Your SlideShare is downloading. ×
Securite routeur-cisco
Securite routeur-cisco
Securite routeur-cisco
Securite routeur-cisco
Securite routeur-cisco
Securite routeur-cisco
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Securite routeur-cisco

4,411

Published on

Lors de la mise en service d'un routeur, vous devez définir la politique de sécurité à mettre en place. …

Lors de la mise en service d'un routeur, vous devez définir la politique de sécurité à mettre en place.
Ce document vous permettra de configurer un routeur Cisco afin d'en assurer sa sécurité.
Vous apprendrez ainsi comment assurer la sécurité physique et logique du routeur par une politique de durcissement.

Published in: Health & Medicine
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,411
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
130
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Durcissement dun routeur (Cas dun routeur Cisco) Durcissement dun routeur Cisco Par Azed Hr Administrateur Systèmes, Réseaux et Sécurité ToutGr@Ymail.com Dernière mise à jour: 20/06/2010 1/6Document rédigé par Azed Hr (Administrateur Systèmes, Réseaux et Sécurité)
  • 2. Durcissement dun routeur (Cas dun routeur Cisco)Table des matièresA- Contexte et objectif................................................................................................................ 3B- Définition de la politique de sécurité du routeur.................................................................... 3 1- Politique dacquisition....................................................................................................3 2- Politique de déploiement ou de mise en oeuvre............................................................ 3 3- Politique de mot de passe.............................................................................................. 3 4- Politique dexploitation.................................................................................................. 3 5- Politique de durcissement .............................................................................................4 6- Politique de journalisation............................................................................................. 4C- Sécurisation des accès et mots de passe................................................................................. 4 1- Configurer la longueur minimale d’un mot de passe....................................................4 2- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)...............4 3- Autoriser juste les accès distants en SSH (le telnet nétant pas sécurisé)......................4 4- Configuration de la sécurité supplémentaire pour les lignes VTY ............................... 4 5- Configuration de la sécurité SSH.................................................................................. 4 6- Accorder une attention particulière sur les vulnérabilités SNMP, NTP et DNS............5 7- Désactiver tous les services et comptes inutiles ........................................................... 5D- Sécurisation des protocoles de routages.................................................................................5 1- Configurer le protocole RIPv2 avec authentification.................................................... 5 2- Configurer l’authentification du protocole de routage EIGRP .....................................5 3- Configurer l’authentification du protocole de routage OSPF .......................................6 4- Verrouiller le routeur à l’aide de Cisco “autosecure”.................................................... 6E- Configuration d’un routeur pour l’utilisation de SDM...........................................................6F- Pour conclure.......................................................................................................................... 6 2/6 Document rédigé par Azed Hr (Administrateur Systèmes, Réseaux et Sécurité)
  • 3. Durcissement dun routeur (Cas dun routeur Cisco)A- Contexte et objectifUn routeur est un équipement dédié qui participe au processus dacheminement des paquets dans un réseau (localou étendu), depuis une source (émetteur) vers une destination (récepteur). Ses deux principales fonctionnalitéssont: La détermination du chemin par lequel doit passer les paquets et lacheminement de ceux ci vers leurdestination. Pour y parvenir, il sappuie sur une table de routage contenant des informations nécessaires pour leroutage des paquets. Ces fonctionnalités font dun routeur, un dispositif indispensable pour le fonctionnementdun réseau de grande taille, doù limportance de le protéger contre les attaques.Le présent document définit les exigences de sécurité à prendre en compte lors de la mise en service dun routeuren général, et décrit comment configurer la sécurité sur un routeur Cisco pour assurer son durcissement. Jentendsici par durcissement, lensemble des moyens organisationnels et techniques permettant dassurer la sécuritéphysique et logique du routeur.B- Définition de la politique de sécurité du routeur1- Politique dacquisitionAvant dacquérir un routeur, il convient de définir une politique dacquisition. Quelles sont les fonctionnalitésauxquelles nous souhaitons que le routeur assure? Quel constructeur choisir? Quel est la garantie? Le support est-il assuré ? faut-il un contrat de maintenance ? Telles sont là quelques questions dont les réponses doivent figurerdans la politique dacquisition.2- Politique de déploiement ou de mise en oeuvreUne fois le routeur acquis, il convient de définir une politique de mise en oeuvre. Cette politique devra tenircompte de son installation, de sa configuration et de sa mise en service. Par exemple, il doit être placé dans unendroit sécurisé (accès protégé), derrière un dispositif de protection comme un pare-feu par exemple.3- Politique de mot de passeLes routeurs présentent plusieurs types et niveaux daccès (telnet, ligne virtuelle (vty), http, ligne auxiliaire, modeenable, etc.). Chacun de ces accès est protégé par un mot de passe. Une politique de mots de passe doit êtredéfinie et appliquée pour éviter leur compromission. Par exemple, les mots de passe doivent être changés suivantune périodicité (tous les trois mois par exemple). Ils doivent être forts, cest à dire composé des chiffres,caractères spéciaux (@§!&#), majuscules et minuscules. Ceci permet déviter les attaques par dictionnaire ou parforce brute.4- Politique dexploitationLe routeur étant en service, il convient de définir une politique dexploitation. Cette politique doit contenir deséléments sur la mise à jour de lIOS, la périodicité des mises à jour des protocoles de routage, les routeurs voisinsautorisés à communiquer avec le routeur, la période des interventions sur le routeur (exemple: pas dinterventionlorsque les transactions sont encours), etc. 3/6 Document rédigé par Azed Hr (Administrateur Systèmes, Réseaux et Sécurité)
  • 4. Durcissement dun routeur (Cas dun routeur Cisco)5- Politique de durcissementIl convient de définir une politique de durcissement du routeur. Par exemple, en définissant les rôles etresponsabilités des différents intervenants (administrateur réseaux, fournisseurs, etc.), les services et comptesinutiles à désactiver, les types daccès autorisés, la politique de sauvegarde de la configuration, etc..6- Politique de journalisationUn routeur étant un équipement sensible, il est important de le surveiller afin davoir une idée sur ses différentesactivités (trafic, connexion, etc.). Cette surveillance passe par les fichiers journaux générés par celui ci. Ilconvient donc de définir une politique de journalisation. Par exemple, comment doivent être utiliser les fichiersjournaux, où doivent-ils être stockés ? Lenvoi des fichiers journaux (log) vers un serveur centralisé (syslog parexemple) doit être sécurisé, une sauvegarde d’une copie des logs doit être réalisée.C- Sécurisation des accès et mots de passe1- Configurer la longueur minimale d’un mot de passeR1(config)# security passwords min-length 102- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)// Ligne auxiliaireR1(config)# line aux 0R1(config-line)# no passwordR1(config-line)# loginR1(config-line)# exit// Lignes virtuelleR1(config)# line vty 0 4R1(config-line)# no passwordR1(config-line)# loginR1(config-line)# exit3- Autoriser juste les accès distants en SSH (le telnet nétant pas sécurisé)R1(config)# line vty 0 4R1(config-line)# no transport inputR1(config-line)# transport input sshR1(config-line)# exit4- Configuration de la sécurité supplémentaire pour les lignes VTYR1(config)# line vty 0 4R1(config-line)# exec-timeout 5R1(config-line)# exitR1(config)# service tcp-keepalives-in5- Configuration de la sécurité SSH 4/6 Document rédigé par Azed Hr (Administrateur Systèmes, Réseaux et Sécurité)
