informatique:cisco:securiser_un_routeur
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:cisco:securiser_un_routeur [2009/07/13 20:35] – créée pteu | informatique:cisco:securiser_un_routeur [2009/07/16 05:49] – Resilient configuration feature pteu | ||
---|---|---|---|
Line 2: | Line 2: | ||
======Sécuriser un routeur Cisco====== | ======Sécuriser un routeur Cisco====== | ||
+ | |||
Par sécurité, comme sur tout système informatique, | Par sécurité, comme sur tout système informatique, | ||
- | La fonctionnalité Cisco AutoSecure permet d'" | + | |
+ | =====Cisco AutoSecure (CLI)===== | ||
+ | |||
+ | La fonctionnalité | ||
* le mode interacif qui fait des propositions que l' | * le mode interacif qui fait des propositions que l' | ||
* le mode non-interactif qui applique automatiquement les bonnes pratiques (pas très conseillé) | * le mode non-interactif qui applique automatiquement les bonnes pratiques (pas très conseillé) | ||
Line 17: | Line 21: | ||
=> n' | => n' | ||
+ | |||
+ | |||
+ | =====Security Audit (SDM)===== | ||
+ | |||
+ | C'est un fonction accessible via la SDM qui compare la configuration courante du routeur à une base de bonnes bonnes pratiques. Il existe 2 possibilités : | ||
+ | * **security audit** : la configuration est passée en revue et chaque point négatif est afficher ; on peut alors " | ||
+ | * **one-step lockdown** : analyser et appliquer les paramètres recommandés sans interaction avec l' | ||
+ | |||
+ | =====Configuration===== | ||
+ | |||
+ | ====Politique de sécurité==== | ||
+ | |||
+ | * Imposer des mots de passe d'au moins 10 caractères (on peut aller de 0 à 16) : | ||
+ | |||
+ | security passwords min-length 10 | ||
+ | |||
+ | * Chiffrer les mots de passe écrits dans la configuration : | ||
+ | |||
+ | service password-encryption | ||
+ | |||
+ | Ils n' | ||
+ | password 7 051F091B2E | ||
+ | |||
+ | 7 indique que l' | ||
+ | 5 indique un hash MD5 (c'est le cas du '' | ||
+ | |||
+ | * utiliser le mot clé '' | ||
+ | |||
+ | enable secret toto | ||
+ | [..] | ||
+ | username toto secret toto | ||
+ | |||
+ | * Désactiver l' | ||
+ | |||
+ | no service password-recovery | ||
+ | |||
+ | * Pour imposer un temps (ici de 10 secondes) entre chaque tentative de login : | ||
+ | |||
+ | login delay 10 | ||
+ | |||
+ | * Par défaut, les routeurs Cisco permettent 10 tentatives de login infructueuses avant d' | ||
+ | |||
+ | security authentication failure rate 5 log | ||
+ | |||
+ | * Pour éviter les attaques par force brute, on peut bloquer les tentatives de login après un certains seuil d' | ||
+ | |||
+ | login block-for 100 attemps 3 within 10 | ||
+ | |||
+ | On peut définir une ACL dont les IPs qui matchent ne déclencheront pas le blocage des logins, et qui, même une fois le routeur bloqué, pourront quand même se logguer dessus. En clair cela permet d' | ||
+ | |||
+ | login quiet-mode access-class MYACL | ||
+ | |||
+ | * On peut logguer/ | ||
+ | login on-success log [every 10] | ||
+ | login on-failure trap | ||
+ | |||
+ | * définir un timeout d' | ||
+ | |||
+ | exec-timeout 0 | ||
+ | |||
+ | =====Les privilèges===== | ||
+ | |||
+ | Il y a 16 niveaux de privilèges : | ||
+ | * le 0 qui est le " | ||
+ | * le 15 qui est le " | ||
+ | * les niveaux intermédiaires, | ||
+ | |||
+ | Pour configurer un mode de privilège, on doit lui attribuer un mot de passe et des droits : '' | ||
+ | privilege exec level 2 ping | ||
+ | enable secret level 2 toto | ||
+ | |||
+ | Pour accéder à ce mode, un utilisateur doit se logguer en mode utilisateur (normal), puis taper '' | ||
+ | show privilege | ||
+ | | ||
+ | |||
+ | |||
+ | =====Les vues===== | ||
+ | |||
+ | Les vue permettent d' | ||
+ | conf t | ||
+ | aaa new-model | ||
+ | enable view | ||
+ | |||
+ | Puis on créer la vue premiere_view, | ||
+ | parser view premiere_vue | ||
+ | | ||
+ | | ||
+ | ! | ||
+ | parser view seconde_vue | ||
+ | | ||
+ | | ||
+ | |||
+ | On peut créer des super vues qui aggrèges les droits de plusieurs vues ; pour cela on ajoute le mot clé superview lors de la création de la vue : | ||
+ | parser view super_vue superview | ||
+ | | ||
+ | view premiere_vue | ||
+ | view seconde_vue | ||
+ | |||
+ | |||
+ | =====Resilient configuration feature===== | ||
+ | |||
+ | Fonctionnalité d'IOS qui permet de conserver une version " | ||
+ | |||
+ | Activer la résilience de l' | ||
+ | secure boot-image | ||
+ | |||
+ | Pour la configuration : | ||
+ | secure boot-config | ||
+ | |||
+ | Pour restaurer l'IOS : démarrer en rommon puis : | ||
+ | rommon 1 >boot disk0:< | ||
+ | |||
+ | Pour restaurer la conf : | ||
+ | secure boot-config restore slot0: | ||
+ | copy slot0: | ||
+ | |||
+ | Vérif : | ||
+ | show secure bootset | ||
+ | |||
+ | =====Vérifs===== | ||
+ | |||
+ | show login [failure] |
informatique/cisco/securiser_un_routeur.txt · Last modified: 2014/02/07 14:29 by pteu