commandes disponibles.
Vue racine
Pour configurer une vue du système, l'administrateur doit être en vue racine. La vue racine a les mêmes privilèges d'accès qu'un
utilisateur qui a des privilèges de niveau 15. Cependant, une vue racine n'est pas la même chose qu'un utilisateur de niveau 15.
Seul un utilisateur de vue racine peut configurer une nouvelle vue et ajouter ou supprimer des commandes des vues existantes.
Affichage CLI
Un ensemble spécifique de commandes peut être regroupé dans une vue CLI. Contrairement aux niveaux de privilège, une vue
CLI n'a pas de hiérarchie de commandes et, par conséquent, pas de vues supérieures ou inférieures. Chaque vue doit être affectée
à toutes les commandes associées à cette vue, et une vue n'hérite pas des commandes d'autres vues. De plus, les mêmes
commandes peuvent être utilisées dans plusieurs vues.
Supervision
Une supervue consiste en une ou plusieurs vues CLI. Les administrateurs peuvent définir quelles commandes sont acceptées et
quelles informations de configuration sont visibles. Les supervisions permettent à un administrateur réseau d'attribuer à des
utilisateurs et à des groupes d'utilisateurs plusieurs vues CLI à la fois, au lieu d'avoir à attribuer une seule vue CLI par utilisateur
avec toutes les commandes associées à cette vue CLI.
Les supervisions ont les caractéristiques suivantesÿ:
ÿ Une seule vue CLI peut être partagée dans plusieurs supervues.
ÿ Les commandes ne peuvent pas être configurées pour une supervision. Un administrateur doit ajouter des commandes à
la vue CLI et ajoutez cette vue CLI à la supervue.
ÿ Les utilisateurs connectés à une supervue peuvent accéder à toutes les commandes configurées pour
l'une des vues CLI faisant partie de la supervision.
ÿ Chaque superview a un mot de passe qui est utilisé pour basculer entre les superviews ou à partir d'une vue CLI
à une supervision.
La suppression d'une supervue ne supprime pas les vues CLI associées. Les vues CLI restent disponibles pour être
attribuées à une autre supervue.
Avant qu'un administrateur puisse créer une vue, AAA doit être activé à l'aide de la commande aaa new-model ou de
Cisco SDM.
Pour configurer et modifier des vues, un administrateur doit se connecter en tant que vue racine, à l'aide de la commande
EXEC privilégiée enable view . La commande enable view root peut également être utilisée. Lorsque vous y êtes invité,
saisissez le mot de passe secret d'activation.
Il y a cinq étapes pour créer et gérer une vue spécifique.
Étape 1. Activez AAA avec la commande de configuration globale aaa new-model . Quittez et entrez dans la vue racine
avec la commande enable view .
Étape 2. Créez une vue à l'aide de la commande parser view view-name . Cela active le mode de configuration de la vue.
À l'exclusion de la vue racine, il existe une limite maximale de 15 vues au total.
Étape 3. Attribuez un mot de passe secret à la vue à l'aide de la commande secret protected-password .
Étape 4. Attribuez des commandes à la vue sélectionnée à l'aide des commandes parser-mode
{include | inclus-exclusif | exclure} [tous] [interface nom-interface | command] commande en mode de
configuration d'affichage.
Étape 5. Quittez le mode de configuration de la vue en saisissant la commande exit .
Les étapes de configuration d'une supervue sont essentiellement les mêmes que pour la configuration d'une vue CLI, sauf
qu'au lieu d'utiliser la commande commands pour attribuer des commandes, utilisez la commande view nom-vue pour
attribuer des vues. L'administrateur doit être en vue racine pour configurer une supervue. Pour confirmer que la vue racine
est utilisée, utilisez la commande enable view ou enable view root . Lorsque vous y êtes invité, saisissez le mot de passe
secret d'activation.
Il y a quatre étapes pour créer et gérer une supervue.
Étape 1. Créez une vue à l'aide de la commande parser view view-name superview et passez en mode de
configuration super view.
Étape 2. Attribuez un mot de passe secret à la vue à l'aide de la commande secret protected-password .
Étape 3. Attribuez une vue existante à l'aide de la commande view view-name en mode de configuration de la vue.
Étape 4. Quittez le mode de configuration Superview en tapant la commande exit .
Plusieurs vues peuvent être attribuées à une supervue et les vues peuvent être partagées entre les supervues.
Pour accéder aux vues existantes, entrez la commande enable view viewname en mode utilisateur et entrez le mot de
passe qui a été attribué à la vue personnalisée. Utilisez la même commande pour passer d'une vue à une autre.
Pour vérifier une vue, utilisez la commande enable view . Entrez le nom de la vue à vérifier et fournissez le mot de passe
pour vous connecter à la vue. Utilisez la commande point d'interrogation (?) pour vérifier que les commandes disponibles
dans la vue sont correctes.
À partir de la vue racine, utilisez la commande show parser view all pour afficher un résumé de toutes les vues.
2.3 Surveillance et gestion des appareils

2.3.1 Sécurisation de l'image et de la configuration Cisco IOS
Des dossiers
Si des attaquants accèdent à un routeur, ils peuvent faire beaucoup de choses. Par exemple, ils
pourrait modifier les flux de trafic, modifier les configurations et même effacer le fichier de configuration de démarrage et
Image Cisco IOS. Si la configuration ou l'image IOS est effacée, l'opérateur peut avoir besoin de récupérer
une copie archivée pour restaurer le routeur. Le processus de récupération doit ensuite être effectué sur chaque routeur concerné,
ce qui s'ajoute au temps d'arrêt total du réseau.
La fonction de configuration résiliente de Cisco IOS permet une récupération plus rapide si quelqu'un reformate
mémoire flash ou efface le fichier de configuration de démarrage dans la NVRAM. Cette fonction permet à un routeur de
résister aux tentatives malveillantes d'effacement des fichiers en sécurisant l'image du routeur et en maintenant un
copie de travail sécurisée de la configuration en cours d'exécution.
Lorsqu'une image Cisco IOS est sécurisée, la fonctionnalité de configuration résiliente refuse toutes les demandes de copie,
le modifier ou le supprimer. La copie sécurisée de la configuration de démarrage est stockée dans la mémoire flash avec le
image IOS sécurisée. Cet ensemble de fichiers de configuration d'exécution d'image et de routeur Cisco IOS est appelé
comme jeu de démarrage.
La fonctionnalité de configuration résiliente de Cisco IOS n'est disponible que pour les systèmes qui prennent en charge un PCMCIA
Interface flash ATA (Advanced Technology Attachment). L'image Cisco IOS et la configuration d'exécution de la sauvegarde sur le
lecteur Flash sont masquées, de sorte que les fichiers ne sont inclus dans aucune liste de répertoires sur le lecteur.
Deux commandes de configuration globales sont disponibles pour configurer les fonctions de configuration résilientes de Cisco IOS :
secure boot-image et secure boot-config.
La commande secure boot-image
La commande secure boot-image active la résilience de l'image Cisco IOS. Lorsqu'il est activé pour la première
fois, l'image Cisco IOS en cours d'exécution est sécurisée et une entrée de journal est générée. Cette fonctionnalité ne peut être
désactivée que via une session de console en utilisant la forme no de la commande.
Cette commande fonctionne correctement uniquement lorsque le système est configuré pour exécuter une image à partir d'un flash
lecteur avec une interface ATA. De plus, l'image en cours d'exécution doit être chargée à partir d'un stockage persistant pour être
sécurisée en tant que primaire. Les images démarrées à partir du réseau, comme un serveur TFTP,
ne peut pas être sécurisé.
La fonctionnalité de configuration résiliente de Cisco IOS détecte les incompatibilités de version d'image. Si le routeur est
configuré pour démarrer avec la résilience Cisco IOS et une image avec une version différente de Cisco
Le logiciel IOS est détecté, un message, similaire à celui présenté ci-dessous, s'affiche au démarrage :
résilience iosÿ: l'image archivée et la version de configuration 12.2 diffèrent de la version 12.3 en
cours d'exécution
Pour mettre à niveau l'archive d'images vers la nouvelle image en cours d'exécution, entrez à nouveau la commande secure boot-
image à partir de la console. Un message concernant l'image mise à jour s'affiche. L'ancienne image est publiée et est visible dans
la sortie de la commande dir .
La commande secure boot-config
Pour prendre un instantané de la configuration en cours d'exécution du routeur et l'archiver en toute sécurité dans un stockage persistant,
utilisez la commande secure boot-config en mode de configuration globale. Un message de journal s'affiche
sur la console notifiant à l'utilisateur que la résilience de la configuration est activée. La configuration
l'archive est masquée et ne peut pas être affichée ou supprimée directement à partir de l'invite CLI.
Le scénario de mise à niveau de la configuration est similaire à une mise à niveau d'image. Cette fonctionnalité détecte une version
différente des configurations Cisco IOS et avertit l'utilisateur d'une incompatibilité de version. La commande secure boot-config peut
être exécutée pour mettre à niveau l'archive de configuration vers une version plus récente après l'émission de nouvelles commandes
de configuration.
Les fichiers sécurisés n'apparaissent pas dans la sortie d'une commande dir émise à partir de la CLI. Cela est dû au fait que le
système de fichiers Cisco IOS empêche la liste des fichiers sécurisés. Étant donné que l'image en cours d'exécution et les archives de
configuration en cours d'exécution ne sont pas visibles dans la sortie de la commande dir , utilisez la commande show se cure bootset
pour vérifier l'existence de l'archive. Cette étape est importante pour vérifier que l'image Cisco IOS et les fichiers de configuration ont
été correctement sauvegardés et sécurisés.
Alors que le système de fichiers Cisco IOS empêche l'affichage de ces fichiers, le mode moniteur ROM (ROM mon) n'a pas de
telles restrictions et peut répertorier et démarrer à partir de fichiers sécurisés.
Il y a cinq étapes pour restaurer un bootset principal à partir d'une archive sécurisée après que le routeur a été falsifié (par un
effacement NVRAM ou un formatage de disque)ÿ:
Étape 1. Rechargez le routeur à l'aide de la commande reload .
Étape 2. À partir du mode ROMmon, entrez la commande dir pour répertorier le contenu du périphérique qui contient le fichier de
démarrage sécurisé. À partir de l'interface de ligne de commande, le nom du périphérique peut être trouvé dans la sortie de la
commande show secure bootset .
Étape 3. Démarrez le routeur avec l'image de démarrage sécurisé à l'aide de la commande boot avec le nom de fichier trouvé à
l'étape 2. Lorsque le routeur compromis démarre, passez en mode EXEC privilégié et restaurez la configuration.
Étape 4. Entrez en mode de configuration globale à l'aide de conf t.
Étape 5. Restaurez la configuration sécurisée avec le nom de fichier fourni à l'aide de la commande secure boot-config restore
filename .
Dans le cas où un routeur est compromis ou doit être récupéré à partir d'un mot de passe mal configuré, un administrateur doit
comprendre les procédures de récupération de mot de passe. Pour des raisons de sécurité, la récupération du mot de passe nécessite
que l'administrateur ait un accès physique au routeur via un câble de console.
La récupération d'un mot de passe de routeur implique plusieurs étapes.
Étape 1. Connectez-vous au port de console.
Étape 2. Utilisez la commande show version pour afficher et enregistrer le registre de configuration.
Le registre de configuration est similaire au paramètre BIOS d'un ordinateur, qui contrôle le processus de démarrage. Un registre de
configuration, représenté par une seule valeur hexadécimale, indique à un routeur les étapes spécifiques à suivre lorsqu'il est sous
tension. Les registres de configuration ont de nombreuses utilisations, et la récupération de mot de passe est probablement la plus
utilisée. Pour afficher et enregistrer le registre de configuration, utilisez la commande show version .
R1> afficher la version

