Introduction aux routeurs CISCO

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

PC / Traitement numérique / Contrôle Environnement logiciel
11 - Composants dun routeur. Sommaire 1)Sources de configuration externes 1)Composants de configuration internes et commandes détat associées.
11 - Composants d’un routeur
Module 5 : Implémentation de l'impression
12 - Configuration d’un routeur
Page d accueil.
GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Liste de contrôle d’accès
Introduction aux routeurs CISCO
Introduction aux routeurs CISCO
Routage Statique AfNOG 2003 PLAN Quest ce que le routage ? Pourquoi faire du routage sur un réseau ? PRINCIPES DU ROUTAGE IP PROTOCOLES DE ROUTAGE IP Définition.
Protocole PPP* *Point-to-Point Protocol.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Firewall sous Linux Netfilter / iptables.
13 - Plate-forme logicielle Cisco IOS
Module 10 : Gestion et analyse de l'accès réseau
Cours Présenté par …………..
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
Sécurité Informatique
PLAN Qu’est ce que le routage ?
Realisè par : S.ACHRAF E.AYOUB
Active Directory Windows 2003 Server
Introduction aux routeurs CISCO
Introduction aux routeurs CISCO
Module 1 : Préparation de l'administration d'un serveur
Configuration d'un routeur
Introduction RADIUS (Remote Authentication Dial-In User Service)
GESTION DE PARCS D’ORDINATEURS
Protocole 802.1x serveur radius
Module 4 : Création et gestion de comptes d'utilisateur
Création et gestion de comptes d'utilisateur
ACTIVITE N°1: Identifier, justifier, installer le matériel, vérifier Rendre accessible larrière de la machine « revendeur » sans la démonter Identification.
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 1 : Installation de Windows 2000 ou mise à niveau vers Windows 2000.
Module 1 : Installation de Microsoft Windows XP Professionnel
SARRAZIN – RAIMBAULT SOKHNA
Introduction aux routeurs CISCO
Routeur Cisco® Formation.
Présentation du matériel Gestion des configurations Routage statique
Introduction La technique des VLANs (Virtual Local Area Network) permet de donner au réseau l’architecture logique souhaitée par l’administrateur, en le.
Vue d'ensemble Préparation de l'installation
Les listes de contrôle d’accès
Exploitation des Routeurs CISCO
Utilisation avancée de linux Réseau Démarrage et arrêt.
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Windows 2003 Server Modification du mode de domaine
La mémoire virtuelle Dans laquelle un ordinateur exécute des programmes dont les besoins en mémoires dépassent la mémoire disponible. Par exemple des.
Exemples de paramètrage ACL VLAN niveau 3
TP VLAN Objectifs Données de configuration
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
PLAN Correction du RUSH 3
Le protocole DHCP.
Création d’un domaine Il faut :
Module 3 : Création d'un domaine Windows 2000
AFNOG Rabat MAROC1 Perte du Mot de passe Enable.
PLAN Qu’est ce que le routage ?
En route vers le déploiement . . .
Introduction aux routeurs CISCO
-7- Notions de Routage.
1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.
ORAL du rapport de Stage
V- Identification des ordinateurs sur le réseau
Formation Cisco Partie 2 – IOS.
Configuration NAT Dynamique
Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)
Chapitre 2 : Configurer un système d'exploitation réseau
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
Introduction aux routeurs CISCO. AFNOG Table des Matières  Les composants d’un routeur  Le fonctionnement du routeur  Procédure de configuration.
Transcription de la présentation:

Introduction aux routeurs CISCO Jean Robert HOUNTOMEY AFNOG 2007 – Abuja – NIGERIA hrobert@iservices.tg

Table des Matières Les composants d’un routeur Le fonctionnement du routeur Procédure de configuration du routeur Configuration de base du routeur Les Bonnes pratiques Récupérer le mot de passe d’accès AFNOG - 2007 - Abuja

