configuration avancee et securisation r cisco

8/7/2019 Configuration Avancee Et Securisation r Cisco

1/15

Rsum

Cet article vous aidera configurer votre routeur CISCO. Cetteconfiguration sera effectue dans un rseau LAN. Nous verrons commentSECURISER votre rseau en abordant de manire succincte les diffrentes

attaques et leurs parades. Cet article dcrit ligne aprs ligne un fichier deconfiguration.

Sommaire

Introduction 1 Configuration gnrale du routeur. 2 Configuration des interfaces sries. 3 Configuration des interfaces Ethernets (Vlan). 4 Configuration du routage (EIGRP) 5 Configuration des services

o 5.1 Configuration du service DHCPo 5.2 Configuration du service HTTP

6 Les access-list 7 Configuration des liaisons et de lidentification. 8 Crdit Conclusion

Introduction

Le but de cet article est de configurer proprement un routeur cisco. Afindavoir une vue plus rapide sur lensemble des options, nous allons analyser un fichier de configuration ralis dans le cadre dun projet IS1.

Pourquoi scuriser un routeur ? Pour renforcer la scurit dun rseaubien videment . Cest pour cela que nous allons essayer de voir la plusgrande partie des options qui le permettent et que certaines peuvent paraitreun peu extreme . Cependant, il ne faut pas perdre de vue que si voussubissez une attaque avec du matriel cisco, votre pirate est soit quelqu'unconnaissant parfaitement IOS soit un parfait inconscient. Le premier cas, le

plus probable, oblige envisager le plus de cas de figures possibles.

Nous nous sommes volontairement limiter un trafique en interne sansaccs internet.

1 Configuration gnrale du routeur.

!Commentaires propre au fichier de configuration du routeur.

Version 12.4Version de lIOS utilis.
http://www.supinfo-projects.com/fr/2006/conf_routeur/introductionhttp://www.supinfo-projects.com/fr/2006/conf_routeur/introductionhttp://www.supinfo-projects.com/fr/2006/conf_routeur/1http://www.supinfo-projects.com/fr/2006/conf_routeur/2http://www.supinfo-projects.com/fr/2006/conf_routeur/2http://www.supinfo-projects.com/fr/2006/conf_routeur/3http://www.supinfo-projects.com/fr/2006/conf_routeur/4http://www.supinfo-projects.com/fr/2006/conf_routeur/5http://www.supinfo-projects.com/fr/2006/conf_routeur/6http://www.supinfo-projects.com/fr/2006/conf_routeur/7http://www.supinfo-projects.com/fr/2006/conf_routeur/7http://www.supinfo-projects.com/fr/2006/conf_routeur/8http://www.supinfo-projects.com/fr/2006/conf_routeur/conclusionhttp://www.supinfo-projects.com/fr/2006/conf_routeur/1http://www.supinfo-projects.com/fr/2006/conf_routeur/2http://www.supinfo-projects.com/fr/2006/conf_routeur/3http://www.supinfo-projects.com/fr/2006/conf_routeur/4http://www.supinfo-projects.com/fr/2006/conf_routeur/5http://www.supinfo-projects.com/fr/2006/conf_routeur/6http://www.supinfo-projects.com/fr/2006/conf_routeur/7http://www.supinfo-projects.com/fr/2006/conf_routeur/8http://www.supinfo-projects.com/fr/2006/conf_routeur/conclusionhttp://www.supinfo-projects.com/fr/2006/conf_routeur/introduction


2/15

service timestamps debug uptimeservice password-encryptionno service configno service pad

no ip bootp server no ip finger no service tcp-small-serversno service udp-small-servers service timestamps debug uptime:Mise en place dun systme de temps en milliseconde pour le debugage et lelogging. service password-encryption :IOS utilise du cryptage pour le mot de passe douverture dune session enTelnet. no service config :Dsactive les demandes en TFTP de vrification de mise jour. Ce trafiqueest volumineux et ajoute des logs inutiles sur les machines server FTP et sur le routeur. De plus ceci cr du trafique supplmentaire en cas de monitoring.

