Objectif de ce document
Ce document fournit
une synthèse des différentes recommandations sur la sécurisation des
environnements réseaux Cisco .
Son objectif est
de permettre à tout administrateur réseau souhaitant appliquer des mesures de
protections préventives à ses
équipements Cisco, de pouvoir le faire dans un minimum de temps,
avec un maximum d'efficacité, Et ce sans avoir à passer
des heures à comprendre la théorie de ce qui doit être appliqué
L'approche pour ce
document est donc :
Appliquer d'abord les
recommandations de sécurité, pour seulement ensuite comprendre l'utilité de chacune
des actions.
Et Le détail sur ces actions de sécurité se trouvent dans le
document : "Cisco Guide to Harden Cisco IOS Devices" et qui est
probablement le meilleur document écrit sur ce sujet et qui est disponible en
accès libre sur le site de Cisco
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml
Classification des actions de sécurisation
Afin de faciliter la
compréhension de l'organisation des actions de sécurité sur des équipements
Cisco, on peut garder en tête que
l'ensemble de ces actions peuvent être regroupées
en trois niveaux de sécurisation croissants. Niveau 1, niveau 3 et niveau 6.
Le niveau 1 correspond
à un ensemble d'actions minimums à réaliser sur les équipements réseau pour
obtenir le premier niveau de
sécurisation. Ces actions de sécurité très
basiques correspondent au minimum obligatoire. On notera que la sécurisation
fournie
empêchera simplement qu’un utilisateur quelconque du réseau prenne le
contrôle des équipements. Un utilisateur avertit n’aura pas trop
de difficulté
à passer au travers de cette sécurisation.
Le niveau 3
correspond en revanche à un niveau de sécurisation très élevé qui consiste à
appliquer sur les équipements du réseau
toutes les actions de protections qui
empêcheront sa prise de contrôle par une personne malveillante, Et qui
correspondent en plus à
l’activation des services de surveillance et d’alertes
qui permettront une alerte immédiate en cas de tentatives de corruption du
réseau.
On notera que ce niveau de sécurité correspond essentiellement à des
actions de sécurisation à appliquer aux équipements dans le but
de les
« durcir » contre toute tentatives de prise de contrôle. Ce niveau de
sécurisation est le niveau à appliquer pour la plupart
des cas de figures.
Le niveau 6
correspond à un niveau de sécurisation extrême qui englobe toutes les actions
de sécurité appliquées au niveau 3,
et auxquelles on ajoute des actions de
sécurisations qui concerne l’environnement dans lequel sont situés les
équipements réseaux,
et qui ont pour objectif de réduire l’exposition des nœuds
de commutation aux risques. Parmi ces actions nous trouverons
la sécurisation
des protocoles de routage ou l’implémentation des services de QoS, qui vont
garantir la stabilité du routage et
ainsi garantir l’accès administrateurs aux
équipements en toutes circonstances.
Le choix du niveau de
sécurité à appliquer au final est spécifique à chaque réseau, il dépend du
niveau d’exposition aux risques ainsi que
de l’impact potentiel de chaque
sinistre.
Illustration de l’organisation des niveaux de sécurisation
des environnements Cisco
Le graphe numéro 1 suivant
regroupe la totalité des actions de sécurité organisées en catégorie avec
l'indication du niveau de
sécurisation qui leur correspond :
Il a pour but de
synthétiser en un seul schéma l’ensemble de la problématique :
Application des services de sécurisation aux équipements
Cisco
Afin de concrétiser ce dossier nous terminons sur la partie mise en oeuvre des services de sécurisation.
L'application des
recommandations de sécurité se fait grâce à un script ConfTerm qui rassemble
sous forme de suite d'actions
organisées en séquences logiques, toutes les actions
de sécurité possibles sur des équipements réseau Cisco.
On notera que ces
scripts vont un peu plus loin en terme de démarche que la fonction
« Autosecure » qui est un très
bon point de départ pour activer la
sécurité des équipements Cisco.
Télécharger
l’ensemble des scripts ConfTerm contenus dans le fichiers .ZIP suivant.
Lancer ConfTerm et ouvrez le script :
'IOS device hardening.txt' :
Workshop Sécurisation d'un équipement Cisco
Ce paragraphe propose un petit atelier technique qui permettra au lecteur de s'entrainer sur la mise en application
de ces actions de sécurisation
Déroulement du workshop
Mettez en place l'architecture réseau décrite dans le schéma ci-dessus. Cette architecture n'est pas forcément une architecture que l'on
retrouvera dans la réalité, mais les services
que l'on y met en oeuvre permettent de recréer toutes les difficultés que l'on peut rencontrer
pendant la mise en place des services de sécurisation d'un équipement Cisco. On notera qu'au minimum 2 routeurs suffisent.
L'objectif pour vous sera de sécuriser le routeur C871-B contre toute aggression.
Les services à activer pour démarrer sont :
- Routage OSPF
- Une fonction PAT sur le routeur "C871-B" ainsi que l'autorisation d'accès depuis le poste de travail "laptop" au "Serveur"
Une fois la maquette dans la situation initiale, laptop a accès à Serveur ( ping , FTP, HTTP, etc.. ). Et laptop a également accès à
C871-B en telnet avec le mot de passe "cisco".
L'objectif du workshop est de sécuriser C871-B de façon à ce que seul Le serveur d'administration puisse avoir accès à C871-B
avec authentification RADIUS
pour les protocoles telnet, SSH, HTTP, HTTPS, FTP, SNMP V2, syslog ( UDP 514 ), RADIUS
TFTP et SCP. Et ce sans contraindre l'accès de laptop à Serveur. D'activer l'authentification des échanges OSPF entre les
routeurs.
Et pour finir activer sur le routeur C871-A une infrastructure ACL qui bloque toutes les sessions d'administration vers C871-B initiées
par d'autres systèmes d'extrémité que Le serveur d'administration
.
Ci dessous, la liste des Outils utiles pour dérouler ce workshop ( tous disponibles via www.fcug.fr )
- Network Notepad : Pour le pilotage de la maquette à partir
- RADL : serveur RADIUS
- TFTPD32 : serveur TFTP, serveur syslog
- BBFTP : serveur FTP
- PUTTY ou sa version console PLINK : client telnet, SSH
- Web Browser
- ConfTerm avec les Scripts de sécurisation
On notera que tous les services réseaux utilisés dans cet atelier disposent d'un Script ConfTerm qui aidera
le lecteur à les mettre en oeuvre.
Bon Workshop !
Home