prev
next
out of 6

Durcissement Routeur Cisco

Embed Size (px)

Citation preview

Durcissement d'un routeur (Cas d'un routeur Cisco)

Durcissement d'un routeur CiscoAdministrateur Systmes, Rseaux et Scurit [email protected]

Par Elie MABO

Dernire mise jour: 20/06/2010

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit)

1/6

Durcissement d'un routeur (Cas d'un routeur Cisco)

Table des matiresA- Contexte et objectif...............................................................................................................................................3 B- Dfinition de la politique de scurit du routeur.................................................................................................. 3 1- Politique d'acquisition......................................................................................................................................3 2- Politique de dploiement ou de mise en oeuvre.............................................................................................. 3 3- Politique de mot de passe................................................................................................................................ 3 4- Politique d'exploitation.................................................................................................................................... 3 5- Politique de durcissement ............................................................................................................................... 4 6- Politique de journalisation............................................................................................................................... 4 C- Scurisation des accs et mots de passe............................................................................................................... 4 1- Configurer la longueur minimale dun mot de passe.......................................................................................4 2- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)................................................. 4 3- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris)........................................................ 4 4- Configuration de la scurit supplmentaire pour les lignes VTY ................................................................. 4 5- Configuration de la scurit SSH.................................................................................................................... 4 6- Accorder une attention particulire sur les vulnrabilits SNMP, NTP et DNS..............................................5 7- Dsactiver tous les services et comptes inutiles ............................................................................................. 5 D- Scurisation des protocoles de routages............................................................................................................... 5 1- Configurer le protocole RIPv2 avec authentification...................................................................................... 5 2- Configurer lauthentification du protocole de routage EIGRP ....................................................................... 5 3- Configurer lauthentification du protocole de routage OSPF .........................................................................6 4- Verrouiller le routeur laide de Cisco autosecure...................................................................................... 6 E- Configuration dun routeur pour lutilisation de SDM......................................................................................... 6 F- Pour conclure........................................................................................................................................................ 6

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit)

2/6

Durcissement d'un routeur (Cas d'un routeur Cisco)

A- Contexte et objectifUn routeur est un quipement ddi qui participe au processus d'acheminement des paquets dans un rseau (local ou tendu), depuis une source (metteur) vers une destination (rcepteur). Ses deux principales fonctionnalits sont: La dtermination du chemin par lequel doit passer les paquets et l'acheminement de ceux ci vers leur destination. Pour y parvenir, il s'appuie sur une table de routage contenant des informations ncessaires pour le routage des paquets. Ces fonctionnalits font d'un routeur, un dispositif indispensable pour le fonctionnement d'un rseau de grande taille, d'o l'importance de le protger contre les attaques. Le prsent document dfinit les exigences de scurit prendre en compte lors de la mise en service d'un routeur en gnral, et dcrit comment configurer la scurit sur un routeur Cisco pour assurer son durcissement. J'entends ici par durcissement, l'ensemble des moyens organisationnels et techniques permettant d'assurer la scurit physique et logique du routeur.

B- Dfinition de la politique de scurit du routeur1- Politique d'acquisition

Avant d'acqurir un routeur, il convient de dfinir une politique d'acquisition. Quelles sont les fonctionnalits auxquelles nous souhaitons que le routeur assure? Quel constructeur choisir? Quel est la garantie? Le support estil assur ? faut-il un contrat de maintenance ? Telles sont l quelques questions dont les rponses doivent figurer dans la politique d'acquisition.2- Politique de dploiement ou de mise en oeuvre

Une fois le routeur acquis, il convient de dfinir une politique de mise en oeuvre. Cette politique devra tenir compte de son installation, de sa configuration et de sa mise en service. Par exemple, il doit tre plac dans un endroit scuris (accs protg), derrire un dispositif de protection comme un pare-feu par exemple.3- Politique de mot de passe

Les routeurs prsentent plusieurs types et niveaux d'accs (telnet, ligne virtuelle (vty), http, ligne auxiliaire, mode enable, etc.). Chacun de ces accs est protg par un mot de passe. Une politique de mots de passe doit tre dfinie et applique pour viter leur compromission. Par exemple, les mots de passe doivent tre changs suivant une priodicit (tous les trois mois par exemple). Ils doivent tre forts, c'est dire compos des chiffres, caractres spciaux (@!), majuscules et minuscules. Ceci permet d'viter les attaques par dictionnaire ou par force brute.4- Politique d'exploitation