Les composants d’un routeur AFNOG - 2007 - Abuja

Les composants d’un routeur AFNOG - 2007 - Abuja

Les composants d’un routeur (2) Comme un ordinateur un routeur est composé du: materiel (hard) Le Microprocesseur (CPU) L’unité centrale, ou le microprocesseur, est responsable de l’exécution du système d’exploitation du routeur. Mémoire Flash: La flash représente une sorte de ROM effaçable et programmable. Sur beaucoup de routeurs, la flash est utilisé pour maintenir une image d’un ou plusieurs systèmes d’exploitation. ROM: La ROM contient le code pour réaliser les diagnostics de démarrage (POST : PowerOn Self Test). En plus, la ROM permet le démarrage et le chargement du système d’exploitation contenu sur la flash. AFNOG - 2007 - Abuja

Les composants d’un routeur (3) Bootstrap – stocké dans le microcode du ROM – boot le routeur durant l’initialisation et démarre l’IOS. POST – Power On Self Test – dans le microcode du ROM microcode il vérifie les fonctionnalités basique du matériel et détermine les interfaces présentes. ROM Monitor – utilisé pour le manufacturing, les tests et le troubleshooting Mini-IOS – a.k.a RXBOOT/boot loader par Cisco – c’est une petite version d’IOS (small IOS ROM) utilisée pour activer les interfaces et pour charger le IOS CISCO en mémoire flash à partir d’un serveur TFTP. Est aussi utilisé pour des taches de maintenance. AFNOG - 2007 - Abuja

Les composants d’un routeur (4) RAM La RAM est utilisé par le système d’exploitation pour maintenir les informations durant le fonctionnement. Elle peut contenir la configuration qui s’exécute (running) , les tables de routage, la table ARP, etc. Et comme c’est de la mémoire volatile, lors de la coupure de l’alimentation, elle est effacée. NVRAM (RAM non volatile) Le problème de la RAM est la non conservation des données après la coupure de l’alimentation. La NVRAM solutionne le problème, puisque les données sont conservées même après la coupure de l’alimentation. La configuration est maintenue dans la NVRAM. Modules (Portes I/O): L’essence même d’un routeur est l’interfaçage vers le monde extérieur. Il existe un nombre impressionnant d’interfaces possibles pour un routeur (Liaison série asynchrone, synchrone, Ethernet, tokenring, ATM,FO, ...). AFNOG - 2007 - Abuja

Les composants d’un routeur (5) Le Registre de configuration: invoqué par Config-Register Controle comment le routeur démarre; Valeur affichée par “show version” ; 0x2102, indique au routeur de charger l’IOS de la mémoire flash et le startup-config de la NVRAM Modifier le config-register pour: Forcer le routeur à demarrer en ROM Monitor Booter sur une autre source et charger un ficher de démarrage par défault Activer/désactiver la fonction BREAK Controler les adresses de broadcast Fixer le baud rate de la console terminal Charger le IOS de la ROM Activer le boot par serveur TFTP AFNOG - 2007 - Abuja

Les composants d’un routeur (4)  logiciel (SOFT): Système d’exploitation appelé IOS (Internetworking Operating System) Éléments essentiels de l’IOS IOS Software releases utilise le format A.B(C)D ou : * A, B, et C sont des nombres * D (si présent) est une lettre * A.B sont des nombres importants par rapport a la version. * C est la version de mise a jour.(maintenance version). * D si présent indique que ce n’est pas une version majeure mais une extension d’une version majeure. Ces extensions apportent de nouvelles fonctionnalités et gèrent de nouveaux matériels. AFNOG - 2007 - Abuja

Les composants d’un routeur (5) ED "Early Deployment". Early Deployment nouvelles fonctionnalités, supporte de nouvelles plates formes ou interfaces. GD "General Deployment". Version majeure devient GD quand CISCO juge que la version de l’IOS peut être utilisée en terme général. Une version deviens majeure lorsque tous les tests de stabilité et de performance ont été concluants LD "Limited Deployment". Une version majeure de IOS est déclarée LD entre la première vente de la période de GD. DF "Deferred". DF a ne pas utiliser car contient beaucoup de bugs NB: Il est recommandé une version GD ou ED IOS (tm) C2600 Software (C2600-P-M), Version 12.0(21)S6, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) AFNOG - 2007 - Abuja

