3. Cahier des charges :
3.7 Sécurité des équipements réseaux
La cybercriminalité étant une menace constante et grandissante il est nécessaire de se prémunir contre de potentiels attaques.
C'est ce que nous allons aborder dans cette partie...
2 Possibilités selon l'équipement :
Première méthode : (moins sécurisé)
enable secret <password>
enable est la commande permettant de se connecter en mode privilégé
secret permet de ne pas afficher en clair le mot de passe dans la config de l'équipement et utilise par défaut un hachage md5
Il existe aussi une méthode de hachage plus forte que le md5 qui est le sha256.
Je conseil de le mettre en place le sha256 quand c'est possible.
Deuxième méthode (plus sécurisé)
enable secret .... à vous de faire !
Cette commande permet de définir un mot de passe pour l'équipement réseau
sha256 (Secure Hash Algorithm) fonction de hachage qui permet de sécuriser des informations tel qu'un mot de passe.
Pour l'accès par les techniciens un utilisateur à été créé :
username tech secret <password>
username tech privilege 15
La commande username permet de créer ou gérer l'utilisateur,
L'argument privilège permet d'associer le niveau de droits, 15 étant le niveau maximum
Il est possible de rechercher la configuration d'un élément précis avec l'argument include <recherche>
do sh run | include tech
Ici nous avons rechercher tech dans la "running-config".
La configuration dite running-config est la configuration active utilisé lorsque l'équipement réseau est démarré.
Il est très important de vérifier l'accès aux différentes interfaces réseaux avec la commande :
sh line
On observer les interfaces :
CTY = port console
AUX = port auxiliaire
VTY = ports virtuels
Il est PRIMODRIAL d'attribuer un mot de passe sur l'interface console :
conf t
line con 0
password <password>
login
line con 0 permet de séléctionner le port console
password permet de définir le mot de passe
login permettra d'obliger le mot de passe à la connexion
Si l'on veut utiliser les utilisateurs créés précédemment lors de la connexion il est nécessaire d'utiliser
login local
A vous de réaliser le mot de passe pour line aux 0
Si nous voulons permettre l'administration à distance de nos équipements réseaux il va falloir utiliser un protocole tel que SSH qui permet d'établir une communication sécurisé en Shell.
Prérequis :
Créer un utilisateur et d'un mot de passe
Définir un nom de domaine ainsi qu'un nom d'hôte
L'équipement prenne en charge SSH
Pour définir le nom de domaine sur les équipement :
ip domain-name awoui.fr
Puis le nom d'hôte :
hostname aw-router-wan-01
Pour pouvoir généré une clef sécurisé pour SSH :
crypto key generate rsa
Il est intéressant de mettre ssh dans sa dernière version :
ip ssh version 2
Définir les lignes d'accès SSH :
Sélection des lignes virtuelles :
line vty 0 2
Il faut indiquer le ssh sera utilise sur ces lignes :
transport input ssh
Comme vu précédemment nous pouvons utiliser les utilisateurs créés pour la connexion :
login local
Comments