CCNASv2 InstructorPPT

Chapitre 2:
Securing Périphériques réseau
v2.0 CCNA sécurité

Translated by JE.BENRAHAL
June 2017
2.0 introduction
2.1 Sécurisation de l'accès des
périphériques
2.2 Attribution des rôles administratifs
Sommaire 2.3 Surveillance et Gestion des

périphériques
2.4 Utilisation des fonctions de sécurité
automatisée
2.5 Fixation du plan de commande
2.6 Résumé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
Section 2.1:
Sécurisation de l'accès au
périphérique
À la fin de cette section, vous devriez pouvoir:
• Expliquer comment sécuriser un périmètre réseau.
• Configurer l'accès sécurisé aux routeurs d'administration de Cisco.
• Configurer une sécurité renforcée pour les connexions virtuelles.
• Configurer un démon SSH pour la gestion à distance sécurisée.
Sujet 2.1.1:
Sécurisation du Edge Router
Sécurisation de l'infrastructure réseau
Approches bord de sécurité du routeur
Approche du routeur unique
Défense dans l'approche de la profondeur
approche DMZ
Trois domaines de la sécurité du routeur
Accès sécurisé administratif
Les tâches:
• Restreindre l'accessibilité des appareils
• Connectez-vous et compte pour tous les accès
• authentifier accès
• actions autoriser
• notification juridique actuelle
• Assurer la confidentialité des données
Secure Access locale et à distance
Accès local L'accès à distance Utilisation de Telnet
L'accès à distance en utilisant un modem et Aux Port
Secure Access locale et à distance (Cont.)
Réseau de gestion dédié
Sujet 2.1.2:
Configuration de l'accès sécurisé administratif
Amélioration de l'accès de sécurité
Les algorithmes de mot de passe secret
Des lignes directrices:
• Configurer tous les mots de passe secrets en utilisant le type 8 ou tapez 9
mots de passe
• Utilisez la validation syntaxe de commande de type algorithme pour saisir
un mot de passe non crypté
• Utilisez la commande nom de nom d'utilisateur algorithme de type pour

spécifier le type 9 chiffrement
Sécurisation de l'accès ligne
Sujet 2.1.3:
Configuration de sécurité renforcée pour les logins
virtuels
L'amélioration du processus de connexion
améliorations de la sécurité de
connexion virtuelle:
• Mettre en œuvre des retards
entre les tentatives de connexion
successives
• activer connexion arrêt si les
attaques DoS sont soupçonnés
• Générer système
d'enregistrement messages pour
la détection de connexion
Configuration Connexion Enhancement
Caractéristiques
Activer les améliorations Connexion
Syntaxe de la commande: bloc de connexion
Exemple: accès de connexion classe en mode

silencieux
Exemple: retard connexion
Journalisation Tentatives
Générer Connexion Syslog messages
Exemple: échecs de connexion show
Sujet 2.1.4:
Configuration de SSH
Procédure de configuration SSH
Exemple de configuration SSH
Exemple de vérification de SSH
Modification de la configuration SSH
Connexion à un routeur de SSH-Enabled
Deux façons de se connecter:

• Activer SSH et utiliser un routeur Cisco en tant que serveur SSH ou d'un client
SSH.
En tant que serveur, le routeur peut accepter les connexions client SSH
En tant que client, le routeur peut se connecter via SSH à un autre routeur
compatible SSH-
• Utilisez un client SSH en cours d'exécution sur un hôte, comme Mastic,
OpenSSH, ou TeraTerm.
Section 2.2:
Attribution des rôles administratifs
• Configurer les niveaux de privilèges d'administration pour contrôler la
disponibilité de commande.
• Configurer l'accès CLI basée sur les rôles pour contrôler la disponibilité de
commande.
Sujet 2.2.1:
Configuration des niveaux de privilèges
Limitation de la disponibilité de commande
Les niveaux de privilège: Les niveaux de commandes d'accès:
• Niveau 0: pour des droits d'Prédéfinie accès au niveau • le mode d'exécution utilisateur (niveau de privilège 1)
utilisateur.
Prix le plus bas mode d'exécution des privilèges
d'utilisateur
• Niveau 1: Niveau par défaut pour la connexion à l'invite
du routeur. Seulement commande de niveau utilisateur disponible
sur le routeur invite>
• Niveau 2-14: Peut être personnalisé pour des privilèges
de niveau utilisateur. • mode privilégié (niveau de privilège 15)
Tous les activer au niveau des commandes au niveau du
• Niveau 15: Réservé aux activer les privilèges de mode. routeur invite #
Niveau de privilège Syntaxe
Configuration et attribution des niveaux de
privilèges
Limitations des niveaux de privilèges
• Aucun contrôle d'accès à des interfaces spécifiques, les ports, les
interfaces logiques, et des fentes sur un routeur
• Les commandes disponibles à des niveaux inférieurs de privilège sont
toujours exécutables à des niveaux de privilèges plus élevés
• Les commandes mis spécifiquement à des niveaux de privilèges plus
élevés ne sont pas disponibles pour les utilisateurs de privilèges
inférieurs
• Attribution d'une commande avec plusieurs mots-clés permet
d'accéder à toutes les commandes qui utilisent les
Sujet 2.2.2:
Configuration CLI basée sur les rôles
Accès CLI basée sur les rôles
Par exemple:
• privilèges d'opérateur de sécurité
Configurer AAA
Problème montrer commandes
configurer le pare-feu
Configurer IDS / IPS
configurer NetFlow
• privilèges ingénieur WAN

configurer le routage
configurer les interfaces
Problème montrer commandes
Vues basés sur le rôle
Configuration Vues basés sur le rôle
Étape 1
Étape 2
Étape 3
Étape 4
Configuration CLI basée sur les rôles
Superviews
Étape 1
Étape 2
Étape 3
Vérifiez Vues CLI basés sur le rôle
Activer Racine Voir et vérifier toutes les vues
Section 2.3:
Suivi et gestion des périphériques
• Utilisez la fonction de configuration résiliente Cisco IOS pour sécuriser l'image
Cisco IOS et des fichiers de configuration.
• Comparez intrabande et hors accès à la gestion de la bande.
• Configurer syslog pour enregistrer les événements du système.
• Configurer l'accès sécurisé à l'aide SNMPv3 ACL
• Configurer NTP pour activer précise horodatage entre tous les appareils.
Sujet 2.3.1:
Sécurisation de l'image Cisco IOS et des fichiers de
configuration
Cisco IOS résiliente fonction de configuration
Activation de la fonction résilience de l'image
IOS
le primaire Bootset Image
Configuration Secure Copy
Configurez le routeur pour côté serveur SCP avec AAA local:
1. Configurer SSH
2. Configurer au moins un utilisateur avec le niveau de privilège 15
3. activer AAA
4. Spécifiez que la base de données locale doit être utilisée pour

l'authentification
5. Configurer l'autorisation de commande
6. Activer la fonctionnalité côté serveur SCP
Récupération d'un mot de passe du routeur
1. Se connecter au port de la console.
2. Notez le paramètre de registre de configuration.
3. Cycle d'alimentation du routeur.
4. Émettre la séquence de pause.
5. Modifier le registre de configuration par défaut avec le confreg commande 0x2142.
6. Redémarrez le routeur.
7. Appuyez sur Ctrl-C pour passer la procédure de configuration initiale.
8. Mettez le routeur en mode privilégié.
9. Copiez la configuration de démarrage à la configuration en cours d'exécution.
10. Vérifiez la configuration.
11. Changer le mot de passe secret.
12. Activer toutes les interfaces.
13. Changer la config-register avec le config-registre configuration_register_setting.
14. Enregistrez les modifications de configuration.
Récupération de mot de passe
Récupération mot de passe

