Professional Documents
Culture Documents
Approche DMZ
Les administrateurs doivent s'assurer que les mots de passe forts sont utilisés sur le
réseau. Suivez les consignes relatives aux mots de passe strictes pour protéger les
éléments, tels que les routeurs et les commutateurs. Les directives de mot de passe fort
sont montrées dans la figure 2. En revanche, les figures 3 et 4 montrent des exemples
de mots de passe faibles et de mots de passe forts.
Sur les routeurs Cisco et de nombreux autres systèmes, les espaces menant à un mot de
passe sont ignorés, mais les espaces après le premier caractère ne sont pas ignorés. Une
méthode pour créer un mot de passe fort est d'utiliser un espace vide dans le mot de
passe ou de créer une phrase composée de plusieurs mots. C'est ce qu'on appelle une
phrase secrète. Une phrase secrète est souvent plus facile à retenir qu'un mot de passe
complexe. Une phrase secrète est plus longue et plus difficile à deviner qu'un mot de
passe.
Augmenter la sécurité d'accès
Mode normal - Ceci est également connu comme le mode montre. Le routeur tient compte
du nombre de tentatives de connexion infructueuses dans un délai déterminé.
Mode silencieux - Ceci est également connu comme la période de silence. Si le nombre
d'échecs de connexion dépasse le seuil configuré, toutes les tentatives de connexion utilisant
Telnet, SSH et HTTP sont refusées pendant la durée spécifiée dans la commande de blocage
de connexion.
Pour vérifier les paramètres de commande SSH facultatifs, utilisez la commande show ip
ssh,. Vous pouvez également modifier l'intervalle de délai d'attente SSH par défaut et le
nombre de tentatives d'authentification. Utilisez la commande ip ssh time-out secondes
global configuration mode pour modifier l'intervalle de délai par défaut de 120 secondes.
Cela configure le nombre de secondes que SSH peut utiliser pour authentifier un utilisateur.
Une fois authentifiée, une session EXEC démarre et l'exécution-standard standard configurée
pour la vty s'applique.
Par défaut, un utilisateur qui se connecte dispose de trois tentatives pour entrer le mot de
passe correct avant d'être déconnecté. Pour configurer un nombre différent de tentatives
SSH consécutives, utilisez la commande ip ssh authentication-retries entier en mode de
configuration globale.
Mode EXEC utilisateur (niveau de privilège 1) - Fournit les privilèges d'utilisateur en mode
EXEC les plus bas et autorise uniquement les commandes de niveau utilisateur disponibles à
l'invite du routeur>.
Mode EXEC privilège (niveau de privilège 15) - Inclut toutes les commandes de niveau de
validation à l'invite du routeur #.
Il existe au total 16 niveaux de privilège, comme le montre. Plus le niveau de privilège est
élevé, plus l'accès au routeur est important. Les commandes disponibles à des niveaux de
privilège inférieurs sont également exécutables aux niveaux supérieurs. Pour affecter des
commandes à un niveau de privilège personnalisé, utilisez la commande de mode de
configuration globale privilege.
Pour configurer un niveau de privilège avec des commandes spécifiques, utilisez le niveau de
privilège exec level [commande]. La figure 1 montre des exemples pour trois niveaux de
privilège différents.
Le niveau de privilège 5 a accès à toutes les commandes disponibles pour le niveau prédéfini
1 et la commande ping.
Le niveau de privilège 10 a accès à toutes les commandes disponibles pour le niveau 5 ainsi
qu'à la commande reload.
Le niveau de privilège 15 est prédéfini et n'a pas besoin d'être explicitement configuré. Ce
niveau de privilège a accès à toutes les commandes, y compris l'affichage et la modification
de la configuration.
Les limites des privilèges :
L'utilisation des niveaux de privilèges a ses limites:
Aucun contrôle d'accès à des interfaces, ports, interfaces logiques et emplacements
spécifiques sur un routeur.
Les commandes disponibles aux niveaux inférieurs de privilèges sont toujours exécutables
aux niveaux supérieurs.
