Étape 9. Cliquez sur le lien de la commande.
2.2.2 Limitation de l'accès aux configurations de périphérique
Une fois la convention d'attribution de noms établie, l'étape suivante consiste à associer ces noms aux périphériques à l'aide de la CLI.
2.2.1.4 Configuration des noms d'hôtes
Configuration du nom d'hôte IOS
En mode d'exécution privilégié, accédez au mode de configuration globale en entrant la commande configure terminal :
Switch# configure terminal
Après exécution de cette commande, l'invite devient : Switch(config)#
Comme l'illustre la figure, en mode de configuration globale, entrez le nom d'hôte : Switch(config)# hostname Sw-Floor-1
Après exécution de cette commande, l'invite devient : Sw-Floor-1 (config)#
Observez que le nom d'hôte apparaît dans l'invite. Pour quitter le mode de configuration globale, utilisez la commande exit.
N'oubliez pas de mettre à jour votre documentation chaque fois que vous ajoutez ou modifiez un périphérique. Dans la documentation, identifiez les périphériques par leur emplacement, leur rôle et leur adresse.
Remarque : pour annuler ou inverser les effets d'une commande, faites-la précéder du mot- clé no.
Par exemple, pour supprimer le nom attribué à un périphérique, utilisez : Sw-Floor-1 (config)# no hostname
Switch(config)#
Notez que la commande no hostname rétablit sur le commutateur le nom d'hôte par défaut « Switch ».
À l'aide de la figure, essayez d'attribuer un nom d'hôte à un commutateur.
2.2.2 Limitation de l'accès aux configurations de
périphérique
2.2.2.1 Sécurisation de l'accès au périphérique
Il est recommandé de limiter physiquement l'accès aux périphériques réseau en les plaçant dans des pièces et des armoires fermées à clé ; toutefois, les mots de passe sont la principale défense contre l'accès non autorisé à ces périphériques. Tous les périphériques, même des routeurs domestiques, doivent être configurés localement avec des mots de passe pour limiter l'accès au réseau. Plus tard, nous expliquerons comment renforcer la sécurité en demandant un nom d'utilisateur et un mot de passe à la connexion. Pour l'instant, nous allons présenter des
58
précautions de base en matière de sécurité qui reposent uniquement sur l'emploi de mots de passe.
Comme vous le savez, IOS utilise des modes organisés hiérarchiquement pour faciliter la protection des périphériques. Dans le cadre de ce dispositif de sécurité, IOS peut accepter plusieurs mots de passe, ce qui vous permet d'établir différents privilèges d'accès au périphérique.
Caractéristiques des mots de passe présentés ici :
Mot de passe d'activation (enable) – limite l'accès au mode d'exécution privilégié.
Mot de passe secret actif – chiffré, limite l'accès au mode d'exécution privilégié.
Mot de passe de console – limite l'accès au périphérique par une connexion console.
Mot de passe VTY – limite l'accès au périphérique par une connexion Telnet.
Il est recommandé d'utiliser des mots de passe différents pour chacun de ces niveaux d'accès. En effet, bien que l'utilisation de plusieurs mots de passe différents ne facilite pas l'ouverture d'une session, cette précaution est nécessaire pour protéger convenablement l'infrastructure réseau contre l'accès non autorisé.
En outre, utilisez des mots de passe forts qui ne sont pas faciles à deviner. L'utilisation de mots de passe faibles ou faciles à deviner demeure un véritable problème de sécurité dans de nombreuses entreprises.
Pour choisir les mots de passe, respectez les règles suivantes :
Utilisez des mots de passe de plus de 8 caractères.
Utilisez une combinaison de lettres majuscules et minuscules, des chiffres, des
caractères spéciaux et/ou des séquences de chiffres dans les mots de passe.
Évitez d'utiliser le même mot de passe pour tous les périphériques.
Abstenez-vous d'employer des mots communs tels que mot de passe ou
administrateur, parce qu'ils sont faciles à deviner.