<Sortie omise>
Le registre de configuration est 0x2102
Le registre de configuration est généralement défini sur 0x2102 ou 0x102. S'il n'y a plus d'accès au routeur (en raison d'une
connexion ou d'un mot de passe TACACS perdus), un administrateur peut supposer en toute sécurité que le registre de configuration
est défini sur 0x2102.
Étape 3. Utilisez l'interrupteur d'alimentation pour redémarrer le routeur.
Étape 4. Émettez la séquence d'arrêt dans les 60 secondes suivant la mise sous tension pour mettre le routeur en ROMmon.
Étape 5. Tapez confreg 0x2142 à l' invite rommon 1> .
Cela modifie le registre de configuration par défaut et oblige le routeur à contourner la configuration de démarrage où le
mot de passe d'activation oublié est stocké.
Étape 6. Tapez reset à l' invite rommon 2> . Le routeur redémarre, mais ignore la configuration enregistrée.
Étape 7. Tapez non après chaque question de configuration ou appuyez sur Ctrl-C pour ignorer la procédure de configuration initiale.
Étape 8. Tapez enable à l' invite Router> . Cela met le routeur en mode d'activation et vous permet de voir l' invite Router# .
Étape 9. Tapez copy startup-config running-config pour copier la NVRAM dans la mémoire. Veillez à ne pas taper copy
running-config startup-config ou la configuration de démarrage sera effacée.
Étape 10. Tapez show running-config. Dans cette configuration, la commande shutdown apparaît sous toutes les
interfaces car toutes les interfaces sont actuellement arrêtées. Un administrateur peut désormais voir les mots de passe
(activer le mot de passe, activer les mots de passe secrets, vty et console) au format crypté ou non crypté. Les mots de
passe non cryptés peuvent être réutilisés, mais les mots de passe cryptés nécessitent la création d'un nouveau mot de
passe.
Étape 11. Entrez dans la configuration globale et tapez la commande enable secret pour modifier le mot de passe
enable secret. Par example:
R1(config)# activer Cisco secret

Étape 12. Émettez la commande no shutdown sur chaque interface à utiliser. Exécutez ensuite la commande show ip
interface brief en mode EXEC privilégié pour confirmer que la configuration de l'interface est correcte. Chaque interface
à utiliser doit afficher "up up".
Étape 13. À partir du mode de configuration globale, tapez config-register

configuration_register_setting. Le paramètre du registre de configuration est soit la valeur enregistrée à l'étape 2, soit
0x2102 . Par example:
R1(config)# config-register 0x2102

Étape 14. Enregistrez les modifications de configuration à l'aide de la commande copy running-config startup-config .
La récupération du mot de passe est maintenant terminée. Entrez la commande show version pour confirmer que le
routeur utilise le paramètre de registre de configuration configuré lors du prochain redémarrage.
Si quelqu'un accédait physiquement à un routeur, il pourrait potentiellement prendre le contrôle de cet appareil via la
procédure de récupération du mot de passe. Cette procédure, si elle est effectuée correctement, laisse la configuration du
routeur intacte. Si l'attaquant ne fait aucun changement majeur, ce type d'attaque est difficile à détecter. Un attaquant peut
utiliser cette méthode d'attaque pour découvrir la configuration du routeur et d'autres informations pertinentes sur le réseau,
telles que les flux de trafic et les restrictions de contrôle d'accès.
Un administrateur peut atténuer cette faille de sécurité potentielle en utilisant la commande de configuration globale no
service password recovery . La commande no service password-recovery est une commande masquée de Cisco
IOS et n'a pas d'arguments ni de mots clés. Si un routeur est configuré avec la commande no service password-
recovery , tout accès au mode ROMmon est désactivé.
Lorsque la commande no service password-recovery est entrée, un message d'avertissement s'affiche et doit être
acquitté avant l'activation de la fonction.
La commande show running configuration affiche une instruction no service password-recovery . De plus, lorsque
le routeur est démarré, la séquence de démarrage initiale affiche un message indiquant «ÿLA FONCTIONNALITÉ DE
RÉCUPÉRATION DU MOT DE PASSE EST DÉSACTIVÉEÿ».
Pour récupérer un périphérique après la saisie de la commande no service password-recovery , émettez la séquence
d'arrêt dans les cinq secondes suivant la décompression de l'image lors du démarrage. Vous êtes invité à confirmer l'action
d'interruption. Une fois l'action confirmée, la configuration de démarrage est complètement effacée, la procédure de récupération
du mot de passe est activée et le routeur démarre avec la configuration d'usine par défaut. Si vous ne confirmez pas l'action
d'interruption, le routeur démarre normalement avec la commande no service password-recovery activée.
Une note de prudence, si la mémoire flash du routeur ne contient pas d'image Cisco IOS valide en raison d'une corruption ou d'une
suppression, la commande ROMmon xmodem ne peut pas être utilisée pour charger une nouvelle image flash. Pour réparer le
routeur, un administrateur doit obtenir une nouvelle image Cisco IOS sur un SIMM flash ou sur une carte PCMCIA. Reportez-vous à
Cisco.com pour plus d'informations sur les images Flash de sauvegarde.
2.3.2 Gestion et rapports sécurisés