Les commandes définies spécifiquement à un niveau de privilège plus élevé ne sont pas
disponibles pour les utilisateurs disposant de privilèges inférieurs.
L'attribution d'une commande avec plusieurs mots clés permet d'accéder à toutes les
commandes utilisant ces mots-clés. Par exemple, autoriser l'accès à show ip route permet à
l'utilisateur d'accéder à toutes les commandes show et show ip.
Remarque: Si un administrateur doit créer un compte d'utilisateur ayant accès à la plupart
des commandes, mais pas à toutes, les instructions exec de privilèges doivent être
configurées pour chaque commande devant être exécutée à un niveau de privilège inférieur
à 15.
Les Vues basées sur les rôles
L'interface CLI basée sur les rôles fournit trois types de vues qui dictent les commandes
disponibles:
Vue racine (Root View)
Pour configurer une vue pour le système, l'administrateur doit être en mode root. La vue
racine a les mêmes privilèges d'accès qu'un utilisateur disposant de privilèges de niveau 15.
Cependant, une vue racine n'est pas la même qu'un utilisateur de niveau 15. Seul un utilisateur
root peut configurer une nouvelle vue et ajouter ou supprimer des commandes des vues
existantes.
CLI View
Un ensemble spécifique de commandes peut être regroupé dans une vue CLI. Contrairement
aux niveaux de privilège, une vue CLI n'a pas de hiérarchie de commandes et pas de vue
supérieure ou inférieure. Chaque vue doit être affectée à toutes les commandes associées à
cette vue. Une vue n'hérite des commandes d'aucune autre vue. De plus, les mêmes
commandes peuvent être utilisées dans plusieurs vues.
Superview
Une vue d'ensemble comprend une ou plusieurs vues CLI. Les administrateurs peuvent définir
quelles commandes sont acceptées et quelles informations de configuration sont visibles. Les
vues supérieures permettent à un administrateur réseau d'affecter simultanément des
utilisateurs et des groupes d'utilisateurs plusieurs vues CLI, au lieu de devoir attribuer une
seule vue CLI par utilisateur avec toutes les commandes associées à cette vue CLI.
La fonction de configuration résiliente de Cisco IOS permet une récupération plus rapide si quelqu'un
reformate malicieusement ou involontairement la mémoire flash ou efface le fichier de configuration
de démarrage dans la mémoire vive non volatile (NVRAM). La fonction conserve une copie de travail
sécurisée du fichier d'image IOS du routeur et une copie du fichier de configuration en cours
d'exécution. Ces fichiers sécurisés ne peuvent pas être supprimés par l'utilisateur et sont appelés le
premier ensemble de démarrage.
Les commandes pour sécuriser l'image IOS et exécuter le fichier de configuration sont montrées sur
la figure. Pour sécuriser l'image IOS et activer la résilience de l'image Cisco IOS, utilisez la commande
secure boot-image global configuration mode. Lorsqu'il est activé pour la première fois, l'image Cisco
IOS en cours d'exécution est sécurisée et une entrée de journal est générée. La fonctionnalité de
résilience d'image de Cisco IOS peut uniquement être désactivée via une session de console en
utilisant la forme no de la commande. Cette commande fonctionne correctement uniquement
lorsque le système est configuré pour exécuter une image à partir d'un lecteur flash avec une
interface ATA. En outre, l'image en cours d'exécution doit être chargée à partir du stockage
persistant pour être sécurisée en tant que primaire. Les images chargées à partir d'un emplacement
distant, tel qu'un serveur TFTP, ne peuvent pas être sécurisées.
Les fichiers sécurisés n'apparaissent pas dans la sortie d'une commande dir émise à partir de la CLI.
C'est parce que le système de fichiers Cisco IOS empêche les fichiers sécurisés d'être répertoriés.
L'image en cours d'exécution et les archives de configuration en cours d'exécution ne sont pas
visibles dans la sortie de la commande dir. Utilisez la commande show secure bootset pour vérifier
l'existence de l'archive, comme illustré dans la figure
Restaurez un démarrage initial à partir d'une archive sécurisée après que le routeur a été falsifié, comme illustré
dans la figure:
Étape 1. Rechargez le routeur à l'aide de la commande reload. Si nécessaire, émettez la séquence de rupture
pour entrer en mode ROMmon.
