Академический Документы
Профессиональный Документы
Культура Документы
1/8
2/8
Bon savoir
Cette version permet de rduire encore plus la surface d'attaque d'un routeur Cisco. Ce qui s'ajoute dans cette version par rapport la version 1.1 de 2010: Configuration des limitations des tentatives de connexion choues Dsactivation du service de rcupration des mots de passe Bien sr sans oublier la correction des fautes (-: pas dignes d'un professionnel de la scurit de l'information comme moi, et la reformulation de certaines phases.
A- Contexte et objectif
Un routeur est un quipement rseau ddi qui participe au processus d'acheminement des paquets dans un rseau (LAN, MAN, WAN), depuis une source (metteur) vers une destination (rcepteur). Ses deux principales fonctionnalits sont: La dtermination du chemin par lequel doivent passer les paquets et l'acheminement de ceux-ci. Pour y parvenir, il s'appuie sur une table de routage (routing table) contenant des informations ncessaires pour le routage des paquets. Ces fonctionnalits font d'un routeur, un dispositif indispensable pour le fonctionnement d'un rseau de grande taille, d'o l'importance de le protger contre les attaques. Le prsent document dfinit les exigences de scurit prendre en compte lors de la mise en service d'un routeur en gnral, et dcrit comment configurer la scurit sur un routeur Cisco pour assurer sa protection contre des attaques. Il est donc question dans ce document de durcir un routeur en mettant en oeuvre un ensemble de moyens organisationnels et techniques permettant d'assurer la scurit physique et logique de ce dernier.
3/8
Durcissement des routeurs (Cas d'un routeur Cisco) mise en production. En cas de problme, on doit pouvoir revenir la configuration de dpart sans qu'il y ait d'impact sur le systme d'information ou sur le rseau. 3- Politique des mots de passe Les routeurs offrent en gnral plusieurs types et niveaux d'accs ( telnet, ligne virtuelle (vty), http, ligne auxiliaire, mode enable, mode de configuration globale, etc. ). Chaque type d'accs peut tre protg par un mot de passe. Une politique des mots de passe doit tre dfinie et applique pour viter leur compromission. Par exemple, les mots de passe doivent tre changs suivant une priodicit (tous les trois mois par exemple ). Ils doivent tre forts (difficillement cassable), c'est dire compos des chiffres, caractres spciaux (@!&#), majuscules et minuscules. Ceci permet d'viter les attaques par dictionnaire ou par force brute. 4- Politique de contrle d'accs et d'exploitation Le routeur tant en service, il convient de dfinir une politique des accs et d'exploitation. Cette politique doit contenir des lments sur la mise jour de l'IOS, les droits et niveaux d'accs (parser view), les actions possibles en fonction des rles, la priodicit des mises jour des protocoles de routage, les routeurs voisins autoriss communiquer avec le routeur, la priode des interventions sur le routeur ( exemple: pas d'intervention lorsque des transactions sont encours), etc. La journalisation de toutes les actions doit tre effectue sur le routeur, peu importe par qui. En cas d'incident de scurit ou d'audit, qui a accs aux logs?
Attention: certaines versions de l'IOS Cisco disposent des commandes permettant de retrouver un mot de passe partir de la chaine hexadecimale reprsentant ce mot de passe dans le fichier de configuration. 5- Politique de durcissement Il convient de dfinir une politique de durcissement du routeur. Par exemple, en dfinissant les rles et responsabilits des diffrents intervenants (administrateurs rseaux, administrateurs scurit, fournisseurs, etc.), les services et comptes inutiles doivent tre dsactiv, les types d'accs autoriss doivent tre bien dfinis, la politique de sauvegarde de la configuration, etc.. 6- Politique de journalisation Un routeur tant un quipement sensible, il est important de le surveiller afin d'avoir une ide sur ses diffrentes activits (trafic, connexion, etc.). Cette surveillance passe par les fichiers journaux gnrs par ce dernier. Il convient donc de dfinir une politique de journalisation. Par exemple, comment vont tre enregistrs les vnements dans les fichiers journaux, o
4/8
Durcissement des routeurs (Cas d'un routeur Cisco) doivent-ils tre stocks ? En cas de centralisation des journaux, l'envoi des fichiers journaux (log) vers un serveur centralis (syslog par exemple) doit tre scuris (chiffr, authentifi, etc.), une sauvegarde dune copie des logs doit tre ralise (chaque jour, chaque semaine, chaque mois, etc.), sur des supports diffrents.
