informatique:cisco:gestion_des_acces
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revision | ||
informatique:cisco:gestion_des_acces [2010/04/23 14:03] – créée pteu | informatique:cisco:gestion_des_acces [2016/07/21 15:27] (current) – Mode enable pteu | ||
---|---|---|---|
Line 1: | Line 1: | ||
- | {{tag>}} | ||
======Gestion des accès====== | ======Gestion des accès====== | ||
Line 6: | Line 5: | ||
Pour la première configuration il faut se connecter au port **console** avec le câble fourni par Cisco. Sous Windows on ouvre l' //Hyper terminal//, on saisit un nom de connexion bidon, on clique sur " | Pour la première configuration il faut se connecter au port **console** avec le câble fourni par Cisco. Sous Windows on ouvre l' //Hyper terminal//, on saisit un nom de connexion bidon, on clique sur " | ||
- | | + | <code pascal> |
- | Switch# | + | Switch> |
+ | Switch# | ||
+ | </ | ||
+ | |||
+ | ====Compte utilisateur==== | ||
+ | |||
+ | La première chose à faire | ||
+ | Pour plus de simplicité, | ||
====Mode enable==== | ====Mode enable==== | ||
+ | |||
En mode config on va saisir un nouveau mot de passe pour le mode privilégié. On a le choix entre, respectivement, | En mode config on va saisir un nouveau mot de passe pour le mode privilégié. On a le choix entre, respectivement, | ||
- | | + | <code pascal> |
- | Switch(config)# | + | Switch(config)# |
+ | Switch(config)# | ||
+ | </code> | ||
Si les 2 sont configurés, | Si les 2 sont configurés, | ||
+ | |||
+ | Pour plus de simplicité, | ||
+ | <code pascal> | ||
+ | Switch(config)# | ||
+ | </ | ||
+ | |||
+ | Par la même occasion, on peut supprimer l' | ||
+ | <code pascal> | ||
+ | Switch(config)# | ||
+ | # NB : en fait on interdit l' | ||
+ | </ | ||
+ | |||
====Console==== | ====Console==== | ||
+ | |||
On veut mettre en place un mot de passe pour se connecter sur la ligne console (CTY) : | On veut mettre en place un mot de passe pour se connecter sur la ligne console (CTY) : | ||
- | | + | <code pascal> |
- | Switch(config-line)# | + | Switch(config)# |
- | Switch(config-line)# | + | Switch(config-line)# |
+ | Switch(config-line)# | ||
+ | </code> | ||
'' | '' | ||
====Ligne auxiliaire==== | ====Ligne auxiliaire==== | ||
+ | |||
La principale différence entre les ports console (CTY) et auxiliaire (AUX) est que le port auxiliaire supporte le contrôle de flux hardware ; le port console non. Le contrôle de flux permet un contrôle des transmissions, | La principale différence entre les ports console (CTY) et auxiliaire (AUX) est que le port auxiliaire supporte le contrôle de flux hardware ; le port console non. Le contrôle de flux permet un contrôle des transmissions, | ||
- | | + | <code pascal> |
- | Switch(config-line)# | + | Switch(config)# |
- | Switch(config-line)# | + | Switch(config-line)# |
+ | Switch(config-line)# | ||
+ | </code> | ||
- | ====ligne | + | ====ligne |
Elles correspondent à des lignes virtuelles (des connexions non physiques comme le port console ou AUX), celles utilisées quand un utilisateur se connecte en telnet ou ssh. | Elles correspondent à des lignes virtuelles (des connexions non physiques comme le port console ou AUX), celles utilisées quand un utilisateur se connecte en telnet ou ssh. | ||
Line 36: | Line 63: | ||
Souvent les routeurs ne comprennent que 5 lignes vty ('' | Souvent les routeurs ne comprennent que 5 lignes vty ('' | ||
- | | + | <code pascal> |
- | | + | P4SW#show line |
- | * 0 CTY - - - - - 0 | + | |
- | * 1 VTY - - - - - 4 | + | * 0 CTY - - - - - 0 |
- | | + | * 1 VTY - - - - - 4 |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | 10 VTY - - - - - 0 | + | |
- | 11 VTY - - - - - 0 | + | 10 VTY - - - - - 0 |
- | 12 VTY - - - - - 0 | + | 11 VTY - - - - - 0 |
- | 13 VTY - - - - - 0 | + | 12 VTY - - - - - 0 |
- | 14 VTY - - - - - 0 | + | 13 VTY - - - - - 0 |
- | 15 VTY - - - - - 0 | + | 14 VTY - - - - - 0 |
- | 16 VTY - - - - - 0 | + | 15 VTY - - - - - 0 |
+ | 16 VTY - - - - - 0 | ||
+ | </ | ||
- | On veut les configurer tous les vtys ensemble : | + | On veut les configurer tous les VTYs ensemble : |
