informatique:cisco:securiser_un_routeur
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:cisco:securiser_un_routeur [2009/07/14 17:52] – pteu | informatique:cisco:securiser_un_routeur [2009/07/18 12:23] – pteu | ||
---|---|---|---|
Line 119: | Line 119: | ||
view seconde_vue | view seconde_vue | ||
+ | |||
+ | =====Resilient configuration feature===== | ||
+ | |||
+ | Fonctionnalité d'IOS qui permet de conserver une version " | ||
+ | |||
+ | Activer la résilience de l' | ||
+ | secure boot-image | ||
+ | |||
+ | Pour la configuration : | ||
+ | secure boot-config | ||
+ | |||
+ | Pour restaurer l'IOS : démarrer en rommon puis : | ||
+ | rommon 1 >boot disk0:< | ||
+ | |||
+ | Pour restaurer la conf : | ||
+ | secure boot-config restore slot0: | ||
+ | copy slot0: | ||
+ | |||
+ | Vérif : | ||
+ | show secure bootset | ||
+ | |||
+ | |||
+ | =====Management===== | ||
+ | |||
+ | ====Syslog / trap==== | ||
+ | |||
+ | Configurer un syslog externe : | ||
+ | logging < | ||
+ | |||
+ | Configurer le niveau (de 0 à 7) de trap : | ||
+ | logging trap < | ||
+ | |||
+ | Configurer le syslog facility (valeurs de '' | ||
+ | logging facility < | ||
+ | |||
+ | Les messages de log sont de la forme : | ||
+ | Jul 16 19:51:00: %SYS-5-CONFIG_I: | ||
+ | |||
+ | ... avec 3 champs distincts, séparés par une virgule : | ||
+ | * '' | ||
+ | * '' | ||
+ | * le reste : le texte du message | ||
+ | |||
+ | Si on les récupère dans un syslog ils sont précédés (dépend du syslogd utilisé) du timestamp de réception du serveur syslog et de l'IP source du paquet reçu. | ||
+ | |||
+ | D' | ||
+ | |||
+ | * activer la journalisation : '' | ||
+ | * pour préciser l' | ||
+ | |||
+ | Quoiqu' | ||
+ | |||
+ | ====NTP==== | ||
+ | |||
+ | Pour synchroniser l' | ||
+ | |||
+ | On peut définir différents types de dépendance avec une machine distante : | ||
+ | * client : le routeur émet des requêtes pour se synchroner auprès d'un serveur | ||
+ | * serveur : le serveur NTP fourni l' | ||
+ | * peer : les requêtes NTP vont dans les 2 sens et chacun peut être soit client soit serveur | ||
+ | |||
+ | Configuration type : déclaraion d'un serveur NTP sur lequel se synchroniser : | ||
+ | ntp {server | peer} 10.0.0.111 | ||
+ | |||
+ | Pour mettre en place de l' | ||
+ | ntp authenticate | ||
+ | ntp authenticate key 1 md5 < | ||
+ | ntp trust-key 1 | ||
+ | | ||
+ | ntp server 10.0.0.254 key 1 prefer | ||
+ | |||
+ | Le mot de passe ne doit pas dépasser 8 caractères. | ||
+ | |||
+ | Pour écouter les broadcasts NTP reçus sur une interface (en mode '' | ||
+ | ntp broadcast client | ||
+ | |||
+ | Mise en place d'une ACL : | ||
+ | ntp access-group {query-only | serve-only | serve | peer} < | ||
+ | |||
+ | Les machines qui matchent l'ACL auront le droit indiqué. | ||
+ | |||
+ | ===Serveur ntp=== | ||
+ | Pour faire d'un routeur un serveur ntp autoritatif : | ||
+ | ntp master [stratum] | ||
+ | |||
+ | Stratum indique la précision supposée (de 1 à 15) : plus la valeur est faible plus le serveur sera considéré comme fiable par les clients NTP. | ||
+ | |||
+ | Pour émettre des broadcast NTP sur une interface (en config-if) : | ||
+ | ntp broadcast | ||
+ | |||
+ | ====SNMP==== | ||
+ | |||
+ | Pour monitorer/ | ||
+ | |||
+ | Il est conseillé d' | ||
+ | |||
+ | Procédure de configuration du SNMPv3 : | ||
+ | * configurer le server-ID local du routeur ; Il est optionnel de préciser l'IP, l'ID et le numéro de port (par défaut 161) d'un équipement distant. | ||
+ | * configurer les noms de groupes | ||
+ | * configurer les utilisateurs | ||
+ | * configurer les machines | ||
+ | |||
+ | Exemple : | ||
+ | snmp-server enable traps cpu | ||