Le routeur tant en service, il convient de dfinir une politique d'exploitation. Cette politique doit contenir des lments sur la mise jour de l'IOS, la priodicit des mises jour des protocoles de routage, les routeurs voisins autoriss communiquer avec le routeur, la priode des interventions sur le routeur (exemple: pas d'intervention lorsque les transactions sont encours), etc.Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit)

3/6

Durcissement d'un routeur (Cas d'un routeur Cisco)

5- Politique de durcissement

Il convient de dfinir une politique de durcissement du routeur. Par exemple, en dfinissant les rles et responsabilits des diffrents intervenants (administrateur rseaux, fournisseurs, etc.), les services et comptes inutiles dsactiver, les types d'accs autoriss, la politique de sauvegarde de la configuration, etc..6- Politique de journalisation

Un routeur tant un quipement sensible, il est important de le surveiller afin d'avoir une ide sur ses diffrentes activits (trafic, connexion, etc.). Cette surveillance passe par les fichiers journaux gnrs par celui ci. Il convient donc de dfinir une politique de journalisation. Par exemple, comment doivent tre utiliser les fichiers journaux, o doivent-ils tre stocks ? L'envoi des fichiers journaux (log) vers un serveur centralis (syslog par exemple) doit tre scuris, une sauvegarde dune copie des logs doit tre ralise.

C- Scurisation des accs et mots de passe1- Configurer la longueur minimale dun mot de passeR1(config)# security passwords min-length 10

2- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)// Ligne auxiliaire R1(config)# line aux 0 R1(config-line)# no password R1(config-line)# login R1(config-line)# exit

// Lignes virtuelle R1(config)# line vty 0 4 R1(config-line)# no password R1(config-line)# login R1(config-line)# exit

3- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris)R1(config)# line vty 0 4 R1(config-line)# no transport input R1(config-line)# transport input ssh R1(config-line)# exit

4- Configuration de la scurit supplmentaire pour les lignes VTYR1(config)# line vty 0 4 R1(config-line)# exec-timeout 5 R1(config-line)# exit R1(config)# service tcp-keepalives-in

5- Configuration de la scurit SSHDocument rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit)

4/6

Durcissement d'un routeur (Cas d'un routeur Cisco)R1(config)# hostname Ottawa Ottawa(config)# ip domain-name cisco.com Ottawa(config)# crypto key generate rsa Ottawa(config)# username emabo secret cisco123 // dfinition du nom dhte) // dfinition du nom de domaine) // gnration des cls asymtriques

Ottawa(config)# line vty 0 4 Ottawa(config-line)# transport input ssh locale et VTY Ottawa(config-line)# login local Ottawa(config)# ip ssh time-out 10 Ottawa(config)# ip ssh authentication-retries 3 nouveau ssh // configuration des dlais dattente ssh // configuration des dlais d'essai // configuration de lauthentification

6- Accorder une attention particulire sur les vulnrabilits SNMP, NTP et DNS

Pour assurer ses fonctionnalits, un routeur s'appuie sur d'autres services comme comme le service de rsolution des noms. Il se trouve que ces services sont souvent vulnrables. Il convient donc de s'assurer que les services auxiliaires sur lesquels s'appuie un routeur sont bien configurer et scuris.7- Dsactiver tous les services et comptes inutilesR1(config)# no service finger // exemple du service finger

D- Scurisation des protocoles de routagesLes protocoles de routages sont utiliss par un routeur pour mettre jour dynamiquement, sa table de routage. Les informations de mise jour circulant trs souvent en clair entre les routeurs, il convient de configurer un minimum de scurit pour ces protocoles. Cette partie du document qui se veut technique prsente comment configurer certains protocoles de routage de manire scuris.1- Configurer le protocole RIPv2 avec authentificationOttawa(config)# router rip Ottawa(config-router)# passive-interface default mises jour de routage Ottawa(config-router)# no passive-interface serial 0/0 une seule interface Ottawa(config)# key chain TOTO Ottawa(config-keychain)# key 1 Ottawa(config-keychain-key)# key-string cisco Ottawa(config)# interface serial 0/0 Ottawa(config-if)# ip rip authentication mode md5 Ottawa(config-if)# ip rip authentication key-chain TOTO // activation de la propagation sur // dsactivation de la propagation des

