Вы находитесь на странице: 1из 88

Sujet :

Scurisation des routeurs Cisco

Elabor par

Tatouh Nejiba Saida Djebbi

Encadr par :
Mr Bayoudh Abdellatif (POLYGONE)

Socit daccueil : POLYGONE

Anne Universitaire : 2010/2011

Remerciements
Au terme de ce travail du projet de fin dtudes, nous tenons exprimer nos sincres remerciements notre encadreur M .Bayoudh Abdellatif, qui na pargn aucun effort pour le bon droulement de ce travail. Nous ont apport leur encouragement, leurs remarques critiques et leur disponibilit. Nos estimes les plus sincres sadressent galement ceux qui sintressent notre travail, en vu dexploiter et particulirement les responsables de la socit POLYGONE. Nous remercions le prsident et les membres de jury en particulier Monsieur le rapporteur de notre rapport pour sa patience et pour tous les conseils quil va nous accorder. Quils acceptent tous nos respectueux remerciements.

Sommaire
Introduction Gnrale....1 Chapitre1 : Prsentation du cadre du projet et gnralits sur la scurit des rseaux...3 1. 2. Prsentation de lorganisme daccueil, POLYGONE...3 Etude de lexistant .3 2.1 Prsentation du rseau de POLYGONE.3

3. Approches du travail .....5 4. Les exigences de la scurit des rseaux..... 6 5. Rappel sur le protocole TCP/IP ....8 5.1 Prsentation du modle TCP /IP8 5.2 Couche application 8 5.3 Couche transport ..11 5.4 Couche internet 12 5.5 Couche accs rseau .13 6. Menaces de scurit courantes... 14 6.1 Faiblesses de scurit des rseaux 14 Chapitre 2 : Les routeurs Cisco .15

1. 2.

Rappel sur un routeur.. 15


1.1

Architecture des routeurs Cisco. 15 Les routeurs et leurs rles le rseau des PME....16

2.1 Protger le rseau avec le routeur ...16 2.2Vulnrabilit des routeurs .....18

3.

Inter network operating System IOS. 18 3.1 Le rle du systme dexploitation Inter network Operating System (IOS).. 19 3.2 Mthodes daccs Cisco IOS ... 20 3.3 Fichiers de configuration. 23

4.

Configuration de base dun routeur Cisco. 24 4.1 Configuration de base dun routeur... 24 4.2 Mode Cisco IOS.26 4.3 Configuration du nom dhte IOS. 29 4.4 Limitation de laccs aux priphriques avec mots de passe.30 4.5 Configuration dune interface32

4.6 Les commandes IOS de base 33 4.7 Vrification de la connectivit . 35 5. Etude des techniques dattaques rseaux ..37 5.1 Le sniffing des mots de passe et des paquets ...37 5.2 L'usurpation d'adresse IP 38 5.3 Les scanners 39 5.4 Attaque de type " Deny of Service " ...39 Chapitre 3 : Politique de scurit .42 1. Environnement du Travail .42 1.1 Environnement Matriel ..42 1.2 Environnement Logiciel... 42 2. Dfinition de la politique de scurit du routeur .45 2.1 Les check-lists DISA de scurit Routeur Cisco....45 2.2 Les tapes dune politique de scurit rseau ...46 3. Application de la politique de scurit..... 48 3.1 Scurisation mots de passe et privilges ..48 3.2 Dsactiver les services et interfaces non utiliss.. 50 3.3 Scuriser laccs Telnet 51 Conclusion Gnrale...66 Bibliographie et Ntographie 67 ANNEXES ..68

Liste des figures


Figure 1 : schma du rseau de la socit POLYGONE 4 Figure 2 : Modle TCP/IP ...8 Figure 3: Fonctionnement du protocole SNMP9 Figure 4 : Architecture interne dun routeur Cisco. 15 Figure.5: Routeur reliant les rseaux locaux ..16 Figure 6 : Routeur externe reliant diffrents site 17 Figure 7 : routeur frontal relie un rseau interne un rseau externe 17 Figure 8 : Cisco IOS (Inter network Operating System) .19 Figure 9 : Vue arrire du routeur Cisco : Les ports daccs. 20 Figure 10 : Fichiers de configuration... 23 Figure 11: lignes configuration routeur... 24 Figure 12 : Proprits de COM1 25 Figure 13 : enregistrement dun fichier texte dans HyperTerminal 26 Figure 13 : Structure de linvite IOS... 27 Figure 14 : Les principaux modes IOS ...28 Figure15 : Configuration du nom dhte IOS ..29 Figure 16 : Configuration le mot de passe de console. 30 Figure 17 : Limitation de laccs Telnet.. 32 Figure 18: Configuration dune interface Ethernet .33 Figure 19 : Commande Ping ...36 Figure 20 : Test la pile de protocoles TCP/IP locale.. 36 Figure 22 : Exemple de scnario dcoute sur le rseau ..37 Figure 23: Usurpation de ladresse IP. 38 Figure 24: Demande dtablissement dune connections TCP 39 Figure 25 : Principe de Syn Inondation ..40 Figure 26: attaque smurf ..41 Figure 27 : Page daccueil dun Packet Tracer 43 Figure 28 : Outils de construire un rseau ...43 Figure 29 : Schma dun rseau... 44 Figure 30 : Configuration des machines. 45 Figure 31 : schma dun rseau avec serveur Taccas ..52 Figure 32: Mise en place dun serveur log (syslog). 57

Introduction Gnrale

Introduction Gnrale
Les rseaux informatiques sont devenus indispensables la bonne marche des entreprises. La croissance acclre de ces rseaux qui sont aujourd'hui de plus en plus ouverts sur Internet, est priori bnfique, pose nanmoins un problme majeur : il en dcoule un nombre croissant dattaques qui peuvent aboutir de graves consquences professionnelles et financires en menaant l'intgrit, la confidentialit et la disponibilit de linformation. Les menaces informatiques peuvent se catgoriser de la manire suivante : Accs physique, Interception de communication, Dtournement ou altration de message, Dni de service(Dos), Intrusion. Afin de pouvoir immuniser un systme contre ces menaces, il est ncessaire de se tenir inform des mises jour des OS et les correctifs des failles , mettre en place des dispositifs (pare-feu, systme de dtection dintrusion, antivirus) permettant de scuriser linfrastructure rseau, de corriger les erreurs de conception et dimplmentation par les constructeurs (comme CISCO, Microsoft) ds que la vulnrabilit est dcouverte. Linfrastructure rseau, qui prsente le primtre du Systme dInformation, est considre comme la premire cible des pirates. Etant donn que la plupart des entreprises dploient des quipements rseaux de marque CISCO, les routeurs de cette marque ont t la cible de plusieurs attaques bases sur lexploitation frauduleuse des configurations. En vue de protger son Systme dInformation, et infrastructure rseau, constitue principalement
Scurisation des routeurs Cisco

protocoles rseaux, ainsi que les failles lies leurs

essentiellement son CISCO, la socit


1

dquipements

Introduction Gnrale POLYGONE a eu le besoin de prvenir les menaces susceptibles de nuire au bon fonctionnement du rseau. Le prsent projet a pour but de dfinir lensemble des attaques ciblant les routeurs CISCO en vue de dceler leurs vulnrabilits pour les corriger en appliquant les rgles de scurit recommandes. Dou le travail demand est : Identifier les failles des routeurs CISCO, Mettre en place les procdures de scurit selon les check-lists de DISA (Defense Information Systems Agency) pour prvenir ces attaques Ce rapport est organis conformment au plan suivant : Le premier chapitre inclut le cadre du projet et un ensemble de concepts thoriques lis la scurit des rseaux. Le deuxime chapitre, comporte la prsentation des routeurs Cisco et leurs vulnrabilits. Le dernier chapitre dcrit la phase de ralisation du projet qui comporte les procdures recommandes pour la scurisation des routeurs.

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

Chapitre1 : Prsentation du cadre du projet et gnralits sur la scurit des rseaux


Introduction
Dans ce chapitre, il sagit de mettre mon travail dans son contexte gnral. La premire section comprend alors la prsentation de lorganisme daccueil et la deuxime, une brve description de la mthodologie du travail adopte suivie des notions thoriques juges ncessaires pour le droulement de notre travail.

1. Prsentation de lorganisme daccueil, POLYGONE


POLYGONE est un acteur dans le domaine de l'intgration de rseau, de la tlphonie, de la vidosurveillance Avec une gamme de produits varie et tendue,

POLYGONE propose des services relatifs aux besoins en tlcommunication, scurit, rseau informatique intgr, rseau sans fil, cblage informatique vidosurveillance. Pour ce faire, il va sans dire que POLYGONE s'est dote de toutes les ressources humaines, techniques et logistiques susceptibles de satisfaire tous les besoins et exigences de la manire la plus efficace et fiable de ses clients. POLYGONE offre aux entreprises des solutions adaptes dans le domaine de la mise en place dun rseau : de cblage informatique, tlphonique, domotique, systme de scurit, plancher surlev

2. Etude de lexistant :
2.1 Prsentation du rseau de POLYGONE
Le rseau de la socit POLYGONE permet de relier chaque ordinateur entre eux via un serveur qui va grer l'accs Internet, les mails, les droits d'accs aux documents partags et le travail collaboratif. Chaque utilisateur du rseau se connecte avec un nom d'utilisateur et un mot de passe et est authentifi par le serveur. L'utilisateur peut accder ses donnes et au partage de fichiers. Le rseau permet la socit de centraliser ses donnes, de travailler en quipe de manire productive.

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

Figure 1 : schma du rseau de la socit POLYGONE Le rseau local dune entreprise reprsente le cur de la majeure partie de l'activit informatique de cette entreprise. Cette considration justifie elle seule d'accorder une attention particulire la scurisation des rseaux locaux. Par ailleurs, il est gnralement estim que la majorit des malveillances informatiques ont une origine complicit interne aux organismes (la malveillance constituant dj la catgorie la plus significative des pertes par rapport aux deux autres : accidents et erreurs). Devant cette spcificit, la socit POLYGONE a eu le ncessit donc essentiel d'examiner dans une optique scuritaire l'infrastructure du rseau local. Il est aise d'chafauder sur le papier des configurations de systmes d'information, scuriss avec les techniques les plus Sophistiques matire de firewalls et de contrles

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

d'accs, mais il est frquent qu'un audit srieux rvle encore de nombreuses insuffisances, notamment sur le plan physique (accs aux quipements, continuit de fonctionnement). Ce sont prcisment des situations de ce type qu'il est ncessaire de prendre en compte dans une conception de rseau local scurise. Les locaux techniques sont des points essentiels du reseau local, sans lesquels il ne peut fonctionner correctement. Ils presentent un point de vulnerabilite important dans la mesure ou ils abritent nombre dappareils sensibles (hubs, routeurs, etc.) et sur lesquels psent des menaces importantes (ecoute, piratage, etc.). Cette tude, a pour but de protger leur infrastructure rseau a travers de dfinir lensemble des attaques ciblant les routeurs CISCO en vue de dceler leurs vulnrabilits, POLYGONE a eu le besoin de prvenir ces menaces susceptibles de nuire au bon fonctionnement du rseau en appliquant les rgles de scurit recommandes.

3. Approches du travail
Etude bibliographique Recherche dinformations sur les menaces informatiques, les failles de scurit des routeurs et des protocoles rseaux et les diffrentes techniques et outils dattaques afin davoir une meilleure ide sur les procdures appliquer. Etude thorique : Etudier les routeurs Cisco et leur configuration, Etudier les attaques possibles ciblant cet quipement, Rechercher un simulateur rseau. Gestion et ralisation du projet : Matrise douvrage et matrise duvre, Rdaction des procdures correspondantes aux choix techniques et fonctionnels, Exploitation des bases scientifiques pour comprendre le mcanisme des

Etude dingnierie

attaques pour pouvoir appliquer les procdures de scurit. Ralisation : Manipulation des configurations du routeur et application des procdures de scurit afin dtablir les rgles de protection ncessaires.

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

4. Les exigences de la scurit des rseaux


Les exigences de scurit et de confidentialit, rsultant de lutilisation dinter-rseaux pour changer des informations confidentielles et commerciales dimportance critique, excdent ce que larchitecture actuelle peut offrir. Cest pourquoi des efforts considrables sont consacrs ce secteur de recherche et de dveloppement pour combattre les failles de scurit inhrentes larchitecture rseau. Les consquences dune violation de la scurit dun rseau peuvent tre les suivantes : Pannes du rseau empchant les communications et les transactions et entranant donc une perte dactivit, Mauvaise utilisation ou perte de fonds personnels ou de lentreprise, Vol dlments de proprit intellectuelle dune entreprise (ides de recherche, brevets ou dessins de conception) ensuite utilise par un concurrent, Communication des dtails de contrats avec des clients des concurrents ou au public entranant une perte de confiance en lentreprise de la part du march , Si le public na plus confiance dans la capacit de lentreprise assurer les niveaux de confidentialit et dintgrit requis, la socit risque de perdre des ventes et mme de faire ventuellement faillite. Pour viter ces consquences graves, il faut assurer: La disponibilit : demande que l'information sur le systme soit disponible aux personnes autorises, La confidentialit : demande que l'information sur le systme ne puisse tre lue que par les personnes autorises, Lintgrit : demande que l'information sur le systme ne puisse tre modifie que par les personnes autorises. Pour tre en mesure de rpondre ces attentes, il est indispensable de garantir la fiabilit de ces quatre lments essentiels constituant un rseau : Les protocoles : Les rgles ou conventions qui dterminent la faon dont les messages sont envoys, orients, reus et interprts, Les messages ou units dinformation qui transitent dun priphrique un autre, Un moyen dinterconnecter ces priphriques, cest--dire un support capable de transporter les messages dun priphrique un autre,

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

Les priphriques du rseau (routeur, commutateur, hub) qui changent des messages entre eux, Protection des quipements :

Il y a un certain nombre de faons de fournir la scurit physique aux quipements. Les pices qui contiennent ces quipements devraient tre sans interfrence lectrostatique ou magntique. Pour aider protger les quipements contre certaines attaques de service et permettre de soutenir la gamme la plus large de services de scurit, les quipements devrait tre configur avec la quantit maximale de mmoire possible. Intgrit des messages : Garantir lintgrit des donnes consiste veiller ce que les informations ne soient pas modifies lors de leur transmission de leur point dorigine leur destination. Lintgrit des donnes peut tre compromise quand les informations ont t corrompues (sciemment ou accidentellement) avant que leur destinataire prvu ne les reoive. Lutilisation de signatures numriques, d'algorithmes de hachage et de mcanismes de somme de contrle contribuent assurer lintgrit de la source et des donnes sur un rseau afin de prvenir toute modification non autorise des informations. Protection du cblage : L'aspect de la scurit physique du rseau le plus souvent ignor est celui du cblage. En effet, si des pirates ont accs des cbles exposs du rseau, ils disposent alors de plusieurs mthodes pour voler les donnes. Sur la plupart des rseaux (de diffusion, tels qu'Ethernet ou jetons), les donnes ne sont jamais envoyes exclusivement au PC auquel elles sont destines. En effet, elles sont envoyes sur tous les PC connects mais sont ignores par tous, except le PC auquel elles sont destines. Du fait de cette diffusion des donnes, chaque cble actif du rseau prsente la capacit de transporter des donnes. Par consquent, il suffit un pirate de se raccorder clandestinement un cble pour capturer les paquets qui transitent par la ligne. Fiabilit des protocoles : Les attaques rseaux s'appuient sur des vulnrabilits lies directement aux protocoles ou leurs implmentations. Il est donc indispensable dappliquer les correctifs pour les failles dcouvertes en appliquant les mises jour aux systmes implmentant ces protocoles.