no service pad:Cette commande dsactive le service dassembleur/dsassembleur depaquets (PAD) et les connexions entre des priphriques PAD et desserveurs daccs. Source Cisco. no ip bootp server :Cette commande dsactive le service BOOTP qui autorise le routeur configurer automatiquement au dmarrage les informations Internetncessaires partir dun serveur central, y compris le tlchargement dulogiciel Cisco IOS. Source Cisco.Une attaque existe ce niveau :

- Lors dun redmarrage forc dun routeur celui-ci peut aller chercher une version modifie et charger la configuration modifie.

no ip finger:Cette commande dsactive lidentification des utilisateurs connects unpriphrique rseau.Bien que ces informations ne soient pas trs sensibles, elles peuvent parfoistre utiles un pirate. Source Cisco. no service tcp-small-servers,no service udp-small-servers :Par dfaut dans IOS 11.3 et suprieur: inutile. Source Cisco. hostname routerA

Dfinition du nom dhte du routeur. Change le prompte de commandegalement.
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.html


3/15

enable secret 5 %WhizZ@070458%AMise en place de cryptage MD5 pour le mot de passe.Commande :enable-password restreint l'accs au mode EXEC privilgi.enable-secret password ( partir de la console de configuration systmeservant dfinir les paramtres globaux) utilise un procd de chiffrementpropritaire de Cisco pour transformer la chane de caractres du mot depasse.

Ip subnet-zeroAutorise ladressage avec une adresse de sous-rseaux. Ip cef Cette commande autorise le network accounting of Cisco ExpressForwarding (CEF). CEF est une fonctionnalit permettant deffectuer de lacommutation de niveau 3 et la mise en cache des routes. A nutiliser quavecune version postrieure IOS 12.2T : avec les versions prcdentes, on peutrcuprer une partie des donnes prcdemment traites par l'quipementaffect grce l'envoi de paquets mal forms. Source Cisco. Source Gouvernement . Commande :ip cef accounting [per-prefix ] [non-recursive ]no ip cef accounting [per-prefix ] [non-recursive ]

Per-prefix et non-recursive sont optionnels.Per-prefix accepte une collection de nombre de packetsde bites transmis une destination.

Non-recursive accepte le mode non rcursif (sur les prfixes)de la commande.

no cdp run no cdp run :

On ne met pas en marche le protocole de Cisco de dcouverte du rseau.Ceci vite du trafique et permet dviter toute interception / modificationdinformations.

2 Configuration des interfaces sries.

interface Serial0description interface routeur batiment Aip address 192.168.2.129 255.255.255.252

no ip directed-broadcastclock rate 128000
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-045/index.htmlhttp://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-045/index.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-045/index.htmlhttp://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-045/index.html


4/15

bandwidth 128ip verify unicast reverse-pathip access-group 100 inip access-group 101 in

no ip directed-broadcast : permet dviter la rponse des attaques detypes "dni de service" ICMP.

A attaque B en envoyant D un packet ICMP echo request avec enadresse de retour B. Imaginez la mme chose, avec un nombre n demachine la place de D et un envoie de A en broadcast. Tous lesordinateurs vont renvoyer un packet ICMP echo response B.

clock rate 128000 : Dfinit du ct DCE dune interface serial la frquencede cette dernire.

bandwidth 128 : Dfinit la bande passante relle dune liaison en kb.s^-1.Cette information est utilise par les protocoles de routage dansles calculs de mtrique. Dun point de vue scurit, il estimportant de les dfinir car ceci permet dviter avec certainsprotocoles de routage des attaques visant dstabiliser lerseau. Les pirates floodent le rseau, faussent les calculs demtrique et obligent utiliser des liaisons lentes.

ip verify unicast reverse-path : On met en place ici l'algorithme de cisco

vrifiant le spoufing d'adresse ip Unicast Reverse PathForwarding (Unicast RPF).

ip access-group 100 in :On associe chaque interface du routeur une ACL ou access-liste ou rglede filtrage ip (niveau 3). On peut aussi prciser le sens du trafic selon qu'onsouhaite que l'ACL s'applique aux paquets entrant dans le routeur ou bienaux paquets sortant du routeur par une interface donne.