Les administrateurs réseau doivent gérer en toute sécurité tous les appareils et hôtes du réseau. Dans un petit réseau, la gestion
et la surveillance des périphériques réseau est une opération simple. Cependant, dans une grande entreprise avec des centaines
d'appareils, la surveillance, la gestion et le traitement des messages de journal peuvent s'avérer difficiles.
Plusieurs facteurs doivent être pris en compte lors de la mise en œuvre d'une gestion sécurisée. Cela inclut la gestion des
changements de configuration. Lorsqu'un réseau est attaqué, il est important de connaître l'état des périphériques réseau critiques
et la date des dernières modifications connues. La gestion des changements de configuration comprend également des questions
telles que la garantie que les bonnes personnes ont accès lorsque de nouvelles méthodologies de gestion sont adoptées et la
manière de gérer les outils et les appareils qui ne sont plus utilisés. La création d'un plan de gestion du changement doit faire partie
d'une politique de sécurité globaleÿ; cependant, au minimum, enregistrez les modifications à l'aide de systèmes d'authentification sur
les appareils et archivez les configurations à l'aide de FTP ou TFTP.
Existe-t-il une politique ou un plan de gestion du changementÿ? Ces questions devraient être établies et traitées dans une
politique de gestion du changement.
La journalisation et le rapport automatisés des informations des périphériques identifiés aux hôtes de gestion sont également des
considérations importantes. Ces journaux et rapports peuvent inclure le flux de contenu, les modifications de configuration et les
nouvelles installations de logiciels, pour n'en nommer que quelques-uns. Pour identifier les priorités de reporting et de surveillance,
il est important d'obtenir des informations de la direction et des équipes réseau et sécurité. La politique de sécurité devrait également
jouer un rôle important en répondant aux questions sur les informations à consigner et à signaler.
Du point de vue des rapports, la plupart des périphériques réseau peuvent envoyer des données syslog qui peuvent être
inestimables lors du dépannage de problèmes de réseau ou de menaces de sécurité. Les données de n'importe quel appareil
peuvent être envoyées à un hôte d'analyse syslog pour être visualisées. Ces données peuvent être consultées en temps réel, à la
demande et dans des rapports planifiés. Il existe différents niveaux de journalisation pour garantir que la quantité correcte de
données est envoyée, en fonction de l'appareil qui envoie les données. Il est également possible de marquer les données du journal
de l'appareil dans le logiciel d'analyse pour permettre une visualisation et des rapports granulaires. Par exemple, lors d'une attaque,
les données de journal fournies par les commutateurs de couche 2 peuvent ne pas être aussi intéressantes que les données fournies
par le système de prévention des intrusions (IPS).
De nombreuses applications et protocoles sont également disponibles, tels que SNMP, qui est utilisé dans les systèmes de gestion
de réseau pour surveiller et apporter des modifications de configuration aux périphériques à distance.
Lors de la journalisation et de la gestion des informations, le flux d'informations entre les hôtes de gestion et
les périphériques gérés peuvent emprunter deux cheminsÿ:
ÿ Out-of-band (OOB) - Flux d'informations sur un réseau de gestion dédié sur lequel
le trafic de production réside.
ÿ Intrabande - Les informations circulent sur un réseau de production d'entreprise, Internet ou les deux
en utilisant les canaux de données habituels.
Par exemple, un réseau comporte deux segments de réseau séparés par un routeur Cisco IOS qui
agit comme un pare-feu et un périphérique de terminaison de réseau privé virtuel (VPN). Un côté du pare-feu
se connecte à tous les hôtes de gestion et aux routeurs Cisco IOS qui agissent comme des serveurs de terminaux. Les
serveurs de terminaux offrent des connexions directes OOB à tout appareil nécessitant une gestion sur le poste de production.
réseau. La plupart des appareils doivent être connectés à ce segment de gestion et être configurés à l'aide
Gestion OOB.
L'autre côté du pare-feu se connecte au réseau de production lui-même. La connexion au réseau de production n'est prévue
que pour un accès sélectif à Internet par les hébergeurs de gestion, limité
le trafic de gestion intrabande et le trafic de gestion crypté provenant d'hôtes prédéterminés. Dans la bande
la gestion se produit uniquement lorsqu'une application de gestion n'utilise pas OOB, ou lorsque Cisco
périphérique géré n'a pas physiquement suffisamment d'interfaces pour prendre en charge la connexion normale au
réseau de gestion. Si un appareil doit contacter un hôte de gestion en envoyant des données
à travers le réseau de production, ce trafic doit être envoyé en toute sécurité à l'aide d'un tunnel crypté privé
ou tunnel VPN. Le tunnel doit être préconfiguré pour autoriser uniquement le trafic requis pour
la gestion et le reporting de ces appareils. Le tunnel doit également être verrouillé afin que seuls
les hôtes appropriés peuvent initier et terminer des tunnels. Le pare-feu Cisco IOS est configuré pour autoriser
informations syslog dans le segment de gestion. De plus, Telnet, SSH et SNMP sont autorisés à condition que ces
services soient d'abord initiés par le réseau de gestion.
Étant donné que le réseau de gestion dispose d'un accès administratif à presque toutes les zones du réseau, il
peut être une cible très attrayante pour les pirates. Le module de gestion sur le pare-feu a été construit
avec plusieurs technologies conçues pour atténuer ces risques. La principale menace est un pirate qui tente d'accéder au
réseau de gestion lui-même. Ceci peut éventuellement être accompli grâce à un
hôte géré compromis auquel un périphérique de gestion doit accéder. Pour atténuer la menace d'un
périphérique compromis, un contrôle d'accès fort doit être mis en œuvre au niveau du pare-feu et à chaque
autre appareil. De plus, les dispositifs de gestion doivent être configurés de manière à empêcher les
communication avec d'autres hôtes sur le même sous-réseau de gestion, à l'aide de segments LAN distincts
ou des VLAN.
En règle générale, pour des raisons de sécurité, la gestion OOB est appropriée pour les réseaux de grandes entreprises.
Cependant, ce n'est pas toujours souhaitable. Souvent, la décision dépend du type de gestion
les applications en cours d'exécution et les protocoles surveillés, par exemple un outil de gestion dont l'objectif est de
déterminer l'accessibilité de tous les appareils d'un réseau. Considérez une situation dans laquelle deux commutateurs
principaux sont gérés et surveillés à l'aide d'un réseau OOB. Si un
Lorsqu'un lien critique entre ces deux commutateurs principaux échoue sur le réseau de production, l'application qui surveille
ces périphériques peut ne jamais déterminer que le lien a échoué et alerter l'administrateur. Cette
est parce que le réseau OOB donne l'impression que tous les appareils sont attachés à une seule gestion OOB
réseau. Le réseau de gestion OOB n'est pas affecté par la liaison interrompue. Avec des applications de gestion telles
que celles-ci, il est préférable d'exécuter l'application de gestion dans la bande de manière sécurisée.
La gestion intrabande est également recommandée dans les petits réseaux comme moyen d'obtenir une
déploiement de sécurité rentable. Dans de telles architectures, le trafic de gestion circule dans la bande dans tous
cas et est rendu aussi sûr que possible en utilisant des variantes sécurisées aux protocoles de gestion non sécurisés,
comme utiliser SSH au lieu de Telnet. Une autre option consiste à créer des tunnels sécurisés, en utilisant des protocoles
comme IPsec, pour le trafic de gestion. Si l'accès de gestion n'est pas nécessaire à tout moment, des trous temporaires peuvent être placés dans un
pare-feu pendant que les fonctions de gestion sont exécutées. Cette technique doit être utilisée avec prudence et tous les trous doivent être fermés
immédiatement lorsque les fonctions de gestion sont terminées.
Enfin, si vous utilisez des outils de gestion à distance avec une gestion intrabande, méfiez-vous des vulnérabilités de sécurité sous-jacentes de l'outil
de gestion lui-même. Par exemple, les gestionnaires SNMP sont souvent utilisés pour faciliter les tâches de dépannage et de configuration sur un
réseau. Cependant, SNMP doit être traité avec le plus grand soin car le protocole sous-jacent possède son propre ensemble de vulnérabilités de
sécurité.
2.3.3 Utilisation de Syslog pour la sécurité du réseau

