Tuesday, October 31, 2017

Cisco Catalyst C3560-CG : encore des options de sécurité (FR) - 2

English summary : after protecting access to our Catalyst 3560-CG switch with passwords in my previous blog post, I configure additional security options: legal disclaimer (login banner), remote management via SSH and port security.


***


Dans ce texte, je vais passer en revue quelques options concernant la sécurité du commutateur. Je pourrais écrire quelques options en plus car nous avons déjà protégé l'accès au commutateur par des mots de passe dans le texte précédent.


Les bannières

D'abord, nous pourrions avoir intérêt à afficher un avis aux personnes tentant d'ouvrir une session afin qu'elles sachent que l'accès au commutateur se limite aux individus autorisés. Bien entendu, cela n'empêcherait personne de continuer mais, selon les pays et les circonstances, pourrait avoir une valeur juridique.

Pour la comparaison, voici à quoi ressemble la connexion avant l'affichage d'une "bannière" (c'est la traduction la plus fréquente du mot "banner" dans la documentation que j'ai consultée) :



Le premier type de bannière que je vais configurer est pour les connexions ou "logins".

Je la crée en saisissant l'ensemble des commandes suivantes en mode configuration :

banner #
Le message de mon choix
#

Les dièses délimitent le message. Il en faut un avant le message et un autre après. Il est tout à fait possible d'utiliser d'autres symboles d'ailleurs mais, dans tous les cas, le symbole utilisé ne doit pas se trouver dans le message lui-même.

Voici la capture d'écran des commandes saisies (1) et puis ce que cela donne à la connexion après que j'ai fermé la session pour en ouvrir une nouvelle (2) :

1.


2.



Il faut bien préciser "login" sinon nous aurions le "message du jour" ou MOTD (message of the day) qui est le choix par défaut et qui pourrait d'ailleurs servir le même but.

Nous pouvons fort bien avoir les deux. J'entre l'ensemble des éléments suivants...



Et cela donne ceci :



Note : nous pouvons encore afficher un autre message : "exec". Celui-ci s'affiche après la connexion, ce qui est utile si nous voulons que seuls les utilisateurs autorisés puissent le voir.



SSH et gestion à distance sécurisée

Jusqu'ici, je configure le commutateur par un câble branché sur le port console. Cette méthode a l'inconvénient de m'obliger à être à proximité du commutateur. Je pourrais le gérer à distance via Telnet depuis que j'ai protégé cette méthode d'accès avec un mot de passe (dans le texte précédent) mais les communications Telnet ne sont pas chiffrées, donc susceptibles d'être interceptées et lues.

SSH permet lui aussi une gestion à distance mais chiffre les communications en plus.

Nous devons d'abord configurer une adresse IP de gestion pour le commutateur, et d'autres paramètres comme le masque de sous-réseau et la passerelle par défaut. Voici les commandes qu'il faut saisir :

- int vlan 1
-- ip addr 10.1.1.4 255.0.0.0
-- no shutdown
-- exit
- default-gateway 10.1.1.3



Comme vous avez sans doute remarqué, il faut être en mode configuration et puis désigner le vlan par défaut (vlan 1). Oui, j'ai abrégé les termes "interface" en "int" et "address" en "addr". L'interface était déjà activée mais je m'en assure en saisissant la commande "no shutdown". Enfin, je quitte le mode "configuration de l'interface" pour définir la passerelle par défaut.

La prochaine étape consiste à configurer SSH. La séquence des commandes varie selon les sources (Todd Lammle, Wendell Odom, documents Cisco en ligne). J'ai réussi ma configuration avec celle-ci :

- line vty 0 15
-- login local
-- transport input ssh
-- exit
- username admin password MySecretPassword123!
- ip domain-name mydomain.net
- crypto key generate rsa

Voici une capture d'écran avec plus de détails :



  • line vty 0 15 : cela désigne les connexions Telnet - ou SSH (16 au total - notre configuration vaut pour chacune d'entre elles).
  • login local : cela exige l'utilisation d'un compte local pour les connexions (un serveur AAA est une autre option).
  • transport input ssh : cela force l'utilisation du seul SSH ("transport input telnet ssh" permettrait le deux moyens).
  • username admin password MyPassword! : ce sont les informations de connexion imposées plus haut par la commande "login local".
  • ip domain-name : nous devons définir un nom de domaine.
  • crypto key generate rsa : cela crée la paire de clés (publique et privée) pour le chiffrement de données entre le poste de l'administrateur et le commutateur. J'ai choisi 1024 mais vous pourriez préférer 2048 qui est plus sûr face aux menaces d'aujourd'hui.

Mais comment établir une session SSH avec le commutateur ?

Il a suffi que je désigne l'adresse IP du commutateur ainsi que le port SSH (22) et choisisse comme type de connexion "SSH" :




Je me suis demandé comment j'allais importer la clé publique dans mon poste de travail. Nous avons deux choix : l'afficher avec cette commande ...

show crypto key mypubkey rsa

Et l'importer manuellement dans le client...

Ou tenter la connexion et laisser le client importer la clé publique de façon automatique (choisir Oui) :




A la première tentative, un message d'erreur s'est affiché mais à toutes les tentatives suivantes, je me suis retrouvé à cette invite où j'ai dû fournir un nom et un mot de passe :


Comme vous voyez, j'ai réussi à ouvrir une session.



La sécurité des ports

Dans la plupart des organisations, nous voulons éviter que des personnes non-autorisées puissent accéder à notre réseau. Nous protégeons l'accès au périmètre avec un pare-feu (ou plusieurs). Mais comment empêcher qu'un intrus (déguisé en ouvrier, etc.) branche un appareil portable sur notre réseau ? Si nous savons quel ordinateur (au sens large) se branche normalement sur telle interface du commutateur, nous pouvons limiter l'accès à l'interface (à cette machine) selon l'adresse MAC.

Voici les commandes à saisir :

switchport mode access
switchport port-security
switchport port-security mac-address 0050.5621.06bc

Et voici une capture d'écran qui montre plus de détails :



La première commande configure le port comme une "interface accès". C'est un pré-requis pour la sécurité des ports. Ensuite, nous devons activer la sécurité des ports avec la seconde commande et enfin préciser l'adresse MAC avec la troisième.

Nous avons quelques options pour la troisième commande :

switchport port-security maximum 2

Par défaut, une seule adresse MAC est permise par port. Nous pouvons permettre à plus d'un ordinateur de se brancher sur le port en mettant un numéro plus élevé : 2, 3, etc.


switchport port-security violation { protect | restrict | shutdown }

Si nous ne précisons rien, le port se désactive (passe en mode "shutdown") en cas de violation, mais nous pouvons le configurer pour qu'il reste activé tout en rejetant les paquets ("protect") avec en option l'envoi de messages SNMP  et des fichiers de journaux - ou logs ("restrict").


switchport port-security mac-address sticky

Dans ce dernier cas, le commutateur "apprend" les adresses MAC des ordinateurs branchés sur chaque port, ce qui évite la tâche longue et fastidieuse de les configurer manuellement, port après port. Cependant, le répertoire des adresses MAC apprises se vide lorsque le commutateur redémarre.


S'il y a violation avec l'option "shutdown", le port passe à un état spécial : "err-disabled". Pour l'en sortir, il faut d'abord le mettre en état de "shutdown" et puis "no shutdown".


En outre, Cisco recommande que les ports d'accès soient désignés comme tel par cette commande que nous avons déjà vue plus haut :

switchport mode access

Mieux encore, les ports non-utilisés devraient être mis en état de "shutdown", ce qui empêche toute connexion.



No comments:

Post a Comment