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

5. Rappel sur le protocole TCP/IP


Pour pouvoir comprendre les attaques qui se base sur les protocoles rseau, il est indispensable dtudier en dtaille leurs fonctionnements.

5.1

Prsentation du modle TCP /IP


Le sigle TCP/IP dsigne un protocole de communication utilis sur Internet. Ce

protocole dfinit les rgles que les ordinateurs doivent respecter pour communiquer entre eux sur le rseau Internet. Le sigle TCP/IP est form sur les noms des deux protocoles majeurs utiliss sur Internet : le protocole TCP pour "Transmission Control Protocol" et le protocole IP pour "Internet Protocol". Ce sigle dsigne aussi une suite de protocoles, c'est--dire de rgles de communication que les ordinateurs doivent respecter pour communiquer entre eux via Internet. La figure suivante prsente les diffrentes couches du modle TCP /IP ainsi que quelques protocoles utiliss par chaque couche.

Figure 2 : Modle TCP/IP

5.2 Couche application


La couche application gre les protocoles de niveau suprieur, les reprsentations, le code et le contrle du dialogue. Outre la prise en charge du transfert de fichiers, du courrier lectronique et de la connexion distance, le modle TCP/IP possde des protocoles prenant en charge des services comme : TELNET, http, SMTP, DNS, TFTP, SNMP
Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

Protocole Telnet (TErminal NETwork ou TELecommunication NETwork): Ce protocole permet d'accder distance un autre priphrique du rseau. Cela permet un utilisateur douvrir une session sur un hte distant et dexcuter diverses commandes. Un client TELNET est qualifi d'hte local. Un serveur Telnet est qualifi d'hte distant.

Vulnrabilit du protocole Telnet

Le ct sommaire de Telnet fait que toute communication est transmis en clair sur le rseau, mots de passe compris. Des logiciels dcoute sur les rseaux comme tcpdump[1] ou Wireshark [2] permettent d'intercepter les communications de la commande Telnet. Protocole SNMP (Simple Network Management Protocol) Cest le protocole de gestion de rseaux propos par lIETF (Internet Engineering Task
Force : est un groupe informel, international, ouvert tout individu, qui participe l'laboration de standards pour Internet). Il est actuellement le protocole le plus utilis pour la gestion,

supervision et diagnostique des problmes rseaux et matriels.

Fonctionnement du protocole SNMP

Le protocole SNMP constitu d'un ensemble de requtes, de rponses et d'un nombre limit d'alertes. Le manager (la station de supervision) envoie des requtes lagent (GetRequest : demande dinformation, SetRequest : Affectation), qui retourne des rponses (GetResponse). Lorsqu'un vnement anormal surgit sur l'lment rseau, l'agent envoie une alerte (trap) au manager.

Figure 3: Fonctionnement du protocole SNMP SNMP utilise le protocole UDP .L'agent reoit les requtes de la station de gestion sur le port 161. Le port 162 est rserv pour la station de gestion pour recevoir les alertes des agents.

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

Les MIBS

La MIB (Management Information base) est la base de donnes des informations de gestion maintenue par l'agent, auprs de laquelle le manager va venir pour s'informer. Ainsi, pour interroger les diffrentes variables d'activit sur un appareil, il faudra explorer son arborescence MIB. Celle-ci est gnralement fournie par le constructeur, et il est aussi possible d'utiliser un explorateur de MIB tel que : MIB Browser [3]. Ensuite, pour accder aux variables souhaites, on utilisera l'OID (Object Identification) qui dsigne l'emplacement de la variable consulter dans la MIB. Par exemple, la variable 1.3.6.1.2.1.2.2.1.7.1 est l'lment ou l'OID(1) (Object Identifi) correspondante au nom ifAdminStatus qui contient le statut des interfaces de l'lment actif questionn.

Notion de communaut dans SNMP

Une communaut SNMP est un ensemble de machines gres par la mme station de supervision. On dit quun quipement appartient une (ou plusieurs) communaut SNMP. Pendant la transaction SNMP la communaut fait office de mots de passe. Ainsi les stations ne faisant pas partie de la communaut ne peuvent pas envoyer ou rpondre aux requtes SNMP.

Vulnrabilit du protocole SNMP

Il est possible de connatre distance l'tat ou la configuration d'un routeur (fonction GET). Il est galement possible d'influer sur le comportement d'une machine en crivant des donnes dans la base d'information(MIB) du priphrique (fonction SET). Les premires versions du protocole (v1 et v2) ne proposaient pas de mesures de scurit efficaces pour viter l'accs aux informations sensibles. Il suffisait de connatre un nom de communaut valide pour pouvoir accder aux informations. Un nom de communaut, actif et prsent par dfaut sur un routeur, peut permettre un attaquant prsent sur le rseau d'accder en lecture seule la configuration complte du routeur et mme de la modifier. Par exemple, des informations comme des adresses IP et Ethernet, le contenu des tables de routage, des statistiques sur le trafic, seront disponibles. Un attaquant peut donc rcuprer facilement des informations qui peuvent lui faciliter une attaque ultrieure.
(1)

: OID: cest la suite dentiers qui dsigne de manire non ambigu un objet SNMP 10

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

5.3

Couche transport
La couche transport fournit une connexion logique entre les htes source et de

destination. Les protocoles de transport segmentent et rassemblent les donnes envoyes par des applications de couche suprieure, entre les deux points d'extrmit. Le rle principal de la couche transport est d'assurer une fiabilit et un contrle de bout en bout lors du transfert des donnes. Les fentres glissantes, les numros de squenage et les accuss de rception permettent d'obtenir ce rsultat. Ces paramtres sont grer par le protocole TCP de cette couche, contrairement au protocole UDP, qui n'ouvre pas de session et n'effectue pas de control d'erreur. Officiellement, cette couche n'a que deux implmentations: le protocole TCP(Transmission Control Protocol) et le protocole UDP(User Datagram Protocol). Protocole TCP: TCP est un protocole fiable, orient connexion, qui permet l'acheminement sans erreur de paquets issus d'une machine d'un internet une autre machine du mme internet. Son rle est de fragmenter le message transmettre de manire pouvoir le faire passer sur la couche internet. A l'inverse, sur la machine destination, TCP replace dans l'ordre les fragments transmis sur la couche internet pour reconstruire le message initial. TCP s'occupe galement du contrle de flux de la connexion

Vulnrabilit du protocole TCP

Une vulnrabilit dans sa mise en uvre permet un individu mal intentionn d'effectuer un dni de service sur les connexions TCP pralablement tablies par l'envoi de paquets TCP judicieusement forms. Comme lattaque Synflood qui sera dcrite ultrieurement. Protocole UDP: Ce protocole est en revanche un protocole plus simple que TCP: il est non fiable et sans connexion. Son utilisation prsuppose que l'on n'a pas besoin ni du contrle de flux, ni de la conservation de l'ordre de remise des paquets. Par exemple, on l'utilise lorsque la couche application se charge de la remise en ordre des messages. On se souvient que dans le modle OSI, plusieurs couches ont charge la vrification de l'ordre de remise des messages. C'est l un avantage du modle TCP/IP sur le modle OSI, mais nous y reviendrons plus tard. Une autre utilisation d'UDP: la transmission de la voix. En effet, l'inversion de 2 phonmes ne gne en rien la comprhension du message final. De manire plus gnrale, UDP intervient lorsque le temps de remise des paquets est prdominant.

Scurisation des routeurs Cisco

11

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

Vulnrabilit du protocole UDP

Un expditeur transmet aux entits communicantes un volume de demande pour un diagnostic des services UDP qui utilise toutes les ressources de lunit centrale. De nombreuses attaques utilisent ces failles car le protocole UDP ne cre pas de connexion et nutilise pas de numro de squence. Il est trs facile de falsifier ou simuler un change. La plus grande prudence est demande pour lutilisation de ce protocole qui est capable, soit de saturer un rseau ou une machine, soit de permettre laccs des fichiers distants (NFS fonctionne avec UDP). De nombreuses applications, telles que DNS et SNMP, utilisent UDP. Ce protocole expose les utilisateurs au dni de service .

5.4

Couche internet
Le rle de la couche Internet consiste slectionner le meilleur chemin pour transfrer

les paquets sur le rseau. Le principal protocole de cette couche est le protocole IP. La dtermination du meilleur chemin et la commutation de paquets ont lieu au niveau de cette couche. Parmi les protocoles qui sexcutent au niveau de cette couche on trouve IP, ICMP et ARP. Protocole IP Le protocole IP effectue les oprations suivantes: Il dfinit un paquet et un systme d'adressage, Il transfre des donnes entre la couche Internet et la couche daccs au rseau, Il achemine des paquets des htes distants. Le protocole IP est parfois qualifi de protocole non fiable. Cela ne signifie pas qu'il n'envoie pas correctement les donnes sur le rseau, mais qu'il n'effectue aucune vrification d'erreurs et ne fournit aucun service de correction. Ces fonctions sont disponibles uniquement dans les protocoles de couche suprieure des couches application ou transport. Protocole ICMP (Internet Control Message Protocol) Ce protocole permet de grer les informations relatives aux erreurs du protocole IP. Il ne permet pas de corriger ces erreurs, mais d'en informer les diffrents metteurs des Datagrammes en erreurs. Le mcanisme de requte et de rponse par cho du protocole ICMP est utilis pour contrler la prsence d'un hte, la commande Ping permet d'envoyer une requte ICMP
12

Scurisation des routeurs Cisco

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

'Echo' d'une machine une autre machine. Si la machine ne rpond pas il se peut que l'on ne puisse pas communiquer avec elle (cest le principe de la commande Ping).

Vulnrabilit protocole ICMP

Le protocole ICMP (Internet Control Message Protocol) est souvent considr comme un protocole innocent et sans danger. Toutefois, si un systme d'exploitation ou un pare feu vient le manipuler de manire incorrecte, des pirates peuvent alors l'utiliser des fins malveillantes. Protocole ARP: Le protocole ARP a un rle phare parmi les protocoles de la couche Internet de la suite TCP/IP, car il permet de connatre l'adresse physique d'une carte rseau correspondant une adresse IP, c'est pour cela qu'il s'appelle Protocole de rsolution d'adresse (en anglais ARP signifie Address Resolution Protocol).

5.5

Couche accs rseau


La couche accs rseau est la premire couche de la pile TCP/IP, elle offre les

capacits accder un rseau physique quel qu'il soit, c'est--dire les moyens mettre en uvre afin de transmettre des donnes via un rseau. Ainsi, la couche accs rseau contient toutes les spcifications concernant la transmission de donnes sur un rseau physique, qu'il s'agisse de rseau local LAN (Ethernet), ou WAN (Frame Relay, RNIS, RTC, LS, ADSL..). Elle prend en charge les notions suivantes : Acheminement des donnes sur la liaison, Coordination de la transmission de donnes (synchronisation), Format des donnes, Conversion des signaux (analogique/numrique), Contrle des erreurs larrive. En outre, les protocoles de la couche d'accs au rseau mappent les adresses IP avec les adresses matrielles physiques et encapsulent les paquets IP dans des trames.

Scurisation des routeurs Cisco

13

Chapitre 1: Prsentation du cadre du projet et gnralits sur la scurit des rseaux

6. Menaces de scurit courantes


6.1 Faiblesses de scurit des rseaux
Vulnrabilit du protocole TCP/IP : Les protocoles http, FTP et ICMP sont intrinsquement non scuriss. Les protocoles SNMP, SMTP et les inondations SYN sont lis la structure intrinsquement non scuriss qui est la base de la conception du TCP. Vulnrabilit des Systmes dexploitation : Tous les systmes dexploitation prsentent des problmes de scurit qui doivent tre rsolus. Vulnrabilit des quipements rseaux : Les diffrents types dquipements rseau tels que les routeurs, les firewalls et switchs ont des faiblesses de scurit qui doivent faire lobjet dune dtection et dune protection. Ces faiblesses concernent la protection des mots passe, le manque dauthentification, les protocoles de routage et les ouvertures dans para feux. Comptes systme ou utilisateurs non scuriss : les donnes des comptes

utilisateurs ou systme peuvent tre transmises de manire non scurise dans le rseau ce qui expose les noms utilisateurs et leurs mots de passe aux logiciels despion. Paramtres par dfaut non scuriss : un grand nombre dquipements ont des Equipement mal configur : une mauvaise configuration de lquipement lui-

paramtres par dfaut peuvent gnrer des failles de scurit.

mme peut engendrer de srieux problmes de scurit. Absence dune politique de scurit crite : Une stratgie de scurit non crite ne peut pas tre applique ni respecte de manire cohrente. Manque de continuit Contrle daccs logiques non appliqu

Conclusion
Ce chapitre nous a donn loccasion de prsenter le cadre du stage et d'exposer les enjeux de la scurit informatique. Cette tude a permis de mettre en vidence les diffrentes failles qui peuvent infecter les routeurs ainsi que les protocoles de communication.

