Advertisement
Guest User

Untitled

a guest
May 23rd, 2019
199
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 4.37 KB | None | 0 0
  1. Question 3 :
  2. Identifier et expliquer 15 contrôles de sécurité visant la couche 2 (pour les switch)
  3. • Port Security : Mise en place du port security pour désactiver les ports non utilisés ou bien de les bloquer l’utilisation a des MAC non listé.
  4. o switchport port-security
  5. • AAA : La mise en place d’un système d’authentification et de gestion des identités comme le TACAS permet d’éviter d’avoir des comptes partagés.
  6. o aaa new-model
  7. o aaa authentication login default tacacs+ local
  8. • Politique de mot de passe robuste : Cela permet de force l’utilisation de long mot de passe.
  9. o security passwords min-length x
  10. • Limité l’accès aux ports console comme con 0 et les ports auxiliaires. En utilisant un mot de passe complexe non-connu (service account)
  11. • Forcé le SSH : Pour éviter que la connexion soit en « clear-text », nous pouvons forcer le SSH au lieu du Telnet
  12. o Transport input ssh
  13. • Gestion de VLAN : Appliqué les bonnes pratiques lier a la gestion de VLAN comme d’appliqué des VLAN spécifique a des port spécifique et non pas uniquement des VLAN natif qui donne accès a tout. Ségrégation des réseaux de manière étanche.
  14. • Désactivé les services non critiques : Désactivé les services non critiques comme le PAD, Telnet etc pour minimiser ls surface d’attaque par la vulnérabilité des services ou des erreurs de configurations.
  15. o Conf t
  16. o No service telnet
  17. o No service pad
  18. • Activation de la journalisation : Un serveur de journalisation va permettre à l’administrateur de centralisé tous les changements. Il permet aussi de garder une trace des essais d’authentification non-réussite et de pouvoir intervenir plus rapidement sans a vérifier chaque switch a la main.
  19. o Logging *ip*
  20. o Login on-failure log every 3
  21. • Implémentation de certificat SSL: Si utilisé, le service web du Cisco IOS est par défaut en http donc non sécurisé, en utilisant un certificat une encryption fait a la main (self-sign), il permet d’encrypté la communication web pour éviter l’écoute sur réseau (sniffing).
  22. o Configuration du trust point
  23.  Obtenir un certificat du root ca ou en faire la demande.
  24.  Conf t
  25.  Crypto key generate rsa
  26.  crypto ca trustpoint *nom*
  27.  enrollment url *url du serveur en http*
  28.  crl query *url du CRL*
  29.  exit
  30.  crypto ca authentication *nom du trust point*
  31.  crypto ca enroll *nom du trust point*
  32. o Activation du HTTPS
  33.  Conf t
  34.  Ip http secure-server
  35.  Ip http secure-trustpoint *nom du trust point*
  36.  End
  37. • Limité le nombre de tentative de connexion : Il est possible de limiter a un nombre les tentative de connexion avant que le compte soit suspendu de manière temporaire pour évité les attaque via « brute-force ».
  38. o Conf t
  39. o login block-for 300 attempts 5 within 120
  40. o login delay 2
  41. • Limité l’accès a l’équipement a un sous-réseau spécifique : En limitant l’accès aux switch a un sous-réseau réservé a l’équipe de gestion réseau, il sera plus difficile d’y accédé sauf si la personne est dans le bon réseau.
  42. o ip access-list standard ACL-SSH
  43.  permit *subnet netadmin* *mask* log
  44.  deny any log
  45. o line vty 0X
  46.  transport input ssh
  47.  access-class ACL-SSH in
  48.  exec-timeout 15
  49. • Limité le temps de session inactive (time-out) a la session console : En limitant le temps d’une session console, cela éviterais que quelqu’un utilise la session console a l’insu de l’équipe de réseau.
  50. o line con 0
  51.  exec-timeout 15
  52.  no privilege level 15
  53. • Utilisation d’un serveur NTP interne : En utilisant un serveur NTP interne, il permet de centraliser et uniforme de la gestion du temps sur l’équipement.
  54. o Conf t
  55. o Ntp server *ip*
  56. • Bannière de connexion : En utilisant une bannière de connexion, il permet de bien indiqué que l’équipement est privé et qu’ils est belle et bien surveiller, cela pourrait être un avertissement et agis comme notice légal ce qui est requis dans certains pays.
  57. o Conf t
  58. o Banner login *text*
  59. o Banner motd *text*
  60. • Gestion des session TCP : Pour évité les type d’attaque de « session hijacking » il est recommandé de configuré la switch pour fermer automatiquement les session TCP ver le routeur si ils y a une déconnection non prévu. Cela évite d’avoir des session type orphelin.
  61. o Conf t
  62. o service tcp-keepalives-in
  63. o service tcp-keepalives-out
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement