DÉVERROUILLEZ LE MONDE DE L'IT

Apprentissage Sans Frontières

Accédez gratuitement à nos supports de cours et élargissez vos horizons en IT

Cours Offert (50min) : Boostez votre Carrière IT en 6 Étapes Simples !

Sécuriser l'IOS CISCO : Meilleures pratiques de protection

Sécuriser l'IOS CISCO : Meilleures pratiques de protection

Damien.SO Damien.SO Sécurité
08.11.2023 8 minutes de lecture

Écouter l'article
Audio generated by DropInBlog's Blog Voice AI™ may have slight pronunciation nuances. Learn more

Sécuriser l'IOS CISCO

SÉCURISATION DES PÉRIPHÉRIQUES RÉSEAU

Sécuriser l'IOS CISCO : Depuis la forte croissance d’internet, de nombreuses menaces pour la sécurité sont apparues !

Que ce soit :

  • Des virus,
  • Cheval de Troie,
  • Pirates informatiques,
  • Et même les propres employés d'une entreprise,

Tout ça représente des risques pour la sécurité.

L’ensemble de ces menaces peuvent voler ou détruire des données sensibles.

Ce qui peut entraîner des coûts et même paralyser financièrement une entreprise.

Une violation de sécurité peut très bien arriver chez nous, dans notre réseau domestique ou bien en privé dans une entreprise !

On va détailler plusieurs types de menaces :

On a les Menaces à distance :

Si aucun système n’est mis en place pour protéger les accès, des personnes malveillantes pourront s’y connecter très facilement !

Pour augmenter cette sécurité, il est possible de mettre en place :

  • Une authentification
  • Un cryptage sur l’accès
  • Des règles d’accès
  • Une bannière de connexion pour dissuader
  • D’utiliser des ACL.
  • Ou même, de mettre en place un accès VPN !

Un autre type de menace est celle qui est liée à l’accès du local informatique :

Il peut y avoir des dommages physiques ou des vols sur le matériel réseau.

Pour sécuriser cette menace, il est conseillé de verrouiller l’accès à la salle serveur et de ne laisser entrer que les personnes habilitées !

On peut aussi mettre en place des caméras pour surveiller les machines !

On a les Menaces environnementales :

Des températures extrêmes (que ce soit chaude ou froide) ou même d'humidité sont des menaces pour la sécurité !

Pour avoir un environnement d’exploitation sain de la salle serveur, il faut pouvoir contrôler la température ainsi que la qualité de l’air, tout en contrôlant et en enregistrant les données !

On peut même mettre en place des alarmes pour prévenir tout danger dans la salle à sécuriser !

Il faut aussi faire attention aux menaces électriques :

Des pointes ou chute de tension peuvent avoir de gros impacts sur la sécurité des données !

Il est possible de mettre en place des systèmes de redondance pour éviter toute panne électrique. On peut aussi installer des groupes électrogènes ou équiper les machines d’une seconde alim et ce, sur un réseau électrique différent !

Et on a les Menaces de maintenance :

Que ce soit une mauvaise manipulation des composants réseau, un stock insuffisant de pièce de rechange et câblage, ou même simplement un mauvais étiquetage, tout cela représente une menace pour la sécurité !

SÉCURISATION DU MODE PRIVILÉGIÉ DE L’IOS

Il est possible de sécuriser un routeur ou un switch en utilisant un mot de passe pour accéder au mode privilège de l’IOS.

Pour ça, il existe deux commandes pour sécuriser cet accès.

  • Il y a la commande « enable password »
  • Et la commande « enable secret ».

Ces deux commandes protègent l’accès IOS à l’aide du mot de passe que l’on aura défini !

La différence entre les deux c’est qu’avec « enable password », le mot de passe est affiché en clair dans le fichier de configuration !

Tandis qu’avec la commande « enable secret » le mot de passe est crypté avec un hachage en MD5, ce qui est beaucoup plus sécurisé…

Le petit « 5 » que l’on voit dans la sortie d’un « show running-config » sur la commande « enable secret » est pour indiquer à l’équipement qu’il s’agit d’un mot de passe crypté, pour ne pas qu’il repasse par le hachage MD5 quand on copie/ colle la configuration !