L’interpréteur de commande L’interpréteur de commande, comme son nom l’indique, est responsable de l’interprétation des commandes que vous tapez. La commande interprétée, si elle est correcte, réalise l’opération demandée. Si incorrecte renvoie un message d’erreur AFNOG - 2007 - Abuja

Les facilités de l’IOS L’IOS de CISCO permet des raccourcis aux commandes Nomination et abréviations des interfaces : ethernet0/0, ou e0/0, fastethernet0 ou fa0 serial0, ou s0 Raccourci des commandes: router#conf t router(config)#int e0 router(config-if)#ip addr 81.199... TAB pour Compléter une commande Router(config)#int<TAB> Router(config)#interface et<TAB> Router(config)#interface ethernet 0 Router(config-if)#ip add<TAB> Router(config-if)#ip address AFNOG - 2007 - Abuja

L’aide de l’IOS IOS aide en cas d’oubli des commandes en les affichant ou les complétant “?” après le prompt pour une liste des commandes possibles router#? “<commande partielle> ?” liste les options et les commandes complémentaires; ex: router#show ? router#show ip ? AFNOG - 2007 - Abuja

L’aide de l’IOS (2) router(config)#ip a? accounting-list accounting-threshold accounting-transits address-pool alias as-path router(config)#int e0 router(config-if)#ip a? access-group accounting address router(config-if)#ip addr ? A.B.C.D IP address router(config-if)#ip addr 196.200.221.0 ? A.B.C.D IP subnet mask AFNOG - 2007 - Abuja

Le fonctionnement du routeur AFNOG - 2007 - Abuja

Processus de démarrage du routeur POST chargé à partir de la ROM effectue le diagnostique des mémoires, des modules et des composants hard du routeur Bootstrap – vérifie et démarre l’IOS; par défault l’IOS est chargé de la FLASH Startup-config si trouvé dans la RAM est chargé sinon le routeur démarre en mode setup. AFNOG - 2007 - Abuja

Procédure de configuration du routeur Configurer son routeur c’est agir sur le fonctionnement de ce dernier et le contrôler. AFNOG - 2007 - Abuja

Procédure de configuration Assignation d’identité (nom) au routeur (hostname) Mots de passe d’accès Configuration des interfaces Bonnes pratiques - Sécurité Connexion du routeur au réseau Configuration des protocoles de routage (static – dynamique ou défault) Sauvegarde dans la NVRAM Sauvegarde sur un serveur externe (facultatif mais utile) AFNOG - 2007 - Abuja

Les fichiers de configuration Un routeur a toujours deux configurations: La configuration active (running configuration) - dans la RAM, il détermine le fonctionnement du routeur - changée en utilisant la commande configure - pour la voir: show running-config La configuration de démarrage (startup configuration) dans la NVRAM, détermine le fonctionnement du routeur après le prochain démarrage modifiée par la commande copy pour la voir: show startup-config AFNOG - 2007 - Abuja

Ou se trouve la configuration ? La configuration du routeur peut aussi être sauvegarde dans différents endroits: Machines externes (tftp) En mémoire flash Les commandes de copy copy run start copy run tftp copy start tftp copy tftp start copy flash start copy start flash AFNOG - 2007 - Abuja

Modes d’Exécution ou d’Accès 1. Le mode utilisateur ou User EXEC Mode (Router>) Le mode utilisateur sert uniquement à la visualisation des paramètres (pas de la configuration) et des différents statuts du routeur. Lors de la connexion initiale avec le routeur, vous arrivez dans le mode utilisateur. 2. Le mode privilégié ou Privileged EXEC mode (Router#) Le mode privilégié permet,en plus de la visualisation des paramètres, la configuration du routeur et le changement de paramètres dans la configuration.Mais aussi des tests et debugging. 3. Le mode ROM Monitor – Utile pour retrouver les mots de passe d’accès et pour le chargement de nouveaux IOS 4. Le mode Setup – retrouvé sur les routeurs n’ayant pas de configuration AFNOG - 2007 - Abuja