5/15

Prenons lexemple dune ACL de type access-list 100 deny ip any any quisur linterface A du routeur est de type in, tout le trafique arrivant sur cetteinterface ne sera pas accept. Prenons lexemple dune ACL de type access-list 101 permit tcp192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 53 qui sur linterface Bdu routeur est de type out, tous le trafique partant de cette interface et allantvers les rseaux agrgs par cette adresse sur cette interface ne sera pasaccept.

Les ACL ne sappliquent pas au trafic cr par le routeur mais celuitransitant par le routeur.

3 Configuration des interfaces Ethernets (Vlan).

interface FastEthernet0/0.1description interface vlan developpeursip address 192.168.0.1 255.255.255.128ip access-group 12 inip verify unicast reverse-pathno ip directed-broadcastno ip redirectsno ip unreachablesno ip source-routeno ip proxy-arpencapsulation dot1q 2

no shutdown

no ip redirects : Cette commande empche linterface externe de rediriger les requtes ICMP ICMP redirect .

ip verify unicast reverse-path : Trs important / !\. Cette commandeempche le spoofing dadresse IP. Lespoofing dadresse IP est utilis notammentdans la technique dattaque : Man in theMiddle . Un exemple de cette attaque :


6/15

A va envoyer une demande au serveur B (trame unicast) en tantintercept par C. C lui vole son adresse ip, demande linformation B etrcupre linformation en tant que client authentifi. Un bon pirate renverralinformation A, Et ainsi personne ne sapercevra que linformation a tintercepteOn peut imaginer ce scnario o B est un serveur de mailAvec notre protection, C ne pourra prendre ladresse de A, et ainsi recevoir les informations de B.

Cette attaque (la plus classique) possde plusieurs subtilits :

- Les pirates peuvent changer 255 fois leur ttl. Le champ TTL (Time ToLive) est cod sur 8 bits et indique la dure de vie maximale du paquet.Il reprsente la dure de vie en seconde du paquet. Si le TTL arrive 0, alors l'quipement qui possde le paquet, le dtruira. Il est important

pour cela de sniffer le rseau, et en cas dattaque de ce type, riposter en bloquant le rseau (flouder le routeur vulnrable) pour avoir letemps danalyser le rseau.

- Les pirates ne feront pas de traceroute avant pour viter le log delattaque (en effet, celle-ci est violente du fait quelle utilise une trameunicast. Donc pas perceptible par une IDS simple.

- Les pirates testeront toutes les interfaces (LAN et DMZ) mme si ilssont sur le LAN car, IOS dans ces vieilles versions ne scurise par desACL que les interfaces WAN.

Remarque : Ip cef doit tre activ pour mettre en place lanti-spoofing.


7/15

no ip directed-broadcast :Cette commande applique sur chaque interface du routeur a pour effet de nepas propager les broadcasts dirigs. C'est la configuration par dfaut partir de la version IOS 12.0.

no ip unreachables :cette commande vite de renvoyer les packet ICMP non corrects ou dont leshtes sont inaccessibles. Techniquement, on vite de renvoyer les messagesderreur ICMP "unreachables". On effectue ceci afin dviter toutparcours/dcouverte du rseau avec des packets ICMP.

No ip proxy-arp :Dsactivation du proxy arp.

Remarque : Normalement, ARP est confin un LAN, mais un routeur peut secomporter comme un proxy pour les demandes ARP, rendant ainsi ces derniresdisponibles sur plusieurs segments du LAN. Dans la mesure o le proxy ARP franchit la barrire de scurit du LAN, il est recommand de ne lutiliser quentre deux

LAN Guide de lutilisateur de Cisco Router and Security Device Manager 2.1

no ip source-route:Cette commande dsactive le routage source qui permet lexpditeur dundatagramme IP de contrler le routage du datagramme vers sa destinationfinale, et gnralement, litinraire suivi par la rponse. Ces options sontrarement utilises des fins lgitimes dans les rseaux. Source Cisco.Une attaque existe ce niveau :

- Les paquets routs peuvent bloquer des machines avec leur datagramme.