2- Configurer lauthentification du protocole de routage EIGRPOttawa(config)# key chain EIGRP_KEY

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit)

5/6

Durcissement d'un routeur (Cas d'un routeur Cisco)Ottawa(config-keychain)# key 1 Ottawa(config-keychain-key)# key-string CCNP Ottawa(config)# interface serial 0/0 Ottawa(config-if)# ip authentication mode eigrp 1 md5 Ottawa(config-if)# ip authentication key-chain eigrp 1 EIGRP_KEY

3- Configurer lauthentification du protocole de routage OSPFOttawa(config)# interface serial 0/0 Ottawa(config-if)# ip ospf message-digest-key 1 md5 cisco Ottawa(config-if)# ip ospf authentication message-digest Ottawa(config-if)# exit Ottawa(config)# router ospf 10 Ottawa(config-router)# area 0 authentication message-digest

4- Verrouiller le routeur laide de Cisco autosecure

auto secure est une commande cre par Cisco pour faciliter l'activation et la dsactivation des services sur un routeur Cisco. Elle fonctionne en deux modes: interactive et non interactiveOttawa# auto secure

Pour en savoir plus sur les fonctions excutes par la commande auto secure, je vous recommande ce site: http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/

E- Configuration dun routeur pour lutilisation de SDMPour boucler ce document, je me permets de mettre votre disposition, la procdure permettant de configurer un routeur de manire ce qui soit administrable par SDM (Security Device Manager). SDM est un outil permettant d'administrer des quipements (routeurs, commutateurs, etc.) via une interface graphique.Ottawa#config t Ottawa(config)# ip http server Ottawa(config)# ip http secure-server Ottawa(config)# ip http authentication local Ottawa(config)# username emabo privilege 15 secret toto R1(config)# line vty 0 4 R1(config-line)# privilege level 15 R1(config-line)# login local R1(config-line)# transport input ssh

F- Pour conclureCe document est loin d'tre une rfrence absolu pour garantir la scurit 100% d'un routeur. Dj qu'il n'existe pas de scurit 100%. Nanmoins, il donne une ide sur une ensemble de tches raliser pour assurer un minimum de scurit au niveau d'un routeur. Tous les protocoles de commutation et routage n'ont pas t abords dans ce document. Je pense aux protocoles MPLS et BGP qui sont trs utiliss dans le rseau Internet par les oprateurs de tlcoms. Je pourrais dans certains contextes enrichir ce document si je suis sollicit. Il ne me reste plus qu' vous souhaiter bonne utilisation.

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit)

6/6


Cisco RVS4000 Routeur de sécurité Gigabit 4 ports … · Les autres marques commerciales ment ionnées dans les présentes sont la ... commutateur Ethernet 10/100/1000 4 ports en

Cisco RVS4000 Routeur de sécurité Gigabit 4 ports … · Les autres marques commerciales ment ionnées dans les présentes sont la ... commutateur Ethernet 10/100/1000 4 ports en

Documents
Configuration de base d'un routeur CISCO€¢ La commande ? vous donne la liste des commandes disponibles dans un mode, par exemple : Router>? NB : la barre d'espacement permet de

Configuration de base d'un routeur CISCO€¢ La commande ? vous donne la liste des commandes disponibles dans un mode, par exemple : Router>? NB : la barre d'espacement permet de

Documents
3 Connexion de l'équipement Guide de démarrage …l'unité envoie ou reçoit des données via le module sans fil. AP (RV180W) : la DEL AP s'allume en vert quand le routeur Cisco

3 Connexion de l'équipement Guide de démarrage …l'unité envoie ou reçoit des données via le module sans fil. AP (RV180W) : la DEL AP s'allume en vert quand le routeur Cisco

Documents
Configuration d’un routeur CISCO - maurise-softawre1.e ...maurise-softawre1.e-monsite.com/medias/files/conf-cisco.pdf · Loading nom_cisco.conf from x.y.z.u (via ... La commande

Configuration d’un routeur CISCO - maurise-softawre1.e ...maurise-softawre1.e-monsite.com/medias/files/conf-cisco.pdf · Loading nom_cisco.conf from x.y.z.u (via ... La commande

Documents
Configurer Un Routeur Cisco Avec Packet Tracer (Routage,Nat,DHCP)

