Académique Documents
Professionnel Documents
Culture Documents
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
Section 2.1:
Sécurisation de l'accès au
périphérique
À la fin de cette section, vous devriez pouvoir:
• Expliquer comment sécuriser un périmètre réseau.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
Sujet 2.1.1:
Sécurisation du Edge Router
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
Sécurisation de l'infrastructure réseau
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
Approches bord de sécurité du routeur
Approche du routeur unique
approche DMZ
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Trois domaines de la sécurité du routeur
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Accès sécurisé administratif
Les tâches:
• Restreindre l'accessibilité des appareils
• authentifier accès
• actions autoriser
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Secure Access locale et à distance
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
Secure Access locale et à distance (Cont.)
Réseau de gestion dédié
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
Sujet 2.1.2:
Configuration de l'accès sécurisé administratif
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
Amélioration de l'accès de sécurité
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
Les algorithmes de mot de passe secret
Des lignes directrices:
• Configurer tous les mots de passe secrets en utilisant le type 8 ou tapez 9
mots de passe
• Utilisez la validation syntaxe de commande de type algorithme pour saisir
un mot de passe non crypté
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
Sécurisation de l'accès ligne
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
Sujet 2.1.3:
Configuration de sécurité renforcée pour les logins
virtuels
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
L'amélioration du processus de connexion
améliorations de la sécurité de
connexion virtuelle:
• Mettre en œuvre des retards
entre les tentatives de connexion
successives
• activer connexion arrêt si les
attaques DoS sont soupçonnés
• Générer système
d'enregistrement messages pour
la détection de connexion
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Configuration Connexion Enhancement
Caractéristiques
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
Activer les améliorations Connexion
Syntaxe de la commande: bloc de connexion
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
Journalisation Tentatives
Générer Connexion Syslog messages
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
Sujet 2.1.4:
Configuration de SSH
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
Procédure de configuration SSH
Exemple de configuration SSH
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
Modification de la configuration SSH
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
Connexion à un routeur de SSH-Enabled
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
Section 2.2:
Attribution des rôles administratifs
À la fin de cette section, vous devriez pouvoir:
• Configurer les niveaux de privilèges d'administration pour contrôler la
disponibilité de commande.
• Configurer l'accès CLI basée sur les rôles pour contrôler la disponibilité de
commande.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
Sujet 2.2.1:
Configuration des niveaux de privilèges
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
Limitation de la disponibilité de commande
Les niveaux de privilège: Les niveaux de commandes d'accès:
• Niveau 0: pour des droits d'Prédéfinie accès au niveau • le mode d'exécution utilisateur (niveau de privilège 1)
utilisateur.
Prix le plus bas mode d'exécution des privilèges
d'utilisateur
• Niveau 1: Niveau par défaut pour la connexion à l'invite
du routeur. Seulement commande de niveau utilisateur disponible
sur le routeur invite>
• Niveau 2-14: Peut être personnalisé pour des privilèges
de niveau utilisateur. • mode privilégié (niveau de privilège 15)
Tous les activer au niveau des commandes au niveau du
• Niveau 15: Réservé aux activer les privilèges de mode. routeur invite #
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
Configuration et attribution des niveaux de
privilèges
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
Limitations des niveaux de privilèges
• Aucun contrôle d'accès à des interfaces spécifiques, les ports, les
interfaces logiques, et des fentes sur un routeur
• Les commandes disponibles à des niveaux inférieurs de privilège sont
toujours exécutables à des niveaux de privilèges plus élevés
• Les commandes mis spécifiquement à des niveaux de privilèges plus
élevés ne sont pas disponibles pour les utilisateurs de privilèges
inférieurs
• Attribution d'une commande avec plusieurs mots-clés permet
d'accéder à toutes les commandes qui utilisent les
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
Sujet 2.2.2:
Configuration CLI basée sur les rôles
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
Accès CLI basée sur les rôles
Par exemple:
• privilèges d'opérateur de sécurité
Configurer AAA
Problème montrer commandes
configurer le pare-feu
Configurer IDS / IPS
configurer NetFlow
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
Vues basés sur le rôle
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
Configuration Vues basés sur le rôle
Étape 1
Étape 2
Étape 3
Étape 4
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
Configuration CLI basée sur les rôles
Superviews
Étape 1
Étape 2
Étape 3
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
Vérifiez Vues CLI basés sur le rôle
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
Section 2.3:
Suivi et gestion des périphériques
À la fin de cette section, vous devriez pouvoir:
• Utilisez la fonction de configuration résiliente Cisco IOS pour sécuriser l'image
Cisco IOS et des fichiers de configuration.
