Téléchargé parmahmoudrim1
PPTX, PDF56 vues

Présentation _réseaux_protocoles_sécurité.pptx

La sécurisation des routeurs est essentielle pour protéger la confidentialité, l'intégrité et la disponibilité des données dans un environnement numérique confronté à des menaces variées. Ce document aborde les procédures d'administration des routeurs, y compris la configuration des accès, la gestion des utilisateurs, l'activation de journaux d'audit et la mise en place de règles de pare-feu pour assurer la sécurité. Il décrit également l'utilisation de protocoles sécurisés comme SSH pour une gestion sécurisée et le contrôle d'accès, tout en soulignant l'importance de la mise à jour régulière du firmware.

Intégrer la présentation

Télécharger pour lire hors ligne
Sécurisationd'unRouteurpourlesTâchesd'administration Administration Réseaux Routeur sécurisé PC Serveur - Confidentialité - Intégrité -Disponibilité
La sécurisation informatique revêt une importance cruciale dans notre ère numérique, où les technologies de l'information jouent un rôle central dans la plupart des aspects de nos vies. Les menaces en ligne sont de plus en plus sophistiquées, mettant en péril la confidentialité, l'intégrité et la disponibilité des données. Lasécurisationinformatique
Les routeurs occupent une place prépondérante dans la sécurité informatique, agissant comme la première ligne de défense entre un réseau local et l'environnement en ligne. En tant que passerelle principale, il est responsable du contrôle du trafic réseau, de la gestion des adresses IP, et de la mise en œuvre de pare-feu pour filtrer les données entrantes et sortantes. Ces fonctions sont cruciales pour prévenir les attaques. Role desrouteurs danslasécurité informatique
Les attaques par déni de service distribué (DDoS) Les attaques de force brute Les attaques par injection de code En outre, les attaques de reniflage (sniffing) Exemples des Attaques reseaux
L'administration d'un routeur peut se faire à travers différents accès, chacun offrant des niveaux de contrôle et des fonctionnalités spécifiques  Interface Utilisateur (GUI - Graphical User Interface) : C’est une interface représente la plateforme visuelle permettant aux utilisateurs de configurer les paramètres de leur routeur réseau de manière interactive.  Ligne de Commande (CLI - Command Line Interface) La CLI (Command Line Interface) offre aux administrateurs la possibilité de saisir des commandes textuelles pour configurer le routeur, généralement via des connexions Telnet, SSH ou une console directe. LesDifférents accèspouradministrerunrouteur
 Mode Console Certains routeurs offrent une possibilité de connexion directe via une console physique, souvent à l'aide d'un câble série.  Gestion des Utilisateurs et des Privilèges Les routeurs proposent fréquemment des fonctionnalités de gestion des utilisateurs et des privilèges visant à contrôler l'accès et les droits des administrateurs LesDifférents accèspouradministrerunrouteur
Puisque l'administration d'un routeur est une tâche essentielle pour maintenir un réseau en bon état de fonctionnement et assurer sa sécurité  Mise à jour régulière du firmware :  L’IOS (Internetwork Operating System) C’est le système d'exploitation utilisé par les routeurs Cisco permet aux administrateurs réseau de configurer, gérer et contrôler leurs. Tâchesd'administrationd'unrouteur Secure server
Gestion des Ports : IL est fondamental pour contrôler le flux de données entrant et sortant via ses interfaces physiques et virtuelles.  Configuration Initial Ce processus implique l'établissement des paramètres fondamentaux tels que le nom du routeur, les configurations réseau de base, la sécurisation avec des mots de passe adaptés, et l'activation des fonctionnalités essentielles.  Configuration des Interfaces Réseau Elle comprend la définition des paramètres spécifiques tels que les adresses IP, les modes de fonctionnement. Tâchesd'administrationd'unrouteur
 Gestion des Adresses IP Il inclut la définition des adresses IP statiques ou l'utilisation de protocoles tels que DHCP pour distribuer dynamiquement les adresses IP aux périphériques du réseau.  Configuration des mots de passe forts La configuration de mots de passe robustes pour sécuriser un routeur . Tâchesd'administrationd'unrouteur Secure server
 Chiffrement des communications : En configurant le protocole SSH, les administrateurs peuvent établir des connexions cryptées et sécurisées entre les terminaux distants et le routeur.  Activation des journaux d'audit En activant les journaux d'audit, les administrateurs réseau peuvent garder une trace détaillée des actions effectuées sur le routeur. Tâchesd'administrationd'unrouteur
 Mise en Place de Règles de Pare-feu La mise en place de règles de pare-feu sur un routeur est basées sur des critères tels que les adresses IP source et destination, les ports, les protocoles de communication, et les types de données autorisés ou bloqués qui permet de limiter les vulnérabilités potentielles, et ainsi garantir un environnement réseau plus sécurisé et résistant face aux menaces actuelles et émergentes. Tâchesd'administrationd'unrouteur
 Sauvegarde de la Configuration  Gestion des Utilisateurs et des Services IL implique la configuration des comptes d'utilisateurs et la gestion de ses services réseau. Cela comprend l'attribution de niveaux d'accès, l'activation ou la désactivation de services spécifiques, et la création de politiques pour contrôler les privilèges des utilisateurs. Tâchesd'administrationd'unrouteur
Les accès au routeur peuvent impliquer l'utilisation de plusieurs protocoles, en fonction des méthodes d'accès et des services configurés. Voici quelques-uns des protocoles associés aux accès au routeur .  Telnet (Terminal Emulation) Telnet est un protocole réseau permettant d'établir une connexion distante avec le routeur pour accéder à son interface en ligne de commande.  SSH (Secure Shell) SSH (Secure Shell) est un protocole réseau sécurisé utilisé pour établir une connexion distante sécurisée avec le routeur. Comparé à Telnet, SSH est préféré pour sa capacité de chiffrement. Protocoles associés auxaccèsaurouteur
