1- Désactiver le service de réinitialisation des mots de passe
Dans certains cas, il peut être nécessaire de désactiver le service qui permet de réinitialiser les mots de passe sur un routeur. Il est important de noter ici que cette désactivation peut avoir des conséquences graves, par exemple, l'obligation de revenir à la configuration par défaut de base (usine) du routeur.
R1(config)# no service passwords-recoveryEn cas de perte de mot de passe, il sera impossible de réinitialiser le mot de passe du super utilisateur. Cette commande fait partie des commandes cachées de l'IOS Cisco. Je vous conseille de l'utiliser uniquement si vous n'avez pas une garantie suffisante au niveau de la maîtrise de l'accès physique de votre routeur.
2- Configurer la longueur minimale d’un mot de passe
R1(config)# security passwords min-length 10
Le routeur n'acceptera pas les mots de passe de moins de 10 caractères.
Le routeur n'acceptera pas les mots de passe de moins de 10 caractères.
3- Limiter le nombre de tentatives de connexions échouées
Afin d'éviter les attaques par dictionnaire et par force brute sur les mots de passe, il faut limiter le nombre de tentatives de connexions sans succès sur votre routeur (dans notre exemple, ce nombre est 4).
R1(config)# security authentication failure rate 4 log
Au bout de 4 tentatives de connexion sans succès en moins d'une minute, les informations seront enregistrées dans le journal des évènements.
R1(config)# login block-for 60 attempts 4 within 10
Au bout de 4 tentatives de connexion sans succès dans un intervalle de 10 seconde, une autre tentative ne sera possible qu'après 60 secondes, car le routeur restera silencieux pendant cette période.
R1(config)# security authentication failure rate 4 log
Au bout de 4 tentatives de connexion sans succès en moins d'une minute, les informations seront enregistrées dans le journal des évènements.
R1(config)# login block-for 60 attempts 4 within 10
Au bout de 4 tentatives de connexion sans succès dans un intervalle de 10 seconde, une autre tentative ne sera possible qu'après 60 secondes, car le routeur restera silencieux pendant cette période.
Pendant cette periode, il sera impossible de se connecter sur le routeur. Ce qui pourrait affecter les administrateurs du routeur ayant les droits. Pour éviter cela, il faudra créer une ACL qui permet aux administrateurs de se connecter pendant cette période de silence (quiet-mode).
R1(config)# ip access-list standard login-permit-adm
R1(config-std-nac)# permit 172.16.20.0 0.0.0.255
R1(config)# exit
R1(config)# login quiet-mode access-class login-permit-adm
R1(config)# ip access-list standard login-permit-adm
R1(config-std-nac)# permit 172.16.20.0 0.0.0.255
R1(config)# exit
R1(config)# login quiet-mode access-class login-permit-adm
4- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)
// Ligne auxiliaire
R1(config)# line aux 0
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit
// Lignes virtuelle
R1(config)# line vty 0 4
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit
5- Autoriser juste les accès distants en SSH (le telnet n'étant pas sécurisé)
R1(config)# line vty 0 4
R1(config-line)# no transport input
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config-line)# no transport input
R1(config-line)# transport input ssh
R1(config-line)# exit
6- Configuration de la sécurité supplémentaire pour les lignes VTY, console et AUX
R1(config)# line vty 0 4
R1(config-line)# exec-timeout 5
R1(config-line)# exit
R1(config-line)# exec-timeout 5
R1(config-line)# exit
R1(config)# line console 0
R1(config-line)# exec-timeout 5
R1(config-line)# exit
R1(config)# line aux 0
R1(config-line)# exec-timeout 5
R1(config-line)# exit
R1(config)# service tcp-keepalives-in
7- Configuration de la sécurité SSH
R1(config)# hostname Ottawa // définition du nom d’hôte)
Ottawa(config)# ip domain-name cisco.com // définition du nom de domaine)
Ottawa(config)# crypto key generate rsa // génération des clés asymétriques
Ottawa(config)# username emabo secret cisco123
Ottawa(config)# ip domain-name cisco.com // définition du nom de domaine)
Ottawa(config)# crypto key generate rsa // génération des clés asymétriques
Ottawa(config)# username emabo secret cisco123
Ottawa(config)# line vty 0 4
Ottawa(config-line)# transport input ssh // configuration de l’authentification locale et VTY
Ottawa(config-line)# login local
Ottawa(config)# ip ssh time-out 10 // configuration des délais d’attente ssh
Ottawa(config)# ip ssh authentication-retries 3 // configuration des délais d'essai à nouveau ssh
Ottawa(config)# ip ssh authentication-retries 3 // configuration des délais d'essai à nouveau ssh
8- Accorder une attention particulière aux vulnérabilités SNMP, NTP et DNS
Pour assurer ses fonctionnalités, un routeur s'appuie sur d'autres services comme comme le
service de résolution des noms. Il se trouve que ces services sont souvent vulnérables. Il
convient donc de s'assurer que les services auxiliaires sur lesquels s'appuie un routeur sont
bien configurer et sécurisé.
service de résolution des noms. Il se trouve que ces services sont souvent vulnérables. Il
convient donc de s'assurer que les services auxiliaires sur lesquels s'appuie un routeur sont
bien configurer et sécurisé.
9- Désactiver tous les services, protocoles et comptes inutiles
R1(config)# no service finger // exemple du service finger
R1(config)# no cdp run // exemple du protocole CDP
R1(config)# no cdp run // exemple du protocole CDP
Aucun commentaire :
Enregistrer un commentaire