Remarque : dans la plupart des travaux pratiques de ce cours, nous utiliserons des mots de passe simples tels que cisco ou class. Il faut éviter ces mots de passe dans un environnement de production, car ils sont considérés comme faibles et faciles à deviner. Nous n'utilisons ces mots de passe que pour une utilisation dans une salle de cours ou pour illustrer des exemples de configuration.
2.2.2.2 Sécurisation de l'accès au mode d'exécution
privilégié
Pour sécuriser l'accès au mode d'exécution privilégié, utilisez la commande enable secret
mot_de_passe. Une variante de cette commande, plus ancienne et moins sécurisée, est la
commande enable password mot_de_passe. Bien que l'une de ces commandes puisse être utilisée pour établir l'authentification avant l'accès au mode d'exécution privilégié (enable), il est recommandé d'utiliser la commande enable secret. En effet, la commande enable secret offre une plus grande sécurité dans la mesure où le mot de passe est chiffré.
Exemple de commande permettant de définir les mots de passe : Switch(config)# enable secret class
La figure illustre le fait qu'un mot de passe n'est pas requis lors de la première utilisation de la commande enable. Ensuite, la commande enable secret class est configurée et l'accès au mode d'exécution privilégié est sécurisé. Notez que pour des raisons de sécurité, le mot de passe ne s'affiche pas lorsqu'il est saisi.
59
2.2.2.3 Sécurisation de l'accès au mode d'exécution
utilisateur
Pour cette raison, vous devez sécuriser le port de console des périphériques réseau en exigeant, au minimum, que l'utilisateur fournisse un mot de passe fort. Cela réduit les chances qu'un personnel non autorisé branche physiquement un câble sur le port de console de l'appareil et accède ainsi au périphérique.
Vous utilisez les commandes suivantes en mode de configuration globale pour définir un mot de passe pour la ligne de console :
Switch(config)# line console 0 Switch(config-line)# password cisco Switch(config-line)# login
À partir du mode de configuration globale, la commande line console 0 permet d'entrer en mode de configuration de ligne pour la console. Le zéro sert à représenter la première (et le plus souvent, la seule) interface de console.
La deuxième commande, password cisco définit un mot de passe pour la ligne de console. Enfin, la commande login permet de configurer le commutateur pour qu'il exige une authentification à l'ouverture de session. Lorsque la connexion est activée et qu'un mot de passe est défini, l'utilisateur de la console est invité à saisir un mot de passe avant d'accéder à la CLI.
Mot de passe VTY
Les lignes vty permettent d'accéder à un routeur Cisco via Telnet. Par défaut, de nombreux commutateurs Cisco prennent en charge jusqu'à 16 lignes vty, numérotées de 0 à 15. Le nombre de lignes vty prises en charge par un routeur Cisco varie selon le type de routeur et la version de l'IOS. Cependant, en général, cinq lignes vty sont configurées. Ces lignes sont numérotées de 0 à 4 par défaut, bien que des lignes supplémentaires puissent être configurées. Vous devez définir un mot de passe pour toutes les lignes vty disponibles. Vous pouvez certes définir le même mot de passe pour toutes les connexions. Toutefois, il est souvent souhaitable d'associer un mot de passe unique à une certaine ligne afin de réserver un accès à un administrateur lorsque les autres connexions sont utilisées.
Exemples de commandes permettant de définir un mot de passe sur les lignes vty : Switch(config)# line vty 0 15
Switch(config-line)# password cisco Switch(config-line)# login
Par défaut, l'IOS inclut la commande login sur les lignes VTY. Cela permet d'interdire les accès Telnet au périphérique sans authentification préalable. Si vous avez exécuté par inadvertance la commande no login, rien n'empêche des personnes non autorisées de se connecter à la ligne avec Telnet puisque l'authentification n'est plus obligatoire. Il s'agit d'un risque majeur en matière de sécurité.
La figure illustre la sécurisation de l'accès au mode d'exécution utilisateur sur les lignes de console et Telnet.
60
2.2.2.4 Chiffrement de l'affichage des mots de passe
Une autre commande utile permet d'empêcher l'affichage des mots de passe en clair lorsqu'un utilisateur consulte les fichiers de configuration. Il s'agit de la commande service password- encryption.
