Introduction aux rseaux scuriss

Cours Rseaux

Scurit

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

1 / 30

SSH

SSH Server and Client

TCP Port 22

SSH Client

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

2 / 30

Controlling Access
Console Port TTY VTY

A console is a terminal connected to a router console port. The terminal can be a dumb terminal or PC with terminal emulation software.
R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

3 / 30

Durcissement du routeur

liminer l'abus potentiel de ports non utiliss et des services : Assurer le contrle administratif.

Veiller ce que seul le personnel autoris peut avoir accs et que leur niveau d'accs est contrl.

Dsactiver les ports non utiliss et les interfaces. Rduire le nombre daccs. Dsactiver les services inutiles.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

4 / 30

Restreindre l'accs au priphrique

Limiter les ports accessibles, restreindre les communications autorises, et limiter les mthodes d'accs autorises. Aux fins des vrifications, toute personne qui accde dispositif est enregistr, y compris ce qui se passe et quand. Veiller ce que l'accs soit accord uniquement aux utilisateurs authentifis, les groupes et services. Limitez le nombre de tentatives dauthentification choues ainsi que le temps entre chaque connexion. Limiter les actes et les lectures autorises par un utilisateur, groupe ou service. Annonce d'un avis juridique, labor en collaboration avec la socit de conseil juridique, pour les sessions interactives. Protger les donnes sensibles stockes localement du visionnement et de la copie. Envisager la vulnrabilit des donnes en transit sur un canal de communication au sniffing, le dtournement de session, et les attaques man-in-the-Middle (MITM)

Comptes et log pour tous les accs

Authentification de l'accs

Actions autorises

Prsentation de Notifications Juridique lgale

Assurer la confidentialit des donnes

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

5 / 30

Enable Secret Password Console Line

line console 0 suivie par les sous-commandes login et password. (Telnet ou SSH) line vty 0 4 suivie par les sous-commandes login et password. Line aux 0. Utilisez les sous-commandes login et password.

Lignes de terminal virtuel

Lignes auxiliaires

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

6 / 30

Longueur minimale des caractres

IOS Cisco 12.3 (1) et plus

Password too short - must be at least 10 characters. Password configuration failed.

security passwords min-length length.

Dsactiver les connexions non dsires.

Par dfaut, 10 minutes.

exec-timeout time en min(pour chacune des types de ligne). no exec

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

7 / 30

Setting Timeouts for Router Lines

router(config-line)#

exec-timeout minutes [seconds]

Default is 10 minutes
Terminates an unattended console connection Provides an extra safety factor when an administrator walks away from an active console session

Boston(config)# line console 0 Boston(config-line)#exec-timeout 3 30

Boston(config)# line aux 0 Boston(config-line)#exec-timeout 3 30
Terminates an unattended console/auxiliary connection after 3 minutes and 30 seconds
8 / 30

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

Crypts tous les mots de passe

service password-encryption - no service passwordencryption. enable secret.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

9 / 30

Authentification. liste de noms d'utilisateurs et mots de passe dans une base de donnes locale.

username nom password mot de passe username nom secret mot de passe

Utilisez la commande login local sur la configuration dune ligne pour permettre lauthentification par la base de donnes locale. R1(config)#username depeyre privilege 15 password roland

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

10 / 30

Initial Configuration Dialog

--- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no] y Configuring global parameters: Enter host name [Router]: Boston The enable secret is a password used to protect access to privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration. Enter enable secret: CantGessMe The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: WontGessMe The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: CantGessMeVTY

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

11 / 30

Autres

Router# configure terminal Router(config)# login block-for seconds attempts tries within seconds Router(config)# login quiet-mode access-class {acl-name | acl-number} Router(config)# login delay seconds Router(config)# login on-failure log [every login] Router(config)# login on-success log [every login]

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

12 / 30

login block-for.

