informatique:cisco:securiser_un_routeur
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:cisco:securiser_un_routeur [2009/07/14 17:52] – pteu | informatique:cisco:securiser_un_routeur [2009/07/16 20:33] – Syslog, SNMP, NTP pteu | ||
---|---|---|---|
Line 118: | Line 118: | ||
view premiere_vue | view premiere_vue | ||
view seconde_vue | view seconde_vue | ||
+ | |||
+ | |||
+ | =====Resilient configuration feature===== | ||
+ | |||
+ | Fonctionnalité d'IOS qui permet de conserver une version " | ||
+ | |||
+ | Activer la résilience de l' | ||
+ | secure boot-image | ||
+ | |||
+ | Pour la configuration : | ||
+ | secure boot-config | ||
+ | |||
+ | Pour restaurer l'IOS : démarrer en rommon puis : | ||
+ | rommon 1 >boot disk0:< | ||
+ | |||
+ | Pour restaurer la conf : | ||
+ | secure boot-config restore slot0: | ||
+ | copy slot0: | ||
+ | |||
+ | Vérif : | ||
+ | show secure bootset | ||
+ | |||
+ | |||
+ | =====Management===== | ||
+ | |||
+ | ====Syslog / trap==== | ||
+ | |||
+ | Configurer un syslog externe : | ||
+ | logging < | ||
+ | |||
+ | Configurer le niveau (de 0 à 7) de trap : | ||
+ | logging trap < | ||
+ | |||
+ | Configurer le syslog facility (valeurs de '' | ||
+ | logging facility < | ||
+ | |||
+ | Les messages de log sont de la forme : | ||
+ | Jul 16 19:51:00: %SYS-5-CONFIG_I: | ||
+ | |||
+ | ... avec 3 champs distincts, séparés par une virgule : | ||
+ | * '' | ||
+ | * '' | ||
+ | * le reste : le texte du message | ||
+ | |||
+ | Si on les récupère dans un syslog ils sont précédés (dépend du syslogd utilisé) du timestamp de réception du serveur syslog et de l'IP source du paquet reçu. | ||
+ | |||
+ | D' | ||
+ | |||
+ | * activer la journalisation : '' | ||
+ | * pour préciser l' | ||
+ | |||
+ | Quoiqu' | ||
+ | |||
+ | ====NTP==== | ||
+ | |||
+ | Pour synchroniser l' | ||
+ | |||
+ | On peut définir différents types de dépendance avec une machine distante : | ||
+ | * client : le routeur émet des requêtes pour se synchroner auprès d'un serveur | ||
+ | * serveur : le serveur NTP fourni l' | ||
+ | * peer : les requêtes NTP vont dans les 2 sens et chacun peut être soit client soit serveur | ||
+ | |||
+ | Configuration type : déclaraion d'un serveur NTP sur lequel se synchroniser : | ||
+ | ntp {server | peer} 10.0.0.111 | ||
+ | |||
+ | Pour mettre en place de l' | ||
+ | ntp authenticate | ||
+ | ntp authenticate key 1 md5 < | ||
+ | ntp trust-key 1 | ||
+ | | ||
+ | ntp server 10.0.0.254 key 1 prefer | ||
+ | |||
+ | Le mot de passe ne doit pas dépasser 8 caractères. | ||
+ | |||
+ | Pour écouter les broadcasts NTP reçus sur une interface (en mode '' | ||
+ | ntp broadcast client | ||
+ | |||
+ | Mise en place d'une ACL : | ||
+ | ntp access-group {query-only | serve-only | serve | peer} < | ||
+ | |||
+ | Les machines qui matchent l'ACL auront le droit indiqué. | ||
+ | |||
+ | ===Serveur ntp=== | ||
+ | Pour faire d'un routeur un serveur ntp autoritatif : | ||
+ | ntp master [stratum] | ||
+ | |||
+ | Stratum indique la précision supposée (de 1 à 15) : plus la valeur est faible plus le serveur sera considéré comme fiable par les clients NTP. | ||
+ | |||
+ | Pour émettre des broadcast NTP sur une interface (en config-if) : | ||
+ | ntp broadcast | ||
+ | |||
+ | ====SNMP==== | ||
+ | |||
+ | Pour monitorer/ | ||
+ | |||
+ | Il est conseillé d' | ||
+ | |||
+ | Procédure de configuration du SNMPv3 : | ||
+ | * configurer le server-ID local du routeur ; Il est optionnel de préciser l'IP, l'ID et le numéro de port (par défaut 161) d'un équipement distant. | ||
+ | * configurer les noms de groupes | ||
+ | * configurer les utilisateurs | ||
+ | * configurer les machines | ||
+ | |||
+ | Exemple : | ||
+ | snmp-server enable traps cpu | ||
+ | snmp-server enable traps config | ||
+ | snmp-server inform retries 0 | ||
+ | snmp-server source-interface traps loopback 0 | ||
+ | | ||
+ | snmp-server engineID local 0123456789 | ||
+ | snmp-server engineID remote 10.0.0.100 00000063000100a1c0b4011b | ||
+ | | ||
+ | snmp-server group authgroup v3 auth | ||
+ | snmp-server group authgroup v3 priv | ||
+ | | ||
+ | snmp-server user authuser authgroup v3 auth md5 mypassword priv des56 encryptedpasswd | ||
+ | snmp-server user authuser authgroup v3 auth md5 mypassword | ||
+ | | ||
+ | snmp-server host 10.0.0.111 traps version 3 priv authuser | ||
+ | |||
+ | |||
+ | Liens : | ||
+ | * http:// | ||
+ | |||
+ | |||
+ | =====AAA===== | ||
+ | |||
+ | Authentication, | ||
+ | |||
+ | Il existe 3 types de configurations possibles : | ||
+ | * **Self-contained AAA** : il s'agit d'un serveur inclus dans l'IOS (authentification locale) | ||
+ | * **Cisco Secure ACS Server for Windows Server** : un logiciel installé sur un serveur pour créer un serveur AAA externe | ||
+ | * **Cisco Secure ACS Solution Engine** équipement dédié | ||
+ | |||
+ | 2 modes d' | ||
+ | * **character mode** pour les " | ||
+ | * **packet mode** pour les interfaces (async, serial) | ||
informatique/cisco/securiser_un_routeur.txt · Last modified: 2014/02/07 14:29 by pteu