la scurit des rseaux

- (white hat) : Accs abusif au rseau par des personnes autorises, Virus Vol dquipement mobile. - (hacker) : Hameonnage o une organisation est usurpe par lexpditeur, Abus de messagerie instantane. - Pirate (black hat) : Dni de service, Accs non autoris des informations, Robots au sein de lorganisation - Pirate informatique (cracker) : Vol de donnes des clients/employs, Accs abusif un rseau sans fil, Intrusion dans un systme, Fraude financire. - Pirate tlphonique (phreaker) : Interception de mots de passe, Enregistrement des frappes, Dgradation dun site Web. - Spammeur Hameonneur (phisher) : Abus dune application Web publique, Vol dinformations propritaires, Exploitation du serveur DNS dune organisation, Fraude aux tlcommunications, Sabotage. La norme ISO/CEI 27002 doit servir de base commune et de ligne directrice pratique pour laborer les rfrentiels de scurit de lorganisation et les pratiques efficaces de gestion de la scurit. Ce document comprend les 12 sections suivantes : valuation des risques Stratgie de scurit Organisation de la scurit des informations Gestion des biens Scurit lie aux ressources humaines Scurit physique et environnementale Gestion oprationnelle et gestion des communications Contrle daccs Acquisition, dveloppement et maintenance des systmes dinformation Gestion des incidents lis la scurit des informations Gestion de la continuit de lactivit Conformit

Menaces pour linfrastructure physique : - Menaces matrielles entranant des dommages physiques aux serveurs, routeurs, commutateurs, installations de cblage et stations de travail. - Menaces environnementales : variations extrmes de la temprature ou du taux dhumidit. - Menaces lectriques provenant de pointes de tension, dune tension dalimentation trop basse, dune alimentation non filtre (bruit) et de la perte totale dalimentation. - Menaces de maintenance dues un traitement inadquat de composants lectriques essentiels, au manque de pices de rechange critiques, un mauvais cblage et tiquetage. les attaques par exploitation de la confiance, la mystification dadresse IP, le piratage de session et les attaques de lhomme du milieu.

Menaces envers les rseaux :

Types dattaques dun rseau : Reconnaissance : cest la dcouverte non autorise des systmes, de leurs adresses et de leurs services... : demandes dinformations Internet, balayages ping, balayages de ports et analyseurs de paquets. Accs : cest la possibilit pour un intrus daccder un priphrique pour lequel il ne dispose pas dun compte ou dun mot de passe : attaques de mot de passe, exploitation de la confiance, redirection de port et homme du milieu. Dni de service : Le dni de service peut consister simplement supprimer ou altrer des informations.

Vers, virus et chevaux de Troie : des logiciels malveillants peuvent tre installs sur un ordinateur hte dans le but dendommager ou daltrer un systme. Techniques gnrales dattnuation des risques : Durcissement des priphriques noms dutilisateur et des mots de passe par dfaut Accs aux ressources du systme limit strictement aux personnes autorises. Dsactivation des services et applications non ncessaires ou dsinstallation. Logiciel antivirus Pare-feu personnel Correctif du systme dexploitation (MaJ) Dtection des intrusions et mthodes de prvention IDS, IPS, HIDS et HIPS Appareils et applications de scurit courants : Contrle des menaces : rgule les accs au rseau, isole les systmes infects, empche les intrusions et protge les biens en neutralisant le trafic malveillant, comme les vers et les virus.

priphriques qui apportent une solution de contrle des menaces : les plateformes Cisco ASA de la gamme 5500; les routeurs services intgrs (ISR); le contrle daccs au rseau (NAC); lagent de scurit Cisco pour ordinateurs de bureau (CSA); les systmes Cisco de prvention contre les intrusions (IPS) Quest-ce quune stratgie de scurit ?

Fonctions dune stratgie de scurit

lments dune stratgie de scurit

la scurit des rseaux les routeurs sont des passerelles vers dautres rseaux, ils constituent des cibles videntes et sont soumis une varit dattaques.

