cours 2 consolidation-routeur

5/14/2018 Cours 2 Consolidation-Routeur - slidepdf.com

http://slidepdf.com/reader/full/cours-2-consolidation-routeur 1/30

R. DEPEYRE Cours Sécurité - Master ISIC - 2011-2012 1 / 30

Introduction aux réseaux sécurisés

Cours Réseaux

Sécurité




SSH

SSH Server andClient

SSH Client

TCP Port 22




Controlling Access

Console PortTTYVTY

• A console is a terminal connected to a router console port.• The terminal can be a dumb terminal or PC with terminalemulation software.




Durcissement du routeur

Éliminer l'abus potentiel de ports non utilisés et des services :

Assurer le contrôle administratif. Veiller à ce que seul le personnel autorisé peut avoir accès et que leur

niveau d'accès est contrôlé.

Désactiver les ports non utilisés et les interfaces. Réduire lenombre d’accès.

Désactiver les services inutiles.




Restreindre l'accès au périphérique Limiter les ports accessibles, restreindre les communications autorisées, et limiter les

méthodes d'accès autorisées.Comptes et log pour tous les accès Aux fins des vérifications, toute personne qui accède à dispositif est enregistré, y compris

ce qui se passe et quand.Authentification de l'accès Veiller à ce que l'accès soit accordé uniquement aux utilisateurs authentifiés, les groupes

et services. Limitez le nombre de tentatives d’authentification échouées ainsi que letemps entre chaque connexion.Actions autorisées Limiter les actes et les lectures autorisées par un utilisateur, groupe ou service.

Présentation de Notifications Juridique légale Annonce d'un avis juridique, élaboré en collaboration avec la société de conseil juridique,

pour les sessions interactives.Assurer la confidentialité des données Protéger les données sensibles stockées localement du visionnement et de la copie.Envisager la vulnérabilité des données en transit sur un canal de communication au

sniffing, le détournement de session, et les attaques man-in-the-Middle (MITM)




Enable Secret PasswordConsole Line line console 0 suivie par les sous-commandes login et

password.

Lignes de terminal virtuel (Telnet ou SSH) line vty 0 4 suivie par les sous-commandes

login et password.

Lignes auxiliaires Line aux 0. Utilisez les sous-commandes login et password.


http://slidepdf.com/reader/full/cours-2-consolidation-routeur 7/30R. DEPEYRE Cours Sécurité - Master ISIC - 2011-2012 7 / 30

Longueur minimale des caractères IOS Cisco 12.3 (1) et plus

security passwords min-length length . Password too short - must be at least 10 characters. Password

configuration failed.

Désactiver les connexions non désirées. Par défaut, 10 minutes.

exec-timeout time en min (pour chacune des types de ligne). no exec



Setting Timeouts for Router Lines

router(config-line)#exec-timeout minutes [seconds]

• Default is 10 minutes

• Terminates an unattended console connection

• Provides an extra safety factor when anadministrator walks away from an active consolesession

• Terminates an unattended console/auxiliaryconnection after 3 minutes and 30 seconds

Boston(config)# line console 0

Boston(config-line)#exec-timeout 3 30

Boston(config)# line aux 0

Boston(config-line)#exec-timeout 3 30



Cryptés tous les mots de passe

service password-encryption - no service password-

encryption.

enable secret.



Authentification. liste de noms d'utilisateurs et mots depasse dans une base de données locale. username nom password mot de passe

username nom secret mot de passe

Utilisez la commande login local sur la configuration d’une ligne pour

permettre l’authentification par la base de données locale.

R1(config)#username depeyre privilege 15 password roland



Initial Configuration Dialog

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog?

[yes/no] y

Configuring global parameters:

Enter host name [Router]: Boston

The enable secret is a password used to protect access to

privileged EXEC and configuration modes. This password,

after entered, becomes encrypted in the configuration.

Enter enable secret: CantGessMe

The enable password is used when you do not specify an

enable secret password, with some older software versions,

and some boot images.

Enter enable password: WontGessMe

The virtual terminal password is used to protect access to

the router over a network interface.

Enter virtual terminal password: CantGessMeVTY



Autres Router# configure terminal Router(config)# login block-for seconds attempts tries

within seconds Router(config)# login quiet-mode access-class {acl-name |

acl-number } Router(config)# login delay seconds Router(config)# login on-failure log [every login ] Router(config)# login on-success log [every login ]



login block-for. La commande login block-for surveille l'activité de connexion sur le

dispositif et fonctionne en deux modes: Mode normal (mode veille) - Le routeur tient compte du nombre de

tentatives de connexion dans un laps de temps. Mode silencieux (période de calme) - Si le nombre de connexions qui ont

échoué est supérieur au seuil configuré, toutes les tentatives de connexionvia Telnet, SSH et HTTP sont refusées. Lorsque le mode silencieux est activé, toutes les tentatives de connexion,y compris à un accès administratif valable, ne sont pas autorisés.

Toutefois, afin de fournir un accès critique accessible à tout moment, cecomportement peut être outrepassé en utilisant une ACL. L'ACL doit êtrecréé et identifiés en utilisant la commande login quiet-mode access-class.

La commande login block-for invoque un délai automatique de 1 secondeentre les tentatives de connexion. Les attaquants doivent attendre 1 seconde

avant de pouvoir essayer un mot de passe différent. Ce délai peut être changé en utilisant la commande login delay. Délai

uniforme entre les tentatives de connexion successives. Les commandes login block-for, login quiet-mode access-class, et login

delay aident à bloquer les tentatives de connexion infructueuses pour unepériode limitée de temps



auto secure pas activé par défaut. La commande auto secure permet l'enregistrement de log pour les

tentatives de connexion échouées. L'enregistrement pour les tentativesréussies n’est pas activé par défaut.

login on-failure log [every login] connexion génère un log pour lestentatives de connexion échouées.

login on-success log [every login] génère un log pour les requêtesde connexion réussie. [every login]. La valeur par défaut est de 1 tentative. (1 à

65.535).

Outhe security authentication failure rate

threshold-rate log

génère un message de log lorsque le taux d'échec de connexion estdépassé.

Pour vérifier login block-for : show login. show login failures



banner {exec | incoming | login | motd | slip-ppp} d message d

Les jetons sont facultatifs et peuvent être utilisés dans lasection message de la commande bannière:

$(hostname) - Affiche le nom d'hôte pour le routeur. $(domain)- Affiche le nom de domaine pour le routeur. $(line) - Affiche les numéros de lignes vty ou tty. $(line-desc) – Affiche la description détaillée de la ligne.

Faites attention à placer cette information dans la bannière, car

cela fournit plus d'informations à un possible intrus.



Configuring Banner Messages

router(config)# banner {exec | incoming | login | motd |

slip-ppp} d message d

• Specify what is “proper use” of the system

• Specify that the system is being monitored

• Specify that privacy should not be expected when usingthis system

• Do not use the word “welcome”

• Have legal department review the content of the message

Boston(config)# banner motd # WARNING: You are connected to $(hostname) on

the Cisco Systems, Incorporated network.

Unauthorized access and use of this network

will be vigorously prosecuted. #



Configuration de SSH

Étape 1. ip domain-name domain-name dans le mode de configurationglobal.

Étape 2. Les clés secrètes asymétriques.crypto key generate rsa general-keys modulus modulus-size .

Pour vérifier SSH show crypto key mypubkey rsa en mode privilégié.Si il ya des paires de clés existantes, il est recommandé qu'elles soientécrasés à l'aide de la commande crypto key zeroize rsa.

Étape 3. username name secret secret .

Étape 4. Activer les sessions SSHlogin local et transport input ssh.

SSH est automatiquement activée après que les clés RSA soientgénérées. Le service SSH du routeur peut être utilisé en utilisant un clientSSH.



Commandes SSH facultatives Version de SSH Délai d’attente de SSH

Nombres de tentatives de connexions

ip ssh version {1|2} en mode de configuration globale. ip ssh time-out seconds en mode de configuration globale.

(par défaut : 120 secondes). ip ssh authentication-retries integer en mode de

configuration globale. (Par défaut : 3 tentatives). Pour vérifier : show ip ssh.

Après que SSH soit configuré, un client SSH est nécessaire pour seconnecter à un routeur autorisant les connexions SSH.