Scurisation des routeurs Cisco

14

Chapitre2 : Les routeurs Cisco

Chapitre 2 : Les routeurs Cisco


Introduction
Dans ce chapitre, nous allons dcrire les procdures suivre pour connecter et configurer les ordinateurs, les routeurs formant un rseau local Ethernet. Nous allons prsenter les procdures de configuration de base des priphriques rseau Cisco. Ces procdures requirent lutilisation du systme dexploitation Cisco Inter network Operating System (IOS) et des fichiers de configuration connexes pour les priphriques intermdiaires. Il est essentiel que les administrateurs et les techniciens rseau comprennent le processus de configuration avec IOS. Lorganisation de ce chapitre est la suivante : dans la premire partie la dfinition le rle du systme dexploitation Inter network Operating System (IOS), la deuxime partie prsente les Vulnrabilits de routeur Cisco, enfin tudier le techniques dattaques rseaux.

1. Rappel sur un routeur


Un routeur est un lment intermdiaire dans un rseau informatique assurant le routage des paquets. Un routeur est charg de recevoir sur une interface des donnes sous forme de paquets et de les renvoyer sur une autre en utilisant le meilleur chemin possible. Selon ladresse destination et linformation contenue dans sa table de routage

1.1 Architecture des routeurs Cisco


Tous Les routeurs Cisco ont une architecture interne qui peut tre reprsent par :

Figure 4 : Architecture interne dun routeur Cisco

Scurisation des routeurs Cisco

15

Chapitre2 : Les routeurs Cisco

Ils contiennent tous : Une mmoire NVRam pour Ram non Volatile et sur laquelle ladministrateur va stocker la configuration quil aura mise dans le routeur. Elle contient galement la configuration de lIOS, Une carte mre qui est en gnral intgre au chssis, Une CPU qui est un microprocesseur Motorola avec un BIOS spcial nomm " I.O.S. " pour Internetwork Operating System, Une mmoire RAM principale contenant le logiciel IOS, cest dans laquelle tout sera excut un peu la manire dun simple ordinateur, Une mmoire FLASH, galement une mmoire non volatile sur laquelle on stocke la version courante de lIOS du routeur, Une mmoire ROM non volatile et qui, quant elle, contient les instructions de dmarrage (bootstrap) et est utilise pour des oprations de maintenance difficiles de routages, ARP, etc.), mais aussi tous les buffers utiliss par les cartes dentre.

2. Les routeurs et leurs rles le rseau des PME :


2.1 Protger le rseau avec le routeur
Les routeurs peuvent jouer un rle dans la garantie de rseaux. Les routeurs excutent beaucoup de travaux diffrents dans des rseaux modernes, mais pour cette discussion nous examinerons trois voies fondamentales pour lesquels les routeurs sont employs : Routeurs Intrieurs Un routeur intrieur transmet le trafic entre deux ou plusieurs rseaux locaux au sein d'une organisation ou une entreprise. Les rseaux connects par un routeur intrieur partagent souvent la mme politique de scurit et le niveau de confiance entre eux est d'habitude haut. Des routeurs intrieurs peuvent imposer certaines restrictions sur le trafic envoy entre les rseaux.

Figure.5: Routeur reliant les rseaux locaux


16

Scurisation des routeurs Cisco

Chapitre2 : Les routeurs Cisco

Routeurs Backbone Un routeur Backbone ou un routeur extrieur est celui qui transmet le trafic entre les diffrents sites dune entreprise. Le niveau de confiance entre les rseaux connects par un routeur Backbone est d'habitude trs bas. Gnralement, les routeurs de backbone sont conus et configurs pour acheminer le trafic aussi rapidement que possible, sans imposer de restrictions sur ce point. Le principal objectif dun routeur backbone pour assur la scurit est de : Veiller ce que la gestion et le fonctionnement du routeur sont raliss uniquement par les parties autorises. Protger lintgrit des donnes achemines on acheminant le trafic avec un protocole de routage, ou en se rfrant une table de routage statique.

Figure 6 : Routeur externe reliant diffrents site Routeurs frontaux Un routeur frontal achemine le trafic entre le rseau de lentreprise et le rseau extrieurs. L'aspect clef d'un routeur de frontire est qu'il prsente la partie intermdiaire entre les rseaux internes scuriss d'une entreprise et des rseaux externes non scuriss (par exemple l'Internet). Il peut aider scuriser le primtre d'un rseau d'entreprise en

appliquant des restrictions au trafic qu'il contrle. Un routeur de frontire peut utiliser des protocoles dacheminement, ou il peut dpendre des routes statiques.

Figure 7 : routeur frontal relie un rseau interne un rseau externe

Scurisation des routeurs Cisco

17

Chapitre2 : Les routeurs Cisco

2.2 Vulnrabilit des routeurs


Vu le rle important quassure le routeur pour garantir les rseaux, il est ncessaire dexaminer de proche cet quipement pour dcouvrir ses vulnrabilits dans le but de limiter les menaces qui peuvent se prsenter. Les vulnrabilits dun routeur peuvent se prsenter dans : La configuration Un routeur est semblable beaucoup d'ordinateurs dans lesquels il y a beaucoup de services permis par dfaut. Beaucoup de ces services sont inutiles et peuvent tre utiliss par un attaquant pour la collecte d'informations ou pour l'exploitation. Comme les services SNMP .Parfois aussi les noms des utilisateurs et les mots de passe sont laisss par dfaut. Gestion du Routeur Le contrle de l'accs un routeur par des administrateurs est une tche importante. Il y a deux types d'accs :

L'accs local implique une connexion directe un port de console sur le

routeur avec un terminal ou un ordinateur portable,

L'accs

distance

implique gnralement la permission Telnet ou des

connexions SNMP au routeur partir dun ordinateur sur le mme sous-rseau ou un sous-rseau diffrent. Pendant l'accs loign ( distance) tous les mots de passe Telnet ou les noms de communaut SNMP sont envoys en clair sur le rseau, donc une coute sur le rseau suffit pour les connatre. Ainsi ces failles peuvent tre lorigine des diffrentes attaques qui visent prendre contrle sur le routeur, ce qui veut dire prendre le contrle sur lacheminement des donnes dans le rseau. Comme elle peut avoir un autre objectif celui darrter le service du routeur pour perturber le rseau.

3.InternetWork operating System IOS


IOS est l'acronyme de "Inter networks Operating System", soit, pour les anglophobes, "Systme d'exploitation pour l'interconnexion de rseaux .Ce systme est administrable en lignes de commandes, propres aux quipements de Cisco Systems

Scurisation des routeurs Cisco

18

Chapitre2 : Les routeurs Cisco

3.1 Le rle du systme dexploitation Inter network Operating System (IOS)


linstar dun ordinateur personnel, un routeur ou un commutateur ne peut pas fonctionner sans systme dexploitation. Sans systme dexploitation, le matriel est inoprant. Cisco IOS est le logiciel systme des priphriques Cisco. Il sagit dune technologie centrale qui stend pratiquement tous les produits Cisco. Cisco IOS est excut par la plupart des priphriques Cisco, quels que soient leur taille et leur type. Ce logiciel est par exemple utilis pour des routeurs, des commutateurs de rseau local, des petits points daccs sans fil, des grands routeurs dots de douzaines dinterfaces et bien dautres priphriques.

Figure 8 : Cisco IOS (Inter network Operating System)

Cisco IOS fournit aux priphriques les services rseau suivants : fonctions de routage et de commutation de base, accs fiable et scuris aux ressources en rseau, volutivit du rseau.

Les dtails du fonctionnement de Cisco IOS varient dun priphrique lautre selon le but et le jeu de fonctions de lappareil. Pour accder aux services fournis par IOS, vous utilisez gnralement une interface de ligne de commande (ILC). Les fonctions accessibles travers ILC varient selon la version de Cisco IOS et le type du priphrique.

Scurisation des routeurs Cisco

19

Chapitre2 : Les routeurs Cisco

Le fichier IOS proprement dit, dont la taille atteint plusieurs mga-octets, est stock dans une zone de mmoire semi-permanente appele Flash. La mmoire Flash assure un stockage non volatil. En dautres termes, cette mmoire conserve son contenu lorsque le priphrique nest plus sous tension. la diffrence dune mmoire morte, toutefois, la mmoire Flash permet de modifier ou de recouvrir son contenu sil y a lieu. Grce la mmoire Flash, il est possible de mettre IOS niveau en installant de nouvelles versions ou de lui ajouter de nouvelles fonctions. Dans de nombreuses architectures de routeur, IOS est copi en mmoire vive la mise sous tension du priphrique et il sexcute en mmoire vive. Cette fonction amliore les performances du priphrique.

3.2 Mthodes daccs Cisco IOS :


Il y a plusieurs moyens daccder lenvironnement ILC. Les mthodes les plus rpandues utilisent : le port de console, le protocole Telnet ou SSH, le port AUX.

Figure 9 : Vue arrire du routeur Cisco : Les ports daccs

Port de console Il est possible daccder lenvironnement ILC par une session console, galement

appele ligne CTY. La console connecte directement un ordinateur ou un terminal au port de console du routeur ou du commutateur via une liaison srie lente. Le port de console est un port de gestion permettant un accs hors rseau un routeur. Le port de console est accessible mme si aucun service rseau na t configur sur le

Scurisation des routeurs Cisco

20

Chapitre2 : Les routeurs Cisco

priphrique. Le port de console est souvent utilis pour accder un priphrique avant que les services rseau ne soient lancs ou lorsquils sont dfaillants. La console sutilise en particulier dans les circonstances suivantes : configuration initiale du priphrique rseau, procdures de reprise aprs sinistre et dpannage lorsque laccs distant est impossible, procdures de rcupration des mots de passe. Lorsquun routeur est mis en service pour la premire fois, ses paramtres rseau nont pas t configurs. Le routeur ne peut donc pas communiquer via un rseau. Pour prparer le dmarrage initial et la configuration du routeur, un ordinateur excutant un logiciel dmulation de terminal est connect au port de console du priphrique. Ainsi, il est possible dentrer au clavier de lordinateur connect les commandes de configuration du routeur. Sil est impossible daccder distance un routeur pendant quil fonctionne, une connexion son port de console peut permettre un ordinateur de dterminer ltat du priphrique. Par dfaut, la console transmet les messages de dmarrage, de dbogage et derreur du priphrique. Pour de nombreux priphriques IOS, laccs console ne requiert par dfaut aucune forme de scurit. Il convient toutefois de configurer un mot de passe pour la console afin dempcher laccs non autoris au priphrique. En cas de perte du mot de passe, un jeu de procdures spcial permet daccder au priphrique sans mot de passe. Il est recommand de placer le priphrique dans une pice ou une armoire ferme cl pour interdire laccs physique. Telnet et SSH Une autre mthode daccs distant une session ILC consiste tablir une connexion Telnet avec le routeur. la diffrence des connexions console, les sessions Telnet requirent des services rseau actifs sur le priphrique. Le priphrique rseau doit avoir au moins une interface active configure avec une adresse de couche 3, par exemple une adresse IPv4. Les priphriques Cisco IOS disposent dun processus serveur Telnet qui est lanc ds le dmarrage du priphrique. IOS contient galement un client Telnet. Un hte dot dun client Telnet peut accder aux sessions vty en cours dexcution sur le priphrique Cisco. Pour des raisons de scurit, IOS exige lemploi dun mot de passe dans la session Telnet en guise de mthode dauthentification minimale. Les mthodes permettant de configurer les ouvertures de session et les mots de passe seront expliques plus loin dans ce chapitre.
Scurisation des routeurs Cisco

21

Chapitre2 : Les routeurs Cisco

Le protocole Secure Shell (SSH) permet un accs distant plus scuris aux priphriques. linstar de Telnet, ce protocole fournit la structure dune ouverture de session distance, mais il utilise des services rseau plus scuriss. SSH fournit une authentification par mot de passe plus rsistante que celle de Telnet et emploie un chiffrement lors du transport des donnes de la session. La session SSH chiffre toutes les communications entre le client et le priphrique IOS. Ceci prserve la confidentialit de liD dutilisateur, du mot de passe et des dtails de la session de gestion. Il est conseill de toujours utiliser SSH la place de Telnet dans la mesure du possible. La plupart des versions rcentes de Cisco IOS contiennent un serveur SSH. Dans certains priphriques, ce service est activ par dfaut. Dautres priphriques requirent une activation du serveur SSH. Les priphriques IOS incluent galement un client SSH permettant dtablir des sessions SSH avec dautres priphriques. De mme, vous pouvez utiliser un ordinateur distant dot dun client SSH pour dmarrer une session ILC scurise. Le logiciel de client SSH nest pas fourni par dfaut sur tous les systmes dexploitation. Il peut donc savrer ncessaire dacqurir, dinstaller et de configurer un logiciel de client SSH pour votre ordinateur. Port AUX Une autre faon douvrir une session ILC distance consiste tablir une connexion tlphonique commute travers un modem connect au port AUX du routeur. linstar de la connexion console, cette mthode ne requiert ni la configuration, ni la disponibilit de services rseau sur le priphrique. Le port AUX peut galement sutiliser localement, comme le port de console, avec une connexion directe un ordinateur excutant un programme dmulation de terminal. Le port de console est requis pour la configuration du routeur, mais les routeurs ne possdent pas tous un port AUX. En outre, il est prfrable dutiliser le port de console plutt que le port AUX pour le dpannage, car il affiche par dfaut les messages de dmarrage, de dbogage et derreur du routeur. En gnral, le port AUX ne sutilise localement la place du port de console quen cas de problmes lis au port de console, par exemple lorsque vous ignorez certains paramtres de la console.