+ | snmp-server enable traps config | ||
+ | snmp-server inform retries 0 | ||
+ | snmp-server source-interface traps loopback 0 | ||
+ | | ||
+ | snmp-server engineID local 0123456789 | ||
+ | snmp-server engineID remote 10.0.0.100 00000063000100a1c0b4011b | ||
+ | | ||
+ | snmp-server group authgroup v3 auth | ||
+ | snmp-server group authgroup v3 priv | ||
+ | | ||
+ | snmp-server user authuser authgroup v3 auth md5 mypassword priv des56 encryptedpasswd | ||
+ | snmp-server user authuser authgroup v3 auth md5 mypassword | ||
+ | | ||
+ | snmp-server host 10.0.0.111 traps version 3 priv authuser | ||
+ | |||
+ | |||
+ | Liens : | ||
+ | * http:// | ||
+ | |||
+ | |||
+ | =====AAA===== | ||
+ | |||
+ | Authentication, | ||
+ | |||
+ | Il existe 3 types de configurations possibles : | ||
+ | * **Self-contained AAA** : il s'agit d'un serveur inclus dans l'IOS (authentification locale) | ||
+ | * **Cisco Secure ACS Server for Windows Server** : un logiciel installé sur un serveur pour créer un serveur AAA externe | ||
+ | * **Cisco Secure ACS Solution Engine** équipement dédié | ||
+ | |||
+ | 2 modes d' | ||
+ | * **character mode** pour les " | ||
+ | * **packet mode** pour les interfaces (async, serial) => on définit les droits '' | ||
+ | |||
+ | ====RADIUS==== | ||
+ | |||
+ | L'un des 2 protocoles AAA les plus connu avec TACACS+ ; il est normalisé par l'IETF (RFC 2865) et utilise des datagrammes udp/1812 et 1813 (le serveur Cisco Secure ACS utilise lui udp/1645 et 1646). A chaque compte sont associés des paires AV (Attribute-Value) qui définissent ses droits. Il y a une 50aine de paires AV prédéfinies, | ||
+ | |||
+ | Le RADIUS permet : | ||
+ | * le chiffrement du mot de passe (uniquement) en MD5 | ||
+ | * l' | ||
+ | |||
+ | Mise en place : | ||
+ | aaa new-model | ||
+ | radius-server host 10.0.0.111 | ||
+ | radius-server key < | ||
+ | |||
+ | |||
+ | ====TACACS+==== | ||
+ | |||
+ | Le TACACS+ ressemble au RADIUS à ceci près qu'il est propriétaire Cisco et utilise tcp/49. Lui aussi associe à chaque compte 0 ou plusieurs AV. On peut 'en servir pour identifier un utilisateur et appliquer un profil réseau (ses VLAN/ | ||
+ | |||
+ | TACACS+ permet : | ||
+ | * de chiffrer tout le contenu des transactions | ||
+ | |||
+ | Mise en place : | ||
+ | aaa new-model | ||
+ | tacacs-server host 10.0.0.111 | ||
+ | tacacs-server key < | ||
+ | |||
+ | ====aaa authentication==== | ||
+ | |||
+ | Créer une méthode d' | ||
+ | aaa authentication login default group tacacs+ local | ||
+ | |||
+ | Elle utilisera en premier lieu le serveur TACACS+ ; si ce dernier ne répond pas on essaie dans la base locale. S'il renvoie une erreur d' | ||
+ | |||
+ | Pour créer un groupe, applicable sur une ou plusieurs interfaces on remplace '' | ||
+ | aaa authentication login ma_liste group tacacs+ local | ||
+ | |||
+ | Puis on l' | ||
+ | line vty 0 4 | ||
+ | login authentication ma_liste | ||
+ | |||
+ | ====aaa authorization==== | ||
+ | |||
+ | Pour définir les droits associés à un compte. | ||
+ | |||
+ | aaa authorization exec default group radius local none | ||
+ | |||
+ | ====aaa accounting==== | ||
+ | |||
+ | L' | ||
+ | |||
+ | aaa accouting exec default start-stop group tacacs+ | ||
+ | |||
+ | Cette commande permet de logger chaque début et fin de processus lancé par n' | ||
+ | |||
+ | ====Vérifs==== | ||
+ | |||
+ | debug aaa authentication | ||
+ | debug aaa authorization | ||
+ | debug aaa accounting | ||
=====Vérifs===== | =====Vérifs===== | ||
show login [failure] | show login [failure] |
informatique/cisco/securiser_un_routeur.txt · Last modified: 2014/02/07 14:29 by pteu