pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » cisco » gestion_des_acces
Trace:
informatique:cisco:gestion_des_acces

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:cisco:gestion_des_acces [2016/07/20 14:52] – SSH pteuinformatique:cisco:gestion_des_acces [2016/07/21 15:27] (current) – Mode enable pteu
Line 6: Line 6:
 Pour la première configuration il faut se connecter au port **console** avec le câble fourni par Cisco. Sous Windows on ouvre l' //Hyper terminal//, on saisit un nom de connexion bidon, on clique sur "default" et on se connecte. Il faut parfois taper "entrée" pour activer l'affichage. Normalement si le switch n'est pas configuré il ne faut pas saisir de mot de passe pour se logguer ni pour passer en mode privilégié. Pour la première configuration il faut se connecter au port **console** avec le câble fourni par Cisco. Sous Windows on ouvre l' //Hyper terminal//, on saisit un nom de connexion bidon, on clique sur "default" et on se connecte. Il faut parfois taper "entrée" pour activer l'affichage. Normalement si le switch n'est pas configuré il ne faut pas saisir de mot de passe pour se logguer ni pour passer en mode privilégié.
 <code pascal> <code pascal>
-Switch> en+Switch> enable
 Switch# Switch#
 </code> </code>
 +
 +====Compte utilisateur====
 +
 +La première chose à faire 
 +Pour plus de simplicité, on peut se passer de la commande enable en définissant le niveau d'exécution d'un utilisateur à 15 (enable).
  
 ====Mode enable==== ====Mode enable====
Line 18: Line 23:
 </code> </code>
 Si les 2 sont configurés, le ''enable secret'' est prioritaire ; c'est donc celui-là qu'il faudra saisir. Si les 2 sont configurés, le ''enable secret'' est prioritaire ; c'est donc celui-là qu'il faudra saisir.
 +
 +Pour plus de simplicité, on peut définir un utilisateur comme "superadmin", il arrivera directement en mode enable après s'être loggué ; pour cela il suffit de préciser son niveau d'exécution à 15 (= enable) :
 +<code pascal>
 +Switch(config)# username admin privilege 15 password 0 <mdp_admin>
 +</code>
 +
 +Par la même occasion, on peut supprimer l'usage de la commande enable puisque les utilisateurs lambda n'en ont pas l'utilité, et "admin" n'en a plus besoin puisqu'il se connecte directement en mode privilégié.
 +<code pascal>
 +Switch(config)#privilege exec level 15 enable
 +# NB : en fait on interdit l'usage de la commande "enable" aux utilisateurs de privilège < 15
 +</code>
 +
  
 ====Console==== ====Console====
Line 114: Line 131:
 # activer les logs d'événements SSH # activer les logs d'événements SSH
 Switch(config)# ip ssh logging events Switch(config)# ip ssh logging events
 +
 +# logguer les authentifications
 +Switch(config)#login on-failure log
 +Switch(config)#login on-success log
  
 # mettre en place un keepalive TCP pour détecter et clore les connexions coupées # mettre en place un keepalive TCP pour détecter et clore les connexions coupées
Line 153: Line 174:
 disconnect <n°_de_session> disconnect <n°_de_session>
 </code> </code>
 +
 +
 +=====Protections=====
 +
 +====Brute force====
 +
 +Pour se prémunir des attaques de force brute, c'est-à-dire un attaquant qui essai une myriade de mots de passe jusqu'à trouver le bon, on peut bloquer les accès temporairement de son IP :
 +<code pascal>
 +# blocage pendant 900s de l'IP s'il réalise 5 tentatives infructueuses en moins de 120s
 +Switch(config)# login block-for 900 attempts 5 within 120
 +
 +# définir un temps minimal de reconnexion (ici 5s) après une tentative de login ratée
 +Switch(config)# login delay 5
 +</code>
 +
informatique/cisco/gestion_des_acces.1469026364.txt.gz · Last modified: 2016/07/20 14:52 by pteu