Scurisation des routeurs Cisco

22

Chapitre2 : Les routeurs Cisco

3.3 Fichiers de configuration:


Les priphriques rseau ont besoin de deux types de logiciels pour fonctionner : le systme dexploitation et le logiciel de configuration. Le systme dexploitation, comme celui dun quelconque ordinateur, facilite lexploitation de base des composants matriels du priphrique. Les fichiers de configuration, quant eux, contiennent les commandes du logiciel Cisco IOS utilises pour personnaliser les fonctionnalits dun priphrique Cisco. Les commandes sont analyses (traduites et excutes) par le logiciel Cisco IOS au dmarrage du systme ( partir dun fichier appel startup-config) ou lorsquelles sont entres dans lenvironnement ILC en mode configuration. Un administrateur rseau cre une configuration qui dfinit la fonctionnalit souhaite dun priphrique Cisco. La taille dun fichier de configuration va gnralement de quelques centaines quelques milliers doctets. Types de fichiers de configuration

Un priphrique rseau Cisco contient deux fichiers de configuration : le fichier de configuration en cours, que le priphrique utilise en fonctionnement normal, le fichier de configuration initiale, qui est charg quand le priphrique dmarre et sert de copie de sauvegarde de la configuration. Il est galement possible de stocker un fichier de configuration distance sur un serveur en guise de copie de sauvegarde.

Figure 10 : Fichiers de configuration

Scurisation des routeurs Cisco

23

Chapitre2 : Les routeurs Cisco

4.Configuration de base dun routeur Cisco :


La configuration de base dun routeur Cisco (et des autres aussi) se fait en gnral via la porte console. La porte console, sur un routeur, est configure comme une interface (Data Terminal Equipment). Les lignes de configuration d'un routeur sont les suivantes DTE

Figure 11: lignes configuration routeur Un routeur peut tre configur partir des sources externes suivantes : Ligne console : Accs primaire, utiliser si aucun autre accs de configuration nest Disponible, Ligne auxiliaire : Accs distance via une liaison RTC et modems interposs, Ligne(s) VTY : Accs via un client Telnet (5 ou 16 lignes disponibles par routeur en fonction du modle), Explorateur Web : Accs utilisant le serveur HTTP interne du routeur, Serveur TFTP : Import/export de fichiers de configuration, Serveur FTP: Import/export de fichiers de configuration

4.1 Configuration de base dun routeur :


Connectez un cble console sur le port console du routeur et branchez l'autre extrmit au port COM 1 du PC en utilisant un adaptateur DB-9 ou DB-25. Cela doit tre effectu avant de mettre une quelconque unit sous tension.

Scurisation des routeurs Cisco

24

Chapitre2 : Les routeurs Cisco

HyperTerminal Mettez sous tension lordinateur et le routeur. partir de la barre des tches de Windows, accdez au programme HyperTerminal Dmarrer > Programmes > Accessoires > Communications > Hyper Terminal. Nommez la session HyperTerminal Dans la bote de dialogue Description de la connexion , entrez un nom dans le champ Nom (exemple CISCO). Et cliquez sur OK. Spcifiez linterface de connexion de lordinateur Dans la bote de dialogue Connexions , utilisez la flche de droulement dans le champ Se connecter en utilisant : pour slectionner COM1, puis cliquez sur OK. Spcifiez les proprits de connexion de linterface Dans la bote de dialogue COM1 Proprits , utilisez les flches de droulement pour slectionner : Bits par seconde : 9600 Bits de donnes : 8 Parit : Aucune Bits darrt : 1 Contrle de flux : Aucun Puis cliquez sur OK.

Figure 12 : Proprits de COM1 Lorsque la fentre de la session HyperTerminal apparat, mettez le routeur sous tension, si ce n'est dj fait. Appuyez ensuite sur la touche Entre. Le routeur doit rpondre. La connexion sest alors droule avec succs. Consignez dans le journal technique la procdure correcte pour tablir une session en mode console avec le routeur. Sauvegarde des configurations par capture de texte (HyperTerminal) Vous pouvez enregistrer/archiver les fichiers de configuration dans un document texte. Cette procdure permet de sassurer quune copie de travail des fichiers de configuration est disponible en vue dune modification ou une rutilisation ultrieure.

Scurisation des routeurs Cisco

25

Chapitre2 : Les routeurs Cisco

Dans HyperTerminal, effectuez les tapes suivantes : 1. Dans le menu Transfert, cliquez sur Capture de texte. 2. Choisissez lemplacement. 3. Cliquez sur Dmarrer pour commencer capturer le texte.

Figure 13 : enregistrement dun fichier texte dans HyperTerminal Par dfaut tous les interfaces dun routeur : Dsactivs, Hors fonction, Administratively down.

4.2 Mode Cisco IOS:


Cisco IOS a t conu comme un systme dexploitation modal. Ladjectif modal qualifie un systme offrant diffrents modes dexploitation ayant chacun son propre domaine de fonctionnement. Les modes de lenvironnement ILC sont organiss selon une structure hirarchique. Dans lordre de haut en bas, les principaux modes sont les suivants : mode dexcution utilisateur, mode dexcution privilgi, mode de configuration globale, autres modes de configuration spcifiques.

Scurisation des routeurs Cisco

26

Chapitre2 : Les routeurs Cisco

Invites de commandes Dans lenvironnement ILC, le mode dans lequel vous travaillez est reconnaissable son invite de commandes unique. Cette invite est compose des mots et des symboles qui apparaissent au dbut de la ligne de commande. Comme lindique le mot invite, le systme vous invite effectuer une entre. Par dfaut, toute invite commence par le nom du priphrique. Aprs le nom du priphrique, le reste de linvite prcise le mode. Par exemple, linvite par dfaut pour le mode de configuration globale sur un routeur est : Router(config)# Comme le montre la figure, lorsque vous entrez des commandes et passez dun mode lautre, linvite change pour reflter le contexte en cours.

Figure 13 : Structure de linvite IOS Modes principaux Les deux principaux modes dexcution sont : le mode utilisateur, le mode privilgi. Par mesure de scurit, Cisco IOS prvoit deux modes daccs distincts pour les sessions dexcution. Ces deux modes daccs principaux sont utiliss dans le cadre de la structure hirarchique de lenvironnement Cisco ILC. Ces deux modes offrent des commandes semblables. Toutefois, le mode dexcution privilgi bnficie de pouvoirs plus tendus dans les actions quil permet dexcuter.

Scurisation des routeurs Cisco

27

Chapitre2 : Les routeurs Cisco

Figure 14 : Les principaux modes IOS

Les principaux modes sont les suivants : Mode dexcution utilisateur : Permet de consulter toutes les informations lies au

routeur sans pouvoir les modifier. Le shell est le suivant: Router > Mode dexcution privilgi : Permet de visualiser l'tat du routeur et

d'importer/exporter des images d'IOS. Le shell est le suivant: Router # Mode de configuration globale : Permet d'utiliser les commandes de configuration

gnrales du routeur. Le shell est le suivant: Router (config) # Mode de configuration d'interfaces: Permet d'utiliser des commandes de configuration

des interfaces (Adresses IP, masque, etc.). Le shell est le suivant: Router (config-if) # Mode de configuration de ligne: Permet de configurer une ligne (exemple: accs au routeur par Telnet). Le shell est le suivant: Router (config-line) # Mode spcial: RXBoot Mode de maintenance qui peut servir, notamment,

rinitialiser les mots de passe du routeur. Le shell est le suivant: rommon >

Scurisation des routeurs Cisco

28

Chapitre2 : Les routeurs Cisco

4.3 Configuration du nom dhte IOS


En mode dexcution privilgi, accdez au mode de configuration globale en entrant la commande configure terminal : Router# configure terminal Aprs excution de cette commande, linvite devient : Router(config)# En mode de configuration globale, entrez le nom dhte : Router(config)#hostname r1 Aprs excution de cette commande, linvite devient : r1(config)# Observez que le nom dhte apparat dans linvite. Pour quitter le mode de configuration globale, utilisez la commande exit.

Figure15 : Configuration du nom dhte IOS

Scurisation des routeurs Cisco

29

Chapitre2 : Les routeurs Cisco

4.4 Limitation de laccs aux priphriques avec mots de passe


Les mots de passe prsents ici sont les suivants : Mot de passe de console - limite laccs au priphrique par une connexion console r1 (config)#line console 0 r1 (config-line)#password 123 r1 (config-line)#login

Figure 16 : Configuration le mot de passe de console Application d'un mot de passe l'accs Privilgi Cette partie explique comment appliquer un mot de passe l'utilisateur privilgi. Il faut tout d'abord, se connecter en mode privilgi, puis en mode de configuration globale pour effectuer cette manipulation: r1 > enable r1 # configure terminal r1(config) # Une fois en mode de configuration globale, Il suffit de taper une seule commande pour appliquer un mot de passe: r1 (config) # enable password mot_de_passe

Scurisation des routeurs Cisco

30

Chapitre2 : Les routeurs Cisco

A prsent, la prochaine fois qu'un utilisateur tentera de se connecter en mode utilisateur privilgi, un mot de passe vous sera demand. A ce stade, il est recommand d'enregistrer rgulirement la configuration l'aide de la commande suivante ( effectuer en mode privilgi): copy running-config startup-config Mot de passe enable secret - chiffr, limite laccs au mode dexcution privilgi r1(config)#enable secret 123 Configuration de laccs Telnet au routeur La configuration avec le cble console et HyperTerminal n'tant pas trs pratique, il est possible d'autoriser les administrateurs se connecter au routeur via une session Telnet partir de n'importe quel poste des deux rseaux. Passez d'abord en mode de configuration globale, puis en mode de configuration de ligne VTY: r1 > enable Password: r1 # configure terminal r1 (config) # line vty 0 4 Va configurer la possibilit de 5 sessions telnet simultanes sur ce routeur. Nous arrivons maintenant sur le prompt de configuration de ligne. Pour activer le Telnet, il vous suffit juste d'appliquer un mot de passe la ligne: r1 (config-line) # password mot_de_passe r1 (config-line) # login r1 (config-line) # exit Il est recommand dutiliser des mots de passe diffrents pour chacun de ces niveaux daccs. En effet, bien que lutilisation de plusieurs mots de passe diffrents ne facilite pas louverture dune session, cette prcaution est ncessaire pour protger convenablement linfrastructure rseau contre laccs non autoris

Scurisation des routeurs Cisco

31

Chapitre2 : Les routeurs Cisco

Figure 17 : Limitation de laccs Telnet

4.5 Configuration dune interface


Nous devons faire communiquer les deux rseaux connects au routeur. Admettons que le nom de l'interface relie au PC1 est fa0/0 et celle relie au PC2, fa0/1 et que nous sommes en mode de configuration globale. Les tapes de configuration dune interface sont les suivantes : tape 1. Spcification du type dinterface et du numro de port de linterface, tape 2. Spcification dune description de linterface, tape 3. Configuration de ladresse IP et du masque de sous-rseau de linterface, tape 4. Dfinition de la frquence dhorloge si vous configurez une interface srie en tant que DCE, tape 5. Activation de linterface. Voici les commandes saisir:
Interface fa0/0:

r1 (config) # interface fa0/0 r1 (config-if) # ip address 192.168.1.1 255.255.255.0 r1 (config-if) # no shutdown r1 (config-if) # exit Interface fa0/1: r1 (config) # interface serial 0/0/0 r1 (config-if) # ip address 10.0.0.1 255.0.0.0 r1 (config-if) no shutdown r1 (config-if) exit
32

Scurisation des routeurs Cisco

Chapitre2 : Les routeurs Cisco

Figure 18: Configuration dune interface Ethernet

4.6 Les commandes IOS de base


4.6.1 Passage entre les diffrentes modes dutilisateurs

Utilisateur normal: Aucune commande effectuer, c'est dans ce mode que

commence une session. Utilisateur privilgi ( effectuer partir du mode normal): r1 > enable r1 > en Mode de configuration globale ( effectuer partir du mode Privilgi): r1 # configure terminal r1 # conf t Mode de configuration d'interface ( effectuer partir du mode de configuration globale): r1 (config) # interface nom_interface r1 (config) # int nom_interface Mode de configuration de ligne ( effectuer partir du mode de configuration globale): r1 (config) # line nom_de_la_ligne

Scurisation des routeurs Cisco

33

Chapitre2 : Les routeurs Cisco

4.6.2 Commandes dinformation

Les commandes d'information permettent d'afficher les informations relatives au routeur. Elles commencent toutes avec le prfixe show ou sh. Elles sont, pour la plupart, effectuer partir du mode privilgi. Afficher le fichier de configuration courante du routeur: show running-config show run sh run Afficher les informations sur la configuration matrielle du systme et sur l'IOS: show version sh version Afficher les processus actifs: show processes Afficher les protocoles configurs de couche 3 du modle OSI: show protocols Afficher les statistiques de mmoire du routeur: show memory Afficher des information et statistiques sur une interface: show interfaces nom_interface sh interfaces nom_interface sh int nom_interface Afficher la table de routage IP: sh ip route
4.6.3 Commandes dinterface

Ces commandes sont lies la configuration des interfaces du routeur. Elles sont, pour la plupart, effectuer partir du mode de configuration d'interface. Attribution d'un adresse IP une interface: ip address @IP masque Activation de l'interface: no shutdown

Scurisation des routeurs Cisco

34

Chapitre2 : Les routeurs Cisco

4.6.4 Commandes denregistrement de la configuration courante

Ces commandes permettent de sauvegarder la configuration actuelle pour la rappliquer automatiquement en cas de redmarrage du routeur. Elles s'excutent en mode Privilgi Sauvegarde avec demande de confirmation: copy running-config startup-config copy run start Sauvegarde sans demande de confirmation: write
4.6.5 Commandes dannulation

Cette commande permet de revenir la dernire configuration enregistre, annulant toutes les modifications ayant t faites la configuration depuis. Elle s'excute en mode Privilgi. copy startup-config running-config copy start run
4.6.6 Annulation dune commande particulire

Pour annuler une commande particulire, on utilisera le prfixe no devant la commande prcdemment excute. Exemple: annuler la configuration d'une interface: no ip address

4.7 Vrification de la connectivit


4.7.1 Test de la pile de protocoles:

Commande Ping Lutilisation de la commande Ping constitue un moyen efficace de tester la connectivit. Cette vrification est souvent appele test de la pile de protocoles parce que la commande Ping passe de la couche 3 du modle OSI la couche 2, puis la couche 1. La commande Ping emploie le protocole ICMP pour vrifier la connectivit.

Scurisation des routeurs Cisco

35

Chapitre2 : Les routeurs Cisco

Figure 19 : Commande Ping Test la pile de protocoles TCP/IP locale En guise de premire tape dans la srie de tests, vous utilisez la commande ping pour vrifier la configuration IP interne sur lhte local. Comme vous le savez, ce test seffectue en excutant la commande Ping sur une adresse rserve appele adresse de bouclage (192.168.1.2). Ceci permet de vrifier le bon fonctionnement de la pile de protocoles de la couche rseau la couche physique (et en sens inverse) sans pour autant envoyer de signal sur les supports.

Figure 20 : Test la pile de protocoles TCP/IP locale

Scurisation des routeurs Cisco

36

Chapitre2 : Les routeurs Cisco

Test laffectation des interfaces

Aprs avoir appris utiliser des commandes et des utilitaires pour vrifier la configuration dun hte, vous allez maintenant aborder des commandes permettant de vrifier les interfaces des priphriques intermdiaires. IOS fournit plusieurs commandes pour vrifier le fonctionnement des interfaces de routeur et de commutateur

Figure 21 : vrification du fonctionnement des interfaces de routeur

5.Etude des techniques dattaques rseaux


Lobjet de cette tude est de comprendre les mcanismes dattaques, autrement dit, comprendre lesprit dun pirate et savoir manipuler menaces et trouver des contre-attaques. 5.1 Le sniffing des mots de passe et des paquets Si un hacker ne peut pas deviner un mot de passe, il a dautres outils pour lobtenir. Une faon qui est devenue assez populaire est le sniffing. ses outils pour pouvoir cerner les

Figure 22 : Exemple de scnario dcoute sur le rseau La plupart des rseaux utilisent la technologie de broadcast (comme Ethernet). En pratique, tous les ordinateurs sauf le destinataire du message vont sapercevoir que le message
Scurisation des routeurs Cisco

37

Chapitre2 : Les routeurs Cisco

ne leur est pas destin et vont donc lignorer. Mais par contre, beaucoup dordinateurs peuvent tre programms pour regarder chaque message qui traverse le rseau cest le mode promiscuit. Il existe des programmes qui utilisent ce procd et qui capturent tous les messages qui circulent sur le rseau en reprant les mots de passe. Si quelquun se connecte un ordinateur travers un rseau ( travers Telnet, par exemple), alors cette personne risque de donner son mot de passe. Cest pourquoi il existe une menace srieuse pour les personnes qui se connectent sur des ordinateurs distants, o les mots de passe apparaissent en clair dans la trame. Comme par exemple accder un priphrique rseau (routeur, Switch..) pour mettre jour sa configuration distance. Parmi les programmes de sniffing les plus connus loutil dsniff [4] : est un renifleur de trafic rseau, comme tcpdump et ethereal/wireshark, mais il se contente de rechercher les mots de passe qui transitent en clair, exploitant ainsi les faiblesses de certains protocoles. Il supporte les protocoles FTP, Telnet, SMTP, http, POP, SNMP, RIP, OSPF. 5.2 L'usurpation d'adresse IP En anglais IP spoofing, cette technique est base sur le trucage de ladresse source. Pour pntrer un systme, le pirate substitue son adresse IP par une adresse autorise et met avec cette adresse. Il peut ainsi passer toutes les barrires qui ne font pas de lanti-spoofing. Le principe de base de cette attaque consiste forger ses propres paquets IP dans lesquels le pirate modifiera, entre autres, l'adresse IP source. Effectivement, les rponses ventuelles des paquets envoys ne peuvent pas arriver la machine du pirate puisque la source est falsifie. Ils se dirigent donc vers la machine spoofe.

Figure 23: Usurpation de ladresse IP Loutil [5] est un outil Open source en ligne de commande permettant de manipuler des paquets IP. Outre le fait que cet outil soit une excellente alternative la commande ping,
Scurisation des routeurs Cisco

38

Chapitre2 : Les routeurs Cisco

celui-ci rajoute son lot de fonctionnalit. Il est ainsi possible deffectuer des requtes TCP ou UDP personnalises sur un port de destination quelconque. 5.3 Les scanners Un scanner est un programme qui permet de savoir quels ports sont ouverts sur une machine donne. Les Hackers utilisent les scanners pour savoir comment ils vont procder pour attaquer une machine. Leur utilisation nest heureusement pas seulement malsaine, car les scanners peuvent aussi permettre de prvenir une attaque. Nmap[6] est parmi les scanners les plus utiliss. Nmap utilise diverses techniques d'analyse bases sur des protocoles tels que TCP, IP, UDP ou ICMP 5.4 Attaque de type " Deny of Service " Les attaques par dni de service sont destines refuser des services des htes lgitimes qui tentent dtablir des connexions. Les attaques par dni de service sont utilises par les pirates pour bloquer les rponses systme. 5.4.1 TCP Flooding ou SYN Flooding Elle exploite le processus normal dchange en trois tapes et oblige les units cibles envoyer un accus de rception des adresses source, qui ne compltent pas lchange en trois tapes.

Figure 24: Demande dtablissement dune connection TCP Lchange en trois tapes dbute lorsque le premier hte envoie un paquet de synchronisation (SYN). Le paquet SYN inclut ladresse IP source et ladresse IP de destination. Ces informations dadresse sont utilises par le rcepteur pour renvoyer le paquet daccus de rception lunit mettrice.

Scurisation des routeurs Cisco

39

Chapitre2 : Les routeurs Cisco

Figure 25 : Principe de Syn Inondation Dans une attaque par dni de service, le pirate lance une synchronisation mais usurpe ladresse IP source. On parle de spoofing lorsque lunit rceptrice rpond une adresse IP inexistante et inaccessible, puis est place dans un tat dattente jusqu recevoir laccus de rception final de lunit mettrice. La requte dattente est place dans une file dattente de connexion ou dans une zone dattente en mmoire. Cet tat dattente oblige lunit attaque consommer des ressources systme, telles que la mmoire, jusqu ce que le dlai de connexion expire. Les pirates inondent lhte attaqu de fausses requtes SYN, lobligeant utiliser toutes ses ressources de connexion, ce qui lempche de rpondre aux requtes de connexion lgitimes. TCP dclare une connexion "ouverte" aprs un double acquittement. Le SYN flood consiste faire la moiti du travail chaque connexion qui reste demie ouverte consomme de la mmoire dans la pile TCP/IP. Au bout d'un moment, le noyau les dtruit. La solution consiste donc "ouvrir" ces connexions suffisamment vite. Quand la table du noyau est pleine, le serveur refuse les nouvelles connexions et devient inaccessible. 5.4.2 Utilisation frauduleuse des commandes ICMP ICMP Flooding : LICMP Flooding est lorigine identique un Ping mais quon renouvelle un nombre de fois suffisant pour bloquer la machine attaque et saturer sa bande passante. Cette opration ncessite davoir une connexion Internet plus rapide que la victime. ICMP redirect Un pirate envoie une machine un paquet ICMP-redirect en lui indiquant un autre chemin suivre. La machine ne peut alors plus communiquer. ICMP-destination unreachable Un hackeur peut envoyer un message Destination unreachable vers une machine, la machine ne peut donc plus communiquer avec dautres postes sur le rseau.

Scurisation des routeurs Cisco

40

Chapitre2 : Les routeurs Cisco

Attaque Smurf La technique dite attaque par rflexion (en anglais smurf ) est base sur l'utilisation de serveurs de diffusion (broadcast) pour paralyser un rseau. Un serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer toutes les machines prsentes sur le mme rseau. Le scnario d'une telle attaque est le suivant : la machine attaquante envoie une requte Ping un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source (adresse laquelle le serveur doit thoriquement rpondre) et en fournissant l'adresse IP d'une machine cible, le serveur de diffusion rpercute la requte sur l'ensemble du rseau, toutes les machines du rseau envoient une rponse au serveur de diffusion, le serveur broadcast redirige les rponses vers la machine cible. Ainsi, lorsque la machine attaquante adresse une requte plusieurs serveurs de diffusion situs sur des rseaux diffrents, l'ensemble des rponses des ordinateurs des diffrents rseaux vont tre routes sur la machine cible.

Figure 26: attaque smurf

Conclusion
Dans ce chapitre, nous avons appris comment accder aux modes et aux procdures de configuration de base dun routeur Cisco. Ltude du routeur ainsi que sa configuration nous a permis de mettre en vidence les diffrentes failles qui peuvent infecter les routeurs ainsi que les protocoles de communication.

Scurisation des routeurs Cisco

41

Chapitre3 : Politique de scurit

Chapitre 3 : Politique de scurit


Introduction
Dans ce chapitre, nous allons prsenter les procdures de configuration de base des routeurs Cisco et prvenir les techniques dattaques qui menacent lintgrit du routeur. Nous allons exposer aussi notre environnement de travail tout en dfinissant les exigences de scurit prendre en compte. LIOS offre diverses commandes permettant de rpondre ce besoin, principalement les ACL (Access Control List) qui permettent de filtrer des paquets suivant des critres dfinis ainsi que les diffrentes mthodes peuvent empcher ces menaces.

1. Environnement du Travail
1.1 Environnement Matriel Lenvironnement matriel sur lequel nous avons travaill est constitu : PC portable DELL INSPIRAN 5010, Un Processeur Core I3-350 (2,13GHz) 3Mo CACHE, Memoire 4G , DISQUE DUR 320 Go. 1.2 Environnement Logiciel Pour la configuration des routeurs in a fait recours au logiciel de simulation Packet tracer Prsentation de Packet Tracer Packet Tracer est un logiciel permettant de construire un rseau physique virtuel et de simuler le comportement des protocoles rseaux sur ce rseau. Lutilisateur construit son rseau laide dquipements tels que les routeurs, les commutateurs ou des ordinateurs. Ces quipements doivent ensuite tre relis via des connexions (cbles divers, bre optique). Une fois lensemble des quipements relis, il est possible pour chacun dentre eux, de congurer les adresses IP, les services disponibles, etc . Description gnrale La gure ci-dessous montre un aperu gnral de Packet Tracer. La zone (1) est la partie dans laquelle le rseau est construit. Les quipements sont regroups en catgories accessibles dans la zone (2). Une fois la catgorie slectionne, le type dquipements peut tre slectionn dans la zone (3). La zone (6) contient un ensemble doutils comme select

Scurisation des routeurs Cisco

42

Chapitre3 : Politique de scurit

pour dplacer des quipements, Move Layout pour dplacer le plan de travail,plcae note, delete. La zone (5) permet dajouter des indications dans le rseau. Enn, la zone (4) permet de passer du mode temps rel au mode simulation.

Figure 27 : Page daccueil dun Packet Tracer Construire un rseau Pour construire un rseau, on doit choisir lquipement configurer routeur

Figure 28 : Outils de construire un rseau Puis pour relier deux quipements, il faut choisir la catgorie Connections puis cliquer sur la connexion dsire.

Scurisation des routeurs Cisco

43

Chapitre3 : Politique de scurit

Figure 29 : Schma dun rseau Conguration dun quipement Lorsquun ordinateur a t ajout (appel PC-PT dans Packet Tracer ), il est possible de le congurer en cliquant dessus, une fois ajout dans le rseau. Une nouvelle fentre souvre comportant 3 onglets : Physical (aperu rel de la machine et de ses modules), Cong (conguration passerelle, DNS et adresse IP) et Desktop (ligne de commande ou navigateur Web). Dans longlet Cong, il est possible de congurer la passerelle par defaut, ainsi que ladresse du serveur DNS (cliquez pour cela sur le bouton Settings en-dessous du bouton Global). Il est possible aussi de congurer ladresse IP et le masque de sous-rseau (cliquez pour cela sur le bouton FastEthernet en-dessous du bouton INTERFACE)

Scurisation des routeurs Cisco

44

Chapitre3 : Politique de scurit

Figure 30 : Configuration des machines

2. Dfinition de la politique de scurit du routeur


La politique de scurit dun routeur dans une entreprise est une exigence qui dcoule de la politique applique sur le Systme dinformation. La politique ne donne fruit lentreprise. La stratgie de scurit, qui est une dclaration formelle des rgles qui doivent tre respectes par les personnes ayant accs aux ressources technologiques et donnes vitales de lentreprise, dfinit un ensemble de fonctions qui participe russite et la mise en place dune telle politique de scurit. que lorsqu on a une stratgie de scurit dans

2.1 Les check-lists DISA de scurit Routeur Cisco


La politique de scurit pour un routeur la plus recommande est celle de DISA ( Defense Information Systems Agency ) qui dfinit une ensemble de exigences et des procdures pour la scurit dun routeur Cisco. Cette liste doit tre utilise pour l'audit d'un environnement qui comporte des routeurs Cisco. La liste de contrle fournit les considrations de scurit lors d'un audit technique et exclut les considrations d'emploi, comme des considrations de scurit physique. Avant d'utiliser cette considration liste de contrle devrait tre donne ce qui suit:

Scurisation des routeurs Cisco

45

Chapitre3 : Politique de scurit

Emplacement du routeur: Il est important de vrifier l'emplacement du routeur sur le rseau car cela a un impact

sur certains lments de scurit, par exemple dsactivation du service SSL n'est pas approprie lorsque le routeur est de routage du trafic vers un serveur web externe. Aspect pratique des recommandations de scurit: La liste des listes des considrations de scurit de nombreux, qui ne peut tre pratique, car elle pourrait nuire aux performances du rseau. Il est important de dterminer le risque de ne pas avoir attribu certains lments de scurit et si la direction a dcid d'accepter le risque de ne pas avoir ces lments. Attnuer les contrles: Le contrle des routeurs Cisco ne peut pas tre effectue dans le vide. L'auditeur doit prendre en compte l'impact de la scurit dans d'autres lments, par exemple pare-feu, systme d'exploitation hte, etc Une faiblesse en matire de scurit au niveau du routeur peut tre attnu par un contrle rigoureux au niveau du firewall par exemple filtrage des ports qui ne sont pas 80,23, etc Interoprabilit: Dans des circonstances o le routeur utilise la fonctionnalit d'autres lments dans l'environnement par exemple un serveur syslog pour enregistrer les vnements de routeurs Cisco ou une station de gestion SNMP, l'auditeur doit examiner la scurit sur les autres lments. Cette liste ne fournit pas les considrations de scurit pour ces autres lments. Applicabilit des considrations de scurit: Cette liste de contrle pour les tentatives de fournir une liste complte de tous les lments de scurit considrer lors d'une vrification du routeur Cisco, cependant, dans certains environnements certains lments peuvent ne pas tre applicable, par exemple dans un environnement Windows, il n'est pas ncessaire de se proccuper de filtrer les services rlogin ou ssh. Serveurs de rseau: Cette liste ne comprend pas les considrations de scurit pour le systme d'exploitation excutant TACACS ou RADIUS.