Source de configuration Console Accès à partir d’un PC via port série Port Aux / Auxiliary port Acces par Modem Terminaux virtuels / Virtual terminals Acces Telnet/SSH Serveur TFTP Copie de la configuration file dans RAM/NVRAM Logiciels de Gestion réseau e.g. CiscoWorks AFNOG - 2007 - Abuja

Changer la Configuration Immédiatement en entrant les commandes manuellement (Attention aux commandes car changement immédiat de la running config mais pas de la startup config) ceci en se connectant par SSH/TELENET ou Console. En éditant un fichier texte sur un serveur TFTP et en le chargeant sur le router par tftp - copy tftp start AFNOG - 2007 - Abuja

Connexion au routeur http://www.cisco.com/warp/public/701/14.html Avant de configurer son routeur il faut se connecter dessus: Connexion série par le port console (le mode par défaut exécuté la première fois que le routeur est déballé) Se fait grâce a un câble dit console fourni par CISCO avec le routeur. Le câble console a un connecteur série d’un bout et RJ45 a l’autre. NB: Paramètres pour la connexion série  9600 baud – 8 bits de données – sans parité – 1 bit stop – pas de contrôle d’erreur http://www.cisco.com/warp/public/701/14.html AFNOG - 2007 - Abuja

Connexion au routeur (2) Sous Windows: utiliser hyper terminal Il existe d’autres utilitaires comme secureCRT http://www.vandyke.com/products/securecrt/index.html Sous FREEBSD la commande tip com1 (com1 étant le port sur lequel est connecte le routeur ) Pour sortir de la console du routeur: ~. TP: Connecter vous sur vos routeurs via la console AFNOG - 2007 - Abuja

Mieux connaître son routeur La commande show version Router>show version Processeur:cisco 2611 (MPC860) processor (revision 0x202) with 26624K/6144K bytes of memory - Mémoire RAM. Ajouter les deux chiffres pour avoir la mémoire totale : RAM= 26624+6144=32768 - Interface Ethernet: 2 Ethernet/IEEE 802.3 interface(s) - Interface série: 2 Serial network interface(s) - Mémoire FLASH: 8192K bytes of processor board System flash partition - Registre de configuration: Configuration register is 0x2102 AFNOG - 2007 - Abuja

contexte de configuration Plusieurs contextes de configuration NB: Tous les contextes de configurations sont effectués en mode privilégié. global mode de fonctionnement général interface configuration des interfaces Router protocole de routage line (mode de connexion) line vty 0 4 AFNOG - 2007 - Abuja

Mode de Configuration générale Configuration générale (contexte global) router> router>enable password router# Lorsque vous désirez passer en mode configuration, vous devez taper (en mode enable) : router# configure terminal router(config)# (Vous êtes dans la racine de la configuration du routeur et vous pouvez configurer les paramètres Généraux) AFNOG - 2007 - Abuja

Mode de Configuration des interfaces Interface Ethernet ou fastethernet Pour configurez les interfaces, on passe du mode configuration générale vers la configuration de l’interface. router> enable password : router#configure terminal router(config)#interface ethernet 0 (ou fa0/0…) router(config-if)#ip address 196.200.221.124 255.255.255.224 router(config-if)#exit router(config)#exit router# AFNOG - 2007 - Abuja

Configuration des interfaces Interface série Pour configurez les interfaces, on passe du mode configuration générale vers la configuration de l’interface. router> enable password : router#configure terminal router(config)#interface serial 0 router(config-if)#ip address x.x.x.x y.y.y.y router(config-if)#exit router(config)#exit router# AFNOG - 2007 - Abuja