La commande login block-for surveille l'activit de connexion sur le dispositif et fonctionne en deux modes: Mode normal (mode veille) - Le routeur tient compte du nombre de tentatives de connexion dans un laps de temps. Mode silencieux (priode de calme) - Si le nombre de connexions qui ont chou est suprieur au seuil configur, toutes les tentatives de connexion via Telnet, SSH et HTTP sont refuses. Lorsque le mode silencieux est activ, toutes les tentatives de connexion, y compris un accs administratif valable, ne sont pas autoriss. Toutefois, afin de fournir un accs critique accessible tout moment, ce comportement peut tre outrepass en utilisant une ACL. L'ACL doit tre cr et identifis en utilisant la commande login quiet-mode accessclass. La commande login block-for invoque un dlai automatique de 1 seconde entre les tentatives de connexion. Les attaquants doivent attendre 1 seconde avant de pouvoir essayer un mot de passe diffrent. Ce dlai peut tre chang en utilisant la commande login delay. Dlai uniforme entre les tentatives de connexion successives. Les commandes login block-for, login quiet-mode access-class, et login delay aident bloquer les tentatives de connexion infructueuses pour une priode limite de temps

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

13 / 30

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

14 / 30

auto secure pas activ par dfaut.

La commande auto secure permet l'enregistrement de log pour les tentatives de connexion choues. L'enregistrement pour les tentatives russies nest pas activ par dfaut.

login on-failure log [every login] connexion gnre un log pour les tentatives de connexion choues. login on-success log [every login] gnre un log pour les requtes de connexion russie. [every login]. La valeur par dfaut est de 1 tentative. (1 65.535). Ou the security authentication failure rate threshold-rate log gnre un message de log lorsque le taux d'chec de connexion est dpass. Pour vrifier login block-for : show login. show login failures

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

15 / 30

banner {exec | incoming | login | motd | slip-ppp} d message d

Les jetons sont facultatifs et peuvent tre utiliss dans la section message de la commande bannire: $(hostname) - Affiche le nom d'hte pour le routeur. $(domain)- Affiche le nom de domaine pour le routeur. $(line) - Affiche les numros de lignes vty ou tty. $(line-desc) Affiche la description dtaille de la ligne.

Faites attention placer cette information dans la bannire, car cela fournit plus d'informations un possible intrus.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

16 / 30

Configuring Banner Messages

router(config)#

banner {exec | incoming | login | motd | slip-ppp} d message d

Specify what is proper use of the system Specify that the system is being monitored

Specify that privacy should not be expected when using this system
Do not use the word welcome Have legal department review the content of the message

Boston(config)# banner motd # WARNING: You are connected to $(hostname) on the Cisco Systems, Incorporated network. Unauthorized access and use of this network will be vigorously prosecuted. #
R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

17 / 30

Configuration de SSH

tape 1. ip domain-name domain-name dans le mode de configuration global. tape 2. Les cls secrtes asymtriques. crypto key generate rsa general-keys modulus modulus-size.

Pour vrifier SSH show crypto key mypubkey rsa en mode privilgi. Si il ya des paires de cls existantes, il est recommand qu'elles soient crass l'aide de la commande crypto key zeroize rsa.

tape 3. username name secret secret. tape 4. Activer les sessions SSH login local et transport input ssh.

SSH est automatiquement active aprs que les cls RSA soient gnres. Le service SSH du routeur peut tre utilis en utilisant un client SSH.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

18 / 30

Commandes SSH facultatives

Version de SSH Dlai dattente de SSH Nombres de tentatives de connexions

ip ssh version {1|2} en mode de configuration globale. ip ssh time-out seconds en mode de configuration globale. (par dfaut : 120 secondes). ip ssh authentication-retries integer en mode de configuration globale. (Par dfaut : 3 tentatives). Pour vrifier : show ip ssh.