Cette commande provoque le chiffrement des mots de passe déjà configurés. La commande service password-encryption applique un chiffrement simple à tous les mots de passe non chiffrés. Ce chiffrement ne s'applique qu'aux mots de passe du fichier de configuration et non aux mots de passe transmis sur le support. Le but de cette commande est d'empêcher les personnes non autorisées de lire les mots de passe dans le fichier de configuration.
Si vous exécutez la commande show running-config ou show startup-config avant la commande service password-encryption, les mots de passe non chiffrés sont visibles dans les informations fournies par le périphérique sur sa configuration. Dès que vous exécutez la commande service password-encryption, IOS applique le chiffrement aux mots de passe. Par la suite, les mots de passe déjà chiffrés le restent même si vous supprimez le service password-encryption (en annulant la commande).
À l'aide de la figure, essayez d'entrer une commande permettant de configurer le chiffrement des mots de passe.
2.2.2.5 Messages de bannière
Bien que les mots de passe soient l'un des moyens dont vous disposez pour empêcher l'accès non autorisé à un réseau, il est vital de mettre en place une méthode pour déclarer que l'accès à un périphérique est réservé aux personnes autorisées. À cet effet, ajoutez une bannière aux informations affichées par le périphérique.
Les bannières peuvent constituer une pièce importante dans un procès intenté à une personne qui aurait accédé illégalement à un périphérique. En effet, dans certains systèmes juridiques, il n'est pas possible de poursuivre des utilisateurs, ni même de les surveiller, sauf s'ils ont reçu une notification appropriée.
La formulation utilisée dans une bannière dépend des lois en vigueur localement et des stratégies d'entreprise. Voici quelques exemples d'informations à inclure dans une bannière :
« L'utilisation du périphérique est strictement réservée au personnel autorisé. »
« Vos interactions avec le périphérique peuvent faire l'objet d'une surveillance. »
« Toute utilisation non autorisée fera l'objet de poursuites judiciaires. »
Comme les bannières peuvent être vues par quiconque essaie d'ouvrir une session, le message doit être formulé avec la plus grande prudence. Par exemple, il faut éviter de laisser entendre que l'utilisateur qui ouvre la session est « bienvenu » ou « invité » à le faire. En effet, il est difficile de prouver la responsabilité d'une personne qui perturbe le fonctionnement du réseau après un accès non autorisé s'il apparaît qu'elle a été invitée à le faire.
La création de bannières est un processus simple, à condition de respecter un minimum de règles dans leur rédaction. Si vous utilisez une bannière, abstenez-vous de souhaiter la bienvenue à l'utilisateur accédant au routeur. Votre bannière doit préciser que seul le personnel autorisé a le droit d'accéder au périphérique. Enfin, la bannière peut contenir des
61
informations sur les arrêts programmés du système et d'autres renseignements concernant tous les utilisateurs du réseau.
IOS fournit plusieurs types de bannières. L'une des bannières communes est le message du jour (MOTD). Ce message s'utilise souvent pour les mentions légales parce qu'il s'affiche sur tous les terminaux connectés.
Configurez le message du jour en entrant la commande banner motd en mode de configuration globale.
La commande banner motd nécessite l'emploi de délimiteurs pour identifier le contenu du message de bannière. La commande banner motd est suivie d'un espace et d'un caractère de délimitation. Ensuite, une ou plusieurs lignes de texte constituent le message de bannière. Enfin, le caractère de délimitation apparaît une seconde fois pour marquer la fin du message. Vous pouvez utiliser comme délimiteur tout caractère ne figurant pas dans le message. C'est la raison pour laquelle les symboles tels que « # » sont souvent employés comme délimiteurs. La syntaxe permettant de configurer un message du jour, en mode de configuration globale, est :
Switch(config)# banner motd # le message #
Une fois cette commande exécutée, la bannière s'affichera lors de toutes les tentatives d'accès au périphérique suivantes jusqu'à ce que vous la supprimiez.