Document trop vieux, donc préférer les guides Cisco SAFE ou les excellents recommandations & guides de l'ANSSI.Documents utilisés
Configuration sécuriséePré-requisUne architecture idéale demande un minimum de serveurs:
AutoSecureDepuis la version 12.3, la fonction AutoSecure permet d'exécuter un script de sécurisation du routeur qui désactive les services sensibles et actives les services de sécurité. Modèle pour tout équipement sous IOSDésactivation des services inutilesAttention, ici on désactive le serveur WEB embarqué, dans le cas ou le client souhaite administrer un commutateur par http, il est conseillé de le faire en mode sécurisé, authentifié et limité en fonction de la sourceno service pad ! Désactivation du service PAD no ip http server ! Désactivation du serveur WEB no ip http secure-server ! Désactivation du serveur WEB Securisé no ip bootp server ! Désactivation su serveur BootP no ip domain-lookup ! Désactivation de la résolution de nom no ip finger ! Désactivation du service finger no service tcp-small-servers ! Désactive les services TCP no service udp-small-servers ! Désactive les services UDP Protection de l'équipementservice tcp-keepalives-in ! Préviens les sessions orphelines no logging console ! Empêche de bloquer le port console par trop de log service password-encryption ! Cache les mots de passes dans les fichiers de configuration scheduler max-task-time 5000 ! Protège des plantages ou bloquage de process ! En cas de crash: Envois d’un DUMP sur un serveur FTP: ip ftp username USER-CISCO-SUR-FTP-SRV ! Déclaration du compte FTP ip ftp password PASSWORD-CISCO-SUR-FTP-SRV ! Déclaration du mot de passe FTP exception protocol ftp ! Déclare l’envoie du dump par FTP exception dump IP-ADDRESS-FTP-SRV ! Adresse IP du serveur FTP Protection juridiquebanner login #Attention ! Acces reserve au personnel du service informatique de NOM-ENTREPRISE. Toutes activites sur ce systeme sont enregistrees. Toutes preuves d activites non autorisees seront traitees par les autorites competentes. Toute intrusion sur un systeme informatique est interdite par les articles 323-1 a 323-7 du Code penal.# banner motd # Attention ! Acces reserve au personnel du service informatique de NOM-ENTREPRISE. Toutes activites sur ce systeme sont enregistrees. Toutes preuves d activites non autorisees seront traitees par les autorites competentes. Toute intrusion sur un systeme informatique est interdite par les articles 323-1 a 323-7 du Code penal.# Activation du SSHVersion 12.2T ou fonctionnalités DES obligatoirehostname NOM-MACHINE ! Nom de l’équipement ip domain name CLIENT.FR ! Déclaration du nom de domaine (obligatoire pour le SSH) crypto key generate rsa ! Génère la clef RSA : UTILISER UN MODULUS DE 1024 bits minimum ! line vty 0 4 transport input ssh ! N’accepte que le SSH exec-timeout 70 0 ! Empêche une session orpheline de bloquer une ligne ! Gestion des logs! Déclaration du fuseau horaire et du changement d’heure : clock timezone CET 1 ! Déclaration du fuseau horaire clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ! Heure été/hiver ! Synchronisation NTP de l’heure : ntp source-interface loopback0 ! Déclare l’IP de l’interface loopback comme source ntp server IP-ADDRESS-NTP-SERVER ! Déclaration du serveur NTP ntp authentication key 1 md5 CLEF-NTP ! Déclaration de la clef 1 d’authentification ntp trusted-key 1 ! Utilisation de la clef 1 ! Gestion des logs interne : logging buffered 16384 debugging ! Reserve 16384 octects pour stocker les logs en RAM service timestamps debug datetime msec localtime show-timezone ! Marque l’heure/date dans les debug service timestamps log datetime msec localtime show-timezone ! Marque l’heure/date dans les logs ! Gestion de logs centralisé sur un serveur SYSLOG : logging facility local NUMERO-FACILITY ! Change la facility par défaut (à voir avec le client) logging trap logging IP-ADDRESS-LOG-SERVER ! Adresse IP du serveur Syslog Gestion des droits d'accèsGestion des accès au routeur, l’avantage de gérer des utilisateurs fait que chaque modification de configuration est identifiée enable secret MOT-DE-PASSE-ENABLE ! Mot de passe de l’accès super utilisateur ! username NOM-UTILISATEUR1 secret MOT-DE-PASSE-UTILISATEUR1 ! Déclaration des users avec mot de passe crypté (version 12.2T minimum) username NOM-UTILISATEUR1 password MOT-DE-PASSE-UTILISATEUR1 ! Déclaration des users (pour les versions IOS inférieures à la 12.2T) ! Activation du modèle sécurisé AAA: ! aaa new-model ! Activation de l’AAA ! aaa authentication login default local ! Utilise le paramétrage de la ligne par défaut aaa authentication login Console none ! Déclaration du profil AAA « Console » n’utilisant pas d’authentification aaa authorization exec default local ! Déclaration des droits d’accès locaux (dans le cas la gestion des niveau d’accès par login) line con 0 login authentication Console ! Utilise le profil AAA « Console » Spécificités pour un routeurOptimisation de baseno ip source-route ! Empêche le routage par la source ip cef ! Activation de la CEF (obligatoire pour ip verify unicast reverse-path) Interface d'administrationDéclaration d’une interface et adresse IP de loopback (pour le management, DNS, OSPF, etc…) interface loopback0 ! Déclare une interface de loopback ip address IP-ADDRESS MASK ! Paramètre son adresse IP logging source-interface loopback0 ! Utilise l’adresse de loopback comme IP source Sécurisation des interfaces! Définition de l’access-list appliqué à une interface donnant sur Internetip access-list standard Bad-Traffic-from-Internet deny 192.168.0.0 0.0.255.255 ! Adresses Source en 192.168.X.X deny 10.0.0.0 0.255.255.255 ! Adresses Source en 10.X.X.X deny 172.16.0.0 0.15.255.255 ! Adresses Source en 127.16.X.X à 172.32.X.X deny 127.0.0.0 0.255.255.255 ! Adresse Source « localhost » permit any ! Autorise Le reste ! interface INTERFACE-NAME no ip proxy-arp ! Désactivation du proxy-arp ip verify unicast reverse-path ! Active l’Anti-spoofing (« ip cef » obligatoire) ! ! Sécurité spéciale à ajouter au niveau des interfaces publiques uniquement (lien WAN, etc…): ! no cdp enable ! Désactivation du CDP no ip redirects ! Empêche les redirections ICMP no ip unreachables ! Ne renvois de message d’erreur ICMP unreachables no ip directed-broadcast ! Evite les broadcast dirigés (ex: 192.168.1.255) ip access-group Bad-Traffic-from-Internet in ! Spécificités pour un commutateurVLAN d'administrationDéclaration de l’addressage IP sur le Vlan1 (pour le management, DNS, OSPF, etc…) interface vlan1 ip address IP-ADDRESS MASK ! Paramètre son adresse IP ! ip default-gateway GW-IP-ADDRESS ! Déclaration de la passerelle par défaut |