 HTTP (Hypertext Transfer Protocol) / HTTPS (HTTP Secure) HTTP est un protocole utilisé pour accéder à l'interface web du routeur, tandis que HTTPS, une version sécurisée de HTTP, utilise le chiffrement SSL/TLS pour sécuriser les communications avec cette interface.  SNMP (Simple Network Management Protocol) SNMP est utilisé pour la gestion et la surveillance du routeur, permettant la collecte d'informations sur son état et sa configuration à distance.  RADIUS (Remote Authentication Dial-In User Service) RADIUS est un protocole utilisé pour l'authentification, l'autorisation et la comptabilisation des accès aux services réseau, y compris l'accès au routeur. Ce protocole renforce l'authentification des utilisateurs et permet un contrôle d'accès adéquat, garantissant ainsi que seuls les utilisateurs autorisés ont accès au routeur. Protocoles associés auxaccèsaurouteur
 Configuration de base du routeur  Configuration des noms d'hôte Apres l’ouverture d'une session HyperTerminal avec le routeur R1 Router>enable Router# Router# configure terminal (config t) Router(config)# hostname R1  Configuration des adresses IP des l'interfaces A partir de tableaux de routage on va utilisé les commandes suivantes R1(config)# interface S0/0/0 R1(config-if)#ipaddress [adresse_ip] [masque_de_sous-reseau]: R1(config-if) #no shutdown Réalisation V
 Configurez un débit pour les routeurs avec un câble série DCE connecté à leur interface série R1(config)# interface S0/0/0 Router(config-if)#clock rate 64000  désactivation de la recherche DNS R1(config)#no ipdomain-lookup R1(config)# Réalisation V
 Configurer le routage statique sur les routeurs Les routes statiques sont ajoutées manuellement par l'administrateur réseau et ne font pas partie de la table de routage par défaut. Elles sont utilisées pour spécifier explicitement comment atteindre des destinations spécifiques et sont souvent configurées lorsque vous avez besoin d'un contrôle précis sur le chemin pris par le trafic.  Vérifiez la connectivité entre PC-A et R3 Avec la commande Ping  Enregistrez la configuration de base R1>copy running-config startup-config Réalisation V
 Contrôle de l’accès administratif pour les routeurs  Configurer et chiffrer les mots de passe sur les routeurs R1(config)# security passwords min-length 10  Configurez le mot de passe d'activation secret R1(config)# enable secret cisco12345  L’objectif est de toujours empêcher les utilisateurs non autorisés d’accéder à un appareil à l’aide de Telnet, SSH ou via la console.  Configurer la console de base, le port auxiliaire et les lignes d’accès virtuel R1(config)# line console 0 R1(config-line)# password ciscoconpass R1(config-line)# exec-timeout 5 0 R1(config-line)# login  Configure a password for the AUX port for router R1. R1(config)# line aux 0 R1(config-line)# password ciscoauxpass R1(config-line)# exec-timeout 5 0 Réalisation V
 Contrôle de l’accès administratif pour les routeurs R2 est demande la connexion avec R1 R2> telnet 10.1.1.1 Connexion to 10.1.1.1 closed by foreign host  La connexion entre R2 et R1 avec telnet est impossible à cause de sécurité de R1 avec mot de passe  Configure the password on the vty lines for router R1. R1(config)# line vty 0 4 R1(config-line)# password ciscovtypass R1(config-line)# exec-timeout 5 0 R1(config-line)# login R2 est demande la connexion avec R1 R2> telnet 10.1.1.1 Maintenant R2 peut connecter avecR1 R1>show run  Lorsque on exécute le commande show run le mots de passe secret d’activation est non lu car elle est secret mais on peut lire les autres mots de passe de console , aux, vty car ne sont pas secret ou crypte Réalisation V
 Chiffrer les mots de passe en texte clair R1(config)# service password-encryption  On peut pas lire les mots de passe à cause de cryptage  Configure a Login Warning Banner on Routers R1 and R3 R1(config)# banner motd # $Unauthorized access strictly prohibited and prosecuted to the full extent of the law$ Réalisation V
 Configuration de sécurité renforcée du nom d’utilisateur et du mot de passe sur les routeurs R1 et R3.  Création d’ un nouveau compte utilisateur user01 avec le mot de passe user01pass sans chiffrement à l’aide de la commande username  R1(config)#username user01 password 0 user01pass  Créer un nouveau compte utilisateur avec un mot de passe secret.  R1(config)#username user02 secret user02pass  Définir la ligne de console pour utiliser les comptes de connexion définis localement. R1(config)#line console 0 R1(config-line)#login local Réalisation V
 Tester le nouveau compte en vous connectant à partir d’une session Telnet. PC-A>telnet 192.168.1.1  On ne peut pas connecter au compte utilisateur  Définissez les lignes vty pour utiliser les comptes de connexion définis localement. R1(config)#line vty 0 4 R1(config-line)#login local  Oui Maintenant on peut utiliser les comptes définis localement grâce a la configuration des lignes vty Réalisation V
 Configurer le routeur pour surveiller les attaques de connexion On va Utiliser la commande login block-for pour empêcher les tentatives de connexion par force brute à partir d’une connexion virtuelle, telle que Telnet, SSH ou HTTP. Cela peut aider à ralentir les attaques par dictionnaire et à protéger le routeur contre une éventuelle attaque par déni de service.  On va utiliser la commande login block-for pour configurer un arrêt de connexion de 60 secondes si deux tentatives de connexion infructueuses sont effectuées dans les 30 secondes. R1(config)#login block-for 60 attempts 2 within 30  Le délai de connexion par défaut est 1 seconde entre les tentatives successives. Réalisation V
 Configuration de routeur pour qu’il enregistre l’activité de connexion  Configurez le routeur pour qu’il génère des messages de journalisation système pour les tentatives de connexion réussies et échouées. R1(config)# login on-success log R1(config)# login on-failure log every 2 R1(config)# exit R1#show run Réalisation V
 Configuration de serveur SSH sur les routeurs R1 et R3 à l’aide de l’interface de ligne de commande  Dans cette tâche, nous avons utilisé l’interface de ligne de commande pour configurer le routeur afin qu’il soit géré en toute sécurité à l’aide de SSH au lieu de Telnet.  Configuration d’un nom de domaine R1# conf t R1(config)# ip domain-name ccnasecurity.com On va utiliser la commande username pour créer l’ID utilisateur avec le niveau de privilège le plus élevé possible et un mot de passe secret. R1(config)# username admin privilege 15 secret cisco12345  Configurer un utilisateur privilégié pour la connexion à partir du client SSH  R1(config)# username admin privilege 15 secret cisco12345 Réalisation V
 Configurer les lignes vty entrantes. Spécifier un niveau de privilège de 15 afin qu’un utilisateur disposant du niveau de privilège le plus élevé (15) passe par défaut en mode d’exécution privilégié lors de l’accès aux lignes vty. R1(config)# line vty 0 4 R1(config-line)# privilege level 15 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exit Réalisation V