Configurer Un Routeur Cisco Avec Packet Tracer (Routage,Nat,DHCP)

Documents
Modem routeur ADSL2+ sans fil - Linksysdownloads.linksys.com/downloads/userguide/WAG120N_160Nv2_320N_FR... · REMARQUE : Cisco n'est pas responsable des dommages causés par une fixation

Modem routeur ADSL2+ sans fil - Linksysdownloads.linksys.com/downloads/userguide/WAG120N_160Nv2_320N_FR... · REMARQUE : Cisco n'est pas responsable des dommages causés par une fixation

Documents
Cisco 2 - Aide informatique n°1aide.informatique1.fr/wp-content/uploads/2016/01/26-_-Cisco-2_F.pdf · 1.4 Le routage inter-VLAN Pour activer l’interface (à faire sur le routeur

Cisco 2 - Aide informatique n°1aide.informatique1.fr/wp-content/uploads/2016/01/26-_-Cisco-2_F.pdf · 1.4 Le routage inter-VLAN Pour activer l’interface (à faire sur le routeur

Documents
Protocoles de routage – implémentation sur routeur Cisco

Protocoles de routage – implémentation sur routeur Cisco

Documents
Les routeurs Cisco DES ROUTEURS Noms d’hôtes La commande ip host est utilisée pour enregistrer une entrée nom-à-adresse statique dans le fichier de configuration du routeur

Les routeurs Cisco DES ROUTEURS Noms d’hôtes La commande ip host est utilisée pour enregistrer une entrée nom-à-adresse statique dans le fichier de configuration du routeur

Documents
Cisco - Global Home Page - FONCTIONS DE SÉCURITÉ ......logicielle Cisco IOS active de nouvelles fonctions de sécurité sur le routeur sans qu’il soit nécessaire d’acquérir

Cisco - Global Home Page - FONCTIONS DE SÉCURITÉ ......logicielle Cisco IOS active de nouvelles fonctions de sécurité sur le routeur sans qu’il soit nécessaire d’acquérir

Documents
RESEAUX MISE EN ŒUVRE - dept-info.labri.frdept-info.labri.fr/~magoni/infres/TD-GNS3-Routeurs.pdf · Simulation du déploiement d’un routeur Cisco ♦ ... commandes disponibles

RESEAUX MISE EN ŒUVRE - dept-info.labri.frdept-info.labri.fr/~magoni/infres/TD-GNS3-Routeurs.pdf · Simulation du déploiement d’un routeur Cisco ♦ ... commandes disponibles

Documents
Configuration de routeur Cisco - Pages Persos Chez.comsophiasapiens.chez.com/informatique/Commandes de base... · Web viewPour faire une affectation d’adresse IP sur les routeurs

Configuration de routeur Cisco - Pages Persos Chez.comsophiasapiens.chez.com/informatique/Commandes de base... · Web viewPour faire une affectation d’adresse IP sur les routeurs

Documents
Travaux pratiques : Configuration d'un routeur distant ... les informations suivantes en fonction du résultat de la commande show ip ssh : Version SSH activée : ... Cisco 1841 à

Travaux pratiques : Configuration d'un routeur distant ... les informations suivantes en fonction du résultat de la commande show ip ssh : Version SSH activée : ... Cisco 1841 à

Documents
Routeur CISCO, utilisation et connexion - - Get a

Routeur CISCO, utilisation et connexion - - Get a

Documents
Présentation des commutateurs CISCO Configuration et ...rtsansfrontieres.free.fr/Dossier Magique/Cours... · Routage Inter-VLAN • Routage IP statique • Routeur externe ou interne

Présentation des commutateurs CISCO Configuration et ...rtsansfrontieres.free.fr/Dossier Magique/Cours... · Routage Inter-VLAN • Routage IP statique • Routeur externe ou interne

Documents
CCNA Expl Mod2 Chapter11 OSPF - novamine.free.frnovamine.free.fr/root/COURS TCRT/Cours Reseaux IP... · Cisco Public 17 • Si la commande router-id n'est pas utilisé alors le routeur

CCNA Expl Mod2 Chapter11 OSPF - novamine.free.frnovamine.free.fr/root/COURS TCRT/Cours Reseaux IP... · Cisco Public 17 • Si la commande router-id n'est pas utilisé alors le routeur