La mise en œuvre d'une fonction de journalisation du routeur est une partie importante de toute politique de sécurité réseau. Les routeurs Cisco
peuvent enregistrer des informations concernant les modifications de configuration, les violations d'ACL, l'état de l'interface et de nombreux autres types
d'événements. Les routeurs Cisco peuvent envoyer des messages de journal à plusieurs installations différentes. Vous devez configurer le routeur pour
envoyer des messages de journal à un ou plusieurs des éléments suivants.
ÿ Console - La journalisation de la console est activée par défaut. Les messages sont consignés dans la console et peuvent être consultés lors de
la modification ou du test du routeur à l'aide d'un logiciel d'émulation de terminal tout en étant connecté au port de console du routeur.
ÿ Lignes de terminal - Les sessions EXEC activées peuvent être configurées pour recevoir des messages de journal sur n'importe quel
lignes terminales. Semblable à la journalisation de la console, ce type de journalisation n'est pas stocké par le routeur et, par conséquent, n'a de
valeur que pour l'utilisateur sur cette ligne.
ÿ Journalisation tamponnée - La journalisation tamponnée est un peu plus utile en tant qu'outil de sécurité car
les messages sont stockés dans la mémoire du routeur pendant un certain temps. Cependant, les événements sont effacés chaque fois que
le routeur est redémarré.
ÿ Interruptions SNMP - Certains seuils peuvent être préconfigurés sur les routeurs et autres périphériques. Routeur
les événements, tels que le dépassement d'un seuil, peuvent être traités par le routeur et transmis sous forme de traps SNMP à un serveur SNMP
externe. Les interruptions SNMP sont une fonction de journalisation de sécurité viable, mais nécessitent la configuration et la maintenance d'un
système SNMP.
ÿ Syslog - Les routeurs Cisco peuvent être configurés pour transférer les messages du journal vers un syslog externe
un service. Ce service peut résider sur n'importe quel nombre de serveurs ou de postes de travail, y compris les systèmes Microsoft Windows et
UNIX, ou l'appliance Cisco Security MARS. Syslog est la fonction de journalisation des messages la plus populaire, car elle offre des capacités de
stockage de journaux à long terme et un emplacement central pour tous les messages du routeur.
Les messages du journal du routeur Cisco appartiennent à l'un des huit niveaux. Plus le numéro de niveau est bas, plus le niveau de gravité est élevé.
Les messages du journal du routeur Cisco contiennent trois parties principalesÿ:
ÿ Horodatage
ÿ Nom du message de journal et niveau de gravité
ÿ Texte du message
Syslog est la norme pour la journalisation des événements système. Les implémentations Syslog contiennent deux types de systèmes.
ÿ Serveurs Syslog - Également connus sous le nom d'hôtes de journalisation, ces systèmes acceptent et traitent les messages de journalisation
des clients Syslog.

ÿ Clients Syslog - Routeurs ou autres types d'équipement qui génèrent et transmettent des messages de journal
aux serveurs syslog.
Le protocole syslog permet d'envoyer des messages de connexion d'un client syslog au serveur syslog.
Bien que la possibilité d'envoyer des journaux à un serveur syslog central fasse partie d'une bonne solution de sécurité, elle peut
également potentiellement faire partie d'un problème de sécurité. Le plus gros problème est l'énormité de la tâche consistant à passer
au crible les informations résultantes, à corréler les événements de plusieurs périphériques réseau et serveurs d'applications différents,
et à prendre différents types d'actions en fonction d'une évaluation de la vulnérabilité de l'incident.
Le système MARS (Security Monitoring, Analysis, and Response System) de Cisco est une appliance de sécurité Cisco qui peut recevoir
et analyser les messages syslog de divers périphériques réseau et hôtes de Cisco et d'autres fournisseurs. Cisco Security MARS étend
le portefeuille de produits de gestion de la sécurité pour l'initiative Cisco Self-Defending Network. Cisco Security MARS est la première
appliance spécialement conçue pour l'atténuation des menaces de sécurité en temps réel.
Cisco Security MARS surveille de nombreux types de trafic de journalisation et de génération de rapports disponibles à partir des
produits de sécurité et de réseau du réseau d'entreprise. Cisco Security MARS combine toutes ces données de journal dans une série
de sessions qu'il compare ensuite à une base de données de règles. Si les règles indiquent qu'il pourrait y avoir un problème, un
incident est déclenché. En utilisant cette méthode, un administrateur réseau peut demander à l'appliance Cisco Security MARS de
traiter la plupart des données de journalisation des périphériques réseau et de concentrer les efforts humains sur les problèmes potentiels.
Utilisez les étapes suivantes pour configurer la journalisation du système.
Étape 1. Définissez l'hôte de journalisation de destination à l'aide de la commande logging host .
Étape 2. (Facultatif) Définissez le niveau de gravité du journal (interruption) à l'aide de la commande logging trap level .
Étape 3. Définissez l'interface source à l'aide de la commande logging source-interface . Cela spécifie que les paquets syslog
contiennent l'adresse IPv4 ou IPv6 d'une interface particulière, quelle que soit l'interface utilisée par le paquet pour quitter le routeur.
Étape 4. Activez la journalisation avec la commande logging on . Vous pouvez activer et désactiver la journalisation pour ces
destinations individuellement à l'aide des commandes de configuration logging buffered, logging monitor et logging global.
Cependant, si la commande de connexion est désactivée, aucun message n'est envoyé à ces destinations. Seule la console reçoit des
messages.
Pour activer la journalisation Syslog sur votre routeur à l'aide de Cisco Router and Security Device Manager (SDM), procédez comme
suit.
Étape 1. Choisissez Configurer > Tâches supplémentaires > Propriétés du routeur > Journalisation.
Étape 2. Dans le volet Journalisation, cliquez sur Modifier.
Étape 3. Dans la fenêtre de journalisation, sélectionnez Activer le niveau de journalisation et choisissez le niveau de journalisation
dans la zone de liste Niveau de journalisation . Les messages seront enregistrés pour le niveau sélectionné et inférieur.
Étape 4. Cliquez sur Ajouter et saisissez l'adresse IP d'un hôte de journalisation dans le champ Adresse IP/nom d'hôte .
Cinquième étape. Cliquez sur OK pour revenir à la boîte de dialogue Journalisation.
Sixième étape. Cliquez sur OK pour accepter les modifications et revenir au volet Journalisation.
Cisco SDM peut être utilisé pour surveiller la journalisation en choisissant Monitor > Logging.
Depuis l'onglet Syslog, vous pouvez exécuter les fonctions suivantesÿ:
ÿ Voir les hôtes de journalisation sur lesquels le routeur enregistre les messages.
ÿ Choisissez le niveau de gravité minimum à afficher.
ÿ Surveillez les messages syslog du routeur, mettez à jour l'écran pour afficher les entrées de journal les plus récentes,
et effacez tous les messages syslog de la mémoire tampon du journal du routeur.
2.3.4 Utilisation de SNMP pour la sécurité du réseau

SNMP est un autre outil de surveillance courant. SNMP a été développé pour gérer des nœuds, tels que des serveurs, des postes de
travail, des routeurs, des commutateurs, des concentrateurs et des dispositifs de sécurité, sur un réseau IP. SNMP est un protocole de couche
application qui facilite l'échange d'informations de gestion entre les périphériques réseau. SNMP fait partie de la suite de protocoles TCP/IP.
SNMP permet aux administrateurs réseau de gérer les performances du réseau, de rechercher et de résoudre les problèmes de réseau et de
planifier la croissance du réseau. Il existe différentes versions de SNMP.
SNMP version 1 (SNMPv1) et SNMP version 2 (SNMPv2) sont basés sur des gestionnaires (systèmes de gestion de réseau [NMS]),
des agents (nœuds gérés) et des bases d'informations de gestion (MIB). Dans toute configuration, au moins un nœud de gestionnaire
exécute un logiciel de gestion SNMP. Les périphériques réseau qui doivent être gérés, tels que les commutateurs, les routeurs, les serveurs
et les postes de travail, sont équipés d'un module logiciel agent SMNP. L'agent est chargé de fournir l'accès à une MIB locale d'objets qui
reflète les ressources et l'activité au niveau de son nœud. Les MIB stockent des données sur le fonctionnement de l'appareil et sont destinées
à être disponibles pour les utilisateurs distants authentifiés.
Le gestionnaire SNMP peut obtenir des informations de l'agent et modifier ou définir des informations dans l'agent. Les ensembles
peuvent modifier les variables de configuration dans l'appareil de l'agent. Les ensembles peuvent également initier des actions dans les
appareils. Une réponse à un ensemble indique le nouveau réglage dans l'appareil. Par exemple, un ensemble peut provoquer le redémarrage
d'un routeur, l'envoi d'un fichier de configuration ou la réception d'un fichier de configuration. Les interruptions SNMP permettent à un agent
de notifier à la station de gestion des événements significatifs en envoyant un message SNMP non sollicité. L'action des get et des sets sont
les vulnérabilités qui ouvrent SNMP à l'attaque.
Les agents SNMP acceptent les commandes et les demandes des systèmes de gestion SNMP uniquement si ces systèmes ont une chaîne
de communauté correcte. Une chaîne de communauté SNMP est une chaîne de texte qui peut authentifier les messages entre une station de
gestion et un agent SNMP et permettre l'accès aux informations dans les MIB. Les chaînes de communauté sont essentiellement utilisées
pour l'authentification par mot de passe uniquement des messages entre le NMS et l'agent.
Il existe deux types de chaînes de communauté.
ÿ Chaînes de communauté en lecture seule - Fournit un accès en lecture seule à tous les objets de la MIB, à l'exception
chaînes communautaires.
ÿ Chaînes de communauté en lecture-écriture - Fournit un accès en lecture-écriture à tous les objets de la MIB, sauf
les chaînes communautaires.
Si le gestionnaire envoie l'une des chaînes de communauté correctes en lecture seule, il peut obtenir des informations mais pas définir
d'informations dans un agent. Si le gestionnaire utilise l'une des chaînes de communauté en lecture-écriture correctes, il peut obtenir ou définir
des informations dans l'agent. En effet, avoir défini l'accès à un routeur équivaut à avoir le mot de passe d'activation du routeur.
Par défaut, la plupart des systèmes SNMP utilisent « public » comme chaîne de communauté. Si vous configurez l'agent SNMP de votre
routeur pour utiliser cette chaîne de communauté communément connue, toute personne disposant d'un système SNMP peut lire la MIB du
routeur. Étant donné que les variables MIB du routeur peuvent pointer vers des éléments tels que des tables de routage et d'autres éléments
critiques pour la sécurité de la configuration du routeur, il est extrêmement important que vous créiez vos propres chaînes de communauté
SNMP personnalisées. Cependant, même si la chaîne de communauté est modifiée, les chaînes sont envoyées en clair. Il s'agit d'une énorme
vulnérabilité de l'architecture SNMPv1 et SNMPv2.