Étape 2. À partir du mode ROMmon, entrez la commande dir pour afficher le contenu du périphérique qui contient
le fichier de démarrage sécurisé.
Étape 3. Amorcez le routeur avec l'image bootset sécurisée à l'aide de la commande boot suivie de
l'emplacement de la mémoire flash (par exemple, flash0), d'un deux-points et du nom de fichier trouvé à l'étape 2.
Étape 4. Entrez en mode de configuration globale et restaurez la configuration sécurisée dans un nom de fichier
de votre choix à l'aide de la commande boot-config restore suivie de l'emplacement de la mémoire flash (par
exemple flash0), deux points et un nom de fichier de votre choix. Dans la figure, le nom de fichier rescue-cfg est
utilisé.
Étape 5. Quittez le mode de configuration globale et exécutez la commande copy pour copier le fichier de
configuration récupéré dans la configuration en cours d'exécution.
Remarque: la configuration AAA sera traitée plus en détail dans un chapitre ultérieur.
Étape 2. Pour l'authentification locale, configurez au moins un utilisateur avec le niveau de privilège
15.
Étape 3. Activez AAA avec la commande de mode de configuration globale aaa new-model.
Étape 4. Utilisez la commande aaa authentication login default local pour spécifier que la base de
données locale doit être utilisée pour l'authentification.
Étape 5. Utilisez la commande aaa author exec default local pour configurer l'autorisation de
commande. Dans cet exemple, tous les utilisateurs locaux auront accès aux commandes EXEC.
Étape 6. Activez la fonctionnalité côté serveur SCP avec la commande ip scp server enable.
R1 est maintenant un serveur SCP et utilisera les connexions SSH pour accepter les transferts de
copie sécurisés provenant d'utilisateurs authentifiés et autorisés. Les transferts peuvent provenir de
n'importe quel client SCP, que ce client soit un autre routeur, commutateur ou poste de travail.
La Figure 2 illustre un transfert SCP entre un routeur et un routeur. Sur R2, utilisez la commande de
copie. Indiquez d'abord l'emplacement du fichier source (flash0: R2backup.cfg) puis la destination
(scp :). Répondez à la série d'invites pour établir une connexion au serveur SCP sur R1. Sur R1, vous
pouvez entrer la commande debug ip scp pour voir le transfert se poursuivre. Le problème
d'authentification le plus courant est une combinaison nom d'utilisateur / mot de passe incorrecte. Il
y a également un échec d'authentification si la combinaison nom d'utilisateur / mot de passe n'a pas
été configurée avec le mot-clé privilège 15 sur le serveur SCP.
Utiliser SYSLOG
Introduction to Syslog
Serveurs Syslog - Également connus sous le nom d'hôtes de journal, ces systèmes acceptent
et traitent les messages de journal des clients syslog.
Clients Syslog - Routeurs ou autres types d'équipements qui génèrent et transmettent des
messages de journal aux serveurs Syslog.
La topologie de la figure identifie le serveur syslog à l'adresse IP 10.2.2.6. Le reste des
serveurs et des périphériques de la topologie peut être configuré en tant que clients syslog,
qui envoient des messages syslog au serveur syslog.
Config de syslog
Utiliser SNMP :
Un autre outil de surveillance commun est le protocole SNMP (Simple Network Management
Protocol). SNMP a été développé pour permettre aux administrateurs de gérer les
périphériques sur un réseau IP. Il permet aux administrateurs réseau de surveiller les
performances du réseau, de gérer les périphériques réseau, de résoudre les problèmes
réseau et de planifier la croissance du réseau.
SNMP se compose de trois éléments pertinents pour le système de gestion de réseau (NMS):
Gestionnaire SNMP
Agents SNMP (noeud géré)
Base d'informations de gestion (MIB)
Les gestionnaires et les agents SNMP utilisent UDP pour échanger des informations. Plus
précisément, les agents SNMP écoutent le port UDP 161 tandis que les gestionnaires SNMP
écoutent le port UDP 162. Le gestionnaire SNMP exécute le logiciel de gestion SNMP.
