Dans un contexte BTS CIEL ou SIO, la sécurisation des équipements réseau est essentielle.
Un routeur ou un switch mal configuré peut permettre un accès non autorisé, une modification de configuration ou une interception de trafic.
L’objectif est de :
- contrôler les accès
- limiter la surface d’attaque
- sécuriser les ports réseau
Configuration complète
#############################################
# CONFIGURATION COMMUNE (ROUTEUR & SWITCH)
#############################################
enable
configure terminal
hostname SECURE-EQUIP
! Mot de passe privilégié
enable secret <PASSWORD>
! Chiffrement des mots de passe
service password-encryption
! Bannière légale
banner motd #
ACCES RESERVE - TOUT ACCES NON AUTORISE EST INTERDIT
#
! Utilisateur local
username admin privilege 15 secret <PASSWORD>
! Console
line console 0
login local
exec-timeout 5 0
logging synchronous
! Accès distant SSH
no ip domain-lookup
ip domain-name breizh.local
crypto key generate rsa modulus 2048
ip ssh version 2
line vty 0 4
transport input ssh
login local
exec-timeout 5 0
! Protection brute force
login block-for 60 attempts 3 within 60
end
write memory
#############################################
# SECURISATION SWITCH
#############################################
configure terminal
! Désactivation ports inutilisés
interface range fa0/10 - 24
shutdown
! Sécurisation ports utilisateurs
interface range fa0/1 - 9
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security mac-address sticky
spanning-tree portfast
spanning-tree bpduguard enable
end
write memory
#############################################
# SECURISATION ROUTEUR
#############################################
configure terminal
! Désactivation services inutiles
no ip http server
no ip http secure-server
! Réduction surface d’attaque
no cdp run
! Logs
logging buffered 4096
end
write memoryExplication
Accès administrateur
Le mot de passe enable secret protège l’accès au mode privilégié.
Le compte local permet une authentification sécurisée.
Accès distant
Seul SSH est autorisé. Telnet est exclu car non chiffré.
Une clé RSA est nécessaire pour activer SSH.
Protection des accès
La commande login block-for limite les tentatives de connexion.
Le exec-timeout ferme automatiquement les sessions inactives.
Console
L’accès console est protégé avec authentification locale.
Switch – sécurisation des ports
Le port-security limite le nombre d’équipements par port.
Le mode sticky enregistre automatiquement les adresses MAC autorisées.
La violation en mode restrict bloque les accès non autorisés.
Protection couche 2
PortFast accélère l’activation des ports utilisateurs.
BPDU Guard protège contre les attaques via un switch non autorisé.
Ports inutilisés
Les ports non utilisés sont désactivés pour éviter toute connexion non contrôlée.
Routeur – réduction de surface d’attaque
Les services HTTP et HTTPS sont désactivés.
CDP est désactivé pour éviter l’exposition d’informations réseau.
Logs
Les événements sont enregistrés pour permettre un suivi et une analyse.
Points clés
- SSH uniquement
- comptes locaux obligatoires
- ports inutilisés désactivés
- port-security actif
- services inutiles supprimés
- journalisation activée