User Tools

Site Tools


informatique:cisco:gestion_des_acces

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
informatique:cisco:gestion_des_acces [2016/07/20 15:04] – [SSH] pteuinformatique:cisco:gestion_des_acces [2016/07/21 15:27] (current) – Mode enable pteu
Line 6: Line 6:
 Pour la première configuration il faut se connecter au port **console** avec le câble fourni par Cisco. Sous Windows on ouvre l' //Hyper terminal//, on saisit un nom de connexion bidon, on clique sur "default" et on se connecte. Il faut parfois taper "entrée" pour activer l'affichage. Normalement si le switch n'est pas configuré il ne faut pas saisir de mot de passe pour se logguer ni pour passer en mode privilégié. Pour la première configuration il faut se connecter au port **console** avec le câble fourni par Cisco. Sous Windows on ouvre l' //Hyper terminal//, on saisit un nom de connexion bidon, on clique sur "default" et on se connecte. Il faut parfois taper "entrée" pour activer l'affichage. Normalement si le switch n'est pas configuré il ne faut pas saisir de mot de passe pour se logguer ni pour passer en mode privilégié.
 <code pascal> <code pascal>
-Switch> en+Switch> enable
 Switch# Switch#
 </code> </code>
 +
 +====Compte utilisateur====
 +
 +La première chose à faire 
 +Pour plus de simplicité, on peut se passer de la commande enable en définissant le niveau d'exécution d'un utilisateur à 15 (enable).
  
 ====Mode enable==== ====Mode enable====
Line 18: Line 23:
 </code> </code>
 Si les 2 sont configurés, le ''enable secret'' est prioritaire ; c'est donc celui-là qu'il faudra saisir. Si les 2 sont configurés, le ''enable secret'' est prioritaire ; c'est donc celui-là qu'il faudra saisir.
 +
 +Pour plus de simplicité, on peut définir un utilisateur comme "superadmin", il arrivera directement en mode enable après s'être loggué ; pour cela il suffit de préciser son niveau d'exécution à 15 (= enable) :
 +<code pascal>
 +Switch(config)# username admin privilege 15 password 0 <mdp_admin>
 +</code>
 +
 +Par la même occasion, on peut supprimer l'usage de la commande enable puisque les utilisateurs lambda n'en ont pas l'utilité, et "admin" n'en a plus besoin puisqu'il se connecte directement en mode privilégié.
 +<code pascal>
 +Switch(config)#privilege exec level 15 enable
 +# NB : en fait on interdit l'usage de la commande "enable" aux utilisateurs de privilège < 15
 +</code>
 +
  
 ====Console==== ====Console====
Line 157: Line 174:
 disconnect <n°_de_session> disconnect <n°_de_session>
 </code> </code>
 +
 +
 +=====Protections=====
 +
 +====Brute force====
 +
 +Pour se prémunir des attaques de force brute, c'est-à-dire un attaquant qui essai une myriade de mots de passe jusqu'à trouver le bon, on peut bloquer les accès temporairement de son IP :
 +<code pascal>
 +# blocage pendant 900s de l'IP s'il réalise 5 tentatives infructueuses en moins de 120s
 +Switch(config)# login block-for 900 attempts 5 within 120
 +
 +# définir un temps minimal de reconnexion (ici 5s) après une tentative de login ratée
 +Switch(config)# login delay 5
 +</code>
 +
informatique/cisco/gestion_des_acces.txt · Last modified: 2016/07/21 15:27 by pteu