Encapsulation dot1q 2 :type dencapsulation pour le vlan numro 2.

Lencapsulation dot1q2 contient (par rapport lISL) un en-tte tag de 4 octetsqui contient un identifiant du protocole de tag (TPID) et une information decontrle du tag (TCI). Le TPID contient une constante qui indique que laframe porte des informations tagger laide du protocole 802.1q. Le TCIcontient des lments fixant la priorit et le numro didentification du VLAN.Des informations complmentaires sont disponibles dans lessentiel CCNA3du laboratoire SUPINFO des technologies Cisco.

Explication dune trame :

Prambule SFD @ Dest @Src TPID TCI TYPE RIF Donnes FCS
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.html


8/15

TPID : Dsigne le type de tag. Il permet par exemple au switch didentifier latrame comme comportant un tag 802.1Q (norme de lencapsulation dot1q). TCI :

User Priority Source Routing VID : Vlan Identifier User_priority permet de dfinir huit niveaux de priorit. Lorsquil est positionn 1, le bit CFI indique que les adresses MAC sont bien au format standard. Lechamp VID dsigne le Vlan auquel appartient la trame.

Diffrentes attaques existent ce niveau :- les attaques par saturation de la tables dadresses mac dun switch

par vlan que les catalyste grent trs bien : ils ne se comportent pas enhub une fois la table sature.

- Lenvoie de trames forges avec des tags 802.1q, les switchs CISCOne les dtaguent pas et vont considrer le port cibl comme un trunk :cette attaque est possible avec de lencapsulation ISL et permetdaccder aux autres VLAN. On dsactive le DTP (Dynamique porttrunk) ou on utilise une encapsulation dot1q (lefficacit de cettedernire mesure dpend du reste de lenvironnement).

- Attaque sur le Spanning Tree de type deni (explique plus haut) oulinjection de BPDU (Bridge Protocol Data Unit) forcant ainsi la mise

jour des topologies rseaux et le rendant inoprant.On active sur les composants de niveau 3 de notre topologie BPDUGuard et ROOT guard. On peut dsactiver le spanning tree au niveau

des ports dun routeur non connect des switchs.

Ce type dencapsulation de dot1q apporte un peu plus de scurit car latrame est modifie par lquipement en interne (externe pour lISL) et le vlannest pas tagu, seul son numro ressort dans une analyse de trame, on nepeut donc pas le rcuprer. Il est de plus support par les acces point .

4 Configuration du routage (EIGRP)

router eigrp 2032network 192.168.0.0no auto-summaryip split-horizon 2032neighbor 192.168.2.130 Serial0passive-interface FastEthernet0passive-interface FastEthernet0/0.1

passive-interface FastEthernet0/0.2passive-interface FastEthernet0/0.3


9/15

ip authentication mode eigrp 2032 md5ip authentication key-chain eigrp 2032 RouterA

! router eigrp 2032 :

Cette Commande met en place le routage avec le protocole Eigrp et unnumro dAS gale 2032. network 192.168.0.0 :Cette commande permet de prciser ladresse du rseau sur lequel se portele routage. ip split-horizon 2032 :

Cette commande permet de ne pas redonner un routeur A de la part dunrouteur B une route apprise par lui-mme.

