Differences

This shows you the differences between two versions of the page.

--- informatique:cisco:gestion_des_acces [2015/08/31 12:41] – [SSH] pteu
+++ informatique:cisco:gestion_des_acces [2016/07/21 15:27] (current) – Mode enable pteu
@@ Line 1: / Line 1: @@
-{{tag>}}
 ======Gestion des accès======
@@ Line 6: / Line 5: @@
 Pour la première configuration il faut se connecter au port **console** avec le câble fourni par Cisco. Sous Windows on ouvre l' //Hyper terminal//, on saisit un nom de connexion bidon, on clique sur "default" et on se connecte. Il faut parfois taper "entrée" pour activer l'affichage. Normalement si le switch n'est pas configuré il ne faut pas saisir de mot de passe pour se logguer ni pour passer en mode privilégié.
-  Switch> en
+<code pascal>
-  Switch#
+Switch> enable
+Switch#
+</code>
+====Compte utilisateur====
+La première chose à faire
+Pour plus de simplicité, on peut se passer de la commande enable en définissant le niveau d'exécution d'un utilisateur à 15 (enable).
 ====Mode enable====
 En mode config on va saisir un nouveau mot de passe pour le mode privilégié. On a le choix entre, respectivement, le garder en clair dans la config ou le hacher :
-  Switch(config)# enable password <pwd>
+<code pascal>
-  Switch(config)# enable secret <pwd>
+Switch(config)# enable password <pwd>
+Switch(config)# enable secret <pwd>
+</code>
 Si les 2 sont configurés, le ''enable secret'' est prioritaire ; c'est donc celui-là qu'il faudra saisir.
+Pour plus de simplicité, on peut définir un utilisateur comme "superadmin", il arrivera directement en mode enable après s'être loggué ; pour cela il suffit de préciser son niveau d'exécution à 15 (= enable) :
+<code pascal>
+Switch(config)# username admin privilege 15 password 0 <mdp_admin>
+</code>
+Par la même occasion, on peut supprimer l'usage de la commande enable puisque les utilisateurs lambda n'en ont pas l'utilité, et "admin" n'en a plus besoin puisqu'il se connecte directement en mode privilégié.
+<code pascal>
+Switch(config)#privilege exec level 15 enable
+# NB : en fait on interdit l'usage de la commande "enable" aux utilisateurs de privilège < 15
+</code>
 ====Console====
 On veut mettre en place un mot de passe pour se connecter sur la ligne console (CTY) :
-  Switch(config)# line console 0
+<code pascal>
-  Switch(config-line)# login
+Switch(config)# line console 0
-  Switch(config-line)# password <pwd>
+Switch(config-line)# login
+Switch(config-line)# password <pwd>
+</code>
 ''login'' indique une authentification par mot de passe, ''password'' précise le mot de passe.
 ====Ligne auxiliaire====
 La principale différence entre les ports console (CTY) et auxiliaire (AUX) est que le port auxiliaire supporte le contrôle de flux hardware ; le port console non. Le contrôle de flux permet un contrôle des transmissions, idéal pour une connexion "rapide" (historiquement bien sûr !) telle qu'un modem, alors que le port console suffit pour une connexion série @ 9600bps.
-  Switch(config)# line aux 0
+<code pascal>
-  Switch(config-line)# login
+Switch(config)# line aux 0
-  Switch(config-line)# password <pwd>
+Switch(config-line)# login
+Switch(config-line)# password <pwd>
+</code>
-====ligne vty====
+====ligne VTY====
 Elles correspondent à des lignes virtuelles (des connexions non physiques comme le port console ou AUX), celles utilisées quand un utilisateur se connecte en telnet ou ssh.