Si vous utilisez la gestion intrabande, pour réduire les risques de sécurité, la gestion SNMP doit être configurée pour extraire
uniquement les informations des périphériques plutôt que d'être autorisée à pousser les modifications « définies » vers les
périphériques. Pour s'assurer que les informations de gestion sont extraites, chaque périphérique doit être configuré avec une
chaîne de communauté SNMP en lecture seule.
Le maintien du trafic SNMP sur un segment de gestion permet au trafic de traverser un segment isolé lorsque les informations de
gestion sont extraites des périphériques et lorsque les modifications de configuration sont transmises à un périphérique. Par
conséquent, si vous utilisez un réseau OOB, il est acceptable de configurer une chaîne de communauté en lecture-écriture SNMPÿ;
cependant, soyez conscient du risque de sécurité accru d'une chaîne de texte en clair qui permet la modification des configurations
de périphérique.
La version actuelle de SNMPv3 corrige les vulnérabilités des versions précédentes en incluant trois services importantsÿ:
l'authentification, la confidentialité et le contrôle d'accès.
SNMPv3 est un protocole interopérable basé sur des normes pour la gestion de réseau. SNMPv3 utilise une combinaison
d'authentification et de chiffrement de paquets sur le réseau pour fournir un accès sécurisé aux appareils. SNMPv3 fournit trois
fonctionnalités de sécurité.
ÿ Intégrité des messages - Garantit qu'un paquet n'a pas été falsifié en transit.
ÿ Authentification - Détermine que le message provient d'une source valide.
ÿ Chiffrement - Brouille le contenu d'un paquet pour l'empêcher d'être vu par un

source non autorisée.
Bien qu'il soit recommandé d'utiliser SNMPv3 dans la mesure du possible en raison des fonctions de sécurité supplémentaires,
la configuration de SNMPv3 dépasse le cadre de ce cours.
Lors de l'activation de SNMP, il est important de prendre en compte le modèle de sécurité et le niveau de sécurité. Le modèle de
sécurité est une stratégie d'authentification configurée pour un utilisateur et le groupe dans lequel l'utilisateur réside. Actuellement,
le logiciel Cisco IOS prend en charge trois modèles de sécurité : SNMPv1, SNMPv2c et SNMPv3. Un niveau de sécurité est le
niveau de sécurité autorisé dans un modèle de sécurité. Le niveau de sécurité est un type d'algorithme de sécurité exécuté sur
chaque paquet SNMP.
Il existe trois niveaux de sécurité.
ÿ noAuth - Authentifie un paquet par une correspondance de chaîne du nom d'utilisateur ou de la chaîne de communauté.
ÿ auth - Authentifie un paquet en utilisant soit le code d'authentification de message haché

(HMAC) avec la méthode MD5 ou la méthode Secure Hash Algorithms (SHA). La méthode HMAC est décrite dans la RFC
2104, HMAC : Keyed-Hashing for Message Authentication.
ÿ priv - Authentifie un paquet à l'aide des algorithmes HMAC MD5 ou HMAC SHA et chiffre le paquet à l'aide des algorithmes
Data Encryption Standard (DES), Triple DES (3DES) ou Advanced Encryption Standard (AES).
La combinaison du modèle et du niveau détermine le mécanisme de sécurité utilisé lors du traitement d'un paquet SNMP. Seul
SNMPv3 prend en charge les niveaux de sécurité auth et priv. Cependant, Cisco SDM ne prend pas en charge la configuration
de SNMPv3.
Pour activer SNMPv1 et SNMPv2 à l'aide de Cisco SDM, procédez comme suitÿ:
Étape 1. Choisissez Configurer > Tâches supplémentaires > Propriétés du routeur > SNMP. Cliquez sur le bouton Modifier .
Étape 2. Dans la fenêtre Propriétés SNMP, sélectionnez Activer SNMP pour activer la prise en charge SNMP.
Définissez les chaînes de communauté et entrez les informations du gestionnaire d'interruptions à partir de la même fenêtre Propriétés
SNMP utilisée pour activer la prise en charge.

Étape 3. Dans la fenêtre Propriétés SNMP, cliquez sur Ajouter pour créer de nouvelles chaînes de communauté, cliquez sur Modifier pour modifier
une chaîne de communauté existante ou cliquez sur Supprimer pour supprimer une chaîne de communauté.
Un exemple de commande CLI que SDM générerait sur la base d'une chaîne de communauté en lecture seule de cisco123 est snmp-server
community cisco123 ro.
ÿ ro - Attribue une chaîne de communauté en lecture seule.
ÿ rw - Affecte une chaîne de communauté en lecture-écriture.
L'administrateur peut également configurer les périphériques auxquels un routeur envoie des interruptions. Ces appareils sont appelés récepteurs
de pièges. Cisco SDM peut être utilisé pour ajouter, modifier ou supprimer un récepteur d'interruption.
Étape 1. Dans le volet SNMP de Cisco SDM, cliquez sur Modifier. La fenêtre Propriétés SNMP s'affiche.
Étape 2. Pour ajouter un nouveau récepteur de trap, cliquez sur Add dans la section Trap Receiver de la fenêtre SNMP Properties. La fenêtre Ajouter
un récepteur d'interruption s'affiche.
Étape 3. Entrez l'adresse IP ou le nom d'hôte du récepteur de trap et le mot de passe utilisé pour se connecter au récepteur de trap. Il s'agit
généralement de l'adresse IP de la station de gestion SNMP qui surveille votre domaine. Vérifiez auprès de l'administrateur du site pour déterminer
l'adresse en cas de doute.
Étape 4. Cliquez sur OK pour terminer l'ajout du récepteur d'interruptions.
Étape 5. Pour modifier un récepteur de déroutement existant, choisissez un récepteur de déroutement dans la liste des récepteurs de déroutement et
cliquez sur Modifier. Pour supprimer un récepteur de trap existant, choisissez un récepteur de trap dans la liste des récepteurs de trap et cliquez sur
Supprimer.
Étape 6. Lorsque la liste des récepteurs d'interruptions est complète, cliquez sur OK pour revenir au volet SNMP.
La fenêtre Propriétés SNMP contient également le champ Emplacement du périphérique du serveur SNMP et le champ Contact de
l'administrateur du serveur SNMP. Ces deux champs sont des champs de texte qui peuvent être utilisés pour
entrez des informations descriptives sur l'emplacement du serveur SNMP et les informations de contact d'une personne gérant le serveur SNMP.
Ces champs ne sont pas obligatoires et n'affectent pas le fonctionnement du routeur.
2.3.5 Utilisation de NTP

