chapitre4_wan_ccna_4_v4.pdf

7/29/2019 Chapitre4_Wan_ccna_4_V4.pdf

http://slidepdf.com/reader/full/chapitre4wanccna4v4pdf 1/11

la sécurité des réseaux

- (white hat) : Accès abusif au réseau par des personnes autorisées, Virus Vol d’équipement mobile.- (hacker) : Hameçonnage où une organisation est usurpée par l’expéditeur, Abus de messagerie instantanée.- Pirate (black hat) : Déni de service, Accès non autorisé à des informations, Robots au sein de l’organisation- Pirate informatique (cracker) : Vol de données des clients/employés, Accès abusif à un réseau sans fil, Intrusion dans unsystème, Fraude financière.- Pirate téléphonique (phreaker) : Interception de mots de passe, Enregistrement des frappes, Dégradation d’un site Web.- Spammeur Hameçonneur (phisher) : Abus d’une application Web publique, Vol d’informations propriétaires, Exploitation duserveur DNS d’une organisation, Fraude aux télécommunications, Sabotage.

La norme ISO/CEI 27002 doit servir de base commune et de ligne directrice pratique pour élaborer les référentiels de sécurité del’organisation et les pratiques efficaces de gestion de la sécurité. Ce document comprend les 12 sections suivantes :Évaluation des risquesStratégie de sécuritéOrganisation de la sécurité des informationsGestion des biensSécurité liée aux ressources humainesSécurité physique et environnementaleGestion opérationnelle et gestion des communicationsContrôle d’accèsAcquisition, développement et maintenance des systèmes d’informationGestion des incidents liés à la sécurité des informationsGestion de la continuité de l’activitéConformité



Menaces pour l’infrastructure physique :- Menaces matérielles entraînant des dommages physiques aux serveurs, routeurs, commutateurs, installations de câblage etstations de travail.- Menaces environnementales : variations extrêmes de la température ou du taux d’humidité.- Menaces électriques provenant de pointes de tension, d’une tension d’alimentation trop basse, d’une alimentation non filtrée(bruit) et de la perte totale d’alimentation.- Menaces de maintenance dues à un traitement inadéquat de composants électriques essentiels, au manque de pièces de rechangecritiques, à un mauvais câblage et étiquetage.

les attaques par exploitation de la confiance, la mystification d’adresse IP, le piratage de session et les attaques de l’homme dumilieu.

Menaces envers les réseaux :

Types d’attaques d’un réseau :Reconnaissance : c’est la découverte non autorisée des systèmes, de leurs adresses et de leurs services... : demandesd’informations Internet, balayages ping, balayages de ports et analyseurs de paquets.Accès : c’est la possibilité pour un intrus d’accéder à un périphérique pour lequel il ne dispose pas d’un compte ou d’un mot depasse : attaques de mot de passe, exploitation de la confiance, redirection de port et homme du milieu.Déni de service : Le déni de service peut consister simplement à supprimer ou altérer des informations.



Vers, virus et chevaux de Troie : des logiciels malveillants peuvent être installés sur un ordinateur hôte dans le but d’endommagerou d’altérer un système.

Techniques générales d’atténuation des risques :Durcissement des périphériquesnoms d’utilisateur et des mots de passe par défautAccès aux ressources du système limité strictement aux personnes autorisées.Désactivation des services et applications non nécessaires ou désinstallation.Logiciel antivirusPare-feu personnelCorrectif du système d’exploitation (MaJ)Détection des intrusions et méthodes de préventionIDS, IPS, HIDS et HIPS

Appareils et applications de sécurité courants :Contrôle des menaces : régule les accès au réseau, isole les systèmes infectés, empêche les intrusions et protège les biens en

neutralisant le trafic malveillant, comme les vers et les virus.

périphériques qui apportent une solution de contrôle des menaces :• les plateformes Cisco ASA de la gamme 5500;• les routeurs à services intégrés (ISR);• le contrôle d’accès au réseau (NAC);• l’agent de sécurité Cisco pour ordinateurs de bureau (CSA);• les systèmes Cisco de prévention contre les intrusions (IPS)

Qu’est-ce qu’une stratégie de sécurité ?

Fonctions d’une stratégie de sécurité

Éléments d’une stratégie de sécurité

la sécurité des réseaux

les routeurs sont des passerelles vers d’autres réseaux, ils constituent des cibles évidentes et sont soumis à une variété d’attaques.