 Générer la paire de clés de chiffrement RSA pour le routeur  Effacer les paires de clés existantes sur l’itinéraire R1(config)# crypto key zeroize rsa  Le routeur utilise la paire de clés RSA pour l’authentification et le chiffrement des données SSH transmises. R3(config)# crypto key generate rsa general-keys modulus 1024  En fin on va vérifier la configuration SSH R1# show ip ssh Réalisation V
 Configuration des délais d’expiration SSH et les paramètres d’authentification R1(config)# ip ssh time-out 90 R1(config)# ip ssh authentication-retries 2 les paramètres d’authentification par défaut peuvent être modifiés pour être plus restrictifs à l’aide des commandes suivantes. R1(config)# ip ssh time-out 90 R1(config)# ip ssh authentication-retries 2 R1# copy running-config startup-config pour enregistrer la configuration Réalisation V
 Rechercher un logiciel client d’émulation de terminal  TeraTerm et PuTTY Sont deux émulateurs de terminal largement utilisés dans le domaine de l'informatique et des réseaux. TeraTerm offre des fonctionnalités avancées telles que la personnalisation de l'interface utilisateur, la capture d'écran et la création de macros, principalement destinées aux utilisateurs Windows. PuTTY est reconnu pour sa simplicité d'utilisation, sa portabilité sur diverses plateformes et ses solides fonctionnalités de sécurité, notamment le support de la cryptographie forte pour les connexions SSH. Réalisation V
 Installer un client SSH sur PC-A et PC-C  Dans ce lab il choisir d’utiliser PuTTY comme émulateurs de terminal Réalisation V
 Configuration d’Administrative Roles o Créer plusieurs rôles ou vues d’administration sur les routeurs R1 et R3. o Accorder à chaque vue des privilèges variables. o Vérifier et contraster les points de vue.  Activer l’affichage racine sur R1 et R3  Activer AAA sur le routeur R1 AAA must be enabled. R1# config t R1(config)# aaanew-model R1(config)# exit Réalisation V
 Activer la vue racine On va utiliser la commande enable view pour activer la vue racine et le mot de passe secret d’activation cisco12345 R1# enable view Password: cisco12345  Création de nouvelles vues pour les rôles Admin1, Admin2 et Tech sur R1 et R3 Réalisation V
L’utilisateur admin1 est l’utilisateur de niveau supérieur en dessous de la racine qui est autorisé à accéder à ce routeur. C’est lui qui a le plus d’autorité peut utiliser toutes les commandes show, config et debug. R1(config)# parser view admin1 R1(config-view)# *Dec 16 22:45:27.587: %PARSER-6-VIEW_CREATED: view 'admin1’ successfully created. R1(config-view)# o Associer la vue admin1 à un mot de passe chiffré R1(config-view)# secret admin1pass R1(config-view)# o Autorisation des commandes pour admin1 R1(config-view)# commands exec include all show R1(config-view)# commands exec include all config terminal R1(config-view)# commands exec include all debug Réalisation V
o Verification de admin1 view R1# enable view admin1 Password: admin1pass R1# show parser view Current view is ‘admin1’  Création de vue admin2 Même étapes de création de admin1 la différence au niveau d’autorisations des commandes On va jouter toutes les commandes show à la vue R1(config-view)# commands exec include all show Réalisation V
 Création de la vue technique  Même étape que admin1 et admin2 mais la différence au niveau d’autorisations des commandes R1(config-view)# commands exec include show version R1(config-view)# commands exec include show interfaces R1(config-view)# commands exec include show ip interface brief R1(config-view)# commands exec include show parser view Réalisation V
 Configurer la résilience IOS et les rapports de gestion  Sécurisez l’image Cisco IOS et les fichiers de configuration.  À l’aide de NTP, on va configurer un routeur en tant que source de temps synchronisée pour d’autres périphériques.  Configurer la prise en charge syslog sur un routeur.  Installer un serveur syslog sur un PC et activez-le.  Configurer le niveau de piège de journalisation sur un routeur.  Apporter des modifications au routeur et surveiller les résultats syslog sur le PC Réalisation V
 Sécuriser les fichiers d’image et de configuration Cisco IOS sur R1 et R3 La fonction de configuration résiliente de Cisco IOS permet à un routeur de sécuriser l’image en cours d’exécution et de conserver une copie de travail de la configuration Afficher les fichiers dans la mémoire flash pour R1 R1# show flash  Sécurisez l’image Cisco IOS et archivez une copie de la configuration en cours d’exécution  R1(config)# secure boot-image  La commande secure boot-image active la résilience de l’image Cisco IOS, qui masque le fichier des commandes dir et show Réalisation V
 Configurer les fonctions de sécurité automatisées  Restaurer les routeurs R1 et R3 à leur configuration de base.  Utilisez AutoSecure pour sécuriser R3.  Utilisez l’outil d’audit de sécurité CCP sur le routeur R1 pour identifier les risques de sécurité.  Résoudre les problèmes de sécurité sur R1 à l’aide de l’outil d’audit de sécurité.  Passez en revue les configurations de sécurité du routeur à l’aide de CCP et de l’interface de ligne de commande. Réalisation V
 Restaurer le routeur R3 à sa configuration de base R3#erase startup-config  Utiliser AutoSecure pour sécuriser R3  R3# auto secure  Comparaison entre la configuration générée par AutoSecure de R3 avec la configuration manuelle de R1. AutoSecure active AAA et crée une liste d’authentification nommée (local_auth). Les connexions à la console, à l’AUX et à la vty sont configurées pour l’authentification locale. La commande security authentication failure rate 10 log a été ajoutée  Utilisation d'outil d'audit de sécurité CCP sur R1 pour identifier les risques de sécurité Dans cette tâche, Nous allons utiliser l'interface utilisateur graphique CCP pour analyser les vulnérabilités de sécurité sur le routeur R1. CCP est plus rapide que la saisie de chaque commande et offre un meilleur contrôle que la fonction AutoSecure. Réalisation V
Conclusion Dans ce mini-projet on a mis en lumière l'importance de sécuriser les tâches d'administration des routeurs. La protection de ces fonctions critiques est cruciale pour garantir la stabilité et la sécurité de nos réseaux. En explorant les mécanismes d'authentification et les bonnes pratiques de sécurité, nous avons jeté les bases pour un environnement réseau plus résistant aux menaces Réalisation V
MerciPourVotre Attention Réalisation V

