Configuration de base d’un routeur Cisco

Définition de la politique de sécurité du routeur

La politique de sécurité d‟un routeur dans une entreprise est une exigence qui découle de la politique appliquée sur le Système d‟information. La politique ne donne fruit que lorsqu’on a une stratégie de sécurité dans l‟entreprise. La stratégie de sécurité, qui est une déclaration formelle des règles qui doivent être respectées par les personnes ayant accès aux ressources technologiques et données vitales de l‟entreprise, définit un ensemble de fonctions qui participe à réussite et la mise en place d‟une telle politique de sécurité.

Les check-lists DISA de sécurité Routeur Cisco

La politique de sécurité pour un routeur la plus recommandée est celle de DISA (Defense Information Systems Agency) qui définit une ensemble de exigences et des procédures pour la sécurité d‟un routeur Cisco. Cette liste doit être utilisée pour l’audit d’un environnement qui comporte des routeurs Cisco. La liste de contrôle fournit les considérations de sécurité lors d’un audit technique et exclut les considérations d’emploi, comme des considérations de sécurité physique. Avant d’utiliser cette considération liste de contrôle devrait être donnée à ce qui suit :
 Emplacement du routeur: Il est important de vérifier l’emplacement du routeur sur le réseau car cela a un impact sur certains éléments de sécurité, par exemple désactivation du service SSL n’est pas appropriée lorsque le routeur est de routage du trafic vers un serveur web externe.  Aspect pratique des recommandations de sécurité: La liste des listes des considérations de sécurité de nombreux, qui ne peut être pratique, car elle pourrait nuire aux performances du réseau. Il est important de déterminer le risque de ne pas avoir attribué à certains éléments de sécurité et si la direction a décidé d’accepter le risque de ne pas avoir ces éléments.  Atténuer les contrôles: Le contrôle des routeurs Cisco ne peut pas être effectuée dans le vide. L’auditeur doit prendre en compte l’impact de la sécurité dans d’autres éléments, par exemple pare-feu, système d’exploitation hôte, etc Une faiblesse en matière de sécurité au niveau du routeur peut être atténué par un contrôle rigoureux au niveau du firewall par exemple filtrage des ports qui ne sont pas 80,23, etc  Interopérabilité: Dans des circonstances où le routeur utilise la fonctionnalité d’autres éléments dans l’environnement par exemple un serveur syslog pour enregistrer les événements de routeurs Cisco ou une station de gestion SNMP, l’auditeur doit examiner la sécurité sur les autres éléments. Cette liste ne fournit pas les considérations de sécurité pour ces autres éléments.  Applicabilité des considérations de sécurité: Cette liste de contrôle pour les tentatives de fournir une liste complète de tous les éléments de sécurité à considérer lors d’une vérification du routeur Cisco, cependant, dans certains environnements certains éléments peuvent ne pas être applicable, par exemple dans un environnement Windows, il n’est pas nécessaire de se préoccuper de filtrer les services rlogin ou ssh.  Serveurs de réseau: Cette liste ne comprend pas les considérations de sécurité pour le système d’exploitation exécutant TACACS ou RADIUS. 2.2 Les étapes d’une politique de sécurité réseau.
Une politique de sécurité d‟un routeur doit passer par les étapes suivantes :
1. Gestion de la sécurité routeur (mesures de sécurité de bases)
2. Sécurisation des accès administratifs à distances des routeurs
3. Journalisation de l‟activité du routeur
4. Sécurisation des services et des interfaces vulnérables du routeur
5. Sécurisation des protocoles de routage
6. Contrôle et filtrage du trafic
La politique de sécurité peut commencer avant même l‟acquisition et le déploiement du routeur.
Politique d’acquisition Avant d’acquérir un routeur, il convient de définir une politique d’acquisition. – Quelles sont les fonctionnalités auxquelles nous souhaitons que le routeur assure? – Quel constructeur choisir? – Quel est la garantie? – Le support est- il assuré ? – Faut-il un contrat de maintenance ? Ce sont quelques questions dont les réponses doivent figurer dans la politique d’acquisition.
Politique de déploiement ou de mise en œuvre Une fois le routeur acquis, il convient de définir une politique de mise en œuvre. Cette politique devra tenir compte de son installation, de sa configuration et de sa mise en service. Par exemple, il doit être placé dans un endroit sécurisé (accès protégé), derrière un dispositif de protection comme un pare-feu par exemple.
Gestion de sécurité du routeur ou mesures de base de sécurité :  Politique de mot de passe Les routeurs présentent plusieurs types et niveaux d’accès (telnet, ligne virtuelle (vty), http, ligne auxiliaire, mode enable, etc.). Chacun de ces accès est protégé par un mot de passe. Une politique de mots de passe doit être définie et appliquée pour éviter leur compromission. Par exemple, les mots de passe doivent être changés suivant une périodicité (tous les trois mois par exemple). Ils doivent être forts, c’est à dire composé des chiffres, caractères spéciaux (@§!&#), majuscules et minuscules. Ceci permet d’éviter les attaques par dictionnaire ou par force brute.

