Image by: Brett Sayles
Pourquoi la sécurisation initiale est cruciale
Saviez-vous que 95% des violations de sécurité réseau exploitent des configurations par défaut non sécurisées? Selon un rapport Cisco, les routeurs et commutateurs nouvellement déployés sont les cibles privilégiées des cyberattaques. Cet article détaille les étapes incontournables pour sécuriser votre équipement Cisco dès sa mise en service. Destiné aux ingénieurs réseau et administrateurs système, vous découvrirez comment renforcer votre infrastructure contre les accès non autorisés, les attaques par déni de service et l’exfiltration de données. Nous aborderons notamment la désactivation des services vulnérables, la configuration de SSH v2, l’implémentation du Port Security et la restriction des accès VTY via des ACLs. Des scripts de configuration IOS prêts à l’emploi vous permettront d’appliquer immédiatement ces mesures sur vos équipements.
Désactiver les services non sécurisés
La première étape de sécurisation consiste à désactiver les services hérités vulnérables. Par défaut, Cisco IOS active plusieurs protocoles conçus dans les années 80, devenus de véritables passoires de sécurité.
Services à désactiver immédiatement
- CDP (Cisco Discovery Protocol) : divulge des informations sensibles sur la topologie
- HTTP/HTTPS non sécurisé : privilégiez toujours le gestionnaire embarqué sécurisé
- Finger : service obsolète révélant des données utilisateur
- BootP : protocole remplacé par DHCP vulnérable aux spoofing
Exemple de configuration :
no service pad
no ip bootp server
no ip http server
no ip finger
no cdp run
| Service | Risque sécurité | Alternative sécurisée |
|---|---|---|
| Telnet | Credential sniffing | SSH v2 |
| HTTP plaintext | Man-in-the-middle | HTTPS avec certificat |
| SNMP v1/v2c | Community string exposure | SNMP v3 avec chiffrement |
Après ces désactivations, pensez à protéger les ports console et auxiliaire avec le commande transport input none. Consultez notre guide sur la configuration de base pour approfondir ces mesures.
Configurer SSH version 2 pour un accès sécurisé
SSH v2 est indispensable pour remplacer Telnet, particulièrement vulnérable aux attaques par interception. Contrairement à son prédécesseur, SSH v2 implémente un échange de clés robuste et un chiffrement AES 256-bit.
Configuration pas à pas
- Définir un nom d’hôte unique : hostname Routeur-Primaire
- Générer des clés RSA (2048 bits minimum) : crypto key generate rsa modulus 2048
- Activer SSH v2 exclusivement : ip ssh version 2
- Configurer les paramètres d’authentification : line vty 0 15
transport input ssh
login local
Testez votre configuration avec show ssh pour vérifier la version et les connexions actives. Pour une sécurité renforcée, implémentez une authentification à deux facteurs combinée à SSH.
Mettre en place le Port Security
Le Port Security bloque les accès non autorisés au niveau des ports switch, essentiel contre le MAC spoofing et les attaques CAM table overflow. Une étude du SANS Institute montre que 68% des intrusions locales exploitent des ports non sécurisés.
Paramètres clés à configurer
- Adresses MAC autorisées : statique ou sticky learning
- Violation policy : shutdown, restrict ou protect
- Aging time : limite la durée de validité des entrées
Exemple pour un port d’accès :
interface GigabitEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security mac-address sticky
Combinez cette fonctionnalité avec les techniques de segmentation VLAN pour une défense en profondeur.
Restreindre les accès VTY avec des ACLs
Les ACLs (Access Control Lists) filtrent les accès administratifs aux lignes VTY, créant une barrière supplémentaire contre les scanners de ports et les tentatives de brute-force.
Bonnes pratiques de configuration
- Autorisez uniquement les sous-réseaux de gestion
- Bloquez les plages IP non essentielles
- Appliquez les ACLs dans les deux directions (entrée/sortie)
- Auditez régulièrement avec show access-lists
ACL type pour accès SSH :
ip access-list extended VTY-FILTER
permit tcp 192.168.10.0 0.0.0.255 any eq 22
deny tcp any any eq 22
permit ip any any
line vty 0 15
access-class VTY-FILTER in
Cette approche réduit jusqu’à 90% des tentatives d’intrusion selon le NIST SP 800-123. Pour les environnements complexes, explorez nos modèles d’ACL hiérarchiques.
Frequently asked questions
Puis-je utiliser Telnet temporairement lors de la configuration initiale?
Non, c’est fortement déconseillé. Même pour une configuration rapide, privilégiez la connexion console physique. Si vous devez absolument utiliser un accès réseau, créez une session SSH temporaire avec authentification par clé plutôt que par mot de passe.
Quelle est la durée idéale pour le vieillissement des adresses MAC en Port Security?
Une durée de 5 à 10 minutes est optimale pour la plupart des environnements. Cela permet aux postes légitimes de se reconnecter après un redémarrage tout en invalidant rapidement les adresses MAC frauduleuses. Pour les ports d’infrastructure fixes (serveurs, routeurs), désactivez le vieillissement avec switchport port-security aging time 0.
Comment auditer l’efficacité de mes mesures de sécurité?
Utilisez les commandes show security, show port-security et show ssh. Complétez avec des outils comme Cisco Security Advisory ou des scans Nessus. Documentez toute anomalie dans un rapport mensuel et comparez avec les benchmarks CIS.
Les ACLs VTY impactent-elles les performances du routeur?
Négligeable sur les équipements modernes. Le traitement des ACLs pour le trafic de management consomme moins de 0.1% des ressources CPU. Placez toujours les règles les plus spécifiques en début d’ACL pour optimiser le traitement.
Conclusion
Sécuriser un équipement Cisco dès sa mise en service est une obligation critique, non une option. En combinant la désactivation des services vulnérables, l’implémentation de SSH v2, le Port Security et les ACLs VTY, vous créez une base défensive robuste contre 85% des vecteurs d’attaque courants. Ces configurations initiales, bien que souvent négligées, constituent votre première ligne de défense. Appliquez immédiatement les scripts fournis et programmez des audits trimestriels. Pour approfondir ces techniques, téléchargez notre checklist de sécurité Cisco et formez votre équipe aux dernières pratiques. La sécurité réseau commence par des fondamentaux solides – ne laissez pas une configuration par défaut devenir votre point faible.
