Configuration Sécurisée de l'IOS Cisco

Slides:



Advertisements
Présentations similaires
13 - Plate-forme logicielle Cisco IOS
Advertisements

Formation Cisco Partie 2 – IOS.
1 Perte du Mot de passe Enable. AFNOG 2 Perte du mot du mot de passe enable Comment se connecter au routeur en cas de perte du mot de passe enable et.
Module 13 : Implémentation de la protection contre les sinistres.
Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Perte du Mot de passe Enable
Terminaux virtuels (VTY)
Catalyst 500E - Réinitialisation avec les Paramètres usine
Cisco IOS - Utilisation du Système
show ip dhcp server statistics
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Catalyst 500E - Mise à niveau de l'image logicielle
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Configuration - Diagnostics en ligne
Sécurité - VPN - Configurer la mise à jour du client
Utilisation des Cartes mémoires CompactFlash
Configuration EIGRP et IGRP
Configuration Routeur SOHO77
utilisant l'exploitation
IS-IS - Adjacence Point à Point
Vérification du Système fichiers et réparation
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Sécurité - Configuration de
TP - Vues CLI basées sur le rôle
Configuration des noms de Communautés
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
Téléchargement IOS - Commande tftpdnld du ROM Monitor
(Digital Signal Processor)
BGP - Support de Route-Map Policy list
NAT - Supervision et Maintenance
Cisco IOS - Login Enhancements
Préparation de mise à jour
Configuration de LLDP et
l'image de secours sur un Wireless LAN Controller
Sécurité - Configuration de
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Utilisation du ROM Monitor
Proxy ARP ccnp_cch ccnp_cch.
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
BGP - Filtrage de routes en sortie basé sur le préfixe
QoS - Configuration RSVP
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
IOS Sécurité - IP Source Tracker
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
SONET - Bref aperçu de Packet Over SONET APS
trois réseaux internes
Procédure de récupération
Commande show vtp ccnp_cch ccnp_cch.
Commande show ip dhcp database
- Configuration de Microsoft NetMeeting avec les passerelles IOS Cisco
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
(Switch Database Management)
QoS - Configuration Fragmentation
QoS - Configuration de COPS pour RSVP
Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory.
Prévention de désastre et récupération
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
Transcription de la présentation:

Configuration Sécurisée de l'IOS Cisco cch

Sommaire ● Introduction - Contenu ● Restrictions sur Cisco IOS Resilient Configuration ● Informations sur Cisco IOS Resilient Configuration - Conception de la fonctionnalité Cisco IOS Resilient Configuration ● Comment utiliser la fonctionnalité Cisco IOS Resilient - Archivage d'une configuration de routeur - Restauration d'une configuration archivée de routeur cch

Introduction La fonctionnalité Cisco IOS Resilient Configuration permet à un routeur de maintenir et de sécuriser une copie fonctionnelle de l'image en cours et de la configuration ainsi ces fichiers peuvent résister à des tentatives malveillants d'effacement du contenu du stockage permanent (Flash et NVRAM). Historique Release Modification 12.3(8)T Cette fonctionnalité a été introduite. Contenu ● Restrictions sur Cisco IOS Resilient Configuration ● Informations sur Cisco IOS Resilient Configuration ● Comment utiliser la fonctionnalité Cisco IOS Resilient Restrictions sur Cisco IOS Resilient Configuration Cette fonctionnalité est disponible uniquement sur les plateformes qui supportent un disque PCMCIA (Personal Computer Memory Card International Association) ATA (Ad- vanced Technology Attachment). Il doit y avoir assez d'espace sur le dispositif de sto- ckage pour accueillir au moins une image de l'IOS Cisco (deux pour la mise à niveau) et une copie de la configuration courante. Le support de IFS (IOS File System) est éga- lement nécessaire. ● Il est possible de forcer l'effacement de fichiers sécurisés en utilisant une ancienne version de l'IOS Cisco dont le système de fichiers ne contient pas de support pour les fichiers cachés. ● Cette fonctionnalité peut être dévalidée uniquement en utilisant une connexion con- sole avec le routeur. A l'exception du scénario de mise à niveau, l'activation de la fonctionnalité ne nécessite pas un accès console. ● Vous ne pouvez pas sécuriser un "bootset" avec une image chargée depuis le réseau . L'image courante doit être chargée à partir d'un stockage permanent pour être sécurisée comme primaire. ● Les fichiers sécurisés n'apparaissent pas dans la sortie de la commande dir entrée à partir d'un shell EXEC car l'IFS empêche les fichiers sécurisés présents dans un répertoire d'être listés. Le ROM Monitor ou ROMMON n'a pas ces restrictions et peut être utiliser pour lister et booter avec des fichiers sécurisés. Les archives de l'image courante et de la configuration ne seront pas visibles dans la sortie de la commande dir. Utilisez à la place la commande show secure booset pour vérifier l'existence d'une archive. cch

Informations sur Cisco IOS Resilient Configuration Avant d'utiliser la fonctionnalité Cisco IOS Resilient, vous devez comprendre les con- cepts suivants: ● Structure de la fonctionnalité Cisco IOS Resilient. Structure de la fonctionnalité Cisco IOS Resilient Un grand challenge des administrateurs de réseau est le temps d'arrêt total quand un routeur a été attaqué et que son logiciel d'exploitation et sa configuration ont été effacés sur leur emplacement de stockage permanent. L'administrateur doit re- trouver une archive (s'il y en a) de la configuration et une image opérationnelle pour restaurer le routeur. La récupération doit être effectuée pour chaque routeur affecté ce qui accroît le temps d'arrêt total du réseau. La fonctionnalité Cisco IOS Resilient Configuration est prévue pour accélérer le processus de récupération. Cette fonc- tionnalité maintient en permanence une copie de travail sécurisée de l'image du rou- teur et de la configuration de démarrage. Ces fichiers sécurisés ne peuvent pas être retirés par l'utilisateur. l'ensemble image et configuration courante du routeur est référencé comme "primary booset". Les facteurs suivants ont été pris en compte dans la structure de Cisco IOS Resilient Configuration. ● Le fichier de configuration dans le "primary booset" est une copie de la configura- tion courante qui était dans le routeur quand la fonctionnalité a été validée. ● La fonctionnalité sécurise le plus petit ensemble de fichiers de travail pour pré- server de l'espace de stockage permanent. Aucun espace supplémentaire n'est re- quis pour sécuriser le fichier primaire de l'image de l'IOS Cisco. ● La fonctionnalité détecte automatiquement une incohérence de version image ou de configuration. ● Seul le stockage local est utilisé pour sécuriser les fichiers, éliminant les problè- mes d'évolutivité liés au stockage de multiples images et configurations sur des serveurs TFTP. ● Cette fonctionnalité peut être dévalidée uniquement à partir d'une session console. cch

Comment utiliser la fonctionnalité Cisco IOS Resilient Cette section contient les procédures suivantes: ● Archivage d'une configuration de routeur. ● Restauration d'une configuration archivée de routeur. Archivage d'une configuration de routeur Cette tâche décrit comment sauvegarder un booset primaire pour sécuriser une ar- chive sur un stockage permanent. Résumé des étapes 1. enable 2. configure terminal 3. secure boot-image 4. secure boot-config 5. end 6. show secure bootset Etapes détaillées Commande ou Action But enable Exemple: Router> enable Valide le mode EXEC privilégié ● Entrez un mot de passe sur demande configure terminal Router# configure terminal Entre en mode de configuration global. secure boot-image Router(config)# secure boot-image Valide la sécurisation de l'image de l'IOS Cisco. secure boot-config Router(config)# secure boot-config Stocke une copie sécurisée du booset primaire sur un stockage permanent. end Router(config)# end Sortie du mode privilégié. show secure bootset Router# show secure bootset (Optionnel) Affiche l'état de la configuration sécurisée et le nom du fichier bootset primaire. cch

Etapes détaillées cch Exemples: Cette section fournit les exemples de sortie suivants: ● Exemple de sortie pour la commande show secure booset Router# show secure bootset IOS resilience router id JMX0704L5GH IOS image resilience version 12.3 activated at 08:16:51 UTC Sun Jun 16 2002 Secure archive slot0:c3745-js2-mz type is image (elf) [] file size is 25469248 bytes, run size is 25634900 bytes Runnable image, entry point 0x80008000, run from ram IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16 2002 Secure archive slot0:.runcfg-20020616-081702.ar type is config configuration archive size 1059 bytes Restauration d'une configuration archivée de routeur Cette tâche décrit comment restaurer un booset primaire à partir d'une archive sécu- risée après un effacement malencontreux sur le routeur (par un effacement NVRAM ou un formatage disque). Note: Pour restaurer un booset primaire archivé, la sécurisation de l'image IOS Cisco doit avoir été écrite avec un booset primaire archivé sur un stockage permanent. Résumé des étapes 1. reload 2. dir [filesystem:] 3. boot [partition-number:][filename] 4. no 5. enable 6. configure terminal 7. secure boot-config [restore filename] 8. end 9. copy filename running-config Etapes détaillées Commande ou Action But reload Exemple: Router# reload (Optionnel) Entre en mode ROM monitor si nécessaire. dir [ filesystem:] rommon 1 > dir slot0: Liste le contenu du dispositif qui contient le fichier bootset sécurisé. cch

cch Commande ou Action But boot [ partition-number:][ filename] Exemple: rommon 2 > boot slot0:c3745-js2-mz Démarre le routeur en utilisant l'image booset sécurisée. no --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: no (Optionnel) Décline l'entrée en session de configuration interactive pour le mode setup. • Si la NVRAM a été effacée, le routeur entre en mode setup et demande à l'utilisateur d'initier une session de configuration interactive. enable Router> enable Valide le mode EXEC privilégié ● Entrez un mot de passe sur demande configure terminal Router# configure terminal Entre en mode de configuration global. secure boot-config [restore filename] Router(config)# secure boot-config restore slot0:rescue-cfg Restaure la configuration sécurisée vers le fichier indi- qué. end Router(config)# end Sortie du mode privilégié. copy filename running-config Router# copy slot0:rescue-cfg running-config Copie la configuration restaurée vers la configuration courante. cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.