Désactiver
Pas de service Password

Recovery
Mot de passe Fonctionnalité de

récupération est désactivé
Sujet 2.3.2:
Gestion sécurisée et rapports
Détermination du type d'accès de gestion
Dans la gestion intrabande:
• Appliquer uniquement aux dispositifs

qui doivent être gérés ou surveillés
• Utilisez IPsec, SSH ou SSL si

possible
• Décider si le canal de gestion doit être

ouvert à tout moment
Out-of-Band (OOB) Gestion:
• Fournir plus haut niveau de sécurité
• Atténuer le risque de transmission des

protocoles de gestion sur le réseau de
production
Sujet 2.3.3:
En utilisant Syslog pour la sécurité des réseaux
Introduction à Syslog
syslog opération
syslog message
Niveaux de sécurité
Niveaux Exemple de gravité
Message syslog (Cont.)
syslog Systems
Configuration de la journalisation système
Étape 1
Etape 2 (facultatif)
Étape 3
Étape 4
Sujet 2.3.4:
Utilisation de SNMP pour la sécurité réseau
Introduction à SNMP
Gestion de Base de l'information
Cisco MIB
hiérarchie
versions SNMP
vulnérabilités SNMP
SNMPv3
l'intégrité du message et l'authentification
Le chiffrement
Contrôle d'accès
• Transmissions de gestionnaire à l'agent peut être authentifiées pour garantir l'identité de

l'expéditeur et l'intégrité et la rapidité d'un message.
• messages SNMPv3 peuvent être cryptés pour assurer la confidentialité.
• Agent peut appliquer un contrôle d'accès pour limiter chaque directeur à certaines actions
sur des parties spécifiques de données.
Configuration SNMPv3 sécurité
Exemple de configuration sécurisé SNMPv3
Vérification de la configuration SNMPv3
Sujet 2.3.5:
En utilisant NTP
Network Time Protocol
serveur NTP
Exemple NTP
Topologie
Exemple de
configuration NTP sur
R1
Exemple de
configuration NTP
sur R2
NTP d'authentification
Section 2.4:
Utilisation des fonctionnalités de
sécurité automatisé
• Utiliser des outils de vérification de sécurité pour déterminer les vulnérabilités du
routeur à base d'IOS.
• Utilisation AutoSecure pour activer la sécurité sur les routeurs basés sur IOS.
Sujet 2.4.1:
Exécution d'une vérification de sécurité
Protocoles découverte CDP et LLDP
Paramètres pour les protocoles et services
Il y a une liste détaillée des paramètres de sécurité pour les
protocoles et les services fournis à la figure 2 de cette page en cours.
pratiques recommandées supplémentaires pour assurer un dispositif

est sécurisé:
• Désactiver les services inutiles et les interfaces.
• Désactiver et restreindre les services de gestion généralement configurés.
• Désactiver les sondes et les scans. Assurer la sécurité d'accès au terminal.
• Désactiver et proxy ARP gratuits
• Désactiver les émissions-dirigé IP.
Sujet 2.4.2:
Verrouillage vers le bas d'un routeur à l'aide
AutoSecure
Cisco AutoSecure
Utilisation du système Cisco AutoSecure
Fonctionnalité
Utilisation de la commande sécurisé
automatique
1. La commande sécurisé automatique est entré
2. Assistant rassemble des informations sur les interfaces extérieur
3. AutoSecure sécurise le plan de gestion par la désactivation des

services inutiles
4. AutoSecure invites pour une bannière
5. AutoSecure invite les mots de passe et permet des fonctionnalités de

mot de passe et de connexion
6. Les interfaces sont sécurisées
7. plan d'envoi est fixé
Section 2.5:
Sécurisation du plan de contrôle
• Configuration d'une authentification de protocole de routage.
• Expliquer la fonction du plan de contrôle de police.
Sujet 2.5.1:
Protocole de routage d'authentification
Protocole de routage Spoofing
Les conséquences de l'usurpation de protocole:
• Réorientent le trafic pour créer des boucles de routage.
• Réorientent le trafic peut donc être contrôlé sur un lien non sécurisé.
• Réorientent le trafic pour la supprimer.
OSPF Authentification MD5 Routing Protocol
OSPF Authentification SHA Protocole de
routage
Sujet 2.5.2:
Contrôle de police Plan
Opérations de périphériques réseau
Contrôle et gestion plan vulnérabilités
CoPP Opération
Section 2.6:
Résumé
Objectifs du chapitre:
• Configurer l'accès sécurisé administratif.
• Configurer l'autorisation de commande en utilisant les niveaux de privilèges et