Comme le montre la figure, le gestionnaire SNMP peut collecter des informations à partir
d'un agent SNMP à l'aide de requêtes get et peut modifier les configurations sur un agent à
l'aide de l'action set requests. L'agent SNMP doit être configuré pour fournir l'accès à la MIB
locale. De plus, les agents SNMP peuvent être configurés pour transférer les notifications
(traps) directement vers un gestionnaire SNMP.
SNMPv1 - Défini dans RFC 1157; fourni aucun mécanisme d'authentification ou de cryptage
SNMPv2c - défini dans les RFC 1901 à 1908; améliorée sur SNMPv1, mais n'a fourni aucun
mécanisme d'authentification ou de chiffrement
SNMPv3 - Défini dans les RFC 2273 à 2275; fournit un accès sécurisé aux périphériques en
authentifiant et en chiffrant les paquets sur le réseau
Les détails du modèle de sécurité pour chaque version sont indiqués dans la figure.
Configuration NTP
NTP utilise UDP port 123
NTP SERVER
Lors de la détermination de l'utilisation d'une horloge privée pour la synchronisation par rapport à une horloge
publique, il est nécessaire de peser les risques et les avantages des deux.
Dans un environnement LAN, NTP peut être configuré pour utiliser les messages de diffusion IP en utilisant la
commande de mode de configuration de l'interface NTP BROADCAST CLIENT, comme illustré dans la Figure 3.
Cette alternative réduit la complexité de configuration car chaque machine peut être configurée pour envoyer ou
recevoir des messages. La précision du chronométrage est légèrement réduite car le flux d'informations est à
sens unique.
L’authentification NTP
Le protocole Cisco Discovery Protocol (CDP) est un exemple de service activé par défaut sur les
routeurs Cisco. Le protocole LLDP (Link Layer Discovery Protocol) est un standard ouvert qui peut
être activé sur les périphériques Cisco, ainsi que sur d'autres périphériques fournisseurs prenant en
charge LLDP. La configuration et la vérification LLDP sont similaires à CDP. Dans la Figure 1, R1 et S1
sont tous deux configurés avec LLDP, en utilisant la commande de configuration LLDP RUN GLOBAL.
Les deux appareils exécutent CDP par défaut. La sortie pour le détail des voisins de show cdp et le
détail des voisins lldp révèlent l'adresse, la plate-forme et les détails du système d'exploitation d'un
périphérique.
Malheureusement, les pirates n'ont pas besoin de périphériques compatibles CDP ou LLDP pour
collecter ces informations sensibles. Un logiciel facilement disponible, tel que le moniteur CDP de
Cisco montré dans la figure 2, peut être téléchargé pour obtenir l'information. L'objectif de CDP et de
LLDP est de permettre aux administrateurs de découvrir et de dépanner plus facilement les autres
périphériques du réseau. Cependant, en raison des implications de sécurité, ces protocoles de
découverte doivent être utilisés avec précaution. Bien que ce soit un outil extrêmement utile, il ne
devrait pas être partout dans le réseau. Les périphériques Edge sont un exemple de périphérique sur
lequel cette fonctionnalité doit être désactivée.
Les pirates choisissent les services et les protocoles qui rendent le réseau plus vulnérable à
l'exploitation malveillante.
La plupart de ces fonctionnalités doivent être désactivées ou limitées dans leurs capacités en
fonction des besoins de sécurité d'une organisation. Ces fonctionnalités vont des protocoles de
découverte de réseau, tels que CDP et LLDP, aux protocoles globalement disponibles tels que ICMP et
d'autres outils d'analyse.
Certains des paramètres par défaut dans le logiciel Cisco IOS sont là pour des raisons historiques. Ils
étaient des paramètres par défaut logiques au moment de l'écriture initiale du logiciel. D'autres
paramètres par défaut ont un sens pour la plupart des systèmes, mais peuvent créer des expositions
de sécurité s'ils sont utilisés dans des dispositifs faisant partie d'une défense de périmètre de réseau.