De nombreux éléments impliqués dans la sécurité d'un réseau, tels que les journaux de sécurité, dépendent d'un horodatage précis. Lorsqu'il
s'agit d'une attaque, les secondes comptent, car il est important d'identifier l'ordre dans lequel une attaque spécifique s'est produite. Pour s'assurer
que les messages du journal sont synchronisés les uns avec les autres, les horloges des hôtes et des périphériques réseau doivent être maintenues
et synchronisées.
En règle générale, les paramètres de date et d'heure du routeur peuvent être définis à l'aide de l'une des deux méthodes suivantesÿ:
ÿ Modification manuelle de la date et de l'heure
ÿ Configuration du protocole de temps réseau (NTP)
Bien que la méthode manuelle fonctionne dans un petit environnement de réseau, à mesure qu'un réseau se développe, il devient difficile de
s'assurer que tous les périphériques de l'infrastructure fonctionnent avec une heure synchronisée. Même dans un environnement réseau plus petit, la
méthode manuelle n'est pas idéale. Si un routeur redémarre, où obtiendrait-il une date et un horodatage précisÿ?
Une meilleure solution consiste à configurer NTP sur le réseau. NTP permet aux routeurs du réseau de synchroniser leurs paramètres d'heure
avec un serveur NTP. Un groupe de clients NTP qui obtiennent des informations d'heure et de date à partir d'une source unique ont des paramètres
d'heure plus cohérents. Lorsque NTP est implémenté dans le réseau, il peut être configuré pour se synchroniser sur une horloge maître privée, ou il
peut se synchroniser sur un serveur NTP accessible au public sur Internet.

NTP utilise le port UDP 123 et est documenté dans RFC 1305.
Pour déterminer s'il faut utiliser une synchronisation d'horloge privée par rapport à une horloge publique, il est nécessaire de
peser les risques et les avantages des deux.
Si une horloge maître privée est mise en œuvre, elle pourrait être synchronisée sur le temps universel coordonné (UTC) via
satellite ou radio. L'administrateur doit s'assurer que la source horaire est valide et provient d'un site sécurisé ; sinon, cela peut
introduire des vulnérabilités. Par exemple, un attaquant peut lancer une attaque DoS en envoyant de fausses données NTP via
Internet au réseau dans le but de modifier les horloges sur les périphériques réseau, ce qui peut entraîner l'invalidité des
certificats numériques. Un attaquant pourrait tenter de semer la confusion dans l'esprit d'un administrateur réseau lors d'une
attaque en perturbant les horloges des périphériques réseau. Ce scénario rendrait difficile pour l'administrateur réseau de
déterminer le
ordre des événements syslog sur plusieurs appareils.
Extraire l'heure d'Internet signifie que les paquets non sécurisés sont autorisés à traverser le pare-feu. De nombreux serveurs
NTP sur Internet ne nécessitent aucune authentification des pairs ; par conséquent, l'administrateur réseau doit être sûr que
l'horloge elle-même est fiable, valide et sécurisée.
Les communications (appelées associations) entre les machines qui exécutent NTP sont généralement configurées de
manière statique. Chaque appareil reçoit l'adresse IP des maîtres NTP. Un chronométrage précis est possible en
échangeant des messages NTP entre chaque paire de machines avec une association. Dans un réseau configuré NTP, un
ou plusieurs routeurs sont désignés comme horloge maître (appelé maître NTP) à l'aide de la commande de configuration
globale ntp master .
Les clients NTP contactent le maître ou écoutent les messages du maître pour synchroniser leurs horloges. Pour contacter
le maître, utilisez la commande ntp server ntp-server-address .
Dans un environnement LAN, NTP peut être configuré pour utiliser des messages de diffusion IP à la place à l'aide de la
commande ntp broadcast client . Cette alternative réduit la complexité de la configuration car chaque machine peut être
configurée pour envoyer ou recevoir des messages de diffusion. La précision de l'horodatage est légèrement réduite car le flux
d'informations est à sens unique.
L'heure conservée par une machine est une ressource critique. Par conséquent, les fonctionnalités de sécurité de NTP doivent
être utilisées pour éviter la configuration accidentelle ou malveillante d'heures incorrectes. Deux mécanismes de sécurité sont
disponiblesÿ:
ÿ Schéma de restriction basé sur ACL
ÿ Mécanisme d'authentification chiffré offert par NTP version 3 ou ultérieure
NTP version 3 (NTPv3) et versions ultérieures prennent en charge un mécanisme d'authentification cryptographique entre
homologues NTP. Ce mécanisme d'authentification, en plus des ACL qui spécifient quels périphériques réseau sont autorisés à
se synchroniser avec d'autres périphériques réseau, peut être utilisé pour aider à atténuer une telle attaque.
Pour sécuriser le trafic NTP, il est fortement recommandé d'implémenter NTP version 3 ou ultérieure. Utilisez les commandes
suivantes sur le maître NTP et le client NTP.
ntp authentifier ntp

authentication-key numéro- clé md5 clé-valeur ntp trusted-key
numéro-clé
L'authentification est au profit d'un client pour s'assurer qu'il obtient l'heure d'un serveur authentifié. Les clients configurés
sans authentification obtiennent toujours l'heure du serveur. La différence est que ces clients n'authentifient pas le serveur en
tant que source sécurisée.
Utilisez la commande show ntp associations detail pour confirmer que le serveur est un serveur authentifié.
la source.
Remarque : La valeur de la clé peut également être définie comme argument dans la commande ntp server ntp-server-address .
Cisco SDM permet à un administrateur réseau d'afficher les informations de serveur NTP configurées, d'ajouter de nouvelles
informations et de modifier ou de supprimer des informations existantes.
Il y a sept étapes pour ajouter un serveur NTP à l'aide de Cisco SDM.
Étape 1. Choisissez Configurer > Tâches supplémentaires > Propriétés du routeur > NTP/SNTP. Le volet NTP apparaît,
affichant les informations pour tous les serveurs NTP configurés.
Étape 2. Pour ajouter un nouveau serveur NTP, cliquez sur Ajouter. La fenêtre Ajouter les détails du serveur NTP s'affiche.
Étape 3. Ajoutez un serveur NTP par nom si le routeur est configuré pour utiliser un serveur DNS (Domain Name System) ou
par adresse IP. Pour ajouter un serveur NTP par adresse IP, entrez l'adresse IP dans le champ à côté de l'option Adresse IP
du serveur NTP. Si l'organisation ne dispose pas d'un serveur NTP, l'administrateur peut souhaiter utiliser un serveur accessible
au public, tel que l'un de la liste des serveurs disponible à l'adresse http://support.ntp.org/bin/view/Servers/WebHome .
Étape 4. (facultative) de la liste déroulante d' interface de source de NTP , choisissent l'interface que le routeur emploie pour
communiquer avec le serveur de NTP. L'interface source NTP est un champ facultatif. Si ce champ est laissé vide, les messages
NTP sont envoyés à partir de l'interface la plus proche du serveur NTP selon la table de routage.
Étape 5. Sélectionnez Préférer si ce serveur NTP a été désigné comme serveur NTP préféré. Les serveurs NTP préférés sont
contactés avant les serveurs NTP non préférés. Il peut y avoir plus d'un serveur NTP préféré.
Étape 6. Si le serveur NTP utilise l'authentification, sélectionnez la clé d'authentification et saisissez le numéro de clé et la
valeur de la clé.
Étape 7. Cliquez sur OK pour terminer l'ajout du serveur.
2.4 Utilisation des fonctions de sécurité