Politique de durcissement Il convient de définir une politique de durcissement du routeur. Par exemple, en définissant les rôles et responsabilités des différents intervenants (administrateur réseaux, fournisseurs, etc.), les services et comptes inutiles à désactiver, les types d’accès autorisés, la politique de sauvegarde de la configuration, etc… .
Politique de journalisation Un routeur étant un équipement sensible, il est important de le surveiller afin d’avoir une idée sur ses différentes activités (trafic, connexion, etc.). Cette surveillance passe par les fichiers journaux générés par celui ci. Il convient donc de définir une politique de journalisation. Par exemple, comment doivent être utilisé les fichiers journaux, où doivent-ils être stockés ? L’envoi des fichiers journaux (log) vers un serveur centralisé (syslog par exemple) doit être sécurisé, une sauvegarde d‟une copie des logs doit être réalisée.

Application de la politique de sécurité

Sécurisation mots de passe et privilèges  Configuration des mots de passe de routeur Cette commande permet d‟attribuer un mot de passe pour le mode configuration
 Chiffrement de mot de passe Cette commande permet de secret le mot de passe
 Activer le service de cryptage
 Application d’une longueur de mot de passe minimale
 Utilisateurs et niveaux de privilèges Les configurations d’accès vues précédemment se limitent à empêcher n’importe qui d’accéder à des services statiques. L’lOS Cisco permet toutefois de définir des tables d’utilisateurs et de leur accorder jusqu’à 16 niveaux (de 0 à 15) de privilèges (définir, par exemple, les commandes accessibles par privilège). Lorsque les services sont restreints par défaut, c’est le plus haut niveau qui est défini (15) – Niveau de privilège 1 = le niveau par défaut pour la connexion, – Niveau de privilège 15 = privilégiés (invite routeur #), le niveau après la mise en activer le mode, – Niveau de privilège 0 = niveau de privilège rarement utilisé, mais comprend 5 commandes: désactiver, activer, la sortie, Aide et Déconnexion. 3.2 Désactiver les services et interfaces non utilisés Un certain nombre de services peuvent être activés sur le matériel Cisco. Selon les versions de l‟IOS ces services sont activés par défaut, mais sont bien souvent inutiles  Finger Ce service peut révéler à une personne mal intentionnée et non autorisée des informations sur les utilisateurs connectés. :
 UDP small server et tcp small server Ces deux services représentent les services echo, chargen, discrad et daytime avec les protocoles UDP et TCP. Ces services peuvent être exploités pour obtenir indirectement des informations sur le système cible ou effectuer des Dénis de services.
 Bootp Bootp est un protocole permettant à une machine de booter sur le réseau. Ce service permet à un routeur d‟être utilisé comme serveur Bootp pour les autres routeurs.
 Requêtes TFTP Les routeurs Cisco émettent des requêtes TFTP à intervalles réguliers pour vérifier l‟intégrité de leur configuration. Cela peut présenter un risque de sécurité, il est conseillé de le désactiver.
 Cisco Discovery Protocol CDP est un protocole activé par défaut sur le matériel Cisco fournissant de nombreuses informations sur les équipements voisins comme les interfaces du routeur auxquelles ils sont connectés, leur numéro de modèle, etc. Une personne mal intentionnée pourrait utiliser les informations fournies par CDP pour parvenir à ses fins.
 Proxy arp(En mode de configuration d’interface) Le proxy arp est utilisé sur les routeurs lorsqu‟un PC du réseau ne dispose pas de passerelle pour joindre un autre réseau. Si celui-ci ne dispose pas d‟une adresse de passerelle et possède un masque lui faisant croire être dans le même réseau que l‟hôte du réseau distant, alors il enverra une simple requête ARP pour le joindre et c‟est le routeur qui y répondra grâce au proxy arp. Le routeur se fera donc passer pour la machine distante en répondant à sa place, d‟où le nom proxy arp.
 Désactivé le port auxiliaire Assurer que le port auxiliaire est désactivé avec une configuration similaire à la suivante
Sécuriser l’accès Telnet  1er solution : Limiter l’accès au routeur : Modifier le port d’écoute Telnet Router(config)#line vty 0 4 Router (config)# rotary La commande rotary met Telnet sur le port 3000. Pour spécifier le numéro de port, il est possible d‟ajouter un nombre à 30000.Par exemple rotary 50 changera le port d’écoute à 3050. Limiter l‟accès par Telnet Pour limiter les accès on utilise une Access Liste
La commande Access-List simplifiée n’autorise que le réseau d‟adresse10.0.0.0/24.
La commande Access-Class 10 active l’Access-List 10 sur les vty 0 à 4. Enfin, il est recommandé de mettre une temporisation pour déconnecter la session en cas d’inactivité, à l’aide de la commande Exec-Timeout mm ss où mm est le temps en minute et ss le complément en secondes.  2eme solution: T.A.C.A.C.S Les authentifications de type TACACS permettent de gérer des comptes individuels d‟accès associés à des types de profils définis, dans lesquels les commandes autorisées sont clairement spécifiées et limitées. On filtre ainsi les classes d‟adresses IP autorisées à accéder au routeur, tout en limitant les temps de connexion au routeur sans activité. Il existe 3 versions, 1 ancienne (époque ARPANET) en UDP, 1 version moins ancienne, en TCP, et une dernière, avec une bonne prise en compte de la sécurité (TACACS+). La dernière version fait bien la séparation entre les trois A : on peut les mettre sur 3 services différents.  Protocole d’authentification : Start Reply : début de transaction entre client (routeur) et serveur Renvoi d’AVP (Attribute Value Pair) par le serveur Request Response, envoi d’autres AVP.  Protocole d’accounting : Start Stop Watchdog More.