D'autres paramètres par défaut sont requis par les normes mais ne sont pas toujours souhaitables du
point de vue de la sécurité.
La figure 1 résume les paramètres de fonctionnalité et les paramètres par défaut pour les protocoles
et les services. La figure 2 montre les paramètres de sécurité recommandés pour les protocoles et les
services.
Plusieurs pratiques importantes sont disponibles pour garantir la sécurité d'un périphérique:
Désactivez et restreignez les services de gestion couramment configurés, tels que SNMP.
Désactiver les sondes et les analyses, telles que ICMP. Assurez la sécurité de l'accès au terminal.
AutoSecure peut verrouiller les fonctions du plan de gestion et les services et les fonctions du plan de
transfert d'un routeur. Il existe plusieurs services et fonctions de plan de gestion:
Serveurs BOOTP, CDP, FTP, TFTP, PAD, UDP et TCP sécurisés, MOP, ICMP (redirections, masques-
réponses), routage source IP, Finger, cryptage de mot de passe, keepalives TCP, ARP gratuit, ARP
proxy et diffusion dirigée
NTP sécurisé
AutoSecure est souvent utilisé sur le terrain pour fournir une politique de sécurité de base sur un
nouveau routeur. Les fonctionnalités peuvent ensuite être modifiées pour prendre en charge la
stratégie de sécurité de l'organisation.
Paquets de plan de données - paquets générés par l'utilisateur qui sont toujours transmis par
les périphériques réseau à d'autres périphériques de station terminale. Du point de vue du
périphérique réseau, les paquets de plan de données ont toujours une adresse IP de
destination de transit et peuvent être traités par des processus de transfert basés sur une
adresse IP de destination normale.
Paquets du plan de contrôle - Périphérique réseau généré ou reçu des paquets qui sont
utilisés pour la création et le fonctionnement du réseau. Les exemples incluent des protocoles,
tels que OSPF, ARP, BGP (Border Gateway Protocol) et d'autres protocoles qui maintiennent
le réseau convergé et fonctionnent correctement. Les paquets du plan de contrôle sont
généralement des paquets envoyés au routeur ou au périphérique réseau. L'adresse IP de
destination est celle du routeur.
Paquets du plan de gestion - Périphérique réseau généré ou reçu des paquets qui sont utilisés
pour gérer le réseau. Les exemples incluent des protocoles tels que Telnet, SSH, SNMP, NTP
et d'autres protocoles utilisés pour gérer le périphérique ou le réseau.
Dans des conditions de fonctionnement réseau normales, la grande majorité des paquets
gérés par les périphériques réseau sont des paquets de plan de données. Ces paquets sont
gérés par Cisco Express Forwarding (CEF). CEF utilise le plan de contrôle pour préremplir la
table FIB (Forwarding Information Base) dans le plan de données avec l'interface de sortie
appropriée pour un flux de paquets donné. Les paquets suivants qui circulent entre cette
même source et cette destination sont renvoyés par le plan de données en fonction des
informations contenues dans le FIB
Opérations CoPP
Le contrôle de plan de contrôle (CoPP) est une fonctionnalité de Cisco IOS conçue pour
permettre aux administrateurs de gérer le flux de trafic qui est "réduit" au processeur de route,
comme indiqué dans la figure. Le terme "punt" est défini par Cisco pour décrire l'action qu'une
interface prend lors de l'envoi d'un paquet au processeur de route. CoPP est conçu pour
empêcher le trafic inutile d'écraser le processeur de route qui, s'il n'est pas affecté, pourrait
affecter les performances du système.
CoPP protège le processeur de route sur les périphériques réseau en traitant les ressources du
processeur de route comme une entité distincte avec sa propre interface. Par conséquent, une
politique CoPP peut être développée et appliquée uniquement à ces paquets dans le plan de
contrôle. Contrairement aux ACL d'interface, aucun effort n'est gaspillé pour étudier les paquets
de plan de données qui n'atteindront jamais le plan de contrôle.