Il est donc fortement recommandé d'utiliser plutôt la commande « enable secret » que la commande « enable password ».

Il est possible d’ajouter encore une autre couche de sécurité pour les mots de passe qui circulent dans le réseau ou qui sont stockés sur un serveur TFTP.

La commande « service password-encryption »  permet de crypter l’ensemble des mots de passe qui sont présents sur l’IOS.

Ici, nous voyons bien que désormais, le mot de passe de la commande « enable password » n’est plus affiché en clair dans le fichier de la running-config !

Alors, même si ce type de cryptage qui est le type 7 n’est pas très sécurisé, c’est toujours mieux que rien !

Sur internet, il est possible de trouver des outils qui vont convertir les mots de passe cryptés de type 7, en clair !

La commande « enable secret » qui utilise le type 5 reste beaucoup + sécurisée !

SÉCURISATION DU PORT CONSOLE

Nous avons vu comment sécuriser l’accès au mode privilège de l’IOS.

On va maintenant voir comment sécuriser l’accès au port console de l’équipement !

La commande : « ligne console 0 » permet de rentrer dans le mode de configuration du port console.

On peut voir que le sigle est passé de (config) à (config-line).

La commande « password » permet de spécifier le mot de passe que l’on veut mettre.

Dans l’exemple, on a choisi « Pass3456 ».

Et la commande « login » permet d’activer cette fonctionnalité !

La commande « exec-timeout » ajoute un tempo pour éviter que l’accès reste connecté, lorsque l’admin s’absente de son bureau !

Dans l'exemple, lorsqu'aucune activité n'est détectée sur la console pendant 5 minutes, l'utilisateur sera automatiquement déconnecté.

Et la commande « service password-encryption » permet aussi de crypter ce mot de passe.

Même si ce cryptage est faible, car il est facilement déchiffrable, c’est tout de même mieux qu’un mot de passe en clair dans la running-config de l’IOS !

Conclusion

En conclusion, la sécurisation de l'IOS Cisco et des périphériques réseau est essentielle dans un paysage où les menaces à la sécurité se multiplient. Des virus aux pirates informatiques en passant par les risques internes, les dangers potentiels sont nombreux et peuvent causer des dommages significatifs, allant de la perte de données à des conséquences financières graves pour une entreprise. Pour contrer ces menaces, il est crucial de mettre en œuvre des mesures de sécurité telles que l'authentification, le cryptage, les règles d'accès et l'utilisation de VPN pour les menaces à distance. De plus, la protection physique des équipements, la surveillance environnementale, la gestion des risques électriques et la prévention des erreurs de maintenance sont toutes des composantes importantes de la sécurité des réseaux. En outre, la sécurisation du mode privilégié de l'IOS à l'aide de mots de passe et de cryptage renforce la protection des périphériques contre les accès non autorisés. Bien que certaines méthodes de cryptage puissent présenter des faiblesses, toute mesure de sécurité est préférable à l'absence de protection. Enfin, sécuriser l'accès au port console complète la stratégie de sécurité en empêchant les intrusions physiques non autorisées. En adoptant une approche proactive et en mettant en œuvre des pratiques recommandées, il est possible de renforcer efficacement la sécurité des réseaux Cisco et de réduire les risques pour les entreprises et les utilisateurs.

Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.

« Retour au blog

Related Articles

RADIUS TACACS : Protégez votre réseau

RADIUS TACACS : Protégez votre réseau

8 minutes de lecture

08.11.2023

Comprendre la sécurité : Concepts clés

Comprendre la sécurité : Concepts clés

8 minutes de lecture

07.11.2023

Vulnérabilités de mot de passe

Vulnérabilités de mot de passe

9 minutes de lecture

07.11.2023

DÉVERROUILLEZ LE MONDE DE L'IT

Apprentissage Sans Frontières

Accédez gratuitement à nos supports de cours et élargissez vos horizons en IT

Cours Offert (50min) : Boostez votre Carrière IT en 6 Étapes Simples !