la sécurité du switch et du routeur en quelques mots

SWITCH

Mac statique – port security – VMPS – ACL – SPAN

En cas de changement d'adresse Mac, le commutateur peut :

•         soit bloquer le port,

•         soit enregistrer l'évènement dans un journal,

•         soit émettre une alarme SNMP vers une station d'administration.

Adresse statique :

 Show  mac-address-table

 Sw(config)# mac-address-table static @MAC vlan n int fa0/1

switchport mode access
switchport access vlan 2

Switch(config)#int vlan 1

Switch(config –if)#ip address 192.168.1.2  255.255.255.0

Switch(config)#ip default-gateway 192.168.1.1

Sécurité des ports

    Sw(config)# interface fa0/n

    Sw(config-if)# switchport  mode  access

    Sw(config-if)# switchport  port-security

    Sw(config-if)# switchport  port-security  mac-address  sticky  @mac

    Sw(config-if)# switchport  port-security  maximum n

    Sw(config-if)# switchport  port-security  violation  shutdown

Visualisation

Switch # show  mac-address-table  secure   

Switch # show  interface fa0/n

Switch# show  port-security  interface  fa0/n

        

ROUTEUR

Filtrage – Authentification – sécurité des service et des protocoles

Désactiver le port auxilaire

R(config)# line aux 0                                                  

R(config)# no exec                                                                       

R(config)# transport input none

Les mots de passes

R(config)# security passwords min-length 10

R(config)# enable secret  iori

R(config)# service password-encryption

Les priviléges

Router(config)#username iori password iori

Router(config)#username kyo password kyo

Router(config)#privilege  exec level 2 ping

Router(config)#privilege  exec level 3 telnet

Router(config)#username iori privilege 2 password iori

Router(config)#username kyo  privilege 3 password kyo

Ou enable secret level 2 (3) iori kyo

Router(config)# banner login ^C  msg ^C

Autre méthode de sécurité

R(config)# no service finger  (information sur users)

R(config)# no service config (les routeur font les maj tftp….)

R(config)# no service tcp-small-server   (obtenir des infos ou effectuer  DoS)

R(config)# no cdp run (fournie des infos sur les voisins)

R(config)#  no ip redirects (pas de ridirection)

R(config)#  no ip directed-broadcast  (attaque SMURF) broadcast peut ammené vers votre interface

R(config)# no ip bootp service (les autres  routeurs peuvent l’utiliser comme

Serveur bootp)

R(config)#  no ip proxy-arp  (@mac pr ls hotes qui ont pas la fonctionnalité de routage)

Modifier le port d'écoute Telnet

Router(config)# line vty 0 4                                        

Router (config)# rotary      (Telnet sur le port 3000)                                          

Router (config)# rotary 50  (port d'écoute à 3050)

Authentification OSPF

Router ospf 10

Network  @reseau masqueG  area 0

Area 0 authentication

area 0 authentication message-digest

(if)  Ip add @ip-routeur Masque

(if)  Ip ospf authentication-key secret  (liaison serie)

(if)  Ip ospf message-digest-key 1 md5 secret 

Bonne Chance

mohameddouhaji7@gmail.com