Durcissement d'un routeur (Cas d'un routeur Cisco)

Durcissement d'un routeur Cisco

Par Elie MABO
Administrateur Systmes, Rseaux et Scurit
elie.mabo@gmail.com

Dernire mise jour: 20/06/2010

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 1/6
 Durcissement d'un routeur (Cas d'un routeur Cisco)

Table des matires

A- Contexte et objectif................................................................................................................ 3
B- Dfinition de la politique de scurit du routeur.................................................................... 3
1- Politique d'acquisition....................................................................................................3
2- Politique de dploiement ou de mise en oeuvre............................................................ 3
3- Politique de mot de passe.............................................................................................. 3
4- Politique d'exploitation.................................................................................................. 3
5- Politique de durcissement ............................................................................................. 4
6- Politique de journalisation............................................................................................. 4
C- Scurisation des accs et mots de passe................................................................................. 4
1- Configurer la longueur minimale dun mot de passe....................................................4
2- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)...............4
3- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris)......................4
4- Configuration de la scurit supplmentaire pour les lignes VTY ............................... 4
5- Configuration de la scurit SSH.................................................................................. 4
6- Accorder une attention particulire sur les vulnrabilits SNMP, NTP et DNS............5
7- Dsactiver tous les services et comptes inutiles ........................................................... 5
D- Scurisation des protocoles de routages.................................................................................5
1- Configurer le protocole RIPv2 avec authentification.................................................... 5
2- Configurer lauthentification du protocole de routage EIGRP .....................................5
3- Configurer lauthentification du protocole de routage OSPF .......................................6
4- Verrouiller le routeur laide de Cisco autosecure.................................................... 6
E- Configuration dun routeur pour lutilisation de SDM...........................................................6
F- Pour conclure.......................................................................................................................... 6

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 2/6
 Durcissement d'un routeur (Cas d'un routeur Cisco)

A- Contexte et objectif
Un routeur est un quipement ddi qui participe au processus d'acheminement des paquets dans un rseau (local
ou tendu), depuis une source (metteur) vers une destination (rcepteur). Ses deux principales fonctionnalits
sont: La dtermination du chemin par lequel doit passer les paquets et l'acheminement de ceux ci vers leur
destination. Pour y parvenir, il s'appuie sur une table de routage contenant des informations ncessaires pour le
routage des paquets. Ces fonctionnalits font d'un routeur, un dispositif indispensable pour le fonctionnement
d'un rseau de grande taille, d'o l'importance de le protger contre les attaques.

Le prsent document dfinit les exigences de scurit prendre en compte lors de la mise en service d'un routeur
en gnral, et dcrit comment configurer la scurit sur un routeur Cisco pour assurer son durcissement. J'entends
ici par durcissement, l'ensemble des moyens organisationnels et techniques permettant d'assurer la scurit
physique et logique du routeur.

B- Dfinition de la politique de scurit du routeur

1- Politique d'acquisition
Avant d'acqurir un routeur, il convient de dfinir une politique d'acquisition. Quelles sont les fonctionnalits
auxquelles nous souhaitons que le routeur assure? Quel constructeur choisir? Quel est la garantie? Le support est-
il assur ? faut-il un contrat de maintenance ? Telles sont l quelques questions dont les rponses doivent figurer
dans la politique d'acquisition.

2- Politique de dploiement ou de mise en oeuvre

Une fois le routeur acquis, il convient de dfinir une politique de mise en oeuvre. Cette politique devra tenir
compte de son installation, de sa configuration et de sa mise en service. Par exemple, il doit tre plac dans un
endroit scuris (accs protg), derrire un dispositif de protection comme un pare-feu par exemple.

3- Politique de mot de passe

Les routeurs prsentent plusieurs types et niveaux d'accs (telnet, ligne virtuelle (vty), http, ligne auxiliaire, mode
enable, etc.). Chacun de ces accs est protg par un mot de passe. Une politique de mots de passe doit tre
dfinie et applique pour viter leur compromission. Par exemple, les mots de passe doivent tre changs suivant
une priodicit (tous les trois mois par exemple). Ils doivent tre forts, c'est dire compos des chiffres,
caractres spciaux (@!&#), majuscules et minuscules. Ceci permet d'viter les attaques par dictionnaire ou par
force brute.

4- Politique d'exploitation
Le routeur tant en service, il convient de dfinir une politique d'exploitation. Cette politique doit contenir des
lments sur la mise jour de l'IOS, la priodicit des mises jour des protocoles de routage, les routeurs voisins
autoriss communiquer avec le routeur, la priode des interventions sur le routeur (exemple: pas d'intervention
lorsque les transactions sont encours), etc.

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 3/6
 Durcissement d'un routeur (Cas d'un routeur Cisco)

5- Politique de durcissement
Il convient de dfinir une politique de durcissement du routeur. Par exemple, en dfinissant les rles et
responsabilits des diffrents intervenants (administrateur rseaux, fournisseurs, etc.), les services et comptes
inutiles dsactiver, les types d'accs autoriss, la politique de sauvegarde de la configuration, etc..

6- Politique de journalisation
Un routeur tant un quipement sensible, il est important de le surveiller afin d'avoir une ide sur ses diffrentes
activits (trafic, connexion, etc.). Cette surveillance passe par les fichiers journaux gnrs par celui ci. Il
convient donc de dfinir une politique de journalisation. Par exemple, comment doivent tre utiliser les fichiers
journaux, o doivent-ils tre stocks ? L'envoi des fichiers journaux (log) vers un serveur centralis (syslog par
exemple) doit tre scuris, une sauvegarde dune copie des logs doit tre ralise.