automatisées 2.4.1 Réalisation d'un audit de sécurité
Les routeurs Cisco sont initialement déployés avec de nombreux services activés par défaut. Ceci est fait pour plus de
commodité et pour simplifier le processus de configuration requis pour rendre l'appareil opérationnel.
Cependant, certains de ces services peuvent rendre l'appareil vulnérable aux attaques si la sécurité n'est pas activée. Les
administrateurs peuvent également activer des services sur les routeurs Cisco qui peuvent exposer l'appareil à des risques
importants. Ces deux scénarios doivent être pris en compte lors de la sécurisation du réseau.
Par exemple, Cisco Discovery Protocol (CDP) est un exemple de service activé par défaut dans les routeurs Cisco. Il est
principalement utilisé pour obtenir les adresses de protocole des périphériques Cisco voisins et pour découvrir les plates-formes de
ces périphériques. Malheureusement, un attaquant sur le réseau peut utiliser CDP pour découvrir des appareils sur le réseau local.
De plus, les attaquants n'ont pas besoin d'appareils compatibles CDP. Des logiciels facilement disponibles, tels que Cisco CDP
Monitor, peuvent être téléchargés pour obtenir les informations. L'objectif de CDP est de permettre aux administrateurs de découvrir
et de dépanner plus facilement
d'autres appareils Cisco sur le réseau. Cependant, en raison des implications en matière de sécurité, l'utilisation de CDP doit être
déterministe. Bien qu'il s'agisse d'un outil extrêmement utile, il ne devrait pas être partout dans le réseau. Les périphériques Edge
sont un exemple de périphérique pour lequel cette fonctionnalité doit être désactivée.
Les attaquants choisissent des services et des protocoles qui rendent le réseau plus vulnérable à l'exploitation malveillante.
Selon les besoins de sécurité d'une organisation, bon nombre de ces services doivent être désactivés ou, au minimum, limités
dans leurs capacités. Ces fonctionnalités vont des protocoles propriétaires de Cisco, tels que Cisco Discovery Protocol (CDP), aux
protocoles disponibles dans le monde entier, tels que ICMP et d'autres outils d'analyse.
Certains des paramètres par défaut du logiciel Cisco IOS existent pour des raisons historiques ; elles avaient un sens
lorsqu'elles ont été choisies mais seraient probablement différentes si de nouvelles valeurs par défaut étaient choisies aujourd'hui.
D'autres valeurs par défaut sont logiques pour la plupart des systèmes, mais peuvent créer des risques de sécurité si elles sont
utilisées dans des appareils faisant partie d'une défense de périmètre réseau. D'autres valeurs par défaut sont en fait requises par
les normes mais ne sont pas toujours souhaitables du point de vue de la sécurité.
De nombreuses pratiques permettent de garantir la sécurité d'un appareil.
ÿ Désactivez les services et interfaces inutiles.
ÿ Désactivez et restreignez les services de gestion couramment configurés, tels que SNMP.
ÿ Désactivez les sondes et les analyses, comme ICMP.
ÿ Assurer la sécurité d'accès aux terminaux.
ÿ Désactivez le protocole ARP (Address Resolution Protocol) gratuit et proxy.
ÿ Désactivez les diffusions dirigées par IP.
Pour sécuriser les périphériques réseau, les administrateurs doivent d'abord déterminer les vulnérabilités qui existent avec la
configuration actuelle. La meilleure façon d'y parvenir est d'utiliser un outil d'audit de sécurité. Un outil d'audit de sécurité effectue
des contrôles sur le niveau de sécurité d'une configuration en comparant cette configuration aux paramètres recommandés et en
suivant les écarts. Une fois les vulnérabilités identifiées, les administrateurs réseau doivent modifier la configuration pour réduire
ou éliminer ces vulnérabilités afin de sécuriser l'appareil et le réseau.
Trois outils d'audit de sécurité disponibles incluentÿ:
ÿ Assistant d'audit de sécurité - une fonction d'audit de sécurité fournie via Cisco SDM. L'assistant d'audit de sécurité fournit
une liste de vulnérabilités et permet ensuite à l'administrateur de choisir les modifications de configuration potentielles liées à
la sécurité à mettre en œuvre sur un routeur.
ÿ Cisco AutoSecure - une fonctionnalité d'audit de sécurité disponible via l'interface de ligne de commande Cisco IOS. Le
La commande autosecure lance un audit de sécurité, puis autorise les modifications de configuration.
Selon le mode sélectionné, les changements de configuration peuvent être automatiques ou nécessiter une intervention
de l'administrateur réseau.
ÿ Verrouillage en une étape - une fonction d'audit de sécurité fournie par Cisco SDM. La fonctionnalité One-Step Lockdown
fournit une liste des vulnérabilités, puis effectue automatiquement toutes les modifications de configuration liées à la sécurité
recommandées.
L'assistant d'audit de sécurité et le verrouillage en une étape sont basés sur la fonctionnalité Cisco IOS Autosecure.
ture.
Assistant d'audit de sécurité
L'assistant d'audit de sécurité teste la configuration du routeur pour déterminer si des problèmes de sécurité potentiels existent
dans la configuration, puis présente un écran qui permet à l'administrateur de déterminer lequel de ces problèmes de sécurité résoudre.
À ce stade, l'assistant d'audit de sécurité apporte les modifications nécessaires à la configuration du routeur pour résoudre ces
problèmes.
L'assistant d'audit de sécurité compare une configuration de routeur aux paramètres recommandés et effectue les opérations
suivantesÿ:
ÿ Arrête les serveurs inutiles.
ÿ Désactive les services inutiles.
ÿ Applique le pare-feu aux interfaces extérieures.

ÿ Désactive ou renforce SNMP.
ÿ Arrête les interfaces inutilisées.
ÿ Vérifie la force du mot de passe.
ÿ Impose l'utilisation des ACL.
Lorsqu'un audit de sécurité est lancé, l'assistant d'audit de sécurité doit savoir quelles interfaces de routeur se
connectent au réseau interne et lesquelles se connectent à l'extérieur du réseau. L'assistant d'audit de sécurité teste
ensuite la configuration du routeur pour déterminer les éventuels problèmes de sécurité qui peuvent exister.
Une fenêtre affiche toutes les options de configuration testées et indique si la configuration actuelle du routeur
réussit ces tests.
Lorsque l'audit est terminé, l'audit de sécurité identifie les vulnérabilités possibles dans la configuration et fournit
un moyen de corriger ces problèmes. Il donne également à l'administrateur la possibilité de résoudre automatiquement
les problèmes, auquel cas il détermine les commandes de configuration nécessaires. Une description des problèmes
spécifiques et une liste des commandes Cisco IOS utilisées pour corriger ces problèmes sont fournies.
Avant toute modification de configuration, une page récapitulative affiche une liste de toutes les modifications de
configuration que l'audit de sécurité effectuera. L'administrateur doit cliquer sur Terminer pour envoyer ces
configurations au routeur.
2.4.2 Verrouillage d'un routeur à l'aide d'AutoSecure

Cisco AutoSecure
Publié dans la version IOS 12.3, Cisco AutoSecure est une fonctionnalité lancée à partir de l'interface de ligne de
commande et exécutant un script. AutoSecure fait d'abord des recommandations pour corriger les vulnérabilités de
sécurité, puis modifie la configuration de sécurité du routeur.
AutoSecure peut verrouiller les fonctions du plan de gestion et les services et fonctions du plan de transfert d'un
routeur.
Le plan de gestion est le chemin logique de tout le trafic lié à la gestion d'une plate-forme de routage. Il est utilisé
pour contrôler toutes les autres fonctions de routage et pour gérer un équipement via sa connexion au réseau. Il
existe plusieurs services et fonctions du plan de gestionÿ:
ÿ Petits serveurs sécurisés BOOTP, CDP, FTP, TFTP, PAD, UDP et TCP, MOP, ICMP (redirections, masques-réponses),
routage source IP, Finger, cryptage de mot de passe, TCP keepalives, gratuit
ARP, proxy ARP et diffusion dirigée
ÿ Notification légale par bannière
ÿ Mot de passe sécurisé et fonctions de connexion
ÿ NTP sécurisé
ÿ Accès SSH sécurisé
ÿ Services d'interception TCP
Le plan de transfert est responsable du transfert de paquets (ou commutation de paquets), qui consiste à recevoir
des paquets sur les interfaces du routeur et à les envoyer sur d'autres interfaces.
Il existe trois services et fonctions d'avion de transfertÿ:
ÿ Active Cisco Express Forwarding (CEF)

ÿ Active le filtrage du trafic avec les ACL
ÿ Met en œuvre l'inspection du pare-feu Cisco IOS pour les protocoles courants
AutoSecure est souvent utilisé sur le terrain pour fournir une politique de sécurité de base sur un nouveau routeur. Les fonctionnalités
peuvent ensuite être modifiées pour prendre en charge la politique de sécurité de l'organisation.
Utilisez la commande auto secure pour activer la configuration de la fonctionnalité Cisco AutoSecure. Cette configuration peut être
interactive ou non interactive.
auto sécurisé [pas d'interaction]

En mode interactif, le routeur propose des options pour activer et désactiver les services et autres fonctionnalités de sécurité. Il s'agit
du mode par défaut, mais il peut également être configuré à l'aide de la commande auto secure full .
Le mode non interactif est similaire à la fonction de verrouillage en une étape de l'audit de sécurité SDM car il exécute automatiquement
la commande Cisco AutoSecure avec les paramètres par défaut recommandés par Cisco. Ce mode est activé à l'aide de la commande
EXEC privilégiée auto secure no-interact .
La commande auto secure peut également être entrée avec des mots-clés pour configurer des composants spécifiques, tels que le
plan de gestion et le plan de transfert.
Lorsque la commande de sécurité automatique est lancée, un assistant s'affiche pour guider l'administrateur dans la
configuration de l'appareil. L'entrée de l'utilisateur est requise. Une fois l'assistant terminé, une configuration en cours d'exécution
affiche tous les paramètres et modifications de configuration.
2.4.3 Verrouillage d'un routeur à l'aide de SDM