@@ Line 36: / Line 63: @@
 Souvent les routeurs ne comprennent que 5 lignes vty (''line vty 0 4''), alors que les switchs peuvent en avoir 8 ou 16 lignes (''line vty 0 15''):
-  P4SW#sh line
+<code pascal>
-     Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
+P4SW#show line
-  *    0 CTY              -    -      -    -    -      0       0     0/0       -
+   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
-  *    1 VTY              -    -      -    -    -      4       0     0/0       -
+*    0 CTY              -    -      -    -    -      0       0     0/0       -
-VTY              -    -      -    -    -      0       0     0/0       -
+*    1 VTY              -    -      -    -    -      4       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
 VTY              -    -      -    -    -      0       0     0/0       -
+VTY              -    -      -    -    -      0       0     0/0       -
+</code>
-On veut les configurer tous les vtys ensemble :
+On veut les configurer tous les VTYs ensemble :
-  Switch(config)# line vty 0 4
+<code pascal>
-  Switch(config-line)# login
+Switch(config)# line vty 0 15
-  Switch(config-line)# password <pwd>
+Switch(config-line)# login
+Switch(config-line)# password <pwd>
+</code>
-On peut spécifier le type de protocole qu'on veut utiliser (ici ssh et telnet) :
+On peut spécifier le type de protocole qu'on veut utiliser (ici ssh et telnet), ainsi que le idle timeout avant déconnexion (ici 60 min) :
-  Switch(config)# line vty 0 4
+<code pascal>
-  Switch(config-line)#transport input telnet ssh
+Switch(config)# line vty 0 15
+Switch(config-line)#transport input telnet ssh
+Switch(config-line)#exec-timeout 60
+</code>
+Dans les 3 cas ci-dessus, on demande un mot de passe pour établir une connexion ; si on veut demander aussi un login, il faut rajouter la directive ''login'' :
+<code pascal>
+Switch(config)#line vty 0 15
+Switch(config-line)login local
+</code>
-Dans les 3 cas ci-dessus, on demande un mot de passe pour établir une connexion ; si on veut demander aussi un login, il faut rajouter :
+On spécifie de nom d'utilisateur et son mot de passe avec la commande :
-  Switch(config)#line vty 0 4
+<code pascal>
-  Switch(config-line)login local
+Switch(config)#username toto password toto
+</code>
-On spécifie de nom d'utilisateur par la commande :
-  Switch(config)#username toto password toto
 ====SSH====
-//Les lignes vty doivent être configurées (cf § précédent)//
+//Les lignes vty doivent être configurées pour accepter les connexions SSH entrantes (cf § précédent)//
 Le SSH ne fonctionne qu'après avoir configuré un hostname et un nom de domaine :
@@ Line 82: / Line 119: @@
 Switch(config)# hostname toto
 </code>
 On peut préciser certains paramètres (facultatif) :
 <code pascal>
-toto(config)#ip ssh version 2
+Switch(config)#ip ssh version 2
-toto(config)#ip ssh time-out 120
+Switch(config)#ip ssh time-out 120
-toto(config)#ip ssh authentication-retries 3
+Switch(config)#ip ssh authentication-retries 3
+</code>
+Autres paramètres intéressants :
+<code pascal>
+# activer les logs d'événements SSH
+Switch(config)# ip ssh logging events
+# logguer les authentifications
+Switch(config)#login on-failure log
+Switch(config)#login on-success log
+# mettre en place un keepalive TCP pour détecter et clore les connexions coupées
+Switch(config)#service tcp-keepalives-in
+# activer le SCP pour les transferts de fichiers
+Switch(config)#ip scp server enable
 </code>
 Configuration de l'accès SSH :
 <code pascal>
-toto(config)# aaa new-model
+Switch(config)# aaa new-model
 </code>
 Génération d'un couple de clés RSA :
 <code pascal>
-toto(config)# crypto key generate rsa [modulus <360-2048>]
+Switch(config)# crypto key generate rsa general-keys [modulus <360-2048>]
 </code>
-Les lignes vty doivent être configurées (cf § précédent).
 On créé ensuite un compte local :
 <code pascal>
-toto(config)# username <login> password <pwd>
+Switch(config)# username <login> password <pwd>
 </code>
@@ Line 109: / Line 161: @@
 =====Gestion des sessions=====
-Pour afficher les sessions courante sur l'équipement :
+<code bash>
-  show sessions
+# afficher les sessions courante sur l'équipement
+show sessions
-Pour afficher la liste des utilisateurs connectés :
+# afficher la liste des utilisateurs connectés
-  show users
+show users
-(Et aussi : ''show line'')
+# lister l'état des lignes VTY
+show line
+# déconnecter une session
+disconnect <n°_de_session>
+</code>
+=====Protections=====
+====Brute force====
+Pour se prémunir des attaques de force brute, c'est-à-dire un attaquant qui essai une myriade de mots de passe jusqu'à trouver le bon, on peut bloquer les accès temporairement de son IP :
+<code pascal>
+# blocage pendant 900s de l'IP s'il réalise 5 tentatives infructueuses en moins de 120s
+Switch(config)# login block-for 900 attempts 5 within 120
+# définir un temps minimal de reconnexion (ici 5s) après une tentative de login ratée
+Switch(config)# login delay 5
+</code>
-Pour déconnecter une session :
-  disconnect <n°_de_session>