CLI basée sur les rôles.
• Mettre en œuvre la gestion sécurisée et le contrôle des périphériques réseau.
• Utiliser les fonctions automatisées pour activer la sécurité sur les routeurs basés
sur IOS.
• Mettre en œuvre la sécurité du plan de contrôle.
Thank you.
Ressources de l'instructeur
• Rappelles toi, Il y a des

tutoriels utiles et guides
d'utilisation disponibles via
votre Netspace maison 1
page. (https: 2
//www.netacad.com)
• Ces ressources couvrent
une variété de sujets, y
compris la navigation, des
évaluations et des missions.
• Une capture d'écran a été
fourni ici mettant en lumière
les didacticiels liés à
l'activation des examens, la
gestion des évaluations, et
la création de
questionnaires.

CCNASv2 InstructorPPT

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CCNASv2 InstructorPPT

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 2:

Securing Périphériques réseau

v2.0 CCNA sécurité

Sommaire 2.3 Surveillance et Gestion des

• Configurer l'accès sécurisé aux routeurs d'administration de Cisco.

• Configurer une sécurité renforcée pour les connexions virtuelles.

• Configurer un démon SSH pour la gestion à distance sécurisée.

Défense dans l'approche de la profondeur

• Connectez-vous et compte pour tous les accès

• notification juridique actuelle

• Assurer la confidentialité des données

Accès local L'accès à distance Utilisation de Telnet

L'accès à distance en utilisant un modem et Aux Port

• Utilisez la commande nom de nom d'utilisateur algorithme de type pour

Exemple: accès de connexion classe en mode

Exemple: retard connexion

Exemple: échecs de connexion show

Exemple de vérification de SSH

Deux façons de se connecter:

Niveau de privilège Syntaxe

• privilèges ingénieur WAN

Activer Racine Voir et vérifier toutes les vues

• Configurer syslog pour enregistrer les événements du système.

• Configurer l'accès sécurisé à l'aide SNMPv3 ACL

2. Configurer au moins un utilisateur avec le niveau de privilège 15

4. Spécifiez que la base de données locale doit être utilisée pour

6. Activer la fonctionnalité côté serveur SCP

2. Notez le paramètre de registre de configuration.

3. Cycle d'alimentation du routeur.

4. Émettre la séquence de pause.

5. Modifier le registre de configuration par défaut avec le confreg commande 0x2142.

7. Appuyez sur Ctrl-C pour passer la procédure de configuration initiale.

8. Mettez le routeur en mode privilégié.

9. Copiez la configuration de démarrage à la configuration en cours d'exécution.

10. Vérifiez la configuration.

11. Changer le mot de passe secret.

12. Activer toutes les interfaces.

13. Changer la config-register avec le config-registre configuration_register_setting.

14. Enregistrez les modifications de configuration.

Récupération mot de passe

Pas de service Password

Mot de passe Fonctionnalité de

• Appliquer uniquement aux dispositifs

• Utilisez IPsec, SSH ou SSL si

• Décider si le canal de gestion doit être

Out-of-Band (OOB) Gestion:

• Fournir plus haut niveau de sécurité

• Atténuer le risque de transmission des

Niveaux Exemple de gravité

• Transmissions de gestionnaire à l'agent peut être authentifiées pour garantir l'identité de

• messages SNMPv3 peuvent être cryptés pour assurer la confidentialité.

pratiques recommandées supplémentaires pour assurer un dispositif

• Désactiver et restreindre les services de gestion généralement configurés.

• Désactiver les sondes et les scans. Assurer la sécurité d'accès au terminal.

• Désactiver et proxy ARP gratuits

• Désactiver les émissions-dirigé IP.

2. Assistant rassemble des informations sur les interfaces extérieur

3. AutoSecure sécurise le plan de gestion par la désactivation des

5. AutoSecure invite les mots de passe et permet des fonctionnalités de

7. plan d'envoi est fixé

• Expliquer la fonction du plan de contrôle de police.

• Réorientent le trafic pour la supprimer.

• Configurer l'autorisation de commande en utilisant les niveaux de privilèges et