Contenu connexe

PPTX
S35_Ch2_Sécurisation des routeurs Cisco.pptx
parlatifellatif300
 
PDF
Cisco et-le-simulateur-packet-tracer
parMed Ali Bhs
 
PDF
1 lexique de-commandes-cisco
parMoctarThiongane
 
PDF
Routeurs cisco-parametres-de-base-17126-l0xxp7
parbasschuck2411
 
PDF
Les commandes CISCO (routeur)
parEL AMRI El Hassan
 
DOC
Corrigé cisco wissamben
parWissam Bencold
 
PPTX
Routage
parSirine Ibrahim
 
PDF
Initiation aux Reseaux Informatiques Cours 8.pdf
parStephen Salama
 
S35_Ch2_Sécurisation des routeurs Cisco.pptx
parlatifellatif300
 
Cisco et-le-simulateur-packet-tracer
parMed Ali Bhs
 
1 lexique de-commandes-cisco
parMoctarThiongane
 
Routeurs cisco-parametres-de-base-17126-l0xxp7
parbasschuck2411
 
Les commandes CISCO (routeur)
parEL AMRI El Hassan
 
Corrigé cisco wissamben
parWissam Bencold
 
Routage
parSirine Ibrahim
 
Initiation aux Reseaux Informatiques Cours 8.pdf
parStephen Salama
 

Similaire à Présentation _réseaux_protocoles_sécurité.pptx

PDF
Cours admin-secure-4 avril-2011
parinfcom
 
PDF
MODULE_18_Configuration_dun_Routeur.pdf
parharizi riadh
 
PDF
UE4-Protocoles de routage - introduction
parangelo119154
 
PDF
lexique-de-commandes-cisco.pdfbarryfrench
parjamelyaro063
 
PDF
apprentissage des COMMANDE CISCO routeur et swicht.pdf
pargerardokoffi
 
PPTX
Configuration routeurs.pptx
parZinaAknouche1
 
PPTX
Administration reseau
parnadimoc
 
PPTX
Chapter 2 - cours réseaux - ccna 1 - .pptx
parsourourmhenni
 
PPTX
Chapitre 3 Configurer un hgghgsystème d'exploitation réseau.pptx
parssuser80a7e81
 
PDF
Commandes Cisco ndskqhfkl djqklfhf ljdklhsqfklhqfklh sqkhfksh
parhappykindtest0
 
PPTX
Version Final Presentation
parBedreddine Zarrouk
 
PDF
commande 2.pdf
paralirayss
 
PDF
Bah mamadou hady
parMamadouHadyBah
 
PPTX
P4-chxfjrjdrjdrjdrjrj1.pptxththstrhtrhrthdth
parmboulouirdd
 
PDF
Acl maintenance
parNerdDev
 
PPTX
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
parAlbertSmithTambwe
 
PDF
Preparation tpcisco reseaux
parBaudosky Konnigui
 
PDF
Configuration de base_router
parCONNECT Tunisia
 
PDF
Astuces cisco
parCONNECT Tunisia
 
PPT
Intro1_IO4.ppt
parAboulayeOuattara2
 
Cours admin-secure-4 avril-2011
parinfcom
 
MODULE_18_Configuration_dun_Routeur.pdf
parharizi riadh
 
UE4-Protocoles de routage - introduction
parangelo119154
 
lexique-de-commandes-cisco.pdfbarryfrench
parjamelyaro063
 
apprentissage des COMMANDE CISCO routeur et swicht.pdf
pargerardokoffi
 
Configuration routeurs.pptx
parZinaAknouche1
 
Administration reseau
parnadimoc
 
Chapter 2 - cours réseaux - ccna 1 - .pptx
parsourourmhenni
 
Chapitre 3 Configurer un hgghgsystème d'exploitation réseau.pptx
parssuser80a7e81
 
Commandes Cisco ndskqhfkl djqklfhf ljdklhsqfklhqfklh sqkhfksh
parhappykindtest0
 
Version Final Presentation
parBedreddine Zarrouk
 
commande 2.pdf
paralirayss
 
Bah mamadou hady
parMamadouHadyBah
 
P4-chxfjrjdrjdrjdrjrj1.pptxththstrhtrhrthdth
parmboulouirdd
 
Acl maintenance
parNerdDev
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
parAlbertSmithTambwe
 
