Durcissement Routeur Cisco 17032012

Durcissement des routeurs (Cas d'un routeur Cisco)

Durcissement d'un routeur CiscoDurcissement d'un routeur CiscoPar Par Elie MABOElie MABO

Professionnel de la sécurité de l'informationProfessionnel de la sécurité de l'[email protected]@gmail.com

Version 1.2Version 1.2

Dernière mise à jour: 17/03/2012Dernière mise à jour: 17/03/2012

Document rédigé par Elie MABO (Professionnel de la sécurité de l'information) 1/8

mailto:[email protected]


Table des matièresBon à savoir............................................................................................................................................................4A- Contexte et objectif …......................................................................................................................................4

B- Définition de la politique de sécurité du routeur …..........................................................................................41- Politique d'acquisition..................................................................................................................................42- Politique de déploiement et de mise en service .......................................................................................... 43- Politique des mots de passe..........................................................................................................................54- Politique de contrôle d'accès et d'exploitation............................................................................................. 55- Politique de durcissement ........................................................................................................................... 56- Politique de journalisation........................................................................................................................... 5

C- Sécurisation des accès et mots de passe ….......................................................................................................61- Désactiver le service de réinitialisation des mots de passe..........................................................................62- Configurer la longueur minimale d’un mot de passe...................................................................................6 3- Limiter le nombre de tentatives de connexions échouées..........................................................................64- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)............................................. 65- Autoriser juste les accès distants en SSH (le telnet n'étant pas sécurisé).....................................................76- Configuration de la sécurité supplémentaire pour les lignes VTY, console et AUX ..................................77- Configuration de la sécurité SSH.................................................................................................................78- Accorder une attention particulière aux vulnérabilités SNMP, NTP et DNS...............................................89- Désactiver tous les services, protocoles et comptes inutiles .......................................................................8

D- Sécurisation des protocoles de routages ….......................................................................................................81- Configurer le protocole RIPv2 avec authentification.................................................................................. 82- Configurer l’authentification du protocole de routage EIGRP ................................................................... 83- Configurer l’authentification du protocole de routage OSPF ..................................................................... 84- Verrouiller le routeur à l’aide de Cisco “autosecure”...................................................................................9

E- Configuration d’un routeur pour l’utilisation de SDM ….................................................................................9

F- Pour conclure …................................................................................................................................................9



Bon à savoir

Cette version permet de réduire encore plus la surface d'attaque d'un routeur Cisco.

Ce qui s'ajoute dans cette version par rapport à la version 1.1 de 2010:– Configuration des limitations des tentatives de connexion échouées– Désactivation du service de récupération des mots de passe– Bien sûr sans oublier la correction des fautes (-: pas dignes d'un professionnel de la

sécurité de l'information comme moi, et la reformulation de certaines phases.

A- Contexte et objectif

Un routeur est un équipement réseau dédié qui participe au processus d'acheminement des

paquets dans un réseau (LAN, MAN, WAN), depuis une source (émetteur) vers une

destination (récepteur). Ses deux principales fonctionnalités sont: La détermination du chemin

par lequel doivent passer les paquets et l'acheminement de ceux-ci. Pour y parvenir, il

s'appuie sur une table de routage (routing table) contenant des informations nécessaires pour

le routage des paquets. Ces fonctionnalités font d'un routeur, un dispositif indispensable pour

le fonctionnement d'un réseau de grande taille, d'où l'importance de le protéger contre les

attaques.

Le présent document définit les exigences de sécurité à prendre en compte lors de la mise en

service d'un routeur en général, et décrit comment configurer la sécurité sur un routeur Cisco

pour assurer sa protection contre des attaques. Il est donc question dans ce document de

durcir un routeur en mettant en oeuvre un ensemble de moyens organisationnels et

techniques permettant d'assurer la sécurité physique et logique de ce dernier.

B- Définition de la politique de sécurité du routeur

1- Politique d'acquisition

Avant d'acquérir un routeur, il convient de définir une politique d'acquisition. Quelles sont les

fonctionnalités qui seront assurées par le routeur ? Quel constructeur offre le meilleur rapport

qualité/prix ? Quel est la durée de la garantie? Le support sera t-il assuré ? faut-il un contrat

de maintenance ? Telles sont là quelques questions dont les réponses doivent figurer dans le

document définissant la politique d'acquisition du routeur.

2- Politique de déploiement et de mise en service

Une fois le routeur acquis, il convient de définir une politique de déploiement et de mise en

oeuvre. Cette politique devra tenir compte de son installation, de sa configuration et de sa

mise en service. Par exemple, il doit être placé dans un endroit sécurisé (accès protégé),

derrière un dispositif de protection comme un pare-feu par exemple. Il doit être testé avant sa



mise en production. En cas de problème, on doit pouvoir revenir à la configuration de départ

sans qu'il y ait d'impact sur le système d'information ou sur le réseau.