Aprs que SSH soit configur, un client SSH est ncessaire pour se connecter un routeur autorisant les connexions SSH.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

19 / 30

Deux faons de se connecter un routeur via SSH:

Sur un routeur Cisco ayant activ SSH avec commade ssh en mode EXEC. Via un client SSH gratuit ou payant. (PuTTY, OpenSSH, et TeraTerm). Utilisez la commande show ssh pour vrifier le statut des connexions des clients.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

20 / 30

SSH Server Configuration

Router(config)#

hostname host-name
Router(config)#

ip domain-name domain-name.com
Router(config)#

crypto key generate rsa

Router(config)#

line vty 0 4
Router(config-line)#

transport input ssh

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

21 / 30

Configuration des niveaux de privilge

Attribution des niveaux de privilge Router(config)# privilege mode {level level command | reset} command username name privilege level secret password

Par exemple: Compte USER (niveau 1, l'exclusion de ping) Compte SUPPORT (niveau 1, ainsi que la commande ping) Un compte-JR ADMIN (exigeant tous les accs de niveau 1 et 5, ainsi que la commande reload) Un compte ADMIN (ncessitant un accs complet)

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

22 / 30

privilege exec level 5 ping

Le compte d'utilisateur (niveau 1) n'a plus accs la commande ping, car un utilisateur doit avoir accs au niveau 5 ou plus pour utiliser la fonction ping. Pour attribuer un mot de passe au niveau 5, entrez la commande suivante.

enable secret level 5 cisco5

Pour accder au niveau 5, le mot de passe cisco5 doit tre utilis. Pour attribuer un nom d'utilisateur spcifique au niveau 5 de privilge, entrez la commande suivante.
Un utilisateur qui se connecte sous le compte SUPPORT est le seul a avoir un accs au niveau 5 de privilge, qui hrite des niveaux infrieurs.

username support privilege 5 secret cisco5

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

23 / 30

privilege exec level 10 reload username jr-admin privilege 10 secret cisco10 enable secret level 10 cisco10

En effectuant ces commandes, la commande reload est uniquement disponible pour les utilisateurs avec un accs 10 ou plus. Le nom d'utilisateur JR-ADMIN a accs des privilges de niveau 10 et toutes les commandes associes, y compris ceux des commandes attribues un autre niveau de privilges moins levs. Pour accder au mode de niveau 10, le mot de passe cisco10 est ncessaire.

enable secret level 15 cisco123 username admin privilege 15 secret cisco15. username USER secret cisco privilege 1

nattribue pas le compte USER laccs de niveau 1. Au lieu de cela, il cre un compte ncessitant le mot de passe cisco privilege 1.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

24 / 30

Setting Multiple Privilege Levels

router(config)#

privilege mode {level level command | reset command}

Level 1 is predefined for user-level access privileges Levels 214 may be customized for user-level privileges Level 15 is predefined for enable mode (enable command)

Boston(config)# privilege exec level 2 ping Boston(config)# enable secret level 2 Patriot

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

25 / 30

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

26 / 30

Utilisation de syslog

tape 1. logging host. destination du log. tape 2. (Facultatif) logging trap level. gravit du log (pige) tape 3. logging source-interface Rglez linterface source en utilisant la commande. (les paquets syslog contiennent l@ IP d'une interface particulire, indpendamment de l'interface utilis par le paquet pour sortir du routeur). tape 4. logging Active l'enregistrement logging buffered,logging monitor et logging.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

27 / 30

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

28 / 30

Utilisation de NTP

ntp master. ntp server ntp-server-address. ntp broadcast. . ntp authenticate ntp authentication-key key-number md5 key-value ntp trusted-key key-number Pour vrifier : show ntp associations detail

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

29 / 30

Pour rsumer :

scuriser les quipements. Les accs administratifs scuriss doivent tre mis en uvre. Scurit sur les connexions virtuelles telles que Telnet Utilisez SSH au lieu de Telnet Fournir laccs a des dispositifs d'infrastructure base sur le niveau de privilge. Mettre en uvre base les roles pour la CLI pour fournir un accs administratif hirarchique. Mettre en uvre les rapports denregistrement Syslog Configurer une source de temps centrale (serveur de temps) utilisant le Network Time Protocol (NTP). Identifier tous les services, les interfaces et les services de gestion qui sont vulnrables aux attaques rseau. Lancez rgulirement des audits de scurit.

R. DEPEYRE Cours Scurit - Master ISIC - 2011-2012

30 / 30