Sécuriser IOS Cisco – Line VTY – Putty – SSH – Telnet

Sécuriser IOS Cisco

Sécurisation des périphériques réseaux

Sécuriser IOS Cisco : De nombreuses formes de menaces pour la sécurité ont émergé suite à la croissance rapide d’Internet. Virus, Cheval de Troie, Pirates malveillants et même les propres employés d’une entreprise sont des risques liés à la sécurité. Ces menaces ont le potentiel de voler et de détruire des données sensibles, d’infliger des dégâts majeurs suite à une panne du réseau. Cette situation peut entrainer des couts et paralyser financièrement l’entreprise. Les violations de sécurité sont rencontrées aussi bien dans les réseaux domestiques que privés.

Les périphériques réseau sont vulnérables à plusieurs types de menaces :

• Les Menage à distance : l’accès à distance non autorisé est une menace surtout quand aucun système n’est mis en place pour protéger cet accès. Pour augmenter cette sécurité il est possible de mettre en place une authentification, un cryptage sur l’accès, des règles d’accès, une bannière de connexion pour dissuader, d’utilisé des ACL ou même, mettre en place un accès VPN.
• On a les menaces d’Accès au local et menaces physiques:ces types de menaces incluent des dommages physiques au matériel réseau, la récupération de mot de passe non autoriser ou bien le vol de périphérique. Les techniques pour contrer cela seraient par exemple, le verrouillage de l’accès à la salle serveur, avec seul le personnel autorisé à y entrer, ou bien d’utiliser un contrôle d’accès permettrait d’enregistrez toutes les tentatives d’entrée. On pourrait aussi mettre en place des caméras de sécurité pour surveiller les installations et équipements.

• Il y’a les Menaces environnementales :

  Les températures extrêmes (que ce soit chaud ou froid) ou les extrêmes d’humidité (trop humides ou trop secs) peuvent constituer une menace. Afin d’obtenir un environnement d’exploitation sain, il faut pouvoir contrôler la température ainsi que la qualité de l’air, avec une surveillance contrôlée et enregistrée. Des alarmes peuvent prévenir tout changement d’environnement.

• Les Menaces électriques : les pointes ou chutes de tension, sont des menaces électriques potentielles. Les techniques pour éviter toute panne électrique seraient des systèmes UPS qui signifie (Uninterruptible power supply), ou bien la mise en place de groupes électrogènes, ou des blocs d’alimentation redondants et aussi l’utilisation d’alarmes et de surveillance à distance.
• Et on a les Menaces de maintenance : ces menaces incluent une mauvaise manipulation des composants électroniques, un manque de pièces de rechange d’élément critiques, un câblage insuffisant ou un mauvais étiquetage.

Sécuriser IOS Cisco : Sécurisation du mode privilégié

Il est possible de sécuriser un routeur ou un switch en utilisant des mots de passe pour restreindre l’accès. L’utilisation de mots de passe avec des niveaux de privilèges est un moyen de fournir un contrôle aux accès des périphériques du réseau. Des mots de passe peuvent être configurés sur les accès à l’IOS Cisco et au mode de configuration global. Les mots de passe sont sensibles aux majuscules.

2 commandes sont disponibles pour définir un mot de passe à l’accès au mode privilégié de la CLI :
« enable password » et « enable secret »

La différence

Entre les deux sont qu’avec « enable password » le mot de passe défini est encodé en clair dans la config.
Tandis qu’avec la commande « enable secret » le mot de passe est stocké sous forme de hachage MD5, ce qui rend cette version beaucoup plus sécurisée…

Notez que dans la sortit d’un show running-config, le chiffre « 5 » , précède la version « cryptée » du mot de passe. Le but ici est de permettre de copier la commande telle qu’elle apparait dans la config sur un autre équipement. Ainsi l’autre équipement saura que le mot passe donné dans la commande est en fait une version cryptée et qu’il ne doit pas la repasser par le hachage MD5.

Mais alors pourquoi 2 commandes existent ? Et bien c’est tout simplement pour assurer une rétrocompatibilité des config. De sorte que si vous copiez la config d’un équipement qui ne supporte pas la version « enable secret » vers un nouvel équipement, ce dernier puisse quand même accepter l’ancienne version.

Il est tout de même recommandé d’utiliser plutôt la commande « enable secret » au lieu de la commande « enable password ».

Chiffrer les mots de passe en clair :

Il est également possible d’ajouter une autre couche de sécurité, particulièrement utile pour les mots de passe qui traversent le réseau ou qui sont stockés sur un serveur TFTP. C’est la commande « service password-encryption » cela permet de crypter l’ensemble des mots de passe présent sur l’IOS Cisco.

Le cryptage des mots de passe utilise un cryptage de type 7, qui n’est pas très sécurisé. Il existe plusieurs outils sur le web qui permettent de convertir les mots de passe cryptés en clair.

D’autre part, la commande enable secret utilise le MD5 de cryptage de type 5 qui, à ce point, n’a pas été rompu.

Sécuriser IOS Cisco : Sécurisation du port console

Pour sécuriser l’accès sur le port console de l’IOS Cisco, en y mettant un mot de passe, il faut utiliser la commande : «ligne console 0»
Cela permet de rentrer dans le mode configuration du port console. On peut voir que le sigle est passé de (config) à (config-line)
Il faut ensuite spécifier le mot de passe que l’on veut mettre avec la commande « password » (ici c’est Cisco123)
Le fait de terminer avec la commande « login » active cette fonctionnalité.

Par défaut, l’accès par mot de passe au port console n’est pas activé.