Si ceci arrivait, la mtrique serait modifie (+2) : Cest surtout en casde casse dune liaison ; le routeur A pensera ainsi que le routeur B possde la

meilleure route et ainsi le rseau deviendrait HS.De plus les mises jour de routeur se trouveraient de plus en pluslourdes, et pour peu que ces dernires soient forces lors dune attaque, lesrouteurs arriveraient saturation. neighbor 192.168.2.130 Serial0:On prcise ici manuellement les voisins pour le protocole eigrp.

no auto-summary :On interdit la mise jour automatique de la table de voisinage du protocoleeigrp: le rseau nallant pas voluer: on empche ainsi tout envoidinformations errones ! Pour la suite on fera comme si on avait lacommande auto-summary qui permet ainsi denvisager le cas plusfrquent de mise jour automatique. passive-interface FastEthernet0:On empche ainsi quune route soit diffuse par cette interface.

ip authentication mode eigrp 2032 md5ip authentication key-chain eigrp 2032 RouterA:Cette commande met en place lauthentification avec un cryptage md5 pour lamise jour.


10/15

key chain RouterAkey 1key-string c1sC0@e%7

Ces paramtres dfinissent le mot de passe utilis par les mises jour eigrp.

ip classlessOn prcise ici que le routage est de type classless (agrgation des routes). ip route 0.0.0.0 serial0On prcise ladresse de la route par dfaut.

5 Configuration des services

5.1 Configuration du service DHCP ip domain-name projet-is1.comCette commande prcise le domaine par dfaut utilis par le routeur pour complter les noms devant ltre. Rfrence Cisco . ip dhcp excluded-address 192.168.0.129Cette commande exclut ladresse 192.168.0.129 des adresses alloues par leserveur DHCP ici prsent. ip dhcp pool developpeursnetwork 192.168.0.0 255.255.255.128default-router 192.168.0.1

domain-name projet-is1.comdns-server 80.10.246.130 80.10.246.3lease 30!ip dhcp ping packets 1ip dhcp pool developpeurs :Crer un nom pour le pool dadresse DHCP et nous place en mode deconfiguration DHCP. network 192.168.0.0 255.255.255.128:Spcifie le sous-rseau et son masque de rseau pour le pool en

configuration. default-router 192.168.0.1 :Spcifie ladresse IP du routeur par dfaut du client DHCP. Une adresse IPest obligatoire, 8 au maximum. Netbios-name-server 192.168.X.X : (optionnel)Spcifie le serveur Netbios Wins par dfaut pour un rseau microsoft. Uneadresse IP est obligatoire, 8 au maximum. domain-name projet-is1.com:Spcifie le nom de domaine pour le client.
http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a00800c525f.shtmlhttp://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a00800c525f.shtmlhttp://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a00800c525f.shtml


11/15

dns-server 80.10.246.130 80.10.246.3:Spcifie le serveur dns pour le client. ip dhcp ping packets 1 :Dfinit le nombre de paquets envoys par le serveur un pool dadresse

avant dassigner une adresse un client.Rappel :

En rduisant le nombre de paquet, on ne rduit pas la connexion car si lepaquet se perd, le client relancera une demande, mais on rduit le nombre depaquets ICMP. Monitorer le rseau devient plus facile. Une solution consiste donner un nombre de paquets autre que 2 (valeur par dfaut) afin depouvoir rechercher facilement les tentatives dmulation de serveur DHCP. Remarque : Si vous appliquez une access-list (un filtre) en entre sur votreinterface LAN, veillez bien ne pas interdire le port UDP 68. En effet, larequte DHCP provenant des PC, se fait sur ce port. Source Supinfo

lease 30 :Dclaration dun bail de 30 jours.

5.2 Configuration du service HTTP ip http secure-server ip http access-class 11!ip ssh time-out 30ip ssh authentication-retries 2ip ssh version 2

!username sshadm password @dm1nSSH!v2A ip http secure-server :Activation du server web scuris. ip http access-class 11:Mise en place dune ACL filtrant laccs du serveur scuris. (access-list 11permit 192.168.2.0 255.255.255.224).
http://forum.labo-cisco.com/viewtopic.php?t=4540http://forum.labo-cisco.com/viewtopic.php?t=4540


12/15

Remarque : On peut ici effectuer des injections de code html au niveau deloption dump du serveur http. Source Cisco .