En cas de perte de mot de passe, il sera impossible de rinitialiser le mot de passe du super utilisateur. Cette commande fait partie des commandes caches de l'IOS Cisco. Je vous conseille de l'utiliser uniquement si vous n'avez pas une garantie suffisante au niveau de la matrise de l'accs physique de votre routeur.
Au bout de 4 tentatives de connexion sans succs en moins d'une minute, les informations seront enregistres dans le journal des vnements.
R1(config)# login block-for 60 attempts 4 within 10
Au bout de 4 tentatives de connexion sans succs dans un intervalle de 10 seconde, une autre tentative ne sera possible qu'aprs 60 secondes, car le routeur restera silencieux pendant cette priode. Pendant cette periode, il sera impossible de se connecter sur le routeur. Ce qui pourrait affecter les administrateurs du routeur ayant les droits. Pour viter cela, il faudra crer une ACL qui permet aux administrateurs de se connecter pendant cette priode de silence (quiet-mode).
R1(config)# ip access-list standard login-permit-adm R1(config-std-nac)# permit 172.16.20.0 0.0.0.255 R1(config)# exit R1(config)# login quiet-mode access-class login-permit-adm
5/8
Durcissement des routeurs (Cas d'un routeur Cisco) 4- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)
// Ligne auxiliaire R1(config)# line aux 0 R1(config-line)# no password R1(config-line)# login R1(config-line)# exit
// Lignes virtuelle R1(config)# line vty 0 4 R1(config-line)# no password R1(config-line)# login R1(config-line)# exit
5- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris)
R1(config)# line vty 0 4 R1(config-line)# no transport input R1(config-line)# transport input ssh R1(config-line)# exit
Ottawa(config)# line vty 0 4 Ottawa(config-line)# transport input ssh lauthentification locale et VTY Ottawa(config-line)# login local // configuration de
6/8
8- Accorder une attention particulire aux vulnrabilits SNMP, NTP et DNS Pour assurer ses fonctionnalits, un routeur s'appuie sur d'autres services comme comme le service de rsolution des noms. Il se trouve que ces services sont souvent vulnrables. Il convient donc de s'assurer que les services auxiliaires sur lesquels s'appuie un routeur sont bien configurer et scuris.
9- Dsactiver tous les services, protocoles et comptes inutiles
R1(config)# no service finger R1(config)# no cdp run // exemple du service finger // exemple du protocole CDP
7/8
Durcissement des routeurs (Cas d'un routeur Cisco) 3- Configurer lauthentification du protocole de routage OSPF
Ottawa(config)# interface serial 0/0 Ottawa(config-if)# ip ospf message-digest-key 1 md5 cisco Ottawa(config-if)# ip ospf authentication message-digest Ottawa(config-if)# exit Ottawa(config)# router ospf 10 Ottawa(config-router)# area 0 authentication message-digest
4- Verrouiller le routeur laide de Cisco autosecure auto secure est une commande cre par Cisco pour faciliter l'activation et la dsactivation des services sur un routeur Cisco. Elle fonctionne en deux modes: interactive et non interactive
Ottawa# auto secure
Pour en savoir plus sur les fonctions excutes par la commande auto secure, je vous recommande ce site: http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/
F- Pour conclure
Ce document est loin d'tre une rfrence absolue pour garantir la scurit 100% d'un routeur. Dj qu'il n'existe pas de scurit 100%. Nanmoins, il donne une ide sur une ensemble de tches raliser pour assurer un minimum de scurit au niveau d'un routeur. Tous les protocoles de commutation et de routage n'ont pas t abords dans ce document. Je pense aux protocoles MPLS et BGP qui sont trs utiliss dans le rseau Internet par les oprateurs de tlcoms. Je pourrais dans certains contextes enrichir ce document si je suis sollicit. Il ne me reste plus qu' vous souhaiter bonne utilisation.
8/8