La commande « exec-timeout »

Empêche les utilisateurs de rester connectés à un port console lorsqu’ils quittent une station. Dans l’exemple, lorsqu’aucune entrée utilisateur n’est détectée sur la console pendant 5 minutes, l’utilisateur sera automatiquement déconnecté.

La commande « service password-encryption » crypte également ce mot de passe.
Même si ce cryptage est faible, car facilement déchiffrable, c’est tout de même mieux qu’un mot de passe en clair dans le fichier de configuration de l’IOS Cisco.

Sécuriser IOS Cisco : Sécurisation de l’accès à distance

Il est possible d’établir une connexion SSH ou Telnet à l’aide d’un client comme Putty installé sur son PC.
PuTTY est un émulateur de terminal pour les protocoles SSH ou Telnet. Il permet d’établir aussi des connexions directes par liaison série RS-232. À l’origine disponible uniquement pour Windows, il est à présent porté sur diverses plateformes Unix.

La commande « line vty 0 15 » permet de rentrer dans la configuration des 15 lignes d’accès à distance (en principe c’est 15 sur les switchs et 5 sur les routeurs). Sur un routeur disposant que de 5 vty la commande aurait été : « line vty 0 4 » , on compte le 0 comme un accès.
VTY signifie Virtual Terminal Line
Après avoir passé cette commande, on s’aperçoit que le sigle passe la aussi, à (config-line)
La commande « login » et « password + le mot de passe», active la connexion à distance avec un mot de passe pour les sessions Telnet entrantes.

Il est également possible de paramétrer un Time out

pour configurer un accès SSH sur un switch ou un routeur Cisco, cela demande un peu plus de boulot :

1 : Il faut tout d’abord lui configurer un hostname à l’équipement avec la commande « hostname + le nom ». Il ne faut pas que le sigle soit marqué Switch ou router.
2 : Ensuite il faut configurer le DNS, avec la commande « ip domain name ». Le nom de domaine est requis pour pouvoir générer la clé du certificat.
3 : Après le nom de domaine, on peut générer la clé RSA que l’utilisateur utilisera pour l’authentification, avec la commande « crypto key generate rsa »
4 : Reste plus qu’à configuré l’utilisateur, associé de son mot de passe avec la commande : « username + son nom secret + son mot de passe » et de terminé par la commande « login local » qui forcera la connexion avec un login.

La commande « transport input ssh »

Permet de limiter l’accès, uniquement aux utilisateurs SSH, la connexion en Telnet sera donc impossible. Cette option est facultative.

La commande « ssh version 2 », permet de supporter les bannières de connexion, et propose un algorithme de chiffrement amélioré.

La commande « show ip ssh » permet de vérifier si SSH est bien activé et donne également diverses informations.

et la commande show ssh permet de voir si une session SSH est en cours. Si oui, on pourra voir qui est connecté.

Lorsque l’on établit une connexion SSH pour la première fois à partir d’un ordinateur, on reçoit systématiquement une fenêtre d’alerte de sécurité qui indique que la clé hôte du serveur n’est pas mise en cache dans l’application PuTTY. Un message de ce type. Le fait d’ajouter cette clé au cache, évite de voir cette fenêtre de sécurité à chaque fois que l’on établit une connexion SSH à partir de cet ordinateur.

Limiter l’accès à distance avec ACL

Telnet ou SSH étant couramment utilisé, il est possible de limiter l’accès aux lignes vty à des adresses IP spécifiques ou des sous-réseaux afin de contrôler l’administration à distance des périphériques réseau.

Pour cela il faut utiliser les ACL’s (Access Control list)

Pour commencer, il faut créer l’ACL en mode de configuration global. Dans cet exemple, l’access-list 1 autorisera uniquement le réseau 10.1.1.0/24 (soit les machines allant de 10.1.1.1 à 10.1.1.254)
La deuxième ligne qui est  « deny any log » n’est pas obligatoire, car implicitement il y’a une règle qui supprime tout le reste, mais cela permet en quelque sorte de l’officialiser afin de pouvoir retrouver dans le journal des traces de tentative infructueuse qui ont échoué…

Ensuite il faut appliquer cet access-list au lignes vty de 0 à 15 avec la commande « access-class 1 in »

Bannière de connexion

Il est possible de configurer une bannière d’accueil qui sera affichée lors de la connexion en mode console, Telnet et auxiliaire sur un routeur Cisco. Cette bannière aussi appelée « Message du jour » permet de préciser des informations d’ordre légal, par exemple « Attention, vous vous connectez sur un dispositif réseau appartenant au groupe Cisco, toutes tentatives d’accès frauduleuses seront enregistrées ». La bannière de connexion peut aussi prévenir d’un fait ponctuel, par exemple, prévenir les administrateurs du routeur qu’une mise à jour de configuration sera effectuée à tel jour, et telle heure.

Pour créer une bannière de connexion, il faut utiliser la commande « banner motd suivi d’un caractère d’échappement » . Ce caractère permet de préciser à l’IOS Cisco à quel moment le message prend fin. Dans notre exemple, on utilise le caractère dièse.

On peut également utiliser la commande : « banner login », qui est identique au banner motd, sauf qu’elle sera affichée avant le login de l’utilisateur. Si le login est désactivé, elle ne sera plus affichée.
Pour cette commande, il faut ajouter le texte de la bannière entre guillemets.

Un utilisateur qui se connectera à l’appareil verra donc le message du bas :

Aux États-Unis, s’il n’y’a pas de bannière d’avertissement de configurer, ou si elle n’est pas suffisamment claire, un pirate qui aura fait subir des dégâts importants à l’entreprise pourra se défendre légitimement de ses actions.

Suivez le parcours CCNA sur le site Formip et retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.