• Comparez intrabande et hors accès à la gestion de la bande.
• Configurer NTP pour activer précise horodatage entre tous les appareils.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
Sujet 2.3.1:
Sécurisation de l'image Cisco IOS et des fichiers de
configuration
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37
Cisco IOS résiliente fonction de configuration
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
Activation de la fonction résilience de l'image
IOS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 39
le primaire Bootset Image
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 40
Configuration Secure Copy
Configurez le routeur pour côté serveur SCP avec AAA local:
1. Configurer SSH
3. activer AAA
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
Récupération d'un mot de passe du routeur
1. Se connecter au port de la console.
6. Redémarrez le routeur.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 42
Récupération de mot de passe
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43
Sujet 2.3.2:
Gestion sécurisée et rapports
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44
Détermination du type d'accès de gestion
Dans la gestion intrabande:
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 45
Sujet 2.3.3:
En utilisant Syslog pour la sécurité des réseaux
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 46
Introduction à Syslog
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 47
syslog opération
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 48
syslog message
Niveaux de sécurité
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
Message syslog (Cont.)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 50
syslog Systems
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 51
Configuration de la journalisation système
Étape 1
Etape 2 (facultatif)
Étape 3
Étape 4
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 52
Sujet 2.3.4:
Utilisation de SNMP pour la sécurité réseau
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 53
Introduction à SNMP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
Gestion de Base de l'information
Cisco MIB
hiérarchie
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 55
versions SNMP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 56
vulnérabilités SNMP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
SNMPv3
l'intégrité du message et l'authentification
Le chiffrement
Contrôle d'accès
• Agent peut appliquer un contrôle d'accès pour limiter chaque directeur à certaines actions
sur des parties spécifiques de données.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 58
Configuration SNMPv3 sécurité
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 59
Exemple de configuration sécurisé SNMPv3
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
Vérification de la configuration SNMPv3
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 61
Sujet 2.3.5:
En utilisant NTP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 62
Network Time Protocol
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 63
serveur NTP
Exemple NTP
Topologie
Exemple de
configuration NTP sur
R1
Exemple de
configuration NTP
sur R2
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 64
NTP d'authentification
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 65
Section 2.4:
Utilisation des fonctionnalités de
sécurité automatisé
À la fin de cette section, vous devriez pouvoir:
• Utiliser des outils de vérification de sécurité pour déterminer les vulnérabilités du
routeur à base d'IOS.
• Utilisation AutoSecure pour activer la sécurité sur les routeurs basés sur IOS.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 66
Sujet 2.4.1:
Exécution d'une vérification de sécurité
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 67
Protocoles découverte CDP et LLDP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 68
Paramètres pour les protocoles et services
Il y a une liste détaillée des paramètres de sécurité pour les
protocoles et les services fournis à la figure 2 de cette page en cours.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 69
Sujet 2.4.2:
Verrouillage vers le bas d'un routeur à l'aide
AutoSecure
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 70
Cisco AutoSecure
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 71
Utilisation du système Cisco AutoSecure
Fonctionnalité
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 72
Utilisation de la commande sécurisé
automatique
1. La commande sécurisé automatique est entré
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 73
Section 2.5:
Sécurisation du plan de contrôle
À la fin de cette section, vous devriez pouvoir:
• Configuration d'une authentification de protocole de routage.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 74
Sujet 2.5.1:
Protocole de routage d'authentification
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 75
Protocole de routage Spoofing
Les conséquences de l'usurpation de protocole:
• Réorientent le trafic pour créer des boucles de routage.
• Réorientent le trafic peut donc être contrôlé sur un lien non sécurisé.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 76
OSPF Authentification MD5 Routing Protocol
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 77
OSPF Authentification SHA Protocole de
routage
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 78
Sujet 2.5.2:
Contrôle de police Plan
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 79
Opérations de périphériques réseau
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 80
Contrôle et gestion plan vulnérabilités
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 81
CoPP Opération
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 82
Section 2.6:
Résumé
Objectifs du chapitre:
• Configurer l'accès sécurisé administratif.
• Utiliser les fonctions automatisées pour activer la sécurité sur les routeurs basés
sur IOS.
• Mettre en œuvre la sécurité du plan de contrôle.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 83
Thank you.
Ressources de l'instructeur
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 85