Академический Документы
Профессиональный Документы
Культура Документы
Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 1/6
Durcissement d'un routeur (Cas d'un routeur Cisco)
Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 2/6
Durcissement d'un routeur (Cas d'un routeur Cisco)
A- Contexte et objectif
Un routeur est un quipement ddi qui participe au processus d'acheminement des paquets dans un rseau (local
ou tendu), depuis une source (metteur) vers une destination (rcepteur). Ses deux principales fonctionnalits
sont: La dtermination du chemin par lequel doit passer les paquets et l'acheminement de ceux ci vers leur
destination. Pour y parvenir, il s'appuie sur une table de routage contenant des informations ncessaires pour le
routage des paquets. Ces fonctionnalits font d'un routeur, un dispositif indispensable pour le fonctionnement
d'un rseau de grande taille, d'o l'importance de le protger contre les attaques.
Le prsent document dfinit les exigences de scurit prendre en compte lors de la mise en service d'un routeur
en gnral, et dcrit comment configurer la scurit sur un routeur Cisco pour assurer son durcissement. J'entends
ici par durcissement, l'ensemble des moyens organisationnels et techniques permettant d'assurer la scurit
physique et logique du routeur.
4- Politique d'exploitation
Le routeur tant en service, il convient de dfinir une politique d'exploitation. Cette politique doit contenir des
lments sur la mise jour de l'IOS, la priodicit des mises jour des protocoles de routage, les routeurs voisins
autoriss communiquer avec le routeur, la priode des interventions sur le routeur (exemple: pas d'intervention
lorsque les transactions sont encours), etc.
Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 3/6
Durcissement d'un routeur (Cas d'un routeur Cisco)
5- Politique de durcissement
Il convient de dfinir une politique de durcissement du routeur. Par exemple, en dfinissant les rles et
responsabilits des diffrents intervenants (administrateur rseaux, fournisseurs, etc.), les services et comptes
inutiles dsactiver, les types d'accs autoriss, la politique de sauvegarde de la configuration, etc..
6- Politique de journalisation
Un routeur tant un quipement sensible, il est important de le surveiller afin d'avoir une ide sur ses diffrentes
activits (trafic, connexion, etc.). Cette surveillance passe par les fichiers journaux gnrs par celui ci. Il
convient donc de dfinir une politique de journalisation. Par exemple, comment doivent tre utiliser les fichiers
journaux, o doivent-ils tre stocks ? L'envoi des fichiers journaux (log) vers un serveur centralis (syslog par
exemple) doit tre scuris, une sauvegarde dune copie des logs doit tre ralise.
// Lignes virtuelle
R1(config)# line vty 0 4
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit
3- Autoriser juste les accs distants en SSH (le telnet n'tant pas scuris)
R1(config)# line vty 0 4
R1(config-line)# no transport input
R1(config-line)# transport input ssh
R1(config-line)# exit
Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 4/6
Durcissement d'un routeur (Cas d'un routeur Cisco)
R1(config)# hostname Ottawa // dfinition du nom dhte)
Ottawa(config)# ip domain-name cisco.com // dfinition du nom de domaine)
Ottawa(config)# crypto key generate rsa // gnration des cls asymtriques
Ottawa(config)# username emabo secret cisco123
6- Accorder une attention particulire sur les vulnrabilits SNMP, NTP et DNS
Pour assurer ses fonctionnalits, un routeur s'appuie sur d'autres services comme comme le service de rsolution
des noms. Il se trouve que ces services sont souvent vulnrables. Il convient donc de s'assurer que les services
auxiliaires sur lesquels s'appuie un routeur sont bien configurer et scuris.
Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 5/6
Durcissement d'un routeur (Cas d'un routeur Cisco)
Ottawa(config-keychain)# key 1
Ottawa(config-keychain-key)# key-string CCNP
Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip authentication mode eigrp 1 md5
Ottawa(config-if)# ip authentication key-chain eigrp 1 EIGRP_KEY
F- Pour conclure
Ce document est loin d'tre une rfrence absolue pour garantir la scurit 100% d'un routeur. Dj qu'il
n'existe pas de scurit 100%. Nanmoins, il donne une ide sur une ensemble de tches raliser pour assurer
un minimum de scurit au niveau d'un routeur. Tous les protocoles de commutation et de routage n'ont pas t
abords dans ce document. Je pense aux protocoles MPLS et BGP qui sont trs utiliss dans le rseau Internet
par les oprateurs de tlcoms. Je pourrais dans certains contextes enrichir ce document si je suis sollicit. Il ne
me reste plus qu' vous souhaiter bonne utilisation.
Document rdig par Elie MABO (Administrateur Systmes, Rseaux et Scurit) 6/6