Un mot de passe fort est llment fondamental dun contrle daccs scuris un routeur. R1(config)# username Student password cisco123 R1(config)# do show run | include username username Student password 0 cisco123 R1(config)# Le 0 affich dans la configuration courante indique que le mot de passe nest pas masqu. Le logiciel Cisco IOS comporte deux mthodes de protection des mots de passe : - Chiffrement simple appel mthode de type 7 : se base sur lalgorithme de chiffrement dfini par Cisco et masque le mot de passe laide dun algorithme simple : enable password, username et line password.

Le 7 affich dans la configuration courante indique que le mot de passe est masqu. Chiffrement complexe appel mthode de type 5 : se base sur le hachage MD5 : username nom_utilisateur secret mot_de_passe Sur un routeur, le mot de passe secret a toujours la priorit sur le mot de passe enable. Il convient donc de ne jamais configurer la commande enable password tant donn quelle peut rvler un mot de passe systme.

L'administrateur configure un password de type 5 (Hachage via algorithme MD5) et dsactive le passwod de type 7 Les versions 12.3(1) et ultrieures du logiciel Cisco IOS autorisent les administrateurs dfinir la longueur minimale en caractres de tous les mots de passe du routeur :

Accs administratif distance avec Telnet et SSH Pour scuriser les accs administratifs aux routeurs et aux commutateurs, vous devez commencer par scuriser les lignes dadministration (VTY, AUX), puis configurer le priphrique rseau de manire chiffrer le trafic dans un tunnel SSH. Laccs distance ne sapplique pas seulement la ligne VTY du routeur, mais aussi aux lignes TTY et au port auxiliaire (AUX). Les lignes TTY permettent un accs asynchrone au routeur au moyen dun modem. - Empcher toute ouverture de session sur chaque ligne :

Fixer le dlai dattente dexcution 3 minutes et activer les tests dactivit TCP :

Configuration de la scurit SSH : 1 : rglage des paramtres du routeur 4 : configuration de lauthentification locale et VTY

tape 2 : dfinition du nom de domaine 5 : configuration des dlais dattente SSH tape 3 : gnration de cls asymtriques

Les journaux vous permettent de vrifier le fonctionnement dun routeur et de dterminer sil a t compromis ou non. Les journaux peuvent tre transfrs diffrents emplacements, comme la mmoire du routeur ou un serveur Syslog spcialis.

Services vulnrables du Routeur:

les systmes de routage peuvent tre attaqus de deux faons : - Interruption entre homologues

- Falsification des informations de routage Les consquences de la falsification des informations de routages sont les suivantes : 1. Redirection du trafic pour crer des boucles. 2. Redirection du trafic pour pouvoir le surveiller sur une liaison non fiable. 3. Redirection du trafic pour le rejeter. Les trois composantes dun tel systme sont les suivantes : 1. Algorithme de chiffrement, qui fait gnralement partie du domaine public. 2. Cl utilise par lalgorithme, partag par les routeurs qui authentifient leurs paquets. 3. Contenu du paquet lui-mme.

Configuration de RIPv2 avec authentification du protocole de routage : tape 1. Empcher la propagation des mises jour de routage RIP.

tape 2. Empcher la rception non autorise de mises jour RIP.

tape 3. Vrifier le fonctionnement du routage RIP.

lauthentification des protocoles de routage EIGRP et OSPF :

Cisco AutoSecure utilise une seule commande pour dsactiver les processus et les services non essentiels du systme dans lun des deux modes suivants : - Mode interactif : prsente des invites permettant dactiver ou dsactiver des services et autres fonctions de scurit. Il sagit du mode par dfaut. - Mode non interactif : excute automatiquement la commande auto secure avec les paramtres par dfaut . Ce mode est activ avec loption no-interact de la commande.

Cisco Router and Security Device Manager (SDM) : Cest un outil Web de gestion des priphriques conu pour configurer les fonctions de rseau local, de rseau tendu et de scurit sur les routeurs dot du logiciel Cisco IOS. Fonctionnalits de Cisco SDM :

Pour configurer Cisco SDM sur un routeur en exploitation, sans interrompre le trafic, procdez comme suit : - Activez les serveurs HTTP et HTTPS sur le routeur. - Crez un compte utilisateur avec niveau de privilge 15. - Configurez SSH et Telnet pour une session locale avec niveau de privilge 15.