Guide du mémoire de fin d’études avec la catégorie rappel sur le protocole TCP/IP

Étudiant en université, dans une école supérieur ou d’ingénieur, et que vous cherchez des ressources pédagogiques entièrement gratuites, il est jamais trop tard pour commencer à apprendre et consulter une liste des projets proposées cette année, vous trouverez ici des centaines de rapports pfe spécialement conçu pour vous aider à rédiger votre rapport de stage, vous prouvez les télécharger librement en divers formats (DOC, RAR, PDF).. Tout ce que vous devez faire est de télécharger le pfe et ouvrir le fichier PDF ou DOC. Ce rapport complet, pour aider les autres étudiants dans leurs propres travaux, est classé dans la catégorie étude des techniques d’attaques réseaux où vous pouvez trouver aussi quelques autres mémoires de fin d’études similaires.

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela rapport gratuit propose le téléchargement des modèles gratuits de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

Introduction Générale
Chapitre1 : Présentation du cadre du projet et généralités sur la sécurité des réseaux
1. Présentation de l‟organisme d‟accueil, POLYGONE
2. Etude de l‟existant
2.1 Présentation du réseau de POLYGONE
3. Approches du travail
4. Les exigences de la sécurité des réseaux
5. Rappel sur le protocole TCP/IP
5.1 Présentation du modèle TCP /IP
5.2 Couche application
5.3 Couche transport
5.4 Couche internet
5.5 Couche accès réseau
6. Menaces de sécurité courantes
6.1 Faiblesses de sécurité des réseaux
Chapitre 2 : Les routeurs Cisco
1. Rappel sur un routeur
1.1 Architecture des routeurs Cisco
2. Les routeurs et leurs rôles le réseau des PME
2.1 Protéger le réseau avec le routeur
2.2 Vulnérabilité des routeurs
3. Inter network operating System IOS
3.1 Le rôle du système d‟exploitation Inter network Operating System (IOS)
3.2 Méthodes d‟accès à Cisco IOS
3.3 Fichiers de configuration
4. Configuration de base d’un routeur Cisco
4.1 Configuration de base d‟un routeur
4.2 Mode Cisco IOS
4.3 Configuration du nom d‟hôte IOS
4.4 Limitation de l‟accès aux périphériques avec mots de passe
4.5 Configuration d‟une interface
4.6 Les commandes IOS de base
4.7 Vérification de la connectivité
5. Etude des techniques d‟attaques réseaux
5.1 Le sniffing des mots de passe et des paquets
5.2 L’usurpation d’adresse IP
5.3 Les scanners
5.4 Attaque de type  » Deny of Service  »
Chapitre 3 : Politique de sécurité
1. Environnement du Travail
1.1 Environnement Matériel
1.2 Environnement Logiciel
2. Définition de la politique de sécurité du routeur
2.1 Les check-lists DISA de sécurité Routeur Cisco
2.2 Les étapes d‟une politique de sécurité réseau
3. Application de la politique de sécurité
3.1 Sécurisation mots de passe et privilèges
3.2 Désactiver les services et interfaces non utilisés
3.3 Sécuriser l‟accès Telnet
Conclusion Générale
Bibliographie et Nétographie
ANNEXES

Rapport PFE, mémoire et thèse PDFTélécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *