Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Question 3 :
- Identifier et expliquer 15 contrôles de sécurité visant la couche 2 (pour les switch)
- • Port Security : Mise en place du port security pour désactiver les ports non utilisés ou bien de les bloquer l’utilisation a des MAC non listé.
- o switchport port-security
- • AAA : La mise en place d’un système d’authentification et de gestion des identités comme le TACAS permet d’éviter d’avoir des comptes partagés.
- o aaa new-model
- o aaa authentication login default tacacs+ local
- • Politique de mot de passe robuste : Cela permet de force l’utilisation de long mot de passe.
- o security passwords min-length x
- • Limité l’accès aux ports console comme con 0 et les ports auxiliaires. En utilisant un mot de passe complexe non-connu (service account)
- • Forcé le SSH : Pour éviter que la connexion soit en « clear-text », nous pouvons forcer le SSH au lieu du Telnet
- o Transport input ssh
- • Gestion de VLAN : Appliqué les bonnes pratiques lier a la gestion de VLAN comme d’appliqué des VLAN spécifique a des port spécifique et non pas uniquement des VLAN natif qui donne accès a tout. Ségrégation des réseaux de manière étanche.
- • Désactivé les services non critiques : Désactivé les services non critiques comme le PAD, Telnet etc pour minimiser ls surface d’attaque par la vulnérabilité des services ou des erreurs de configurations.
- o Conf t
- o No service telnet
- o No service pad
- • Activation de la journalisation : Un serveur de journalisation va permettre à l’administrateur de centralisé tous les changements. Il permet aussi de garder une trace des essais d’authentification non-réussite et de pouvoir intervenir plus rapidement sans a vérifier chaque switch a la main.
- o Logging *ip*
- o Login on-failure log every 3
- • Implémentation de certificat SSL: Si utilisé, le service web du Cisco IOS est par défaut en http donc non sécurisé, en utilisant un certificat une encryption fait a la main (self-sign), il permet d’encrypté la communication web pour éviter l’écoute sur réseau (sniffing).
- o Configuration du trust point
- Obtenir un certificat du root ca ou en faire la demande.
- Conf t
- Crypto key generate rsa
- crypto ca trustpoint *nom*
- enrollment url *url du serveur en http*
- crl query *url du CRL*
- exit
- crypto ca authentication *nom du trust point*
- crypto ca enroll *nom du trust point*
- o Activation du HTTPS
- Conf t
- Ip http secure-server
- Ip http secure-trustpoint *nom du trust point*
- End
- • Limité le nombre de tentative de connexion : Il est possible de limiter a un nombre les tentative de connexion avant que le compte soit suspendu de manière temporaire pour évité les attaque via « brute-force ».
- o Conf t
- o login block-for 300 attempts 5 within 120
- o login delay 2
- • Limité l’accès a l’équipement a un sous-réseau spécifique : En limitant l’accès aux switch a un sous-réseau réservé a l’équipe de gestion réseau, il sera plus difficile d’y accédé sauf si la personne est dans le bon réseau.
- o ip access-list standard ACL-SSH
- permit *subnet netadmin* *mask* log
- deny any log
- o line vty 0X
- transport input ssh
- access-class ACL-SSH in
- exec-timeout 15
- • Limité le temps de session inactive (time-out) a la session console : En limitant le temps d’une session console, cela éviterais que quelqu’un utilise la session console a l’insu de l’équipe de réseau.
- o line con 0
- exec-timeout 15
- no privilege level 15
- • Utilisation d’un serveur NTP interne : En utilisant un serveur NTP interne, il permet de centraliser et uniforme de la gestion du temps sur l’équipement.
- o Conf t
- o Ntp server *ip*
- • Bannière de connexion : En utilisant une bannière de connexion, il permet de bien indiqué que l’équipement est privé et qu’ils est belle et bien surveiller, cela pourrait être un avertissement et agis comme notice légal ce qui est requis dans certains pays.
- o Conf t
- o Banner login *text*
- o Banner motd *text*
- • Gestion des session TCP : Pour évité les type d’attaque de « session hijacking » il est recommandé de configuré la switch pour fermer automatiquement les session TCP ver le routeur si ils y a une déconnection non prévu. Cela évite d’avoir des session type orphelin.
- o Conf t
- o service tcp-keepalives-in
- o service tcp-keepalives-out
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement