Sécurité des routeurs CISCO

Table des matières
Bon à savoir
A- Contexte et objectif 
B- Définition de la politique de sécurité du routeur 
1- Politique d'acquisition
2- Politique de déploiement et de mise en service 
3- Politique des mots de passe
4- Politique de contrôle d'accès et d'exploitation
5- Politique de durcissement 
6- Politique de journalisation
C- Sécurisation des accès et mots de passe 
1- Désactiver le service de réinitialisation des mots de passe
2- Configurer la longueur minimale d’un mot de passe
3- Limiter le nombre de tentatives de connexions échouées
4- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)
5- Autoriser juste les accès distants en SSH (le telnet n'étant pas sécurisé)
6- Configuration de la sécurité supplémentaire pour les lignes VTY, console et AUX 
7- Configuration de la sécurité SSH
8- Accorder une attention particulière aux vulnérabilités SNMP, NTP et DNS
9- Désactiver tous les services, protocoles et comptes inutiles 
D- Sécurisation des protocoles de routages 
1- Configurer le protocole RIPv2 avec authentification
2- Configurer l’authentification du protocole de routage EIGRP
3- Configurer l’authentification du protocole de routage OSPF 
4- Verrouiller le routeur à l’aide de Cisco “autosecure”
E- Configuration d’un routeur pour l’utilisation de SDM 
F- Pour conclure 
Bon à savoir
Cette version permet de réduire encore plus la surface d'attaque d'un routeur Cisco.
Ce qui s'ajoute dans cette version par rapport à la version 1.1 de 2010:
– Configuration des limitations des tentatives de connexion échouées
– Désactivation du service de récupération des mots de passe
– Bien sûr sans oublier la correction des fautes (-: pas dignes d'un professionnel de la
sécurité de l'information comme moi, et la reformulation de certaines phases.

A- Contexte et objectif
Un routeur est un équipement réseau dédié qui participe au processus d'acheminement des
paquets dans un réseau (LAN, MAN, WAN), depuis une source (émetteur) vers une
destination (récepteur). Ses deux principales fonctionnalités sont: La détermination du chemin
par lequel doivent passer les paquets et l'acheminement de ceux-ci. Pour y parvenir, il
s'appuie sur une table de routage (routing table) contenant des informations nécessaires pour
le routage des paquets. Ces fonctionnalités font d'un routeur, un dispositif indispensable pour
le fonctionnement d'un réseau de grande taille, d'où l'importance de le protéger contre les
attaques.

Le présent document définit les exigences de sécurité à prendre en compte lors de la mise en
service d'un routeur en général, et décrit comment configurer la sécurité sur un routeur Cisco
pour assurer sa protection contre des attaques. Il est donc question dans ce document de
durcir un routeur en mettant en oeuvre un ensemble de moyens organisationnels et
techniques permettant d'assurer la sécurité physique et logique de ce dernier.

B- Définition de la politique de sécurité du routeur
1- Politique d'acquisition
Avant d'acquérir un routeur, il convient de définir une politique d'acquisition. Quelles sont les
fonctionnalités qui seront assurées par le routeur ? Quel constructeur offre le meilleur rapport
qualité/prix ? Quel est la durée de la garantie? Le support sera t-il assuré ? faut-il un contrat
de maintenance ? Telles sont là quelques questions dont les réponses doivent figurer dans le
document définissant la politique d'acquisition du routeur.

2- Politique de déploiement et de mise en service
Une fois le routeur acquis, il convient de définir une politique de déploiement et de mise en
oeuvre. Cette politique devra tenir compte de son installation, de sa configuration et de sa
mise en service. Par exemple, il doit être placé dans un endroit sécurisé (accès protégé),
derrière un dispositif de protection comme un pare-feu par exemple. Il doit être testé avant sa
mise en production. En cas de problème, on doit pouvoir revenir à la configuration de départ
sans qu'il y ait d'impact sur le système d'information ou sur le réseau.
3- Politique des mots de passe
Les routeurs offrent en général plusieurs types et niveaux d'accès (telnet, ligne virtuelle (vty),
http, ligne auxiliaire, mode enable, mode de configuration globale, etc.). Chaque type d'accès
peut être protégé par un mot de passe. Une politique des mots de passe doit être définie et
appliquée pour éviter leur compromission. Par exemple, les mots de passe doivent être
changés suivant une périodicité (tous les trois mois par exemple). Ils doivent être forts
(difficillement cassable), c'est à dire composé des chiffres, caractères spéciaux (@§!&#),
majuscules et minuscules. Ceci permet d'éviter les attaques par dictionnaire ou par force
brute.

4- Politique de contrôle d'accès et d'exploitation
Le routeur étant en service, il convient de définir une politique des accès et d'exploitation.
Cette politique doit contenir des éléments sur la mise à jour de l'IOS, les droits et niveaux
d'accès (parser view), les actions possibles en fonction des rôles, la périodicité des mises à
jour des protocoles de routage, les routeurs voisins autorisés à communiquer avec le routeur,
la période des interventions sur le routeur (exemple: pas d'intervention lorsque des
transactions sont encours), etc. La journalisation de toutes les actions doit être effectuée sur le
routeur, peu importe par qui. En cas d'incident de sécurité ou d'audit, qui a accès aux logs?

Attention: certaines versions de l'IOS Cisco disposent des commandes permettant de
retrouver un mot de passe à partir de la chaine hexadecimale représentant ce mot de passe
dans le fichier de configuration.

5- Politique de durcissement
Il convient de définir une politique de durcissement du routeur. Par exemple, en définissant les
rôles et responsabilités des différents intervenants (administrateurs réseaux, administrateurs
sécurité, fournisseurs, etc.), les services et comptes inutiles doivent être désactivé, les types
d'accès autorisés doivent être bien définis, la politique de sauvegarde de la configuration, etc..

6- Politique de journalisation
Un routeur étant un équipement sensible, il est important de le surveiller afin d'avoir une idée
sur ses différentes activités (trafic, connexion, etc.). Cette surveillance passe par les fichiers
journaux générés par ce dernier. Il convient donc de définir une politique de journalisation.
Par exemple, comment vont être enregistrés les évènements dans les fichiers journaux, où
doivent-ils être stockés ? En cas de centralisation des journaux, l'envoi des fichiers journaux
(log) vers un serveur centralisé (syslog par exemple) doit être sécurisé (chiffré, authentifié,
etc.), une sauvegarde d’une copie des logs doit être réalisée (chaque jour, chaque semaine,
chaque mois, etc.), sur des supports différents.

C- Sécurisation des accès et mots de passe
1- Désactiver le service de réinitialisation des mots de passe
Dans certains cas, il peut être nécessaire de désactiver le service qui permet de réinitialiser les mots de
passe sur un routeur. Il est important de noter ici que cette désactivation peut avoir des conséquences
graves, par exemple, l'obligation de revenir à la configuration par défaut de base (usine) du routeur.
R1(config)# no service passwords-recovery
En cas de perte de mot de passe, il sera impossible de réinitialiser le mot de passe du super utilisateur.
Cette commande fait partie des commandes cachées de l'IOS Cisco. Je vous conseille de l'utiliser
uniquement si vous n'avez pas une garantie suffisante au niveau de la maîtrise de l'accès physique de
votre routeur.
2- Configurer la longueur minimale d’un mot de passe
R1(config)# security passwords min-length 10
Le routeur n'acceptera pas les mots de passe de moins de 10 caractères.
3- Limiter le nombre de tentatives de connexions échouées
Afin d'éviter les attaques par dictionnaire et par force brute sur les mots de passe, il faut limiter le nombre
de tentatives de connexions sans succès sur votre routeur (dans notre exemple, ce nombre est 4).
R1(config)# security authentication failure rate 4 log
Au bout de 4 tentatives de connexion sans succès en moins d'une minute, les informations seront
enregistrées dans le journal des évènements.
R1(config)# login block-for 60 attempts 4 within 10
Au bout de 4 tentatives de connexion sans succès dans un intervalle de 10 seconde, une autre tentative
ne sera possible qu'après 60 secondes, car le routeur restera silencieux pendant cette période.
Pendant cette periode, il sera impossible de se connecter sur le routeur. Ce qui pourrait affecter les
administrateurs du routeur ayant les droits. Pour éviter cela, il faudra créer une ACL qui permet aux
administrateurs de se connecter pendant cette période de silence (quiet-mode).
R1(config)# ip access-list standard login-permit-adm
R1(config-std-nac)# permit 172.16.20.0 0.0.0.255
R1(config)# exit
R1(config)# login quiet-mode access-class login-permit-adm
4- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)
// Ligne auxiliaire
R1(config)# line aux 0
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit
// Lignes virtuelle
R1(config)# line vty 0 4
R1(config-line)# no password
R1(config-line)# login
R1(config-line)# exit

5- Autoriser juste les accès distants en SSH (le telnet n'étant pas sécurisé)
R1(config)# line vty 0 4
R1(config-line)# no transport input
R1(config-line)# transport input ssh
R1(config-line)# exit

6- Configuration de la sécurité supplémentaire pour les lignes VTY, console et AUX
R1(config)# line vty 0 4
R1(config-line)# exec-timeout 5
R1(config-line)# exit
R1(config)# line console 0
R1(config-line)# exec-timeout 5
R1(config-line)# exit
R1(config)# line aux 0
R1(config-line)# exec-timeout 5
R1(config-line)# exit
R1(config)# service tcp-keepalives-in