- | Switch(config)# | + | <code pascal> |
- | Switch(config-line)# | + | Switch(config)# |
- | Switch(config-line)# | + | Switch(config-line)# |
+ | Switch(config-line)# | ||
+ | </code> | ||
- | On peut spécifier le type de protocole qu'on veut utiliser (ici ssh et telnet) : | + | On peut spécifier le type de protocole qu'on veut utiliser (ici ssh et telnet), ainsi que le idle timeout avant déconnexion (ici 60 min) : |
- | Switch(config)# | + | <code pascal> |
- | Switch(config-line)# | + | Switch(config)# |
+ | Switch(config-line)# | ||
+ | Switch(config-line)# | ||
+ | </ | ||
+ | Dans les 3 cas ci-dessus, on demande un mot de passe pour établir une connexion ; si on veut demander aussi un login, il faut rajouter la directive '' | ||
+ | <code pascal> | ||
+ | Switch(config)# | ||
+ | Switch(config-line)login local | ||
+ | </ | ||
- | Dans les 3 cas ci-dessus, on demande un mot de passe pour établir une connexion ; si on veut demander aussi un login, il faut rajouter : | + | On spécifie de nom d' |
- | Switch(config)# | + | <code pascal> |
- | Switch(config-line)login local | + | Switch(config)# |
- | + | </ | |
- | On spécifie de nom d' | + | |
- | Switch(config)# | + | |
====SSH==== | ====SSH==== | ||
- | //Les lignes vty doivent être configurées (cf § précédent)// | + | //Les lignes vty doivent être configurées |
Le SSH ne fonctionne qu' | Le SSH ne fonctionne qu' | ||
- | | + | <code pascal> |
- | Switch(config)# | + | Switch(config)# |
+ | Switch(config)# | ||
+ | </ | ||
On peut préciser certains paramètres (facultatif) : | On peut préciser certains paramètres (facultatif) : | ||
- | toto(config)#ip ssh version 2 | + | <code pascal> |
- | toto(config)#ip ssh time-out 120 | + | Switch(config)#ip ssh version 2 |
- | toto(config)#ip ssh authentication-retries 3 | + | Switch(config)#ip ssh time-out 120 |
+ | Switch(config)#ip ssh authentication-retries 3 | ||
+ | </ | ||
+ | |||
+ | Autres paramètres intéressants : | ||
+ | <code pascal> | ||
+ | # activer les logs d' | ||
+ | Switch(config)# | ||
+ | |||
+ | # logguer les authentifications | ||
+ | Switch(config)# | ||
+ | Switch(config)# | ||
+ | |||
+ | # mettre en place un keepalive TCP pour détecter et clore les connexions coupées | ||
+ | Switch(config)# | ||
+ | |||
+ | # activer le SCP pour les transferts de fichiers | ||
+ | Switch(config)# | ||
+ | </ | ||
Configuration de l' | Configuration de l' | ||
- | //à valider : le fait de devoir faire un '' | + | <code pascal> |
+ | Switch(config)# aaa new-model | ||
+ | </code> | ||
Génération d'un couple de clés RSA : | Génération d'un couple de clés RSA : | ||
- | toto(config)# crypto key generate rsa [modulus < | + | <code pascal> |
- | + | Switch(config)# crypto key generate rsa general-keys | |
- | Les lignes vty doivent être configurées (cf § précédent). | + | </ |
On créé ensuite un compte local : | On créé ensuite un compte local : | ||
- | toto(config)# username < | + | <code pascal> |
+ | Switch(config)# username < | ||
+ | </code> | ||
=====Gestion des sessions===== | =====Gestion des sessions===== | ||
- | Pour afficher les sessions courante sur l' | + | <code bash> |
- | show sessions | + | # afficher les sessions courante sur l' |
+ | show sessions | ||
+ | |||
+ | # afficher la liste des utilisateurs connectés | ||
+ | show users | ||
+ | |||
+ | # lister l' | ||
+ | show line | ||
+ | |||
+ | # déconnecter une session | ||
+ | disconnect < | ||
+ | </ | ||
+ | |||
+ | |||
+ | =====Protections===== | ||
+ | |||
+ | ====Brute force==== | ||
- | Pour afficher la liste des utilisateurs connectés | + | Pour se prémunir |
- | show users | + | <code pascal> |
+ | # blocage pendant 900s de l'IP s'il réalise 5 tentatives infructueuses en moins de 120s | ||
+ | Switch(config)# | ||
- | (Et aussi : '' | + | # définir un temps minimal de reconnexion |
+ | Switch(config)# | ||
+ | </ | ||
- | Pour déconnecter une session : | ||
- | disconnect < |
informatique/cisco/gestion_des_acces.1272031423.txt.gz · Last modified: 2013/10/14 20:52 (external edit)