Dans un contexte BTS CIEL ou SIO, la gestion des comptes et des mots de passe sur les équipements Cisco est une base incontournable de la sécurité.
Une mauvaise configuration peut permettre un accès non autorisé ou compromettre l’ensemble du réseau.
L’objectif est de :
- comprendre les différents types de mots de passe
- mettre en place une authentification sécurisée
- utiliser des comptes adaptés aux usages
Configuration complète
#############################################
# CONFIGURATION COMPTES ET MOTS DE PASSE
#############################################
enable
configure terminal
hostname SECURE-EQUIP
! ==============================
! MOT DE PASSE PRIVILEGE
! ==============================
enable secret <PASSWORD>
! ==============================
! CHIFFREMENT DES MOTS DE PASSE
! ==============================
service password-encryption
! ==============================
! COMPTE ADMINISTRATEUR
! ==============================
username admin privilege 15 secret <PASSWORD>
! ==============================
! COMPTE UTILISATEUR (EXEMPLE)
! ==============================
username user privilege 1 secret <PASSWORD>
! ==============================
! CONSOLE
! ==============================
line console 0
login local
! ==============================
! VTY (SSH)
! ==============================
line vty 0 4
login local
transport input ssh
end
write memoryExplication détaillée
Types de mots de passe
enable password
Ancien mécanisme. Mot de passe stocké en clair ou faiblement chiffré.
À éviter.
enable secret
Mot de passe du mode privilégié.
Stocké sous forme chiffrée (hash).
À utiliser systématiquement.
Comptes locaux
username
Permet de créer des utilisateurs locaux.
Exemple :
- admin → accès complet (niveau 15)
- user → accès limité
Le niveau de privilège détermine les commandes autorisées.
Niveaux de privilège
0 à 15
- 1 → utilisateur standard
- 15 → administrateur complet
Permet de segmenter les droits.
Authentification locale
login local
Force l’utilisation des comptes créés avec username.
Sans cette commande, le mot de passe de ligne peut être utilisé, ce qui est moins sécurisé.
Chiffrement
service password-encryption
Chiffre les mots de passe de configuration (type 7).
Attention : ce n’est pas un chiffrement fort, mais cela évite le stockage en clair.
Bonnes pratiques
- utiliser uniquement
enable secret - créer des comptes nominatifs
- éviter les comptes partagés
- définir des mots de passe complexes
- limiter les privilèges
- utiliser SSH avec authentification locale
- supprimer les comptes inutilisés
Points clés
- enable secret obligatoire
- comptes locaux recommandés
- niveaux de privilèges à utiliser
- login local pour sécuriser les accès
- éviter enable password
- chiffrement activé
Suite logique
Pour aller plus loin :
- mise en place AAA (Radius / Tacacs+)
- gestion centralisée des comptes
- journalisation des connexions
- restriction des accès SSH par ACL