Preparation tpcisco reseaux
parBaudosky Konnigui
 
Configuration de base_router
parCONNECT Tunisia
 
Astuces cisco
parCONNECT Tunisia
 
Intro1_IO4.ppt
parAboulayeOuattara2
 

Présentation _réseaux_protocoles_sécurité.pptx

  • 1.
  • 2.
    La sécurisation informatiquerevêt une importance cruciale dans notre ère numérique, où les technologies de l'information jouent un rôle central dans la plupart des aspects de nos vies. Les menaces en ligne sont de plus en plus sophistiquées, mettant en péril la confidentialité, l'intégrité et la disponibilité des données. Lasécurisationinformatique
  • 3.
    Les routeurs occupentune place prépondérante dans la sécurité informatique, agissant comme la première ligne de défense entre un réseau local et l'environnement en ligne. En tant que passerelle principale, il est responsable du contrôle du trafic réseau, de la gestion des adresses IP, et de la mise en œuvre de pare-feu pour filtrer les données entrantes et sortantes. Ces fonctions sont cruciales pour prévenir les attaques. Role desrouteurs danslasécurité informatique
  • 4.
    Les attaques pardéni de service distribué (DDoS) Les attaques de force brute Les attaques par injection de code En outre, les attaques de reniflage (sniffing) Exemples des Attaques reseaux
  • 5.
    L'administration d'un routeurpeut se faire à travers différents accès, chacun offrant des niveaux de contrôle et des fonctionnalités spécifiques  Interface Utilisateur (GUI - Graphical User Interface) : C’est une interface représente la plateforme visuelle permettant aux utilisateurs de configurer les paramètres de leur routeur réseau de manière interactive.  Ligne de Commande (CLI - Command Line Interface) La CLI (Command Line Interface) offre aux administrateurs la possibilité de saisir des commandes textuelles pour configurer le routeur, généralement via des connexions Telnet, SSH ou une console directe. LesDifférents accèspouradministrerunrouteur
  • 6.
     Mode Console Certainsrouteurs offrent une possibilité de connexion directe via une console physique, souvent à l'aide d'un câble série.  Gestion des Utilisateurs et des Privilèges Les routeurs proposent fréquemment des fonctionnalités de gestion des utilisateurs et des privilèges visant à contrôler l'accès et les droits des administrateurs LesDifférents accèspouradministrerunrouteur
  • 7.
    Puisque l'administration d'unrouteur est une tâche essentielle pour maintenir un réseau en bon état de fonctionnement et assurer sa sécurité  Mise à jour régulière du firmware :  L’IOS (Internetwork Operating System) C’est le système d'exploitation utilisé par les routeurs Cisco permet aux administrateurs réseau de configurer, gérer et contrôler leurs. Tâchesd'administrationd'unrouteur Secure server
  • 8.
    Gestion des Ports: IL est fondamental pour contrôler le flux de données entrant et sortant via ses interfaces physiques et virtuelles.  Configuration Initial Ce processus implique l'établissement des paramètres fondamentaux tels que le nom du routeur, les configurations réseau de base, la sécurisation avec des mots de passe adaptés, et l'activation des fonctionnalités essentielles.  Configuration des Interfaces Réseau Elle comprend la définition des paramètres spécifiques tels que les adresses IP, les modes de fonctionnement. Tâchesd'administrationd'unrouteur
  • 9.
     Gestion desAdresses IP Il inclut la définition des adresses IP statiques ou l'utilisation de protocoles tels que DHCP pour distribuer dynamiquement les adresses IP aux périphériques du réseau.  Configuration des mots de passe forts La configuration de mots de passe robustes pour sécuriser un routeur . Tâchesd'administrationd'unrouteur Secure server
  • 10.
     Chiffrement descommunications : En configurant le protocole SSH, les administrateurs peuvent établir des connexions cryptées et sécurisées entre les terminaux distants et le routeur.  Activation des journaux d'audit En activant les journaux d'audit, les administrateurs réseau peuvent garder une trace détaillée des actions effectuées sur le routeur. Tâchesd'administrationd'unrouteur
  • 11.
     Mise enPlace de Règles de Pare-feu La mise en place de règles de pare-feu sur un routeur est basées sur des critères tels que les adresses IP source et destination, les ports, les protocoles de communication, et les types de données autorisés ou bloqués qui permet de limiter les vulnérabilités potentielles, et ainsi garantir un environnement réseau plus sécurisé et résistant face aux menaces actuelles et émergentes. Tâchesd'administrationd'unrouteur
  • 12.
     Sauvegarde dela Configuration  Gestion des Utilisateurs et des Services IL implique la configuration des comptes d'utilisateurs et la gestion de ses services réseau. Cela comprend l'attribution de niveaux d'accès, l'activation ou la désactivation de services spécifiques, et la création de politiques pour contrôler les privilèges des utilisateurs. Tâchesd'administrationd'unrouteur
  • 13.
    Les accès aurouteur peuvent impliquer l'utilisation de plusieurs protocoles, en fonction des méthodes d'accès et des services configurés. Voici quelques-uns des protocoles associés aux accès au routeur .  Telnet (Terminal Emulation) Telnet est un protocole réseau permettant d'établir une connexion distante avec le routeur pour accéder à son interface en ligne de commande.  SSH (Secure Shell) SSH (Secure Shell) est un protocole réseau sécurisé utilisé pour établir une connexion distante sécurisée avec le routeur. Comparé à Telnet, SSH est préféré pour sa capacité de chiffrement. Protocoles associés auxaccèsaurouteur
  • 14.
     HTTP (HypertextTransfer Protocol) / HTTPS (HTTP Secure) HTTP est un protocole utilisé pour accéder à l'interface web du routeur, tandis que HTTPS, une version sécurisée de HTTP, utilise le chiffrement SSL/TLS pour sécuriser les communications avec cette interface.  SNMP (Simple Network Management Protocol) SNMP est utilisé pour la gestion et la surveillance du routeur, permettant la collecte d'informations sur son état et sa configuration à distance.  RADIUS (Remote Authentication Dial-In User Service) RADIUS est un protocole utilisé pour l'authentification, l'autorisation et la comptabilisation des accès aux services réseau, y compris l'accès au routeur. Ce protocole renforce l'authentification des utilisateurs et permet un contrôle d'accès adéquat, garantissant ainsi que seuls les utilisateurs autorisés ont accès au routeur. Protocoles associés auxaccèsaurouteur
  • 15.
     Configuration debase du routeur  Configuration des noms d'hôte Apres l’ouverture d'une session HyperTerminal avec le routeur R1 Router>enable Router# Router# configure terminal (config t) Router(config)# hostname R1  Configuration des adresses IP des l'interfaces A partir de tableaux de routage on va utilisé les commandes suivantes R1(config)# interface S0/0/0 R1(config-if)#ipaddress [adresse_ip] [masque_de_sous-reseau]: R1(config-if) #no shutdown Réalisation V
  • 16.
     Configurez undébit pour les routeurs avec un câble série DCE connecté à leur interface série R1(config)# interface S0/0/0 Router(config-if)#clock rate 64000  désactivation de la recherche DNS R1(config)#no ipdomain-lookup R1(config)# Réalisation V
  • 17.
     Configurer leroutage statique sur les routeurs Les routes statiques sont ajoutées manuellement par l'administrateur réseau et ne font pas partie de la table de routage par défaut. Elles sont utilisées pour spécifier explicitement comment atteindre des destinations spécifiques et sont souvent configurées lorsque vous avez besoin d'un contrôle précis sur le chemin pris par le trafic.  Vérifiez la connectivité entre PC-A et R3 Avec la commande Ping  Enregistrez la configuration de base R1>copy running-config startup-config Réalisation V
  • 18.
     Contrôle del’accès administratif pour les routeurs  Configurer et chiffrer les mots de passe sur les routeurs R1(config)# security passwords min-length 10  Configurez le mot de passe d'activation secret R1(config)# enable secret cisco12345  L’objectif est de toujours empêcher les utilisateurs non autorisés d’accéder à un appareil à l’aide de Telnet, SSH ou via la console.  Configurer la console de base, le port auxiliaire et les lignes d’accès virtuel R1(config)# line console 0 R1(config-line)# password ciscoconpass R1(config-line)# exec-timeout 5 0 R1(config-line)# login  Configure a password for the AUX port for router R1. R1(config)# line aux 0 R1(config-line)# password ciscoauxpass R1(config-line)# exec-timeout 5 0 Réalisation V
  • 19.
     Contrôle del’accès administratif pour les routeurs R2 est demande la connexion avec R1 R2> telnet 10.1.1.1 Connexion to 10.1.1.1 closed by foreign host  La connexion entre R2 et R1 avec telnet est impossible à cause de sécurité de R1 avec mot de passe  Configure the password on the vty lines for router R1. R1(config)# line vty 0 4 R1(config-line)# password ciscovtypass R1(config-line)# exec-timeout 5 0 R1(config-line)# login R2 est demande la connexion avec R1 R2> telnet 10.1.1.1 Maintenant R2 peut connecter avecR1 R1>show run  Lorsque on exécute le commande show run le mots de passe secret d’activation est non lu car elle est secret mais on peut lire les autres mots de passe de console , aux, vty car ne sont pas secret ou crypte Réalisation V
  • 20.
     Chiffrer lesmots de passe en texte clair R1(config)# service password-encryption  On peut pas lire les mots de passe à cause de cryptage  Configure a Login Warning Banner on Routers R1 and R3 R1(config)# banner motd # $Unauthorized access strictly prohibited and prosecuted to the full extent of the law$ Réalisation V
  • 21.
     Configuration desécurité renforcée du nom d’utilisateur et du mot de passe sur les routeurs R1 et R3.  Création d’ un nouveau compte utilisateur user01 avec le mot de passe user01pass sans chiffrement à l’aide de la commande username  R1(config)#username user01 password 0 user01pass  Créer un nouveau compte utilisateur avec un mot de passe secret.  R1(config)#username user02 secret user02pass  Définir la ligne de console pour utiliser les comptes de connexion définis localement. R1(config)#line console 0 R1(config-line)#login local Réalisation V
  • 22.
     Tester lenouveau compte en vous connectant à partir d’une session Telnet. PC-A>telnet 192.168.1.1  On ne peut pas connecter au compte utilisateur  Définissez les lignes vty pour utiliser les comptes de connexion définis localement. R1(config)#line vty 0 4 R1(config-line)#login local  Oui Maintenant on peut utiliser les comptes définis localement grâce a la configuration des lignes vty Réalisation V
  • 23.
     Configurer lerouteur pour surveiller les attaques de connexion On va Utiliser la commande login block-for pour empêcher les tentatives de connexion par force brute à partir d’une connexion virtuelle, telle que Telnet, SSH ou HTTP. Cela peut aider à ralentir les attaques par dictionnaire et à protéger le routeur contre une éventuelle attaque par déni de service.  On va utiliser la commande login block-for pour configurer un arrêt de connexion de 60 secondes si deux tentatives de connexion infructueuses sont effectuées dans les 30 secondes. R1(config)#login block-for 60 attempts 2 within 30  Le délai de connexion par défaut est 1 seconde entre les tentatives successives. Réalisation V
  • 24.
     Configuration derouteur pour qu’il enregistre l’activité de connexion  Configurez le routeur pour qu’il génère des messages de journalisation système pour les tentatives de connexion réussies et échouées. R1(config)# login on-success log R1(config)# login on-failure log every 2 R1(config)# exit R1#show run Réalisation V
  • 25.
     Configuration deserveur SSH sur les routeurs R1 et R3 à l’aide de l’interface de ligne de commande  Dans cette tâche, nous avons utilisé l’interface de ligne de commande pour configurer le routeur afin qu’il soit géré en toute sécurité à l’aide de SSH au lieu de Telnet.  Configuration d’un nom de domaine R1# conf t R1(config)# ip domain-name ccnasecurity.com On va utiliser la commande username pour créer l’ID utilisateur avec le niveau de privilège le plus élevé possible et un mot de passe secret. R1(config)# username admin privilege 15 secret cisco12345  Configurer un utilisateur privilégié pour la connexion à partir du client SSH  R1(config)# username admin privilege 15 secret cisco12345 Réalisation V
  • 26.
     Configurer leslignes vty entrantes. Spécifier un niveau de privilège de 15 afin qu’un utilisateur disposant du niveau de privilège le plus élevé (15) passe par défaut en mode d’exécution privilégié lors de l’accès aux lignes vty. R1(config)# line vty 0 4 R1(config-line)# privilege level 15 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exit Réalisation V
  • 27.