3- Politique des mots de passe

Les routeurs offrent en général plusieurs types et niveaux d'accès (telnet, ligne virtuelle (vty),

http, ligne auxiliaire, mode enable, mode de configuration globale, etc.). Chaque type d'accès

peut être protégé par un mot de passe. Une politique des mots de passe doit être définie et

appliquée pour éviter leur compromission. Par exemple, les mots de passe doivent être

changés suivant une périodicité (tous les trois mois par exemple). Ils doivent être forts

(difficillement cassable), c'est à dire composé des chiffres, caractères spéciaux (@§!&#),

majuscules et minuscules. Ceci permet d'éviter les attaques par dictionnaire ou par force

brute.

4- Politique de contrôle d'accès et d'exploitation

Le routeur étant en service, il convient de définir une politique des accès et d'exploitation.

Cette politique doit contenir des éléments sur la mise à jour de l'IOS, les droits et niveaux

d'accès (parser view), les actions possibles en fonction des rôles, la périodicité des mises à

jour des protocoles de routage, les routeurs voisins autorisés à communiquer avec le routeur,

la période des interventions sur le routeur (exemple: pas d'intervention lorsque des

transactions sont encours), etc. La journalisation de toutes les actions doit être effectuée sur le

routeur, peu importe par qui. En cas d'incident de sécurité ou d'audit, qui a accès aux logs?

Attention: certaines versions de l'IOS Cisco disposent des commandes permettant de

retrouver un mot de passe à partir de la chaine hexadecimale représentant ce mot de passe

dans le fichier de configuration.

5- Politique de durcissement

Il convient de définir une politique de durcissement du routeur. Par exemple, en définissant les

rôles et responsabilités des différents intervenants (administrateurs réseaux, administrateurs

sécurité, fournisseurs, etc.), les services et comptes inutiles doivent être désactivé, les types

d'accès autorisés doivent être bien définis, la politique de sauvegarde de la configuration, etc..

6- Politique de journalisation

Un routeur étant un équipement sensible, il est important de le surveiller afin d'avoir une idée

sur ses différentes activités (trafic, connexion, etc.). Cette surveillance passe par les fichiers

journaux générés par ce dernier. Il convient donc de définir une politique de journalisation.

Par exemple, comment vont être enregistrés les évènements dans les fichiers journaux, où



doivent-ils être stockés ? En cas de centralisation des journaux, l'envoi des fichiers journaux

(log) vers un serveur centralisé (syslog par exemple) doit être sécurisé (chiffré, authentifié,

etc.), une sauvegarde d’une copie des logs doit être réalisée (chaque jour, chaque semaine,

chaque mois, etc.), sur des supports différents.

C- Sécurisation des accès et mots de passe

1- Désactiver le service de réinitialisation des mots de passe

Dans certains cas, il peut être nécessaire de désactiver le service qui permet de réinitialiser les mots de

passe sur un routeur. Il est important de noter ici que cette désactivation peut avoir des conséquences

graves, par exemple, l'obligation de revenir à la configuration par défaut de base (usine) du routeur.

R1(config)# no service passwords-recovery

En cas de perte de mot de passe, il sera impossible de réinitialiser le mot de passe du super utilisateur.

Cette commande fait partie des commandes cachées de l'IOS Cisco. Je vous conseille de l'utiliser

uniquement si vous n'avez pas une garantie suffisante au niveau de la maîtrise de l'accès physique de

votre routeur.

2- Configurer la longueur minimale d’un mot de passe

R1(config)# security passwords min-length 10

Le routeur n'acceptera pas les mots de passe de moins de 10 caractères.

3- Limiter le nombre de tentatives de connexions échouées

Afin d'éviter les attaques par dictionnaire et par force brute sur les mots de passe, il faut limiter le nombre

de tentatives de connexions sans succès sur votre routeur (dans notre exemple, ce nombre est 4).

R1(config)# security authentication failure rate 4 log

Au bout de 4 tentatives de connexion sans succès en moins d'une minute, les informations seront

enregistrées dans le journal des évènements.

R1(config)# login block-for 60 attempts 4 within 10

Au bout de 4 tentatives de connexion sans succès dans un intervalle de 10 seconde, une autre tentative

ne sera possible qu'après 60 secondes, car le routeur restera silencieux pendant cette période.

Pendant cette periode, il sera impossible de se connecter sur le routeur. Ce qui pourrait affecter les

administrateurs du routeur ayant les droits. Pour éviter cela, il faudra créer une ACL qui permet aux

administrateurs de se connecter pendant cette période de silence (quiet-mode).