- Les mises jour soit du systme dexploitation sont gratuites. - La mise niveau remplace une version par une autre dont lensemble des fonctions : ne sont pas gratuites.

Systmes de fichiers et priphriques de Cisco IOS :

Commandes pour la gestion des fichiers de configuration : R2# copy running-config startup-config R2# copy system:running-config nvram:startup-config R2# copy running-config tftp: ou R2# copy system:running-config tftp: R2# copy tftp: running-config ou R2# copy tftp: system:running-config R2# copy tftp: startup-config ou R2# copy tftp: nvram:startup-config Conventions de nom de fichier dans le logiciel Cisco IOS :

Utilisation de serveurs TFTP pour grer les images Cisco IOS : Un serveur TFTP permet de tlcharger des images logicielles et des configurations par lintermdiaire du rseau. Avant de changer limage du logiciel Cisco IOS, vous devez accomplir les tches suivantes : - dterminer la quantit de mmoire ncessaire. - installer et tester la fonction de transfert entre lhte dadministration et le routeur. - programmer le temps darrt ncessaire, en dehors des heures ouvrables. Lorsque vous tes prt pour la mise jour, effectuez les tapes suivantes : - Dsactivez toutes les interfaces du routeur qui ne sont pas ncessaires pour la mise jour. - Sauvegardez lIOS et le fichier de configuration courants sur un serveur TFTP. - Chargez la mise jour du systme dexploitation ou du fichier de configuration. - Effectuez des tests de confirmation du bon fonctionnement de la mise jour. Sauvegarde et mise niveau de limage logicielle : tape 1. Envoyez une requte ping au serveur TFTP pour vous assurer quil est accessible. tape 2. Vrifiez que le routeur possde suffisamment despace : show flash tape 3. Copiez : copy flash: tftp: Mise niveau des images du logiciel Cisco IOS : copy tftp: flash: pour tlcharger la nouvelle image depuis le serveur TFTP. Restauration des images logicielles IOS : tape 1. Connectez les priphriques. tape 2. Dmarrez le routeur et dfinissez les variables ROMmon.

tape 3. Tapez la commande tftpdnld la suite de linvite ROMmon.

Utilisation de Xmodem pour restaurer une image IOS : tape 1. Connectez le PC de ladministrateur systme au port console du routeur. tape 2. Dmarrez le routeur et lancez la commande xmodem linvite ROMmon.

Acceptez toutes les confirmations tape 3. envoi du fichier laide de lHyperTerminal. Transfert > Envoyer un fichier.

tape 4. choisir lemplacement de limage Cisco IOS et choisissez le protocole Xmodem.

Commandes de dpannage du logiciel Cisco IOS :

Le guide des commandes du logiciel Cisco IOS reprend 1 463 commandes show.

Commandes associes la commande debug: R1(config)# service timestamps debug datetime msec ajout d'horloge un msg de dbogage ou journalisation. R1#show processes afficher l'utilisation du processeur par processus R1#no debig all dsactiver toutes les commandes debug R1#terminal monitor Procdure de rcupration du mot de passe dun routeur : tape 1. Connectez-vous au port de console. tape 2. Tapez show version linvite, et notez la valeur du registre de configuration. R>#show version Configuration register is 0x2102 tape 3. teignez le routeur plus rallumez-le laide de son interrupteur. tape 4. Aprs 60 secondes de la mise sous tension, appuyez sur la touche Pause du clavier pour activer le mode ROMmon du routeur. tape 5. Tapez confreg 0x2142. Le routeur ignore ainsi la configuration de dmarrage o le mot de passe enable est stock. tape 6. Tapez reset.Le routeur redmarre, en ignorant la configuration enregistre.

tape 7. Tapez no en rponse chaque question ou appuyez sur Ctrl-C pour passer la procdure de configuration initiale. tape 8. Tapez enable. Vous passez ainsi en mode enable , et vous voyez normalement linvite Router#. tape 9. Tapez copy startup-config running-config pas copy running-config startup-config tape 10. Tapez show running-config. Rinitialiser les mots de pass

Tapez copy running-config startup-config pour confirmer vos modifications.