Exemple DAT

3. Cahier des charges :

3.7 Sécurité des équipements réseaux

La cybercriminalité étant une menace constante et grandissante il est nécessaire de se prémunir contre de potentiels attaques.

C'est ce que nous allons aborder dans cette partie...

2 Possibilités selon l'équipement :

Première méthode : (moins sécurisé)

enable secret <password>

enable est la commande permettant de se connecter en mode privilégé

secret permet de ne pas afficher en clair le mot de passe dans la config de l'équipement et utilise par défaut un hachage md5

Il existe aussi une méthode de hachage plus forte que le md5 qui est le sha256.

Je conseil de le mettre en place le sha256 quand c'est possible.

Deuxième méthode (plus sécurisé)

enable secret .... à vous de faire !

Cette commande permet de définir un mot de passe pour l'équipement réseau

sha256 (Secure Hash Algorithm) fonction de hachage qui permet de sécuriser des informations tel qu'un mot de passe.

Pour l'accès par les techniciens un utilisateur à été créé :

username tech secret <password>
username tech privilege 15

La commande username permet de créer ou gérer l'utilisateur,

L'argument privilège permet d'associer le niveau de droits, 15 étant le niveau maximum

Il est possible de rechercher la configuration d'un élément précis avec l'argument include <recherche>

do sh run | include tech

Ici nous avons rechercher tech dans la "running-config".

La configuration dite running-config est la configuration active utilisé lorsque l'équipement réseau est démarré.

Il est très important de vérifier l'accès aux différentes interfaces réseaux avec la commande :

sh line

On observer les interfaces :

• CTY = port console

• AUX = port auxiliaire

• VTY = ports virtuels

Il est PRIMODRIAL d'attribuer un mot de passe sur l'interface console :

conf t
line con 0
password <password>
login

line con 0 permet de séléctionner le port console

password permet de définir le mot de passe

login permettra d'obliger le mot de passe à la connexion

Si l'on veut utiliser les utilisateurs créés précédemment lors de la connexion il est nécessaire d'utiliser

login local

A vous de réaliser le mot de passe pour line aux 0

Si nous voulons permettre l'administration à distance de nos équipements réseaux il va falloir utiliser un protocole tel que SSH qui permet d'établir une communication sécurisé en Shell.

Prérequis :

• Créer un utilisateur et d'un mot de passe

• Définir un nom de domaine ainsi qu'un nom d'hôte

• L'équipement prenne en charge SSH

Pour définir le nom de domaine sur les équipement :

ip domain-name awoui.fr 

Puis le nom d'hôte :

hostname aw-router-wan-01

Pour pouvoir généré une clef sécurisé pour SSH :

crypto key generate rsa

Il est intéressant de mettre ssh dans sa dernière version :

ip ssh version 2

Définir les lignes d'accès SSH :

Sélection des lignes virtuelles :

line vty 0 2

Il faut indiquer le ssh sera utilise sur ces lignes :

transport input ssh

Comme vu précédemment nous pouvons utiliser les utilisateurs créés pour la connexion :

login local