Deux façons de se connecter à un routeur via SSH:

Sur un routeur Cisco ayant activé SSH avec commade ssh enmode EXEC.

Via un client SSH gratuit ou payant. (PuTTY, OpenSSH, etTeraTerm).

Utilisez la commande show ssh pour vérifier le statut desconnexions des clients.



SSH Server Configuration

Router(config)#hostname host-name

Router(config)#

ip domain-name domain-name.com

Router(config)#

crypto key generate rsa

Router(config)#

line vty 0 4

Router(config-line)#

transport input ssh



Configuration des niveaux de privilège Attribution des niveaux de privilège Router(config)# privilege mode {level level command | reset}

command username name privilege level secret password

Par exemple: Compte USER (niveau 1, à l'exclusion de ping)

Compte SUPPORT (niveau 1, ainsi que la commande ping) Un compte-JR ADMIN (exigeant tous les accès de niveau 1 et 5, ainsi

que la commande reload)

Un compte ADMIN (nécessitant un accès complet)



privilege exec level 5 ping Le compte d'utilisateur (niveau 1) n'a plus accès à la commande ping,

car un utilisateur doit avoir accès au niveau 5 ou plus pour utiliser lafonction ping.

Pour attribuer un mot de passe au niveau 5, entrez la commandesuivante.

enable secret level 5 cisco5 Pour accéder au niveau 5, le mot de passe cisco5 doit être utilisé.

Pour attribuer un nom d'utilisateur spécifique au niveau 5 de privilège,entrez la commande suivante.

username support privilege 5 secret cisco5

Un utilisateur qui se connecte sous le compte SUPPORT est le seul aavoir un accès au niveau 5 de privilège, qui hérite des niveaux inférieurs.



privilege exec level 10 reload username jr-admin privilege 10 secret cisco10 enable secret level 10 cisco10

En effectuant ces commandes, la commande reload est uniquementdisponible pour les utilisateurs avec un accès 10 ou plus. Le nomd'utilisateur JR-ADMIN a accès à des privilèges de niveau 10 et toutesles commandes associées, y compris ceux des commandes attribuées àun autre niveau de privilèges moins élevés. Pour accéder au mode deniveau 10, le mot de passe cisco10 est nécessaire.

enable secret level 15 cisco123 username admin privilege 15 secret cisco15. username USER secret cisco privilege 1

n’attribue pas le compte USER à l’accès de niveau 1. Au lieu de cela, il

crée un compte nécessitant le mot de passe cisco privilege 1.



Setting Multiple Privilege Levels

router(config)#

privilege mode {level level command | reset

command }

• Level 1 is predefined for user-level access privileges• Levels 2 –14 may be customized for user-level privileges

• Level 15 is predefined for enable mode (enable command)

Boston(config)# privilege exec level 2 pingBoston(config)# enable secret level 2 Patriot



Utilisation de syslog

Étape 1. logging host. destination du log. Étape 2. (Facultatif) logging trap level. gravité du log (piège)

Étape 3. logging source-interface Réglez l’interface sourceen utilisant la commande. (les paquets syslog contiennent l‘@

IP d'une interface particulière, indépendamment de l'interfaceutilisé par le paquet pour sortir du routeur).

Étape 4. logging Active l'enregistrement

logging buffered,logging monitor et logging.




Utilisation de NTP ntp master. ntp server ntp-server-address.

ntp broadcast. …. ntp authenticate ntp authentication-key key-number md5 key-value ntp trusted-key key-number

Pour vérifier :show ntp associations detail



Pour résumer : sécuriser les équipements.

Les accès administratifs sécurisés doivent être mis en œuvre. Sécurité sur les connexions virtuelles telles que Telnet

Utilisez SSH au lieu de Telnet Fournir l’accès a des dispositifs d'infrastructure basée sur le niveau de

privilège. Mettre en œuvre basée les roles pour la CLI pour fournir un accès

administratif hiérarchique. Mettre en œuvre les rapports d’enregistrement Syslog

Configurer une source de temps centrale (serveur de temps) utilisant leNetwork Time Protocol (NTP).

Identifier tous les services, les interfaces et les services de gestion quisont vulnérables aux attaques réseau.

Lancez régulièrement des audits de sécurité.

cours 2 consolidation-routeur

Documents