     Générer lapaire de clés de chiffrement RSA pour le routeur  Effacer les paires de clés existantes sur l’itinéraire R1(config)# crypto key zeroize rsa  Le routeur utilise la paire de clés RSA pour l’authentification et le chiffrement des données SSH transmises. R3(config)# crypto key generate rsa general-keys modulus 1024  En fin on va vérifier la configuration SSH R1# show ip ssh Réalisation V
  • 28.
     Configuration desdélais d’expiration SSH et les paramètres d’authentification R1(config)# ip ssh time-out 90 R1(config)# ip ssh authentication-retries 2 les paramètres d’authentification par défaut peuvent être modifiés pour être plus restrictifs à l’aide des commandes suivantes. R1(config)# ip ssh time-out 90 R1(config)# ip ssh authentication-retries 2 R1# copy running-config startup-config pour enregistrer la configuration Réalisation V
  • 29.
     Rechercher unlogiciel client d’émulation de terminal  TeraTerm et PuTTY Sont deux émulateurs de terminal largement utilisés dans le domaine de l'informatique et des réseaux. TeraTerm offre des fonctionnalités avancées telles que la personnalisation de l'interface utilisateur, la capture d'écran et la création de macros, principalement destinées aux utilisateurs Windows. PuTTY est reconnu pour sa simplicité d'utilisation, sa portabilité sur diverses plateformes et ses solides fonctionnalités de sécurité, notamment le support de la cryptographie forte pour les connexions SSH. Réalisation V
  • 30.
     Installer unclient SSH sur PC-A et PC-C  Dans ce lab il choisir d’utiliser PuTTY comme émulateurs de terminal Réalisation V
  • 31.
     Configuration d’AdministrativeRoles o Créer plusieurs rôles ou vues d’administration sur les routeurs R1 et R3. o Accorder à chaque vue des privilèges variables. o Vérifier et contraster les points de vue.  Activer l’affichage racine sur R1 et R3  Activer AAA sur le routeur R1 AAA must be enabled. R1# config t R1(config)# aaanew-model R1(config)# exit Réalisation V
  • 32.
     Activer lavue racine On va utiliser la commande enable view pour activer la vue racine et le mot de passe secret d’activation cisco12345 R1# enable view Password: cisco12345  Création de nouvelles vues pour les rôles Admin1, Admin2 et Tech sur R1 et R3 Réalisation V
  • 33.
    L’utilisateur admin1 estl’utilisateur de niveau supérieur en dessous de la racine qui est autorisé à accéder à ce routeur. C’est lui qui a le plus d’autorité peut utiliser toutes les commandes show, config et debug. R1(config)# parser view admin1 R1(config-view)# *Dec 16 22:45:27.587: %PARSER-6-VIEW_CREATED: view 'admin1’ successfully created. R1(config-view)# o Associer la vue admin1 à un mot de passe chiffré R1(config-view)# secret admin1pass R1(config-view)# o Autorisation des commandes pour admin1 R1(config-view)# commands exec include all show R1(config-view)# commands exec include all config terminal R1(config-view)# commands exec include all debug Réalisation V
  • 34.
    o Verification deadmin1 view R1# enable view admin1 Password: admin1pass R1# show parser view Current view is ‘admin1’  Création de vue admin2 Même étapes de création de admin1 la différence au niveau d’autorisations des commandes On va jouter toutes les commandes show à la vue R1(config-view)# commands exec include all show Réalisation V
  • 35.
     Création dela vue technique  Même étape que admin1 et admin2 mais la différence au niveau d’autorisations des commandes R1(config-view)# commands exec include show version R1(config-view)# commands exec include show interfaces R1(config-view)# commands exec include show ip interface brief R1(config-view)# commands exec include show parser view Réalisation V
  • 36.
     Configurer larésilience IOS et les rapports de gestion  Sécurisez l’image Cisco IOS et les fichiers de configuration.  À l’aide de NTP, on va configurer un routeur en tant que source de temps synchronisée pour d’autres périphériques.  Configurer la prise en charge syslog sur un routeur.  Installer un serveur syslog sur un PC et activez-le.  Configurer le niveau de piège de journalisation sur un routeur.  Apporter des modifications au routeur et surveiller les résultats syslog sur le PC Réalisation V
  • 37.
     Sécuriser lesfichiers d’image et de configuration Cisco IOS sur R1 et R3 La fonction de configuration résiliente de Cisco IOS permet à un routeur de sécuriser l’image en cours d’exécution et de conserver une copie de travail de la configuration Afficher les fichiers dans la mémoire flash pour R1 R1# show flash  Sécurisez l’image Cisco IOS et archivez une copie de la configuration en cours d’exécution  R1(config)# secure boot-image  La commande secure boot-image active la résilience de l’image Cisco IOS, qui masque le fichier des commandes dir et show Réalisation V
  • 38.
     Configurer lesfonctions de sécurité automatisées  Restaurer les routeurs R1 et R3 à leur configuration de base.  Utilisez AutoSecure pour sécuriser R3.  Utilisez l’outil d’audit de sécurité CCP sur le routeur R1 pour identifier les risques de sécurité.  Résoudre les problèmes de sécurité sur R1 à l’aide de l’outil d’audit de sécurité.  Passez en revue les configurations de sécurité du routeur à l’aide de CCP et de l’interface de ligne de commande. Réalisation V
  • 39.
     Restaurer lerouteur R3 à sa configuration de base R3#erase startup-config  Utiliser AutoSecure pour sécuriser R3  R3# auto secure  Comparaison entre la configuration générée par AutoSecure de R3 avec la configuration manuelle de R1. AutoSecure active AAA et crée une liste d’authentification nommée (local_auth). Les connexions à la console, à l’AUX et à la vty sont configurées pour l’authentification locale. La commande security authentication failure rate 10 log a été ajoutée  Utilisation d'outil d'audit de sécurité CCP sur R1 pour identifier les risques de sécurité Dans cette tâche, Nous allons utiliser l'interface utilisateur graphique CCP pour analyser les vulnérabilités de sécurité sur le routeur R1. CCP est plus rapide que la saisie de chaque commande et offre un meilleur contrôle que la fonction AutoSecure. Réalisation V
  • 40.
    Conclusion Dans ce mini-projeton a mis en lumière l'importance de sécuriser les tâches d'administration des routeurs. La protection de ces fonctions critiques est cruciale pour garantir la stabilité et la sécurité de nos réseaux. En explorant les mécanismes d'authentification et les bonnes pratiques de sécurité, nous avons jeté les bases pour un environnement réseau plus résistant aux menaces Réalisation V
  • 41.