C- Scurisation des accs et mots de passe

1- Configurer la longueur minimale dun mot de passe
R1(config)# security passwords min-length 10

2- Empcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)

// Ligne auxiliaire
R1(config)# line aux 0
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit

// Lignes virtuelle
R1(config)# line vty 0 4
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit

3- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris)
R1(config)# line vty 0 4
R1(config-line)# no transport input
R1(config-line)# transport input ssh
R1(config-line)# exit

4- Configuration de la scurit supplmentaire pour les lignes VTY

R1(config)# line vty 0 4
R1(config-line)# exec-timeout 5
R1(config-line)# exit
R1(config)# service tcp-keepalives-in

5- Configuration de la scurit SSH

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 4/6
 Durcissement d'un routeur (Cas d'un routeur Cisco)
R1(config)# hostname Ottawa // dfinition du nom dhte)
Ottawa(config)# ip domain-name cisco.com // dfinition du nom de domaine)
Ottawa(config)# crypto key generate rsa // gnration des cls asymtriques
Ottawa(config)# username emabo secret cisco123

Ottawa(config)# line vty 0 4

Ottawa(config-line)# transport input ssh // configuration de lauthentification
locale et VTY
Ottawa(config-line)# login local

Ottawa(config)# ip ssh time-out 10 // configuration des dlais dattente ssh

Ottawa(config)# ip ssh authentication-retries 3 // configuration des dlais d'essai
nouveau ssh

6- Accorder une attention particulire sur les vulnrabilits SNMP, NTP et DNS
Pour assurer ses fonctionnalits, un routeur s'appuie sur d'autres services comme comme le service de rsolution
des noms. Il se trouve que ces services sont souvent vulnrables. Il convient donc de s'assurer que les services
auxiliaires sur lesquels s'appuie un routeur sont bien configurer et scuris.

7- Dsactiver tous les services et comptes inutiles

R1(config)# no service finger // exemple du service finger

D- Scurisation des protocoles de routages

Les protocoles de routages sont utiliss par un routeur pour mettre jour dynamiquement, sa table de routage.
Les informations de mise jour circulant trs souvent en clair entre les routeurs, il convient de configurer un
minimum de scurit pour ces protocoles. Cette partie du document qui se veut technique prsente comment
configurer certains protocoles de routage de manire scuris.

1- Configurer le protocole RIPv2 avec authentification

Ottawa(config)# router rip
Ottawa(config-router)# passive-interface default // dsactivation de la propagation des
mises jour de routage
Ottawa(config-router)# no passive-interface serial 0/0 // activation de la propagation sur
une seule interface

Ottawa(config)# key chain TOTO

Ottawa(config-keychain)# key 1
Ottawa(config-keychain-key)# key-string cisco
Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip rip authentication mode md5
Ottawa(config-if)# ip rip authentication key-chain TOTO

2- Configurer lauthentification du protocole de routage EIGRP

Ottawa(config)# key chain EIGRP_KEY

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 5/6
 Durcissement d'un routeur (Cas d'un routeur Cisco)
Ottawa(config-keychain)# key 1
Ottawa(config-keychain-key)# key-string CCNP
Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip authentication mode eigrp 1 md5
Ottawa(config-if)# ip authentication key-chain eigrp 1 EIGRP_KEY

3- Configurer lauthentification du protocole de routage OSPF

Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip ospf message-digest-key 1 md5 cisco
Ottawa(config-if)# ip ospf authentication message-digest
Ottawa(config-if)# exit
Ottawa(config)# router ospf 10
Ottawa(config-router)# area 0 authentication message-digest

4- Verrouiller le routeur laide de Cisco autosecure

auto secure est une commande cre par Cisco pour faciliter l'activation et la dsactivation des services sur un
routeur Cisco. Elle fonctionne en deux modes: interactive et non interactive
Ottawa# auto secure
Pour en savoir plus sur les fonctions excutes par la commande auto secure, je vous recommande ce site:
http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/

E- Configuration dun routeur pour lutilisation de SDM

Pour boucler ce document, je me permets de mettre votre disposition, la procdure permettant de configurer un
routeur de manire ce qui soit administrable par SDM (Security Device Manager). SDM est un outil permettant
d'administrer des quipements (routeurs, commutateurs, etc.) via une interface graphique.
Ottawa#config t
Ottawa(config)# ip http server
Ottawa(config)# ip http secure-server
Ottawa(config)# ip http authentication local
Ottawa(config)# username emabo privilege 15 secret toto
R1(config)# line vty 0 4
R1(config-line)# privilege level 15
R1(config-line)# login local
R1(config-line)# transport input ssh

F- Pour conclure
Ce document est loin d'tre une rfrence absolue pour garantir la scurit 100% d'un routeur. Dj qu'il
n'existe pas de scurit 100%. Nanmoins, il donne une ide sur une ensemble de tches raliser pour assurer
un minimum de scurit au niveau d'un routeur. Tous les protocoles de commutation et de routage n'ont pas t
abords dans ce document. Je pense aux protocoles MPLS et BGP qui sont trs utiliss dans le rseau Internet
par les oprateurs de tlcoms. Je pourrais dans certains contextes enrichir ce document si je suis sollicit. Il ne
me reste plus qu' vous souhaiter bonne utilisation.

Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 6/6