Verrouillage Cisco en une étape
Le verrouillage en une étape teste une configuration de routeur pour tout problème de sécurité potentiel et effectue automatiquement
les modifications de configuration nécessaires pour corriger tout problème.
Le verrouillage en une étape de Cisco désactiveÿ:
ÿ Service doigté
ÿ Service PAD
ÿ Service de petits serveurs TCP
ÿ Service de petits serveurs UDP
ÿ Service de serveur IP BOOTP
ÿ Service d'identification IP
ÿ Protocole de découverte Cisco
ÿ Route source IP
ÿ GARP IP
ÿ SNMP
ÿ Redirections IP
ÿ Proxy IP ARP
ÿ Diffusion dirigée IP
ÿ Service MOP
ÿ IP inaccessibles
ÿ Réponse de masque IP
ÿ IP inaccessible sur l'interface null
Le verrouillage en une étape de Cisco permetÿ:
ÿ Service de cryptage de mot de passe
ÿ Keepalives TCP pour les sessions Telnet entrantes et sortantes
ÿ Numéros de séquence et horodatages sur les débogages
ÿ IP Cisco Express Forwarding Activer la commutation NetFlow
ÿ Unicast Reverse Path Forwarding (RPF) sur les interfaces externes
ÿ Pare-feu sur toutes les interfaces extérieures
ÿ SSH pour l'accès au routeur
ÿ AAA
Ensembles de verrouillage en une étape Ciscoÿ:
ÿ Longueur minimale du mot de passe à six caractères
ÿ Taux d'échec d'authentification à moins de trois tentatives
ÿ Temps d'attente TCP synwait
ÿ Bannière de notification
ÿ Paramètres de journalisation
ÿ Activer le mot de passe secret
ÿ Intervalle du planificateur
ÿ Allocation du planificateur
ÿ Utilisateurs
ÿ Paramètres Telnet
ÿ Classe d'accès sur le service serveur HTTP
ÿ Classe d'accès sur les lignes vty
Décider quelle fonction de verrouillage automatisé utiliser, le verrouillage en une étape AutoSecure ou SDM Security Audit, est essentiellement
une question de préférence. Il existe des différences dans la manière dont ils mettent en œuvre les bonnes pratiques de sécurité.
Cisco SDM n'implémente pas toutes les fonctionnalités de Cisco AutoSecure. Depuis la version 2.4 de Cisco SDM, les fonctionnalités suivantes
de Cisco AutoSecure ne font pas partie du verrouillage en une étape de Cisco SDMÿ:
ÿ Désactivation de NTP - En fonction de l'entrée, Cisco AutoSecure désactive NTP s'il n'est pas nécessaire.
Sinon, NTP est configuré avec l'authentification MD5. Cisco SDM ne prend pas en charge la désactivation de NTP.
ÿ Configuration d'AAA - Si le service AAA n'est pas configuré, Cisco AutoSecure configure l'AAA local et demande la configuration d'une base
de données locale de nom d'utilisateur et de mot de passe sur le routeur. Cisco SDM ne prend pas en charge la configuration AAA.
ÿ Définition des valeurs SPD (Selective Packet Discard) - Cisco SDM ne définit pas les valeurs SPD.
ÿ Activation des interceptions TCP - Cisco SDM n'active pas les interceptions TCP.
ÿ Configuration d'ACL anti-usurpation sur des interfaces externes - Cisco AutoSecure crée trois
des listes d'accès nommées pour empêcher l'usurpation d'adresses source. Cisco SDM ne configure pas ces
ACL.
Les fonctionnalités suivantes de Cisco AutoSecure sont implémentées différemment dans Cisco SDMÿ:
ÿ Activer SSH pour l'accès au routeur - Cisco SDM active et configure SSH sur les images Cisco IOS dotées de la
fonctionnalité IPsec ; cependant, contrairement à Cisco AutoSecure, Cisco SDM n'active pas le protocole SCP
(Secure Copy Protocol) ni ne désactive les autres services d'accès et de transfert de fichiers, tels que FTP.
ÿ Désactiver SNMP - Cisco SDM désactive SNMP ; cependant, contrairement à Cisco AutoSecure, Cisco
SDM ne propose pas d'option de configuration de SNMPv3. L'option SNMPv3 n'est pas disponible sur tous
les routeurs.
Quelle que soit la fonction automatisée préférée, elle doit être utilisée comme référence, puis modifiée pour
répondre aux besoins de l'organisation.
Résumé du chapitre
Reportez-vous au paquet Faire référence à
Activité de traceur pour Activité de

ce chapitre laboratoire pour ce chapitre
Vos notes de chapitre



CHAP2 Book FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CHAP2 Book FR

Transféré par

Droits d'auteur :

Formats disponibles

Machine Translated by Google

Sécurisation des périphériques réseau

28 Livret de cours sur la sécurité CCNA, version 1.0

2.1 Sécurisation de l'accès à l'appareil

2.1.1 Sécurisation du routeur Edge

Approche de routeur unique

Approche de défense en profondeur

Chapitre 2 : Sécurisation des périphériques réseau 29

Assurer la sécurité physique des routeursÿ:

Sécurité du système d'exploitation

Sécurisez les fonctionnalités et les performances des systèmes d'exploitation du routeurÿ:

ÿ Configurez le routeur avec la quantité maximale de mémoire possible. La disponibilité de

ÿ Conservez une copie sécurisée de l'image du système d'exploitation du routeur et du fichier de

Éliminer les abus potentiels des ports et services inutilisésÿ:

ÿ Restreindre l'accessibilité de l'appareil - Limitez les ports accessibles, restreignez

30 Livret de cours sur la sécurité CCNA, version 1.0

compris ce qui se produit et quand.

nombre de tentatives de connexion infructueuses et le temps entre les connexions.

conseiller juridique, pour des sessions interactives.

session et aux attaques de l'homme du milieu (MITM).

2.1.2 Configuration de l'accès administratif sécurisé

attaques par force brute et deviner des mots de passe.

Chapitre 2 : Sécurisation des périphériques réseau 31

Activer le mot de passe secret

Lignes terminales virtuelles

32 Livret de cours sur la sécurité CCNA, version 1.0

connexion par modem commuté.

connexion et établir un mot de passe de connexion sur les connexions entrantes.

ÿ Appliquez des longueurs de mot de passe minimales.

ÿ Désactivez les connexions sans surveillance.

ÿ Chiffrez tous les mots de passe dans le fichier de configuration.

Longueur minimale des caractères

de la commande de configuration globale . Il est fortement recommandé que le minimum

répandu sur la plupart des réseaux, tels que "laboratoire" et "cisco".

semblable à ce qui suitÿ:

cela, l'interface expire et se déconnecte de la session.

Crypter tous les mots de passe

Chapitre 2 : Sécurisation des périphériques réseau 33

nom d' utilisateur mot de passe mot de

2.1.3 Configuration de la sécurité renforcée pour les connexions virtuelles

ÿ Délais entre les tentatives de connexion successives

ÿ Arrêt de la connexion si des attaques DoS sont suspectées

ÿ Génération de messages de journalisation système pour la détection de connexion

34 Livret de cours sur la sécurité CCNA, version 1.0

Terminal de configuration du routeur #

Qu'est-ce que chaque commande accomplitÿ?

connexion utilisant Telnet, SSH et HTTP sont refusées.

créée et identifiée à l'aide de la commande login quiet-mode access-class .

savoir quand quelqu'un essaie d'accéder au réseau en devinant le mot de passe ?

tentatives de connexion réussies n'est pas activée par défaut.

valeur par défaut est 1 tentative. La plage valide est de 1 à 65 535.

Chapitre 2 : Sécurisation des périphériques réseau 35

bannière {exec | entrant | connexion | mod | slip-ppp} d message d

$(hostname) - Affiche le nom d'hôte du routeur.

$(domain) - Affiche le nom de domaine du routeur.

$(line) - Affiche le numéro de ligne vty ou tty (asynchrone).

$(line-desc) - Affiche la description qui est attachée à la ligne.

2.1.4 Configurer SSH

36 Livret de cours sur la sécurité CCNA, version 1.0

Commandes SSH facultatives

ÿ Délai d'expiration SSH

ÿ Nombre de tentatives d'authentification

version ip ssh {1 | 2} commande de configuration globale.