Un mot de passe fort est l’élément fondamental d’un contrôle d’accès sécurisé à un routeur.

R1(config)# username Student password cisco123R1(config)# do show run | include usernameusername Student password 0 cisco123R1(config)#

Le 0 affiché dans la configuration courante indique que le mot de passe n’est pas masqué.

Le logiciel Cisco IOS comporte deux méthodes de protection des mots de passe :- Chiffrement simple appelé méthode de type 7 : se base sur l’algorithme de chiffrement défini par Cisco et masque le mot

de passe à l’aide d’un algorithme simple : enable password, username et line password.

Le 7 affiché dans la configuration courante indique que le mot de passe est masqué.- Chiffrement complexe appelé méthode de type 5 : se base sur le hachage MD5 :

username nom_utilisateur secret mot_de_passeSur un routeur, le mot de passe secret a toujours la priorité sur le mot de passe enable. Il convient donc de ne jamaisconfigurer la commande enable password étant donné qu’elle peut révéler un mot de passe système.

L'administrateur configure un password de type 5 (Hachage via algorithme MD5) et désactive lepasswod de type 7

Les versions 12.3(1) et ultérieures du logiciel Cisco IOS autorisent les administrateurs à définir la longueur minimale encaractères de tous les mots de passe du routeur :

Accès administratif à distance avec Telnet et SSH

Pour sécuriser les accès administratifs aux routeurs et aux commutateurs, vous devez commencer par sécuriser les lignesd’administration (VTY, AUX), puis configurer le périphérique réseau de manière à chiffrer le trafic dans un tunnel SSH.

L’accès à distance ne s’applique pas seulement à la ligne VTY du routeur, mais aussi aux lignes TTY et au port auxiliaire (AUX).Les lignes TTY permettent un accès asynchrone au routeur au moyen d’un modem.

- Empêcher toute ouverture de session sur chaque ligne :



Fixer le délai d’attente d’exécution à 3 minutes et activer les tests d’activité TCP :

Configuration de la sécurité SSH :

1 : réglage des paramètres du routeur 4 : configuration de l’authentification locale et VTY

Étape 2 : définition du nom de domaine

5 : configuration des délais d’attente SSH

Étape 3 : génération de clés asymétriques

Les journaux vous permettent de vérifier le fonctionnement d’un routeur et de déterminer s’il a été compromis ou non.Les journaux peuvent être transférés à différents emplacements, comme la mémoire du routeur ou un serveur Syslog spécialisé.

Services vulnérables du Routeur:



les systèmes de routage peuvent être attaqués de deux façons :- Interruption entre homologues



- Falsification des informations de routage

Les conséquences de la falsification des informations de routages sont les suivantes :1. Redirection du trafic pour créer des boucles.2. Redirection du trafic pour pouvoir le surveiller sur une liaison non fiable.3. Redirection du trafic pour le rejeter.

Les trois composantes d’un tel système sont les suivantes :1. Algorithme de chiffrement, qui fait généralement partie du domaine public.

2. Clé utilisée par l’algorithme, partagé par les routeurs qui authentifient leurs paquets.3. Contenu du paquet lui-même.

Configuration de RIPv2 avec authentification du protocole de routage :

Étape 1. Empêcher la propagation des mises à jour de routage RIP.

Étape 2. Empêcher la réception non autorisée de mises à jour RIP.

Étape 3. Vérifier le fonctionnement du routage RIP.

l’authentification des protocoles de routage EIGRP et OSPF :



Cisco AutoSecure utilise une seule commande pour désactiver les processus et les services non essentiels du système dans l’undes deux modes suivants :- Mode interactif : présente des invites permettant d’activer ou désactiver des services et autres fonctions de sécurité. Il s’agit dumode par défaut.- Mode non interactif : exécute automatiquement la commande auto secure avec les paramètres par défaut . Ce mode est activéavec l’option no-interact de la commande.

Cisco Router and Security Device Manager (SDM ) :C’est un outil Web de gestion des périphériques conçu pour configurer les fonctions de réseau local, de réseau étendu et desécurité sur les routeurs doté du logiciel Cisco IOS.

Fonctionnalités de Cisco SDM :

Pour configurer Cisco SDM sur un routeur en exploitation, sans interrompre le trafic, procédez comme suit :- Activez les serveurs HTTP et HTTPS sur le routeur.- Créez un compte utilisateur avec niveau de privilège 15.- Configurez SSH et Telnet pour une session locale avec niveau de privilège 15.