  • 5. Durcissement dun routeur (Cas dun routeur Cisco)R1(config)# hostname Ottawa // définition du nom d’hôte)Ottawa(config)# ip domain-name cisco.com // définition du nom de domaine)Ottawa(config)# crypto key generate rsa // génération des clés asymétriquesOttawa(config)# username emabo secret cisco123Ottawa(config)# line vty 0 4Ottawa(config-line)# transport input ssh // configuration de l’authentificationlocale et VTYOttawa(config-line)# login localOttawa(config)# ip ssh time-out 10 // configuration des délais d’attente sshOttawa(config)# ip ssh authentication-retries 3 // configuration des délais dessai ànouveau ssh6- Accorder une attention particulière sur les vulnérabilités SNMP, NTP et DNSPour assurer ses fonctionnalités, un routeur sappuie sur dautres services comme comme le service de résolutiondes noms. Il se trouve que ces services sont souvent vulnérables. Il convient donc de sassurer que les servicesauxiliaires sur lesquels sappuie un routeur sont bien configurer et sécurisé.7- Désactiver tous les services et comptes inutilesR1(config)# no service finger // exemple du service fingerD- Sécurisation des protocoles de routagesLes protocoles de routages sont utilisés par un routeur pour mettre à jour dynamiquement, sa table de routage.Les informations de mise à jour circulant très souvent en clair entre les routeurs, il convient de configurer unminimum de sécurité pour ces protocoles. Cette partie du document qui se veut technique présente commentconfigurer certains protocoles de routage de manière sécurisé.1- Configurer le protocole RIPv2 avec authentificationOttawa(config)# router ripOttawa(config-router)# passive-interface default // désactivation de la propagation desmises à jour de routageOttawa(config-router)# no passive-interface serial 0/0 // activation de la propagation surune seule interfaceOttawa(config)# key chain TOTOOttawa(config-keychain)# key 1Ottawa(config-keychain-key)# key-string ciscoOttawa(config)# interface serial 0/0Ottawa(config-if)# ip rip authentication mode md5Ottawa(config-if)# ip rip authentication key-chain TOTO2- Configurer l’authentification du protocole de routage EIGRPOttawa(config)# key chain EIGRP_KEY 5/6 Document rédigé par Azed Hr (Administrateur Systèmes, Réseaux et Sécurité)
  • 6. Durcissement dun routeur (Cas dun routeur Cisco)Ottawa(config-keychain)# key 1Ottawa(config-keychain-key)# key-string CCNPOttawa(config)# interface serial 0/0Ottawa(config-if)# ip authentication mode eigrp 1 md5Ottawa(config-if)# ip authentication key-chain eigrp 1 EIGRP_KEY3- Configurer l’authentification du protocole de routage OSPFOttawa(config)# interface serial 0/0Ottawa(config-if)# ip ospf message-digest-key 1 md5 ciscoOttawa(config-if)# ip ospf authentication message-digestOttawa(config-if)# exitOttawa(config)# router ospf 10Ottawa(config-router)# area 0 authentication message-digest4- Verrouiller le routeur à l’aide de Cisco “autosecure”“auto secure” est une commande créée par Cisco pour faciliter lactivation et la désactivation des services sur unrouteur Cisco. Elle fonctionne en deux modes: interactive et non interactiveOttawa# auto securePour en savoir plus sur les fonctions exécutées par la commande “auto secure”, je vous recommande ce site:http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/E- Configuration d’un routeur pour l’utilisation de SDMPour boucler ce document, je me permets de mettre à votre disposition, la procédure permettant de configurer unrouteur de manière à ce qui soit administrable par SDM (Security Device Manager). SDM est un outil permettantdadministrer des équipements (routeurs, commutateurs, etc.) via une interface graphique.Ottawa#config tOttawa(config)# ip http serverOttawa(config)# ip http secure-serverOttawa(config)# ip http authentication localOttawa(config)# username emabo privilege 15 secret totoR1(config)# line vty 0 4R1(config-line)# privilege level 15R1(config-line)# login localR1(config-line)# transport input sshF- Pour conclureCe document est loin dêtre une référence absolue pour garantir la sécurité à 100% dun routeur. Déjà quilnexiste pas de sécurité à 100%. Néanmoins, il donne une idée sur une ensemble de tâches à réaliser pour assurerun minimum de sécurité au niveau dun routeur. Tous les protocoles de commutation et de routage nont pas étéabordés dans ce document. Je pense aux protocoles MPLS et BGP qui sont très utilisés dans le réseau Internetpar les opérateurs de télécoms. Je pourrais dans certains contextes enrichir ce document si je suis sollicité. Il neme reste plus quà vous souhaiter bonne utilisation. 6/6 Document rédigé par Azed Hr (Administrateur Systèmes, Réseaux et Sécurité)

×