Configuration des interfaces Nomenclature des interfaces http://www.cisco.com/univercd/cc/td/doc/product/access/ acs_mod/cis2600/hw_inst/nm_inst/index.htm Quand vous avez plusieurs interfaces sur un routeurs: Notion de slot (emplacement): 0,1,2,3 Numéro de l’interface dans le slot: 0,1 AFNOG - 2007 - Abuja

Configuration des interfaces Interface loopback Pour faciliter les tâches de routage, de gestion du routeur on utilise l’interface virtuelle (logicielle) loopback. Ne change jamais d’état. router> enable password : router#configure terminal router(config)#interface loopback 0 router(config-if)#ip address x.x.x.x 255.255.255.255 router(config-if)#exit router(config)#exit router# AFNOG - 2007 - Abuja

Configuration des interfaces Interface null 0 Associée a /dev/null cette interface poubelle vous permet par exemple: - de désactiver un client en envoyant le block du client vers null0 de router tout ce que vous ne voulez pas accepter vers null0 De bloquer vos annonces bgp surtout si vous recevez un grand bloc dont une partie n’est pas utilisée. AFNOG - 2007 - Abuja

contexte de configuration Configuration des lignes VTY Il existe aussi différent types d’interfaces à configurer. Par exemple, la configuration des interfaces virtuelles (pour l’accès via telnet) se fait de la même manière que les interfaces. router>enable password : router#configure terminal router(config)#line vty 0 4 router(config-line)#exec-timeout 5 0 router(config-line)#exit router(config)#exit router# AFNOG - 2007 - Abuja

Configuration des protocoles de routages La configuration des protocoles de routage est réalisée de la même manière que les interfaces. router leprotocolederoutage router>enable password : router#configure terminal router(config)#router ospf 2006 router(config-router)#network 196.200… router(config-router)#exit router(config)#exit router# AFNOG - 2007 - Abuja

Dans quel contexte suis-je ? Pour savoir dans quel contexte de config on se trouve, se référer au prompt. Router> – USER prompt mode Router# – PRIVILEGED EXEC prompt mode Router(config) – terminal configuration prompt Router(config-if) – interface configuration prompt AFNOG - 2007 - Abuja

Dans quel contexte suis-je ? Router(config-route-map)# – route-map configuration prompt Router(config-router)# – routage configuration prompt Router(config-line)# – line configuration prompt rommon 1> - ROM Monitor mode AFNOG - 2007 - Abuja

Configuration de base du routeur AFNOG - 2007 - Abuja

Configuration de base du routeur Connexion par le port console router> router>enable Password (si il n’en a pas le routeur passe en mode privilège) router# Configuration router# configure terminal router(config)# NB: Pour annuler une commande faire no suivi de la commande AFNOG - 2007 - Abuja

Configuration de base du routeur Assignation d’identité router(config)# hostname tablex (x est votre numéro de table) Assignation du mot de passe de privilège: tablex(config)# enable secret afnog (MD5 encryption) NB: la commande enable password n’est plus utilisée car non sécurisée Ce mot de passe apparaît en clair dans la configuration du routeur ce qui est dangereux. Assignation d’adresse IP aux interfaces Assignation d’IP a l’interface ethernet tablex(config)# interface fa0/0 (ou ethernet 0 etc…) AFNOG - 2007 - Abuja

Configuration de base du routeur Assignation d’une adresses IP tablex(config-if)# ip address a.b.c.d w.x.y.z Démarrage de l’interface tablex(config-if)# no shutdown tablex(config-if)# ^Z Assignation d’IP au loopback tablex(config)# interface loopback 0 Etc…(voir plus haut slide 32) NB Arrêt d’une interface tablex(config-if)# shutdown AFNOG - 2007 - Abuja

Configuration de base du routeur Sauvegarde de la configuration sur le routeur tablex #copy running-config startup-config Ou Write memory Sauvegarde de la configuration sur une machine externe - Installer un serveur tftp sur la machine qui doit recevoir le configuration tablex #copy running-config tftp Address or name of remote host []? Destination filename [router-confg]? AFNOG - 2007 - Abuja