La solution consiste tout dsactiver ; commandes :# no ip http server # no ip http secure-server # no ip http active-session-modules WEB_EXEC# no ip http secure-active-session-modules WEB_EXEC

On choisi dans notre cas de restreindre trs fortement laccs auserveur.

ip ssh time-out 30:Dfinit un dlai dattente SSH de 30 secondes, le serveur coupera lesconnections SSH incompltes au bout de 30 secondes. Rfrence Cisco .

ip ssh authentication-retries 2 :Cette commande autorise jusqu 2 tentatives de connexion SSH avant deverrouiller cette accs au routeur. Rfrence Cisco . ip ssh version 2:Cette commande spcifie lutilisation de la version 2 de SSH. username sshadm password @dm1nSSH!v2A:Cration dun utilisateur avec son mot de pass pour laccs au site. no snmp-server

Cette commande permet de dsactiver le protocole SNMP v1 (SimpleNetwork Management Protocol. SNMP v1 est utiliser pour monitorer lesrouteurs. Il ny a plus de problme partir de la version 3.Cisco recommande de dsactiver ce protocole. Rfrence Cisco .Le type dattaque est :

- Rcupration des chaines dauthentification (chainescommunautaires). Envoyes sur le rseau de manire non cryptes eten grands nombres, il est facile par recoupement de trame de retrouver les paramtres de connexion dans les datagrammes.

Remarque : on peut mettre une access-list sur l'accs aux informationspropages par le serveur SNMP. Commande :

snmp-server community snmp1pub RO 1! o 1 est le numro de lACL.

6 Les access-list

access-list 11 permit 192.168.2.0 255.255.255.224access-list 11 remark ACL pour les accs administrateurs SSH, SNMP etHTTPSaccess-list 12 permit 192.168.0.0 255.255.255.128

access-list 12 remark ACL pour le vlan developpeursaccess-list 13 permit 192.168.0.128 255.255.255.192
http://www.cisco.com/warp/public/707/cisco-sa-20051201-http.shtmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/warp/public/707/cisco-sa-20051201-http.shtmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.htmlhttp://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_command_reference_book09186a0080080c6c.html


13/15

access-list 13 remark ACL pour le vlan graphistesaccess-list 14 permit 192.168.0.0 255.255.255.0access-list 14 remark ACL pour les serveurs et imprimantes communsaccess-list 100 permit udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255eq 53

access-list 100 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255eq 53access-list 100 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255eq 25access-list 100 permit udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255eq 110access-list 100 permit udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255eq 80access-list 100 permit udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255eq 443access-list 100 deny ip any anyaccess-list 100 remark Internet only WEB, MAIL, DNSaccess-list 101 permit ip 192.168.0.128 0.0.0.63 host 192.168.2.33access-list 101 remark Connexion au serveur de tickets Les acces-list ici dfinies sont celles utilises pour configurer notre rseau.Rappel :

Les ACL filtrent chaque datagramme IP partir de l'adresse IP de lasource, l'adresse IP de la destination, le protocole utilis et le port dedestination du paquet. Pour plus dinformations concernant ce pr requis,www.labo-cisco.com

Soit 2 exemples :

access-list 12 permit 192.168.0.0 255.255.255.128 :Cette commande est une access-list simple (numro daccess-list entre 1 et99). Le routeur permet le transit de paquets en provenance de 192.168.0.0avec un wildcard 255.255.255.128 access-list 100 deny udp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq80 :

Cette commande est une access-list tendue (numro daccess-list entre 100et 199). Le routeur refuse le transit de paquet en provenance de 192.168.0.0avec un masque 0.0.0.255 (wild mask) destination de tout sur le port 80.Ceci est un exemple illogique. Remarque: Afin dviter le spoofing dadresse ip, on peut mettre en place uneACL (sur les interfaces extrieures) comme suit: Source internetaccess-list 100 deny ip 127.0.0.0 0.255.255.255 anyaccess-list 100 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 100 deny ip 224.0.0.0 31.255.255.255 anyaccess-list 100 deny ip host 0.0.0.0 anyaccess-list 100 deny ip host 255.255.255.255 anyaccess-list 100 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 100 deny ip 172.16.0.0 0.0.255.255 any
http://www.supinfo-projects.com/edit/www.labo-cisco.comhttp://www.alaide.com/cours/reseaux/reseaux_locaux/?f=tcpip/securiterouteurshttp://www.supinfo-projects.com/edit/www.labo-cisco.comhttp://www.alaide.com/cours/reseaux/reseaux_locaux/?f=tcpip/securiterouteurs