- Les mises à jour soit du système d’exploitation sont gratuites.- La mise à niveau remplace une version par une autre dont l’ensemble des fonctions : ne sont pas gratuites.



Systèmes de fichiers et périphériques de Cisco IOS :

Commandes pour la gestion des fichiers de configuration :R2# copy running-config startup-config

R2# copy system:running-config nvram:startup-config

R2# copy running-config tftp: ou R2# copy system:running-config tftp:

R2# copy tftp: running-config ou R2# copy tftp: system:running-config

R2# copy tftp: startup-config ou R2# copy tftp: nvram:startup-config

Conventions de nom de fichier dans le logiciel Cisco IOS :



Utilisation de serveurs TFTP pour gérer les images Cisco IOS :Un serveur TFTP permet de télécharger des images logicielles et des configurations par l’intermédiaire du réseau.Avant de changer l’image du logiciel Cisco IOS, vous devez accomplir les tâches suivantes :- déterminer la quantité de mémoire nécessaire.- installer et tester la fonction de transfert entre l’hôte d’administration et le routeur.- programmer le temps d’arrêt nécessaire, en dehors des heures ouvrables.

Lorsque vous êtes prêt pour la mise à jour, effectuez les étapes suivantes :- Désactivez toutes les interfaces du routeur qui ne sont pas nécessaires pour la mise à jour.- Sauvegardez l’IOS et le fichier de configuration courants sur un serveur TFTP.- Chargez la mise à jour du système d’exploitation ou du fichier de configuration.

- Effectuez des tests de confirmation du bon fonctionnement de la mise à jour.

Sauvegarde et mise à niveau de l’image logicielle :Étape 1. Envoyez une requête ping au serveur TFTP pour vous assurer qu’il est accessible.Étape 2. Vérifiez que le routeur possède suffisamment d’espace : show flash Étape 3. Copiez : copy flash: tftp:

Mise à niveau des images du logiciel Cisco IOS :copy tftp: flash: pour télécharger la nouvelle image depuis le serveur TFTP.

Restauration des images logicielles IOS :Étape 1. Connectez les périphériques.Étape 2. Démarrez le routeur et définissez les variables ROMmon.

Étape 3. Tapez la commande tftpdnld à la suite de l’invite ROMmon.

Utilisation de Xmodem pour restaurer une image IOS :Étape 1. Connectez le PC de l’administrateur système au port console du routeur.Étape 2. Démarrez le routeur et lancez la commande xmodem à l’invite ROMmon.

Acceptez toutes les confirmationsÉtape 3. envoi du fichier à l’aide de l’HyperTerminal. Transfert > Envoyer un fichier.

Étape 4. choisir l’emplacement de l’image Cisco IOS et choisissez le protocole Xmodem.



Commandes de dépannage du logiciel Cisco IOS :

Le guide des commandes du logiciel Cisco IOS reprend 1 463 commandes show.

Commandes associées à la commande debug:R1(config)# service timestamps debug datetime msec ajout d'horloge à un msg de débogage ou journalisation.R1#show processes afficher l'utilisation du processeur par processusR1#no debig all désactiver toutes les commandes debugR1#terminal monitorProcédure de récupération du mot de passe d’un routeur :Étape 1. Connectez-vous au port de console.Étape 2. Tapez show version à l’invite, et notez la valeur du registre de configuration.R>#show versionConfiguration register is 0x2102

Étape 3. Éteignez le routeur plus rallumez-le à l’aide de son interrupteur.Étape 4. Après 60 secondes de la mise sous tension, appuyez sur la touche Pause du clavier pour activer le mode ROMmon durouteur.Étape 5. Tapez confreg 0x2142. Le routeur ignore ainsi la configuration de démarrage où le mot de passe « enable » est stocké.Étape 6. Tapez reset.Le routeur redémarre, en ignorant la configuration enregistrée.

Étape 7. Tapez no en réponse à chaque question ou appuyez sur Ctrl-C pour passer la procédure de configuration initiale.Étape 8. Tapez enable. Vous passez ainsi en mode « enable », et vous voyez normalement l’invite Router#.Étape 9. Tapez copy startup-config running-config pas copy running-config startup-configÉtape 10. Tapez show running-config.

Réinitialiser les mots de passé

Tapez copy running-config startup-config pour confirmer vos modifications.

chapitre4_wan_ccna_4_v4.pdf

Documents