Configuration de base du routeur Routage statique Route par défaut tablex(config)# ip route 0.0.0.0 0.0.0.0 196.200.221.124 Route explicite tablex(config)# ip route 196.200.221.216 255.255.255.248 196.200.221.68 AFNOG - 2007 - Abuja

Suppression de la configuration Pour effacer la configuration du routeur tablex#erase startup-config ou tablex#write erase tablex#reload Le routeur démarre à nouveau en mode setup AFNOG - 2007 - Abuja

Les Bonnes pratiques AFNOG - 2007 - Abuja

Comment choisir son routeur Le choix d’un routeur se base aussi bien sur le matériel que l’IOS Selon le type d’activités Selon les fonctionnalités à donner aux utilisateurs Selon les projets d’extension à moyens termes AFNOG - 2007 - Abuja

Mot de passes Assignation du mot de passe de privilège: router(config)# enable secret afnog (MD5 encryption) NB: l’ancienne commande enable password n’est plus utilisée. Cryptage des mots de passe: les Mots de passe apparaissent en clair dans la configuration du routeur ce qui est dangereux router(config)# service password-encryption AFNOG - 2007 - Abuja

Désactiver les services a risques Router(config)#no ip finger Désactive l’écoute des requêtes finger d’hôtes distants Router(config)#no service udp-small-servers Router(config)#no service tcp-small-servers Désactive les serveurs TCP et UDP dont les ports sont inférieurs a 20 Router(config)#no ip bootp server Router(config)#no cdp run Si CDP est nécessaire en interne, on peut l’activer et dans ce cas on le désactive sur les interfaces externes Router(config)#cdp run Router(config)#int serial 0/0 Router(config-if)#no cdp enable AFNOG - 2007 - Abuja

Désactiver les services a risques Router(config)#no ip source-route Source route autorise un paquet à spécifier comment il doit être routé dans un réseau plutôt que passer par les routeurs désignés par le routage interne. A utiliser sauf si considérations particulières et si vous savez ce que vous faites AFNOG - 2007 - Abuja

Règles de sécurité des interfaces no ip redirects : ICMP REDIRECT autorisent la modification de la manière dont les paquets transitent dans le réseau. Via ICMP redirects un hacker peut rediriger le traffic vers un routeur de son choix et donc monitorer ou enregistrer ou faire des attaques. no ip proxy-arp: Proxy ARP est défini dans le RFC 1027 et est utilisé par le routeur pour permettre aux machines n’ayant pas de fonctionnalité de routage ou de routeur par défaut. La machine envoie un ARP sur le réseau et le routeur répond en lui envoyant son adresse mac comme adresse à utiliser . AFNOG - 2007 - Abuja

Règles de sécurité des interfaces - no ip directed-broadcast: empêcher ICMP Directed broadcast c’est empecher votre routeur de relayer un ping envoyé à l’adresse broadcast. voir attaque SMURF. AFNOG - 2007 - Abuja

Banner et Contrôle de l’accès au routeur Il est indispensable de contrôler qui accède au routeur. Plusieurs méthodes sont possibles: RADIUS; TACACS+ où les utilisateurs sont crées sur des serveurs externes. Utiliser AAA pour créer des utilisateurs locaux si pas besoin de serveurs externes. AAA = Authentication, authorization, accounting. Création de username et de password Router(config)#username f2 password afnog Message a afficher pour un utilisateur qui se trompe aaa authentication fail-message *vous n'etes probablement pas autorise a vous connecter a ce routeur* AFNOG - 2007 - Abuja

Banner et Contrôle de l’accès au routeur Router(config)#aaa new-model Router(config)#aaa authentication login default local Router(config)#line vty 0 4 Router(config-line)#login authentication default Router(config-line)#exit Router(config)#line con 0 Router(config)# AFNOG - 2007 - Abuja