2.2 Les tapes dune politique de scurit rseau


Une politique de scurit dun routeur doit passer par les tapes suivantes : 1. Gestion de la scurit routeur (mesures de scurit de bases) 2. Scurisation des accs administratifs distances des routeurs
46

Scurisation des routeurs Cisco

Chapitre3 : Politique de scurit

3. Journalisation de lactivit du routeur 4. Scurisation des services et des interfaces vulnrables du routeur 5. Scurisation des protocoles de routage 6. Contrle et filtrage du trafic La politique de scurit peut commencer avant mme lacquisition et le dploiement du routeur. 2.2.1 Politique d'acquisition Avant d'acqurir un routeur, il convient de dfinir une politique d'acquisition. Quelles sont les fonctionnalits auxquelles nous souhaitons que le routeur assure?

Quel constructeur choisir? Quel est la garantie?

Le support est- il assur ? Faut-il un contrat de maintenance ? Ce sont quelques questions dont les rponses doivent figurer dans la politique d'acquisition. 2.2.2 Politique de dploiement ou de mise en uvre Une fois le routeur acquis, il convient de dfinir une politique de mise en uvre. Cette politique devra tenir compte de son installation, de sa configuration et de sa mise en service. Par exemple, il doit tre plac dans un endroit scuris (accs protg), derrire un dispositif de protection comme un pare-feu par exemple. 2.3.3 Gestion de scurit du routeur ou mesures de base de scurit : Politique de mot de passe Les routeurs prsentent plusieurs types et niveaux d'accs (telnet, ligne virtuelle (vty), http, ligne auxiliaire, mode enable, etc.). Chacun de ces accs est protg par un mot de passe. Une politique de mots de passe doit tre dfinie et applique pour viter leur compromission. Par exemple, les mots de passe doivent tre changs suivant une priodicit (tous les trois mois par exemple). Ils doivent tre forts, c'est dire compos des chiffres, caractres

spciaux (@!&#), majuscules et minuscules. Ceci permet d'viter les attaques par dictionnaire ou par force brute. 2.3.4 Politique de durcissement Il convient de dfinir une politique de durcissement du routeur. Par exemple, en dfinissant les rles et responsabilits des diffrents intervenants (administrateur rseaux, fournisseurs, etc.), les services et comptes inutiles dsactiver, les types d'accs autoriss, la politique de sauvegarde de la configuration, etc... .
Scurisation des routeurs Cisco

47

Chapitre3 : Politique de scurit

2.3.5 Politique de journalisation Un routeur tant un quipement sensible, il est important de le surveiller afin d'avoir une ide sur ses diffrentes activits (trafic, connexion, etc.). Cette surveillance passe par les fichiers journaux gnrs par celui ci. Il convient donc de dfinir une politique de

journalisation. Par exemple, comment doivent tre utilis les fichiers journaux, o doivent-ils tre stocks ? L'envoi des fichiers journaux (log) vers un serveur centralis (syslog par exemple) doit tre scuris, une sauvegarde dune copie des logs doit tre ralise.

3.Application de la politique de scurit


3.1 Scurisation mots de passe et privilges
Configuration des mots de passe de routeur Cette commande permet dattribuer un mot de passe pour le mode configuration

Vrification

Scurisation des routeurs Cisco

48

Chapitre3 : Politique de scurit

Chiffrement de mot de passe Cette commande permet de secret le mot de passe

Activer le service de cryptage

Vrification

Application dune longueur de mot de passe minimale

Scurisation des routeurs Cisco

49

Chapitre3 : Politique de scurit

Utilisateurs et niveaux de privilges Les configurations d'accs vues prcdemment se limitent empcher n'importe qui d'accder des services statiques. L'lOS Cisco permet toutefois de dfinir des tables d'utilisateurs et de leur accorder jusqu' 16 niveaux (de 0 15) de privilges (dfinir, par exemple, les commandes accessibles par privilge). Lorsque les services sont restreints par dfaut, c'est le plus haut niveau qui est dfini (15) Niveau de privilge 1 = le niveau par dfaut pour la connexion, Niveau de privilge 15 = privilgis (invite routeur #), le niveau aprs la mise en activer le mode, Niveau de privilge 0 = niveau de privilge rarement utilis, mais comprend 5 commandes: dsactiver, activer, la sortie, Aide et Dconnexion.

3.2 Dsactiver les services et interfaces non utiliss


Un certain nombre de services peuvent tre activs sur le matriel Cisco. Selon les versions de lIOS ces services sont activs par dfaut, mais sont bien souvent inutiles Finger Ce service peut rvler une personne mal intentionne et non autorise des informations sur les utilisateurs connects. :

UDP small server et tcp small server Ces deux services reprsentent les services echo, chargen, discrad et daytime avec les protocoles UDP et TCP. Ces services peuvent tre exploits pour obtenir indirectement des informations sur le systme cible ou effectuer des Dnis de services.

Bootp Bootp est un protocole permettant une machine de booter sur le rseau. Ce service permet un routeur dtre utilis comme serveur Bootp pour les autres routeurs. Requtes TFTP Les routeurs Cisco mettent des requtes TFTP intervalles rguliers pour vrifier lintgrit de leur configuration. Cela peut prsenter un risque de scurit, il est conseill de le dsactiver.

Scurisation des routeurs Cisco

50

Chapitre3 : Politique de scurit

Cisco Discovery Protocol CDP est un protocole activ par dfaut sur le matriel Cisco fournissant de nombreuses informations sur les quipements voisins comme les interfaces du routeur auxquelles ils sont connects, leur numro de modle, etc. Une personne mal intentionne pourrait utiliser les informations fournies par CDP pour parvenir ses fins. Proxy arp(En mode de configuration dinterface) Le proxy arp est utilis sur les routeurs lorsquun PC du rseau ne dispose pas de passerelle pour joindre un autre rseau. Si celui-ci ne dispose pas dune adresse de passerelle et possde un masque lui faisant croire tre dans le mme rseau que lhte du rseau distant, alors il enverra une simple requte ARP pour le joindre et cest le routeur qui y rpondra grce au proxy arp. Le routeur se fera donc passer pour la machine distante en rpondant sa place, do le nom proxy arp.

Dsactiv le port auxiliaire Assurer que le port auxiliaire est dsactiv avec une configuration similaire la suivante

3.3 Scuriser laccs Telnet


1er solution : Limiter laccs au routeur : Modifier le port d'coute Telnet Router(config)#line vty 0 4 Router (config)# rotary La commande rotary met Telnet sur le port 3000. Pour spcifier le numro de port, il est possible dajouter un nombre 30000.Par exemple rotary 50 changera le port d'coute 3050. Limiter laccs par Telnet Pour limiter les accs on utilise une Access Liste

La commande Access-List simplifie n'autorise que le rseau dadresse10.0.0.0/24.


Scurisation des routeurs Cisco

51

Chapitre3 : Politique de scurit

La commande Access-Class 10 active l'Access-List 10 sur les vty 0 4. Enfin, il est recommand de mettre une temporisation pour dconnecter la session en cas d'inactivit, l'aide de la commande Exec-Timeout mm ss o mm est le temps en minute et ss le complment en secondes. 2eme solution: T.A.C.A.C.S
Les authentifications de type TACACS permettent de grer des comptes individuels daccs associs des types de profils dfinis, dans lesquels les commandes autorises sont clairement spcifies et limites. On filtre ainsi les classes dadresses IP autorises accder au routeur, tout en limitant les temps de connexion au routeur sans activit.

Il existe 3 versions, 1 ancienne (poque ARPANET) en UDP, 1 version moins ancienne, en TCP, et une dernire, avec une bonne prise en compte de la scurit (TACACS+). La dernire version fait bien la sparation entre les trois A : on peut les mettre sur 3 services diffrents. Protocole d'authentification : Start Reply : dbut de transaction entre client (routeur) et serveur Renvoi d'AVP (Attribute Value Pair) par le serveur Request Response, envoi d'autres AVP. Protocole d'accounting : Start Stop Watchdog More On ajoute un serveur Taccas

Figure 31 : schma dun rseau avec serveur Taccas

Scurisation des routeurs Cisco

52

Chapitre3 : Politique de scurit

Configuration du routeur : Les commandes suivant est pour configurer un client Tacacs (le routeur)

Pour fonctionner, le service AAA doit tre activ sur le routeur avec la commande suivante: aaa new-model.
La commande aaa authentication login permet de rfrer un ensemble de dfini prcdemment TACACS + serveurs

Dfinition des adresses IP des serveurs TACACS ainsi que une cl utilise pour lauthentification des serveurs. TACACS-server host {IP} TACACS-server key {cl} La commande login authentification permet dactive le model Tacacs+ la ligne Telnet Un accs administratif au routeur, un seul compte est dfini localement sur le routeur pour une utilisation dans un cas durgence (serveur dauthentification tombe en panne)

3eme solution Lutilisation du protocole SSH SSH (Secure SHell) est un protocole hautement scuris, de conception rcente. L'utilisation du protocole SSH au lieu de Telnet pour se connecter distance au routeur permet de faire diminuer sensiblement les menaces car : La signature numrique d'un serveur fournit la vrification pour son identit. La communication complte entre un systme client et un systme serveur (routeur) ne peut tre utilis si elle est intercepte car tous les paquets sont chiffrs. Il n'est pas possible d'usurper l'identit d'un des deux systmes, parce que les paquets sont chiffrs et leurs cls ne sont connues que par les systmes locaux et distants.

Scurisation des routeurs Cisco

53

Chapitre3 : Politique de scurit

La commande Line vty 0 4 permet de entrer en mode de configuration de ligne telnet La commande no transport input dsactiver les lignes virtuelle La commande transport input SSH permet dactiver le SSH Configuration de SSh : Etape1 : Rglage des parmtres du routeur

Etape2 : Dfinition du nom de domaine

Etape 3 :Gnration de cls asymtriques

Etape 4 :Configuration de lauthentification locale et VTY

Etape 5 :Configuration des dtails dattente SSH

3.3.1 Scuris le protocole de gestion SNMP : Il faut : Modifier le nom de communaut par dfaut (comme public et private). Utiliser la version 3 du protocole qui ajoute la scurit : authentification, intgrit et confidentialit des donnes. Configurer le routeur de telle faon quil filtre le trafic SNMP provenant seulement des machines lgitimes. (on nautorise que ladministrateur)

Scurisation des routeurs Cisco

54

Chapitre3 : Politique de scurit

Access-list contre le spoofing L'Access-List suivante interdit l'accs au rseau pour tous les datagrammes en

provenance de l'extrieur, dont : Ladresse source est locale (127.0.0.0, 0.0.0.0) Ladresse source est prive (10.0.0.0, 172.16.0.0 et 192.168.0.0), Ladresse source est une adresse multicast (224.0.0.0) ou broadcast (255.255.255.255) Ladresse source est sur le rseau interne

access-list 100 deny IP 127.0.0.0 0.255.255.255 any access-list 100 deny IP 10.0.0.0 0.255.255.255 any access-list 100 deny IP 224.0.0.0 31.255.255.255 any access-list 100 deny IP host 0.0.0.0 any access-list 100 deny IP host 255.255.255.255 any access-list 100 deny IP 192.168.0.0 0.0.255.255 any access-list 100 deny IP 172.16.0.0 0.0.255.255 any access-list 100 deny IP numro-sous-rseau masque-sous-rseau any access-list 100 permit IP any any Cette Access-List doit tre applique sur toutes les interfaces externes laide de lacommande suivante: IP Access-Group 100 in Il est possible aussi de limiter le spoofing sur le rseau interne. L'Access-List suivante ne peut pas empcher un utilisateur d'usurper une autre adresse IP du rseau, mais elle l'empche d'usurper une adresse externe. Access-List 101 permit IP 10.0.10.0 10.0.10.254 any Access-List 101 deny IP any any Elle est applique sur l'interface du rseau interne: IP Access-Group 101 in

Scurisation des routeurs Cisco

55

Chapitre3 : Politique de scurit

3.3.2 Contre attaque Synflood Ladministrateur doit utiliser la commande TCP intercept pour protger contre les attaques SYN Flood. Grce cette commande le routeur intercepte ltablissement dune connexion TCP, et dtermine si ladresse source est joignable .Si la machine est joignable le routeur permet la connexion, sinon il empche la connexion. La configuration doit tre au : IP TCP intercept list 107 Access-List 107 permit TCP any 10.0.0.0 255.255.255.0 Access-List 107 deny IP any any Interface eth0 IP Access-Group 107 in Exit 3.3.3 Contre lutilisation Frauduleuse du protocole ICMP
Rejet

des broadcasts dirigs

Un broadcast dirig permet d'envoyer un datagramme vers toutes les stations d'un rseau, mme distants. Cette technique est utilise dans les attaques de type Smurf. No IP directed-broadcast Cette commande applique sur chaque interface du routeur a pour effet de ne pas propager les broadcasts dirigs. C'est la configuration par dfaut partir de la version IOS 12.0. Dsactivation du routage des redirections ICMP Les messages ICMP redirect permettent de modifier les tables de routage des quipements. L'utilisation de messages ICMP redirect peut aussi altrer la politique de routage dfinie par l'administrateur du rseau. Il est donc prudent de rejeter ces messages. No IP redirect Cette commande applique sur chaque interface indique que le routeur ne doit ni gnrer, ni accepter de paquets ICMP Redirect. 3.3.4 Mise en place dun serveur log (syslog) Le Syslog se compose d'une partie cliente et d'une partie serveur. La partie cliente met les informations sur le rseau, via le port UDP 514. Les serveurs collectent l'information et se chargent de crer les journaux. L'intrt de Syslog est donc de centraliser les journaux d'vnements, permettant de reprer plus rapidement et efficacement les dfaillances d'ordinateurs prsents sur un rseau.