14/15

access-list 100 deny ip numro-sous-rseau masque-sous-rseau anyaccess-list 100 permit ip any any

Il sagit en fait de limplmentation de la RFC 1918 sur les adresses prives.

7 Configuration des liaisons et de lidentification.

banner motd ^Warning - Do not login on this equipment if you are not authorized. ^banner login #Warning - Do not login on this equipment if you are not authorized. ^Cette commande spcifie le message qui intervient en cas derreur de loginsur le routeur.En ralit, il est trs important de spcifier ce message, il sagit ici de notre

protection juridique, protection dont peu dinformaticiens se soucient.On peut notamment faire rfrence aux articles 323-1 et 323-7 du code pnalconcernant linterdiction de pirater un systme informatique et les sanctionsprises en cas dintrusions.

line console 0login

password %c1sc0@L3sK1lL3rS%Aexec-timeout 70 0

Cette commande permet de protger la ligne console par une authentificationavec ici un mot de passe un peu compliqu, mais il ne faut pas hsiter lefaire : la plus part des attaques ne vienne pas de lextrieur mais de lintrieur.Le chois de scurit sera ici de ne pas limiter le nombre dessais mais depouvoir auditer une tentative qui sera par dfinition trs longue et qui a peu dechance daboutir. exec-timeout 70 0 : Cette commande empche une session de bloquer uneligne.

line vty 0 4access-class 11 inlogin localtransport input sshCette commande permet ici de protger laccs en TELNET. Au-del duneauthentification en local inutile, une ACL limite laccs, et seul le traffique sshest autoris. On rappel que le serveur https dispose dune authentificationpousse.

8 Crdit

Le fichier de configuration ici expliqu provient dun projet ralis dansle cadre dtudes Supinfo, il a t ralis par Franois Ropert www.labo-
http://www.labo-cisco.com/http://www.labo-cisco.com/


15/15

cisco.com et moi-mme. Je remercie beaucoup Franois pour cescorrections et son aide.

Merci galement Cisco pour les nombreuses ressources quils

mettent notre disposition. www.cisco.com .

Merci galement lensemble de la communaut prsente sur Internet.

Notamment, pour ne citer queux :

http://www.certa.ssi.gouv.fr le site deveilleen scurit du gouvernement.

http://www.alaide.com le site expliquant laRFC 1918.

Conclusion

Peut-on parler de tuning ? NON, il ne sagit que du minimum effectuer en ralit. En effet, dautres mesures peuvent tre prises, ainsi, lespossibilits exploitables sont :

-La mise en place dun serveur FTP recueillant les logs des routeurs.-La mise en place dun audit sur ce serveur FTP.-La mise en place dune analyse en temps rel des trames du rseau (on peutcloner des interfaces en y ajoutant ldition de log en plus)-Lapprofondissement du filtrage SSH que permet IOS.-Lactivation du pare-feu sur les interfaces externes : nous rappelons quedans notre cas, il ny a pas dinterface externe

On rappel quIOS est le logiciel dexploitation le plus utilis aprs

Windows sur internet. Il y a donc pleins dautre rglages possibles, mais il fautbien sarrter un jour.
http://www.labo-cisco.com/http://www.cisco.com/http://www.certa.ssi.gouv.fr/http://www.alaide.com/http://www.labo-cisco.com/http://www.cisco.com/http://www.certa.ssi.gouv.fr/http://www.alaide.com/

configuration avancee et securisation r cisco

Documents