Banner et Contrôle de l’accès au routeur Le banner est un message a l’endroit de l’utilisateur qui se connecte. Tous vos routeurs doivent en avoir. Un bon banner doit avoir 4 objectifs: Être suffisamment légal pour poursuivre les utilisateurs non autorisés Informer que les sessions sont monitorées et enregistrées Ne pas transporter des informations qui pourraient être utilisées par un utilisateurs malveillant Protéger les administrateurs, situer les responsabilités AFNOG - 2007 - Abuja

Banner et Contrôle de l’accès au routeur En d’autres termes on recherche d’un banner d’adresser les questions suivantes: Utilisateurs autorisés seulement Activités autorisées seulement Ne pas s’attendre à quelques droits de protection d’intimité (ce que vous faites sur ce routeur est monitoré et enregistré) Résultats peut être fournis aux autorités compétentes Dire explicitement que la personne qui se connecte se soumet aux conditions en vigueur. AFNOG - 2007 - Abuja

Banner et Contrôle de l’accès au routeur Il existe 4 manières de faire un banner chez CISCO MOTD banner - Login banner - AAA authentication Banner EXEC Banner MOTD banner: Utilisé pour annoncer l’évènement du jour par exemple une maintenance Router(config)# Router(config)# banner motd " Maintenance à 14h" Router(config)#^Z NB: en cas de plusieurs banner celui-ci apparaît le premier AFNOG - 2007 - Abuja

Banner et Contrôle de l’accès au routeur Login Banner: présenté à chaque tentative de connexion au Router. Le routeur présentera le message avant le prompt. Router(config)# Router(config)# banner login " Access for authorized users only. Votre session sera monitorée. Déconnectez vous immédiatement si vous n’etes pas autorisé. " Router(config)#^Z AAA authentication Banner: Peut être utilisé si vous utilisez de l’authentification AAA Router(config)# aaa athentication banner *Personnes autorisées seulement* AFNOG - 2007 - Abuja

Banner et Contrôle de l’accès au routeur EXEC Banner est affiché se soit correctement loggé et s’apprête à commencer à travailler. Router(config)# Router(config)# banner exec $ Rappelez vous des consignes de sécurité en vigueur dans l’entreprise et que toutes vos sessions sont enregistrées. Si vous vous êtes connectés par erreur déconnectez vous immédiatement $ Router(config)#^Z http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_command_reference_chapter09186a00800ca73f.html AFNOG - 2007 - Abuja

Description des interfaces Faire un commentaire sur les interface pour se retrouver Description de l’interface (utile pour se retrouver) router(config-if)# description vers backbone-f2 router(config-if)# description vers mon-rezo AFNOG - 2007 - Abuja

Délais de connexion Paramètres de la liaison console Router(config)# line con 0 Router(config-line)# exec-timeout 5 0 (déconnecte la console si aucune action après 5 minutes 0 secondes) Router(config-line)# ^Z Paramètres de la liaison auxilliaire Router(config)# line aux 0 AFNOG - 2007 - Abuja

Délais de connexion Paramètres des terminaux virtuels Router(config)# line vty 0 4 Router(config-line)# exec-timeout 5 0 (déconnecte la console si aucune action après 5 minutes 0 secondes) Router(config-line)# ^Z AFNOG - 2007 - Abuja

Autres Options La commande bandwidth Appliquer la commande bandwidth pour permettre au routeur de prendre des décisions de routages Router(config)#int s0/0 Router(config-if)#bandwidth 2048 Router(config-if)# Options spécifiques a IP: router(config)# ip classless (on est en classless) router(config)# ip subnet-zero AFNOG - 2007 - Abuja

Contrôlez vos logs Faire du logging c’est pouvoir recensez le maximum d’informations utiles pour plusieures raisons principalement pour faire des audits, pour identiifer des problèmes, des débuts d’attaques, en cas de connexion infructueuses etc... Les logs peuvent être déportées sur un autre serveur (SYSLOG) Router(config)#logging facility local7 Router(config)#logging 196.200.221.122 Router(config)# AFNOG - 2007 - Abuja