Scurisation des routeurs Cisco

56

Chapitre3 : Politique de scurit

Il existe aussi un logiciel appel Syslog, qui est responsable de la prise en charge des fichiers de journalisation du systme.

La commande logging Ip Active la journalisation des messages systme un hte distant La commande logging trap Afin de limiter les messages enregistrs sur les serveurs syslog fonction de la gravit, utilisez la commande trap enregistrement en mode de configuration globale. Pour revenir les htes exploitation distance au niveau par dfaut La commande service timestamps [debug | log] [ uptime | datetime [msec] [localtime] [show-timezone] [year] ] utilis pour configurer le systme pour appliquer un horodatage des messages de dbogage ou de messages de journalisation systme, utilisez la commande service timestamps en mode de configuration globale. Pour dsactiver ce service, utilisez la forme no de cette commande.

Figure 32: Mise en place dun serveur log (syslog)

Scurisation des routeurs Cisco

57

Chapitre3 : Politique de scurit

Dtection des sniffer En principe, les sniffers sont indtectables puisque ne gnrant aucun trafic, se

contentant dtre passif, en coute active. Il existe des outils pour essayer de les piger. Voici quelques mthodes utilises pour tenter doprer cette dtection. Le contrle des temps de latence La mthode consiste produire une surcharge de travail pour lhte suspect. On teste le dlai des rponses diverses requtes, avant la surcharge. Puis on surcharge le rseau avec du trafic suspect dtre sniff. Ceci devrait gnrer une suractivit pour lhte sniffeur et donc 50 accrotre ses temps de rponses. Les rsultats permettent de renforcer la suspicion ou de disculper lhte en question. La mthode Ping Cette mthode permet didentifier les interfaces rseau en mode promiscuous, autrement dit celles sur lesquelles coute un sniffer. Une interface Ethernet ne rpond en principe quaux trames qui lui sont destines. 1. On construit un paquet ICMP Echo Request destination de ladresse IP de lhte surveill dans lequel ladresse MAC destination a t modifie (i-e diffrente de celle de lhte surveill). 2. Si lhte est en mode normal, le filtre MAC joue son rle, le dmultiplexage des couches suprieures ne se fait pas, ladresse IP destination nest pas reconnue et il ny a donc pas de rponse cette requte. 3. Si maintenant il est en mode promiscuous, le filtre nopre plus, le dmultiplexage a lieu, ladresse IP est reconnue et une rponse est renvoye. Si le sniffer prvoit la mise en place dun filtre dadresse MAC, la mthode devient inefficace. On peut affiner cette approche par lutilisation de paquets corrompus, devant produire une rponse ICMP error. 3.3.5 Scurisation des protocoles de routage Exigence: Authentification MD5 voisin doit tre mis en uvre pour tous les protocoles de routage avec tous les routeurs par les pairs au sein mme ou entre systmes autonomes (AS). Procdure: Dterminer quels sont les protocoles de routage ont t mis en uvre sur le bord externe avec leurs pairs ainsi que l'intrieur. l'exception de l'extrieur ou NIPRN et pairs SIPRN et l'authentification du prochain doit tre implmente en utilisant MD5. Les
Scurisation des routeurs Cisco

58

Chapitre3 : Politique de scurit

protocoles de routage suivant le support MD5: BGP, OSPF, IS-IS, EIGRP et RIP V2. Voici quelques exemples de configuration pour le protocole BGP, OSPF, EIGRP et l'authentification voisine.

BGP
router bgp 100 neighbor external-peers peer-group neighbor 171.69.232.90 remote-as 200 neighbor 171.69.232.90 peer-group external-peers neighbor 171.69.232.100 remote-as 300 neighbor 171.69.232.100 peer-group external-peers neighbor 171.69.232.90 password xxxxxxxxxx neighbor 171.69.232.100 password xxxxxxxxxx Note: La dclaration mot de passe voisin peut tre applique des groupes de pairs ou de la dfinition voisine.

OSPF
interface Ethernet0 ip address 10.10.10.10 255.255.255.0 ip ospf message-digest-key 10 md5 mypassword

router ospf 10 network 10.10.0.0 0.0.255.255 area 0 area 0 authentication message-digest

Note: D'authentification doit tre active pour chaque zone. Dans OSPF, une interface appartient un seul domaine; donc, il y aurait toujours une dclaration de rseau sous l'ID de processus OSPF pour chaque interface qui a un trafic OSPF. La dclaration de rseau dfinit la zone dans laquelle le rseau appartient. Le key_id MD5 et mot de passe est dfini pour chaque interface connecte un voisin OSPF.

Scurisation des routeurs Cisco

59

Chapitre3 : Politique de scurit

Configuration de RIPv2 avec authentification

EIGRP
interface Ethernet0 ip address 10.10.10.10 255.255.255.0 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 mypassword . . . key chain mypassword key 12345 key-string abcdefg

Scurisation des routeurs Cisco

60

Chapitre3 : Politique de scurit

accept-lifetime infinite . . . router eigrp 1 network 10.0.0.0 no auto-summary

3.3.6 Contrle et filtrage du trafic Listes d'accs sont utiliss pour contrler et grer l'accs d'intressant et non de trafic intressant. Listes d'accs sont des outils puissants pour contrler l'accs vers et partir de deux segments de rseau. Ils peuvent filtrer les paquets inintressants et tre utilises pour mettre en uvre les politiques de scurit. En utilisant la bonne combinaison de listes d'accs, gestionnaires de rseau sera arm avec le pouvoir de faire appliquer une politique d'accs prs qu'ils peuvent inventer. Aprs les listes sont construites, elles peuvent tre appliques soit l'arrive ou le trafic sortant sur une interface. En appliquant des listes d'accs du routeur peut effectuer pour analyser chaque paquet en passant par l'interface spcifique la direction et galement prendre des mesures. Les ACL, ou Access Control List permettent de filtrer ce qui entre ou sort par les interfaces dun routeur, en fonction : De lIP Source. De lIP de destination Du port source Du port de destination Du protocole (IP, TCP, UDP, ICMP)

Il est possible dautoriser ou dinterdire les paquets IP. Une ACL contient plusieurs rgles qui sont lues squentiellement jusqu ce que lune delles corresponde au paquet trait. La lecture de la liste sarrte alors.

Scurisation des routeurs Cisco

61

Chapitre3 : Politique de scurit

Figure 33:Fonctionnement des listes de contrle daccs Types d'ACL On distingue les types d'ACL selon le type de protocole de niveau 3 concern. Ainsi, sur les routeurs CISCO on peut voir grce l'instruction access-list ? cette liste (Il faut tre en mode de configuration)

Figure 34: les types d'ACL

Scurisation des routeurs Cisco

62

Chapitre3 : Politique de scurit

Les plus utilises sont les <100-199> IP Extended Access List, car ce sont souvent des paquets IP qui transitent, notamment sur l'internet Masque gnrique Les ACL permettent de dsigner des groupes d'adresses grce l'utilisation d'un masque gnrique. Dans un masque gnrique, les 0 signifient qu'il faut vrifier la valeur du bit correspondant, et les 1 signifient qu'il faut l'ignorer. Une ACL s'applique en deux temps : Identification du ou des flux (dfinition de lACL) : access-list Application des rgles une interface (application de lACL) : access-group Il faut de plus dfinir le sens sur lequel l'ACL agit, c'est dire si c'est en entr ou en sortie (In ou Out).Il existe 2 types ACL : Liste daccs standard : access-list number { deny | permit } source masque gnrique Liste daccs tendu : access-list 100-199 {permit|deny} {ip|tcp|udp|icmp} source source-mask [lt|gt|eq|neq] [source-port] destination dest-mask [lt|gt|eq|neq] [dest-port] [log] Mthode souhait La cration, la mise jour, le dbogage ncessitent beaucoup de temps et de rigueur dans la syntaxe Il est donc conseill De crer les ACL l'aide d'un diteur de texte et de faire un copier/coller dans la configuration du routeur Placer les extended ACL au plus prs de la source du paquet que possible pour le dtruire le plus vite possible Placer les ACL standard au plus prs de la destination sinon, vous risquez de dtruire un paquet trop top Rappel : les ACL standard ne regardent que l'IP source Placer la rgle la plus spcifique en premier Avant de faire le moindre changement sur une ACL, dsactiver sur l'interface concern celle-ci (no ip access-group)

Scurisation des routeurs Cisco

63

Chapitre3 : Politique de scurit

Exemples des Access-List

Exigence : Les administrateurs routeur restreindre le routeur principe d'accepter tous les

paquets entrants qui contiennent une adresse IP du rseau interne, une boucle d'accueil locales de retour d'adresse (127.0.0.0 / 8), la gamme lien-local adresse IP(169.254.0.0/ 16), ou toute autre adresse rservs priv dans le domaine source

Procdure : Examen du principe configuration des routeurs Cisco pour assurer ACL sont

en place pour restreindre les adresses IP entrantes.

interface FastEthernet 0/0 description to NIPRNet core router ip address 199.36.92.1 255.255.255.252 ip access-group 100 in . . access-list 100 deny ip <internal network range> <wildcard mask> any log access-list 100 deny ip 0.0.0.0 0.255.255.255 any log access-list 100 deny ip 10.0.0.0 0.255.255.255 any log access-list 100 deny ip 127.0.0.0 0.255.255.255 any log access-list 100 deny ip 169.254.0.0 0.0.255.255 any log access-list 100 deny ip 172.16.0.0 0.15.255.255 any log access-list 100 deny ip 192.0.2.0 0.0.0.255 any log access-list 100 deny ip 192.168.0.0 0.0.255.255 any log access-list 100 deny ip 224.0.0.0 15.255.255.255 any log access-list 100 deny ip 240.0.0.0 7.255.255.255 any log

Scurisation des routeurs Cisco

64

Chapitre3 : Politique de scurit

Exigence :
Le filtre d'entre n'est pas applique aux interfaces externes ou l'vacuation filtre n'est pas

appliqu aux interfaces internes; la fois sur une direction d'arrive. Note: Tous les filtres doivent tre appliqus aux interfaces appropries sur une direction d'arrive

Procdure :
Examen de la configuration courante du routeur hypothse interfaces de et de vrifier que toutes l'entre approprie l'exception des bouclage, ont

les interfaces,

ou ACL sortie applique un sens entrant.

interface FastEthernet 0/0 description NIPRNet link ip address 199.36.92.1 255.255.255.252 ip access-group 101 in
Remarque: Le sens par dfaut pour le "ip access-group" commande est "out ".

Conclusion
Dans ce chapitre nous avons prsent la diffrente tape de configuration de base des routeurs Cisco qui a sollicit une bonne comprhension les procdures recommandes pour leur scurisation ainsi prvenir les techniques dattaques qui menacent lintgrit du routeur.

Scurisation des routeurs Cisco

65

Conclusion Gnrale

Conclusion Gnrale
Le prsent projet, tait une opportunit pour aborder de prs le domaine le plus important de nos jours, celui de la scurit des Systmes dInformation(SI). Nous avons examin de prs la scurit des routeurs CISCO qui prsentent la colonne vertbrale de linfrastructure rseaux de POLYGONE ou tout autre entreprise dployant ce type de routeur, en vu de satisfaire le besoin de la socit en matire de scurit des quipements rseaux. La mthodologie adopte dans ce travail consistait cerner les vulnrabilits qui peuvent se prsenter, en tudiant les techniques des attaques sur le routeur. Ces dernires exploitent les vulnrabilits dans les protocoles rseau. Ensuite, tablir les procdures de scurit pour se protger contre ces menaces au niveau du routeur. Nous avons galement beaucoup appris les notions de la scurit rseau, ce qui ma permis de comprendre les techniques utilises par les pirates et la faon de sen protgs. Ce travail fut aussi un apport considrable, en effet il ma permis de mintgrer au sein de la socit POLYGONE, de sinitier la vie professionnelle, de collaborer avec les membres de lquipe rseau et de dvelopper des qualits relationnelles avec lensemble du personnel. Puisque tout projet natteint jamais le parfait, la correction des failles de scurit nempche pas lapparition de nouvelles menaces do la politique de scurit doit tre priodiquement audite.

Scurisation des routeurs Cisco

66

Bibliographie et Ntrographie

Bibliographie et Ntographie
Bibliographie
Jean Franois Pillou. Tout sur la scurit informatique, Canada, Dunod, 2005,123 pages ; Michal Zalewski Menaces sur le rseau , France , CampusPress, 322 pages 2004 Laurent Bloch Scurit informatique - Principes et mthodes , Eyrolles,2006 261 pages Cisco IOS Router Checklist Procedure Guide (Supplement to the Network Infrastructure Checklist V6R1 DISA FIELD SECURITY OPERATIONS)

Ntographie
[1] www.tcpdump.org [2] www.wireshark.fr

[3] www.softcities.com/telecharger-mib-browser/60214.htm [4] www.wiki.backtrack-fr.net


[5] www.hping.org http://www.ietf.org/rfc.htm www.cisco.com www.ansi.tn http://www2.cegep-rdl.qc.ca/prive/pr-cisco/ccna4e/doc/Exploration_Accessing_WAN_Chapter4fr.pdf

Scurisation des routeurs Cisco

67

ANNEXES

Limitation de lAccs avec Telnet laide Access List

Exemple dAccess- List tendu permettent filtrer des paquets en fonction de l'adresse de destination IP

Super scan : Logiciel catgorie scanner de ports

Scnario des attaques


Les scnarios reprsentent squentiellement le droulement des traitements et des interactions entre les lments du systme et/ou les acteurs.
1. Attaque synflood avec NetFlood

Cette attaque

consiste envoyer un paquet TCP SYN (qui dbute les

connexions) trs rapidement, de sorte que le routeur attaqu sattend complter un grand nombre de connexion sur le port spcifi, ce qui puise ses ressources et affecte les connexions lgitimes.

Figure : Scnario dattaque SynFlood


2. Attaque avec SnmpDos

Cette attaque consiste envoyer une requte Snmp

SET qui comporte LOID

de

ltat de linterface du routeur le but de cette requte est de dsactiver linterface, donc rendre le routeur inaccessible partir de cette interface.