R1(config)# ip access-list standard login-permit-adm

R1(config-std-nac)# permit 172.16.20.0 0.0.0.255

R1(config)# exit

R1(config)# login quiet-mode access-class login-permit-adm



4- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)

// Ligne auxiliaire

R1(config)# line aux 0

R1(config-line)# no password

R1(config-line)# login

R1(config-line)# exit

// Lignes virtuelle

R1(config)# line vty 0 4

R1(config-line)# no password

R1(config-line)# login


5- Autoriser juste les accès distants en SSH (le telnet n'étant pas sécurisé)


R1(config-line)# no transport input

R1(config-line)# transport input ssh


6- Configuration de la sécurité supplémentaire pour les lignes VTY, console et AUX


R1(config-line)# exec-timeout 5


R1(config)# line console 0



R1(config)# line aux 0



R1(config)# service tcp-keepalives-in

7- Configuration de la sécurité SSH

R1(config)# hostname Ottawa // définition du nom d’hôte)

Ottawa(config)# ip domain-name cisco.com // définition du nom de domaine)

Ottawa(config)# crypto key generate rsa // génération des clés asymétriques

Ottawa(config)# username emabo secret cisco123

Ottawa(config)# line vty 0 4

Ottawa(config-line)# transport input ssh // configuration de

l’authentification locale et VTY

Ottawa(config-line)# login local



Ottawa(config)# ip ssh time-out 10 // configuration des délais

d’attente ssh

Ottawa(config)# ip ssh authentication-retries 3 // configuration des délais d'essai

à nouveau ssh

8- Accorder une attention particulière aux vulnérabilités SNMP, NTP et DNS

Pour assurer ses fonctionnalités, un routeur s'appuie sur d'autres services comme comme le

service de résolution des noms. Il se trouve que ces services sont souvent vulnérables. Il

convient donc de s'assurer que les services auxiliaires sur lesquels s'appuie un routeur sont

bien configurer et sécurisé.

9- Désactiver tous les services, protocoles et comptes inutiles

R1(config)# no service finger // exemple du service finger

R1(config)# no cdp run // exemple du protocole CDP

D- Sécurisation des protocoles de routages

Les protocoles de routages sont utilisés par un routeur pour mettre à jour dynamiquement, sa

table de routage. Les informations de mise à jour circulant très souvent en clair entre les

routeurs, il convient de configurer un minimum de sécurité pour ces protocoles. Cette partie du

document qui se veut technique présente comment configurer certains protocoles de routage

de manière sécurisé.

1- Configurer le protocole RIPv2 avec authentification

Ottawa(config)# router rip

Ottawa(config-router)# passive-interface default // désactivation de la propagation

des mises à jour de routage

Ottawa(config-router)# no passive-interface serial 0/0 // activation de la

propagation sur une seule interface

Ottawa(config)# key chain TOTO

Ottawa(config-keychain)# key 1

Ottawa(config-keychain-key)# key-string cisco

Ottawa(config)# interface serial 0/0

Ottawa(config-if)# ip rip authentication mode md5

Ottawa(config-if)# ip rip authentication key-chain TOTO

2- Configurer l’authentification du protocole de routage EIGRP

Ottawa(config)# key chain EIGRP_KEY

Ottawa(config-keychain)# key 1

Ottawa(config-keychain-key)# key-string CCNP


Ottawa(config-if)# ip authentication mode eigrp 1 md5

Ottawa(config-if)# ip authentication key-chain eigrp 1 EIGRP_KEY



3- Configurer l’authentification du protocole de routage OSPF


Ottawa(config-if)# ip ospf message-digest-key 1 md5 cisco

Ottawa(config-if)# ip ospf authentication message-digest

Ottawa(config-if)# exit

Ottawa(config)# router ospf 10

Ottawa(config-router)# area 0 authentication message-digest

4- Verrouiller le routeur à l’aide de Cisco “autosecure”

“auto secure” est une commande créée par Cisco pour faciliter l'activation et la désactivation

des services sur un routeur Cisco. Elle fonctionne en deux modes: interactive et non

interactive

Ottawa# auto secure

Pour en savoir plus sur les fonctions exécutées par la commande “auto secure”, je vous

recommande ce site: http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/

E- Configuration d’un routeur pour l’utilisation de SDM

Pour boucler ce document, je me permets de mettre à votre disposition, la procédure

permettant de configurer un routeur de manière à ce qui soit administrable par SDM (Security

Device Manager). SDM est un outil permettant d'administrer des équipements (routeurs,

commutateurs, etc.) via une interface graphique.

Ottawa#config t

Ottawa(config)# ip http server

Ottawa(config)# ip http secure-server

Ottawa(config)# ip http authentication local

Ottawa(config)# username emabo privilege 15 secret toto


R1(config-line)# privilege level 15

R1(config-line)# login local

R1(config-line)# transport input ssh

F- Pour conclure

Ce document est loin d'être une référence absolue pour garantir la sécurité à 100% d'un

routeur. Déjà qu'il n'existe pas de sécurité à 100%. Néanmoins, il donne une idée sur une

ensemble de tâches à réaliser pour assurer un minimum de sécurité au niveau d'un routeur.

Tous les protocoles de commutation et de routage n'ont pas été abordés dans ce document.

Je pense aux protocoles MPLS et BGP qui sont très utilisés dans le réseau Internet par les

opérateurs de télécoms. Je pourrais dans certains contextes enrichir ce document si je suis

sollicité. Il ne me reste plus qu'à vous souhaiter bonne utilisation.


http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/

Documents

Durcissement Routeur Cisco 17032012