Notes de l'éditeur

  • #5 Les attaques par déni de service distribué (DDoS) sont une menace courante, submergeant le routeur avec un flux massif de trafic Les attaques de force brute constituent également un danger, où des programmes automatisés tentent de deviner les identifiants d'accès pour pénétrer dans le routeur. Les attaques par injection de code visent à introduire du code malveillant dans les flux de données pour exploiter les failles de sécurité du routeur. En outre, les attaques de reniflage (sniffing) visent à intercepter et à collecter des informations sensibles transitant à travers le réseau.
  • #15 SNMPv3, une version de SNMP plus récente, offre des fonctionnalités de sécurité avancées, telles que l'authentification et le chiffrement, pour renforcer la protection des informations échangées entre le dispositif de gestion et le routeur.
  • #16 activation du mode d'exécution privilégié Router>enable : Cette commande est utilisée pour accéder au mode privilégié dans Cisco Packet Tracer qui permet d'effectuer des opérations de configuration avancées sur le routeur. Router# 3- activation du mode de configuration globale
  • #18 Les pings vers tous les équipements sont réussis. Cela signifie que la communication entre l'émetteur et le récepteur est établie et fonctionne correctement
  • #19 Si les attaquants parviennent à pénétrer cette première couche de défense, l’utilisation d’un mot de passe secret d’activation les empêche de pouvoir modifier la configuration de l’appareil.
  • #21  La commande "service password-encryption" permet de chiffrer les mots de passe stockés en texte clair. les mots de passe configurés dans le dispositif sont cryptés et stockés sous une forme chiffrée dans la configuration. Cela empêche que les mots de passe soient facilement lisibles en clair dans la configuration du périphérique. Pour configurer une bannière d'avertissement de connexion avec le message "Accès non autorisé strictement interdit et poursuivi dans toute la mesure de la loi" sur les routeurs R1 et R3, on autiliser les commandes suivantes dans la configuration Cisco IOS :
  • #22 afin d'autoriser l'authentification des comptes de connexion locaux pour l'accès à la console du périphérique.
  • #23 ouvre une session Telnet vers l’adresse IP spécifiée,, 192.168.1.1. afin d'autoriser l'authentification des comptes de connexion locaux pour l'accès aux sessions de terminal virtuel.
  • #24 Cette configuration est une mesure de sécurité qui aide à prévenir les attaques de force brute en bloquant temporairement les tentatives de connexion pendant une période définie après un certain nombre de tentatives infructueuses dans un laps de temps spécifié.
  • #25 Les commandes que vous avez fournies sont utilisées pour configurer les options de journalisation des événements de connexion dans un périphérique Cisco IOS.
  • #26 Configurer un nom de domaine est important pour plusieurs fonctions réseau, notamment pour permettre le résolveur DNS du périphérique à associer des noms d'hôtes à des adresses IP l est crucial de sécuriser les informations d'identification et de s'assurer que des pratiques de sécurité adéquates sont suivies, telles que l'utilisation de mots de passe forts et la limitation des privilèges uniquement aux utilisateurs autorisés, pour éviter les accès non autorisés à votre réseau.
  • #27 Ces commandes configurent les lignes VTY pour permettre l'accès via SSH avec un niveau de privilège élevé (15) par défaut pour les utilisateurs se connectant via ces lignes VTY, tout en utilisant l'authentification locale pour vérifier les identifiants et autoriser l'accès au périphérique.
  • #28 Configuration des clés RSA avec 1024 pour le nombre de bits de module. La valeur par défaut est 512 et la plage est comprise entre 360 et 2048. Le chiffrement RSA est un algorithme de cryptographie asymétrique largement utilisé pour le chiffrement et la sécurisation des communications sur Internet. Il a été inventé par Ron Rivest, Adi Shamir et Leonard Adleman en 1977 et utilise une paire de clés, une clé publique et une clé privée, pour chiffrer et déchiffrer des données.
  • #37 L'acronyme NTP signifie "Network Time Protocol" (Protocole de temps réseau). Il est utilisé pour synchroniser l'horloge des périphériques informatiques sur un réseau en utilisant des serveurs de temps référencés via Internet ou un réseau local.
  • #38 En général, cette commande est utilisée dans le contexte de la sécurisation du processus de démarrage pour garantir l'intégrité de l'image du système d'exploitation ou du micrologiciel chargé sur le périphérique. Elle peut inclure des fonctionnalités telles que la vérification des signatures numériques pour s'assurer que l'image de démarrage n'a pas été altérée ou compromise.
  • #39  AutoSecure était une fonctionnalité sur certains périphériques Cisco permettant de simplifier la sécurisation des périphériques réseau en appliquant automatiquement un ensemble de configurations de sécurité recommandées
  • #40  AAA signifie "Authentication, Authorization, and Accounting" (Authentification, Autorisation et Comptabilité) dans le contexte des réseaux informatiques. C'est un modèle utilisé pour gérer l'accès aux ressources réseau, contrôler les autorisations et enregistrer les activités des utilisateurs.