Figure: Scnario de lattaque avec SnmpDos


3. Attaque par ICMP flood

Cette attaque vise inonder le routeur avec un nombre important de paquet ICMP, pour alourdir sont fonctionnement. D'ailleurs, que les cibles rpondent ou pas l'ICMP, l'objectif premier tant de saturer sa bande passante d'accs rseau, processeurs, mmoire ...
Paquet ICMP Paquet ICMP Routeur victime Paquet ICMP Paquet ICMP Paquet ICMP
Le routeur est satur

Paquet ICMP Paquet ICMP Paquet ICMP

Pirate

Figure : Scnario de lattaque ICMP Flood 4. Attaque par UDP flood

NetFlood va se mettre envoyer un maximum de paquets UDP sur le port spcifi de la machine cible. Cette masse de paquets va submerger le routeur qui ne pourra plus rpondre aucune autre requte (d'o le terme de dni de service).

Paquet UDP Paquet UDP Routeur victime Paquet UDP Paquet UDP Paquet UDP
Le routeur est satur

Paquet UDP Paquet UDP Paquet UDP

Pirate

Figure: Scnario dUDP Flood


5. Ecoute avec SnifferTelnet

SnifferTelnet met linterface en mode transparent (promiscuous) pour capturer toutes les trames circulantes dans le rseau. SnifferTelnet applique un filtre interface dcoute selon : Le port destination : Il naccepte que les paquets ayant le port destination 23 celui du service TELNET , Ladresse destination : il nintercepte que les paquets ayant ladresse

destination du routeur pour garantir que le trafic susceptible de contenir le mot de passe est destin au routeur.
Pirate

SnifferTelnet capture tout les paquet telnet vers le routeur

Client Telnet

Routeur victime

Flux Telnet

Figure : Scnario de capture du mot de passe Telnet

Type de scurit des routeurs Cisco selon la check-list DISA


1. Scurisation accs
1re exemple : Exigences L'ONS assur que si un serveur dauthentification est utilis pour laccs administratif au routeur, un seul compte local peut tre pour une utilisation en cas d'urgence

Procdures Examen de la configuration en cours dexcution et de vrifier qu'un seul

compte local a t dfini. Un exemple d'un compte local est illustr dans l'exemple ci-dessous username xxxxxxx password 7 xxxxxxxxxxx 2me exemple : Exigences L'ONS veillera

ce

que tous

les hors-la

gestion des

connexions

bande au

routeur ncessitent des mots de passe Procdures

Etude de la configuration de chaque routeur de veiller ce que le port de la console et les ports vty utilis par le rseau OOBM besoin d'une invite de connexion
line con 0 login authentication admin_only exec-timeout 15 0 line vty 0 4 login authentication admin_only exec-timeout 15 0 transport input ssh

2. Scurisation daccs : privilge


1re exemple :

Exigences

Les administrateurs routeur feront en sorte que tous les comptes utilisateurs se voient attribuer le niveau le plus bas privilge qui leur permet d'exercer leurs fonctions.

Procdures Il ya 16 niveaux de privilges possibles qui peuvent tre spcifies pour les utilisateurs dans la configuration du routeur. Les niveaux peuvent carte aux commandes, qui ont mis en niveaux de privilge - ou vous pouvez raffecter les niveaux des commandes. Les noms d'utilisateurs avec mot de passe correspondant peuvent tre rgls un niveau spcifique. Il y aurait plusieurs noms d'utilisateur name password password Suivi par nom d'utilisateur name privilge level. L'utilisateur sera automatiquement acquis que le niveau de privilge lors de la connexion en dessous est un exemple d'attribution d'un niveau de privilge un compte dutilisateur

local et de modifier le niveau de privilges par dfaut de la commande terminal configurer username junior-engineer1 privilege 7 password xxxxxx username senior-engineer1 privilege 15 password xxxxxx privilege exec level 7 configure terminal
Remarque :

L'exemple ci dessus ne couvre que comptes et leurs niveaux de

Les comptes locaux, vous aurez toujours besoin de vrifier les

privilges associs configur dans le serveur d'authentification. Vous pouvez galement utiliser TACACS pour granularit encore plus au niveau du commandement. Voici un exemple de Cisco
Secure serveur TACACS
user = junior-engineer1 { password = clear "xxxxx" service = shell { set priv-lvl = 7 }

3. Dsactivation port console

Exigences Les administrateurs routeur feront en sorte que les ports auxiliaires du routeur sont

dsactivs.

Procdures Voir la
line aux 0 no exec transport input none

configuration de

chaque routeur Cisco afin

de

s'assurer

que le

port

auxiliaire est dsactiv avec une configuration similaire

4. scurisation console
Exigences Les administrateurs routeur que le port console du routeur sont configurs pour expirer aprs 15 minutes d'inactivit. Procdures Examen de
line con 0 login authentication admin_only exec-timeout 15 0

chaque configuration

des

routeurs

Cisco

pour

assurer

que

la

console est dsactive aprs 15 minutes d'inactivit

Note: la valeur par dfaut est de 10 min,

ce qui est plus restrictif

5. Scurisation interfaces inactives


Exigences Les administrateurs routeur permettent de dsactiver les interfaces du routeur qui ne sont pas en cours d'utilisation Procdures En collaboration avec le diagramme de topologie rseau, utilisez l'interface show interface ou show ip interface brief commande de concilier toutes les interfaces qui

ont un statut de protocole et de la place. Interfaces avec le statut de administrativement vers le bas et vers le bas du protocole sont configurs avec un shutdown commande alors que les interfaces avec un statut de haut et de bas protocole indique que l'interface n'est pas dsactive via "shutdown" de commande et il n'est pas un lien actif. Cela pourrait aussi tre un lien qui oscille. Interfaces handicapes pour un routeur Cisco auront le "shutdown" commande en vertu de la dclaration d'interface

interface Ethernet1 no ip address no ip directed-broadcast shutdown

6. Fixation dadresse dadministrateur


Exigences Les administrateurs Procdures Examen toutes les configurations de routeur Cisco et de vrifier que seules les routeur feront en sorte que le routeur ne permet que des sances de

gestion dans la bande provenant d'adresses IP autorises partir du rseau interne.

connexions internes autoriss sont admis sur les ports VTY.


access-list 3 permit 192.168.1.10 log access-list 3 permit 192.168.1.11 log access-list 3 deny any line vty 0 4 access-class 3 in

7. Recommandation dutilisation de SSH au lieu de Telnet


Exigences
Les administrateurs routeur assurer l'accs de gestion in-band pour le routeur est limite SSH

Procdures Examiner toute les configurations des autoris seulement sur les ports VTY.
line vty 0 4 transport input ssh

routeurs Cisco et vrifier que

ssh est

8. Log
Exigences L'administrateur routeur fera en sorte que le routeur enregistre toutes les tentatives d'accs dans la bande de gestion. Procdures Examen de chaque configuration des routeurs Cisco pour s'assurer que toutes les tentatives de connexion aux ports VTY sont enregistres.

access-list 3 permit 192.168.1.10 log access-list 3 permit 192.168.1.11 log access-list 3 deny any log . line vty 0 4 access-class 3 in

9. Deactivation de HTTP, FTP


Exigences
HTTP, FTP, et tous les r-commandes BSD serveurs doit tre dsactiv.

Procdures
Examen toutes les configurations de routeur Cisco afin de vrifier que la commande IOS pas de serveur http ip est prsent Note: Le serveur HTTP n'est pas disponible avec IOS versions antrieures 11.0. En outre, httpserver est dsactive par dfaut dans la version IOS 12.0, d'o le no-ip-serveur http commande n'apparat pas dans la configuration courante. FTP, RCP et RSH sont dsactivs par dfaut.

ftp-server enable ip rcmd rcp-enable ip rcmd rsh-enable . . line vty 0 4 transport input rlogin telnet

10.Scurisation ICMP: Ping


1re exemple :

Exigences
Notifications ICMP inaccessible, les rponses masquent, et les redirections ne sont pas handicapes sur toutes les interfaces externes du routeur prmisse.

Procdures
Pour la version IOS 12.0 et d'examiner ultrieurement la configuration courante du routeur principe et d'assurer les commandes suivantes ne sont pas prsents sur toutes les interfaces externes: ip unreachable, ip redirects, et ip mask-reply. Pour les versions antrieures 12,0,

d'assurer les commandes suivantes sont presents: "no ip unreachable, no ip redirects, et no ip maskrepy. interface FastEthernet 0/0 description NIPRNet link ip address 199.36.92.1 255.255.255.252 ip access-group 101 in no ip redirects no ip unreachables no ip mask-reply 2me exemple

Exigences
Deux Network Time Protocol (NTP) des serveurs doivent tre utiliss pour synchroniser toutes les horloges routeur.

Procdures
Examen des configurations de routeur et de vrifier que les serveurs NTP ont t dfinis comme dans l'exemple suivant: ntp update-calendar ntp server 129.237.32.2 ntp server 142.181.31.6

11. Access Control List


1re exemple :

Exigences
L'administrateur routeur fera en sorte que toutes les tentatives de n'importe quel port, protocole ou service qui est refuse sera connect

Procdures
Examen de la configuration courante du routeur hypothse et de vrifier que la pntration la fois le routeur et ACL vacuation ont un mot-clef log aprs chaque infirmer la dclaration. access-list 101 permit tcp access-list 101 permit tcp access-list 101 permit tcp . access-list 101 deny any log

2me exemple :

Exigences
L'administrateur routeur mettra en uvre entre et la sortie de filtrage sur tous

les routeurs principe repose sur une politique de rejet par dfaut.

Procdures
Examen de la configuration courante du routeur hypothse et de vrifier que les deux du routeur d'entre et de sortie ACL sont bass sur une nier par la politique par dfaut. Lorsque la vrification du respect par Deny exigence par dfaut, vrifiez que l'ACL se termine avec le nier toute rgle (implicite ou explicite) que la dernire ligne de l'ACL. access-list 101 permit tcp . . . . . . . access-list 101 permit tcp . . . . . . . access-list 101 permit tcp . . . . . . . . . . access-list 101 deny any log 3me exemple:

Exigences L'administrateur routeur restreindre le routeur d'accepter tous les paquets IP sortants qui contient une adresse illgitime dans le champ Procdures Examen de la configuration des routeurs pour assurer principe ACL vacuation sont en place sur toutes les interfaces internes pour restreindre le routeur d'accepter les paquets sortants IP qui contiennent une adresse IP externe dans le domaine source. Afin de se conformer la nier par la politique par dfaut, permis des dclarations pour ces ports, qui sont autoriss devront tre dfinies par le suivi nier toute dclaration. Les tats de permis doit bnficier de l'adresse source avec la plage d'adresses rseau interne.
Procdure d'Unicast Reverse

d'adresse source

par

lintermdiaire

d'vacuation ou ACL en permettant Unicast Reverse Path Forwarding (RPF).

Path Forwarding: Examen de la configuration des routeurs pour assurer principe FPR a t configur sur toutes les interfaces internes. Voici un exemple de configuration: interface FastEthernet 0/0 description downstream link to our network ip address 199.36.90.1 255.255.255.0 ip verify unicast reverse-path 197 ! access-list 197 deny ip any any log ***** interface FastEthernet 0/0 description downstream link to our network ip address 199.36.90.1 255.255.255.0 ip access-group 102 in . . access-list 102 permit tcp any any established access-list 102 permit udp host [external DNS] any eq domain access-list 102 permit udp host [external DNS] any gt 1023 access-list 102 permit tcp [internal network] [wildcard mask] any eq ftp-data access-list 102 permit tcp [internal network] [wildcard mask] any eq ftp access-list 102 permit tcp [internal network] [wildcard mask] any eq http access-list 102 permit . . . . . . . access-list 102 deny any

12.Simple Network Management Protocol (SMNP)


Exigences
Les administrateurs routeur assurer SNMP est activ dans le mode lecture seule; en lecture / criture ne sera pas permis que s'il est approuv par l'ONS.

Procdures
Examen toutes les configurations de routeur Cisco pour assurer l'accs SNMP partir des stations de gestion de rseau est en lecture seule. access-list 10 permit host 7.7.7.5 snmp-server community xxxxxxxxx ro 10

SYNC Exigences
Les administrateurs routeur utilise le protocole TCP Intercepte commande pour protger les serveurs contre les attaques TCP SYN flood de tout un rseau extrieur.

Procdures
Examen du principe ou de routeur de bordure de configuration pour assurer la commande d'intercepter TCP est en place pour intercepter les demandes dconnexion TCP SYN. ip tcp intercept list 107 access-list 107 permit tcp any <internal network> < wildcard mask>

13.Ping
1re exemple :

Exigences
l'exception dEcho Reply (type 0), Temps dpass (type 11), et Destination unreachable (type 3), le filtre d'entre permet de bloquer tous les messages ICMP.

Procdures Examen du principe configuration des routeurs Cisco pour assurer que les blocs ACL pntration tous les types de trafic entrant message ICMP l'exception de Echo Reply (type 0),Temps dpass(type 11), et Destination unreachable (type 3).
interface FastEthernet 0/0 description to NIPRNet core router ip address 199.36.92.1 255.255.255.252 ip access-group 100 in .

access-list 100 permit icmp any any echo-reply access-list 100 permit icmp any any time-exceeded access-list 100 permit icmp any any unreachable access-list 100 deny icmp any any log

Note: The above ACL could also look similar to the following using the icmp type codes instead of the icmp message type:
access-list 100 permit icmp any any 0 access-list 100 permit icmp any any 11 access-list 100 permit icmp any any 3 access-list 100 deny icmp any any log 2me exemple

Exigences L'administrateur routeur bloque sortant types message Procdures Examen du principe configuration des routeurs Cisco pour assurer l'vacuation ACL sont lis aux interfaces appropries pour bloquer tous les types de message ICMP sortant de la circulation, sauf Echo, de problme de paramtre et Source Quench.
interface FastEthernet 0/0 description link to our network ip address 199.36.90.1 255.255.255.0 ip access-group 107 in . . access-list 107 permit icmp 199.36.90.0 0.0.255.255 any echo access-list 107 permit icmp 199.36.90.0 0.0.255.255 any parameter-problem access-list 107 permit icmp 199.36.90.0 0.0.255.255 any source-quench access-list 107 deny icmp any any log

ICMP Echo

Request

trafic

l'exception (type 8), de problme de paramtre (type 12) et Source Quench (type 4).