7- Configuration de la sécurité SSH
R1(config)# hostname Ottawa // définition du nom d’hôte)
Ottawa(config)# ip domain-name cisco.com // définition du nom de domaine)
Ottawa(config)# crypto key generate rsa // génération des clés asymétriques
Ottawa(config)# username emabo secret cisco123

Ottawa(config)# line vty 0 4
Ottawa(config-line)# transport input ssh // configuration de l’authentification locale et VTY
Ottawa(config-line)# login local
Ottawa(config)# ip ssh time-out 10 // configuration des délais d’attente ssh
Ottawa(config)# ip ssh authentication-retries 3 // configuration des délais d'essai à nouveau ssh

8- Accorder une attention particulière aux vulnérabilités SNMP, NTP et DNS
Pour assurer ses fonctionnalités, un routeur s'appuie sur d'autres services comme comme le
service de résolution des noms. Il se trouve que ces services sont souvent vulnérables. Il
convient donc de s'assurer que les services auxiliaires sur lesquels s'appuie un routeur sont
bien configurer et sécurisé.

9- Désactiver tous les services, protocoles et comptes inutiles
R1(config)# no service finger // exemple du service finger
R1(config)# no cdp run // exemple du protocole CDP

D- Sécurisation des protocoles de routages
Les protocoles de routages sont utilisés par un routeur pour mettre à jour dynamiquement, sa
table de routage. Les informations de mise à jour circulant très souvent en clair entre les
routeurs, il convient de configurer un minimum de sécurité pour ces protocoles. Cette partie du
document qui se veut technique présente comment configurer certains protocoles de routage
de manière sécurisé.

1- Configurer le protocole RIPv2 avec authentification
Ottawa(config)# router rip
Ottawa(config-router)# passive-interface default // désactivation de la propagation des mises à jour de routage
Ottawa(config-router)# no passive-interface serial 0/0 // activation de la propagation sur une seule interface

Ottawa(config)# key chain TOTO
Ottawa(config-keychain)# key 1
Ottawa(config-keychain-key)# key-string cisco
Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip rip authentication mode md5
Ottawa(config-if)# ip rip authentication key-chain TOTO

2- Configurer l’authentification du protocole de routage EIGRP
Ottawa(config)# key chain EIGRP_KEY
Ottawa(config-keychain)# key 1
Ottawa(config-keychain-key)# key-string CCNP
Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip authentication mode eigrp 1 md5
Ottawa(config-if)# ip authentication key-chain eigrp 1 EIGRP_KEY

3- Configurer l’authentification du protocole de routage OSPF
Ottawa(config)# interface serial 0/0
Ottawa(config-if)# ip ospf message-digest-key 1 md5 cisco
Ottawa(config-if)# ip ospf authentication message-digest
Ottawa(config-if)# exit
Ottawa(config)# router ospf 10
Ottawa(config-router)# area 0 authentication message-digest

4- Verrouiller le routeur à l’aide de Cisco “autosecure”
“auto secure” est une commande créée par Cisco pour faciliter l'activation et la désactivation
des services sur un routeur Cisco. Elle fonctionne en deux modes: interactive et non
interactive
Ottawa# auto secure
Pour en savoir plus sur les fonctions exécutées par la commande “auto secure”, je vous
recommande ce site: http://www.ciscozine.com/2008/09/13/using-autosecure-to-secure-a-router/

E- Configuration d’un routeur pour l’utilisation de SDM
Pour boucler ce document, je me permets de mettre à votre disposition, la procédure
permettant de configurer un routeur de manière à ce qui soit administrable par SDM (Security
Device Manager). SDM est un outil permettant d'administrer des équipements (routeurs,
commutateurs, etc.) via une interface graphique.
Ottawa#config t
Ottawa(config)# ip http server
Ottawa(config)# ip http secure-server
Ottawa(config)# ip http authentication local
Ottawa(config)# username emabo privilege 15 secret toto
R1(config)# line vty 0 4
R1(config-line)# privilege level 15
R1(config-line)# login local
R1(config-line)# transport input ssh

F- Pour conclure
Ce document est loin d'être une référence absolue pour garantir la sécurité à 100% d'un
routeur. Déjà qu'il n'existe pas de sécurité à 100%. Néanmoins, il donne une idée sur une
ensemble de tâches à réaliser pour assurer un minimum de sécurité au niveau d'un routeur.
Tous les protocoles de commutation et de routage n'ont pas été abordés dans ce document.
Je pense aux protocoles MPLS et BGP qui sont très utilisés dans le réseau Internet par les
opérateurs de télécoms. Je pourrais dans certains contextes enrichir ce document si je suis
sollicité. Il ne me reste plus qu'à vous souhaiter bonne utilisation.