Documents
Architecture et fonctionnement des routeurs CISCO• Étape 1 – Le routeur procède à un auto-test de démarrage (POST) pour découvrir et vérifier le matériel. • Étape 2 –

Architecture et fonctionnement des routeurs CISCO• Étape 1 – Le routeur procède à un auto-test de démarrage (POST) pour découvrir et vérifier le matériel. • Étape 2 –

Documents
Configuration d’un routeur CISCO - formation.jussieu.fr · Commandes de configuration Connexion sur le routeur La première fois via une console connectée sur le port console

Configuration d’un routeur CISCO - formation.jussieu.fr · Commandes de configuration Connexion sur le routeur La première fois via une console connectée sur le port console

Documents
Cisco RV180/RV180W Router Administration Guide (French ......Utilisation du routeur Cisco RV180/RV180W avec un serveur RADIUS 120 Ajout d'une configuration de serveur RADIUS 120 Configuration

Cisco RV180/RV180W Router Administration Guide (French ......Utilisation du routeur Cisco RV180/RV180W avec un serveur RADIUS 120 Ajout d'une configuration de serveur RADIUS 120 Configuration

Documents
Composants et fonctionnement d'un Routeur Cisco

Composants et fonctionnement d'un Routeur Cisco

Engineering
Durcissement superficiel des inox - Groupe Thermi Lyongroupe-thermi-lyon.com/uploads/files/Durcissement superficiel des... · DURCIR LES ACIERS INOXYDABLES • La trempe-revenu s’applique

Durcissement superficiel des inox - Groupe Thermi Lyongroupe-thermi-lyon.com/uploads/files/Durcissement superficiel des... · DURCIR LES ACIERS INOXYDABLES • La trempe-revenu s’applique

Documents
Durcissement de code - Sécurité Applicative Web

Durcissement de code - Sécurité Applicative Web

Presentations & Public Speaking
ADSL2+ routeur 54G

ADSL2+ routeur 54G

Documents
PPE 3-1quentin-heidmann.weebly.com/uploads/2/9/5/9/...fonction sera assurée par le protocole VRRP ou HSRP chez Cisco. HSRP permet à un routeur de secours de prendre immédiatement

PPE 3-1quentin-heidmann.weebly.com/uploads/2/9/5/9/...fonction sera assurée par le protocole VRRP ou HSRP chez Cisco. HSRP permet à un routeur de secours de prendre immédiatement

Documents
Securisation Routeur Cisco

Securisation Routeur Cisco

Documents
IMPLEMENTATION D’UN IPBX AVEC MESSAGERIE …€¦ · Implémentation d’un IPBX avec messagerie unifiée 1 ... mise en service en France, ... Routeur switch Cisco Catalyst 3560

IMPLEMENTATION D’UN IPBX AVEC MESSAGERIE …€¦ · Implémentation d’un IPBX avec messagerie unifiée 1 ... mise en service en France, ... Routeur switch Cisco Catalyst 3560

Documents
Configuration initiale d’un routeur de services intégré ...demay.iut.lr.free.fr/doc/2A/Reseaux/TR2 - Technologies Internet... · réseau. L'interface de ligne de commande Cisco

Configuration initiale d’un routeur de services intégré ...demay.iut.lr.free.fr/doc/2A/Reseaux/TR2 - Technologies Internet... · réseau. L'interface de ligne de commande Cisco

Documents
RE161 Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale Le routeur est

RE161 Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale Le routeur est

Documents
Questions de cours : [ 5 points - safimen.com · Après configuration dun routeur Cisco, on l¶a redémarré et on s¶est aperçu qu¶il a perdu tous les ... routeurs R1 et R2)

Questions de cours : [ 5 points - safimen.com · Après configuration dun routeur Cisco, on l¶a redémarré et on s¶est aperçu qu¶il a perdu tous les ... routeurs R1 et R2)

Documents
RAPPORT DE PPE 1 - anaelmangilli.files.wordpress.com · Contrôle en cours de formation PARCOURS SLAM NO candidat : ... 1 Serveur Dhcp linux(VMware) 2 Routeur Cisco (GNS3, dynamips,

RAPPORT DE PPE 1 - anaelmangilli.files.wordpress.com · Contrôle en cours de formation PARCOURS SLAM NO candidat : ... 1 Serveur Dhcp linux(VMware) 2 Routeur Cisco (GNS3, dynamips,

Documents