La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Configuration Sécurisée de l'IOS Cisco

Publié parMarie-Ange Rivard Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Configuration Sécurisée de l'IOS Cisco"— Transcription de la présentation:

1 Configuration Sécurisée de l'IOS Cisco
cch

2 Sommaire ● Introduction - Contenu ● Restrictions sur Cisco IOS Resilient Configuration ● Informations sur Cisco IOS Resilient Configuration - Conception de la fonctionnalité Cisco IOS Resilient Configuration ● Comment utiliser la fonctionnalité Cisco IOS Resilient Archivage d'une configuration de routeur Restauration d'une configuration archivée de routeur cch

3 Introduction La fonctionnalité Cisco IOS Resilient Configuration permet à un routeur de maintenir et de sécuriser une copie fonctionnelle de l'image en cours et de la configuration ainsi ces fichiers peuvent résister à des tentatives malveillants d'effacement du contenu du stockage permanent (Flash et NVRAM). Historique Release Modification 12.3(8)T Cette fonctionnalité a été introduite. Contenu ● Restrictions sur Cisco IOS Resilient Configuration ● Informations sur Cisco IOS Resilient Configuration ● Comment utiliser la fonctionnalité Cisco IOS Resilient Restrictions sur Cisco IOS Resilient Configuration Cette fonctionnalité est disponible uniquement sur les plateformes qui supportent un disque PCMCIA (Personal Computer Memory Card International Association) ATA (Ad- vanced Technology Attachment). Il doit y avoir assez d'espace sur le dispositif de sto- ckage pour accueillir au moins une image de l'IOS Cisco (deux pour la mise à niveau) et une copie de la configuration courante. Le support de IFS (IOS File System) est éga- lement nécessaire. ● Il est possible de forcer l'effacement de fichiers sécurisés en utilisant une ancienne version de l'IOS Cisco dont le système de fichiers ne contient pas de support pour les fichiers cachés. ● Cette fonctionnalité peut être dévalidée uniquement en utilisant une connexion con sole avec le routeur. A l'exception du scénario de mise à niveau, l'activation de la fonctionnalité ne nécessite pas un accès console. ● Vous ne pouvez pas sécuriser un "bootset" avec une image chargée depuis le réseau L'image courante doit être chargée à partir d'un stockage permanent pour être sécurisée comme primaire. ● Les fichiers sécurisés n'apparaissent pas dans la sortie de la commande dir entrée à partir d'un shell EXEC car l'IFS empêche les fichiers sécurisés présents dans un répertoire d'être listés. Le ROM Monitor ou ROMMON n'a pas ces restrictions et peut être utiliser pour lister et booter avec des fichiers sécurisés. Les archives de l'image courante et de la configuration ne seront pas visibles dans la sortie de la commande dir. Utilisez à la place la commande show secure booset pour vérifier l'existence d'une archive. cch

4 Informations sur Cisco IOS Resilient Configuration Avant d'utiliser la fonctionnalité Cisco IOS Resilient, vous devez comprendre les con- cepts suivants: ● Structure de la fonctionnalité Cisco IOS Resilient. Structure de la fonctionnalité Cisco IOS Resilient Un grand challenge des administrateurs de réseau est le temps d'arrêt total quand un routeur a été attaqué et que son logiciel d'exploitation et sa configuration ont été effacés sur leur emplacement de stockage permanent. L'administrateur doit re- trouver une archive (s'il y en a) de la configuration et une image opérationnelle pour restaurer le routeur. La récupération doit être effectuée pour chaque routeur affecté ce qui accroît le temps d'arrêt total du réseau. La fonctionnalité Cisco IOS Resilient Configuration est prévue pour accélérer le processus de récupération. Cette fonc- tionnalité maintient en permanence une copie de travail sécurisée de l'image du rou- teur et de la configuration de démarrage. Ces fichiers sécurisés ne peuvent pas être retirés par l'utilisateur. l'ensemble image et configuration courante du routeur est référencé comme "primary booset". Les facteurs suivants ont été pris en compte dans la structure de Cisco IOS Resilient Configuration. ● Le fichier de configuration dans le "primary booset" est une copie de la configura tion courante qui était dans le routeur quand la fonctionnalité a été validée ● La fonctionnalité sécurise le plus petit ensemble de fichiers de travail pour pré server de l'espace de stockage permanent. Aucun espace supplémentaire n'est re quis pour sécuriser le fichier primaire de l'image de l'IOS Cisco ● La fonctionnalité détecte automatiquement une incohérence de version image ou de configuration ● Seul le stockage local est utilisé pour sécuriser les fichiers, éliminant les problè mes d'évolutivité liés au stockage de multiples images et configurations sur des serveurs TFTP. ● Cette fonctionnalité peut être dévalidée uniquement à partir d'une session console. cch

5 Comment utiliser la fonctionnalité Cisco IOS Resilient Cette section contient les procédures suivantes: ● Archivage d'une configuration de routeur. ● Restauration d'une configuration archivée de routeur. Archivage d'une configuration de routeur Cette tâche décrit comment sauvegarder un booset primaire pour sécuriser une ar- chive sur un stockage permanent. Résumé des étapes enable 2. configure terminal 3. secure boot-image 4. secure boot-config 5. end 6. show secure bootset Etapes détaillées Commande ou Action But enable Exemple: Router> enable Valide le mode EXEC privilégié ● Entrez un mot de passe sur demande configure terminal Router# configure terminal Entre en mode de configuration global. secure boot-image Router(config)# secure boot-image Valide la sécurisation de l'image de l'IOS Cisco. secure boot-config Router(config)# secure boot-config Stocke une copie sécurisée du booset primaire sur un stockage permanent. end Router(config)# end Sortie du mode privilégié. show secure bootset Router# show secure bootset (Optionnel) Affiche l'état de la configuration sécurisée et le nom du fichier bootset primaire. cch

6 Etapes détaillées cch Exemples:
Cette section fournit les exemples de sortie suivants: ● Exemple de sortie pour la commande show secure booset Router# show secure bootset IOS resilience router id JMX0704L5GH IOS image resilience version 12.3 activated at 08:16:51 UTC Sun Jun Secure archive slot0:c3745-js2-mz type is image (elf) [] file size is bytes, run size is bytes Runnable image, entry point 0x , run from ram IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16 2002 Secure archive slot0:.runcfg ar type is config configuration archive size 1059 bytes Restauration d'une configuration archivée de routeur Cette tâche décrit comment restaurer un booset primaire à partir d'une archive sécu- risée après un effacement malencontreux sur le routeur (par un effacement NVRAM ou un formatage disque). Note: Pour restaurer un booset primaire archivé, la sécurisation de l'image IOS Cisco doit avoir été écrite avec un booset primaire archivé sur un stockage permanent. Résumé des étapes reload 2. dir [filesystem:] 3. boot [partition-number:][filename] 4. no 5. enable 6. configure terminal 7. secure boot-config [restore filename] 8. end 9. copy filename running-config Etapes détaillées Commande ou Action But reload Exemple: Router# reload (Optionnel) Entre en mode ROM monitor si nécessaire. dir [ filesystem:] rommon 1 > dir slot0: Liste le contenu du dispositif qui contient le fichier bootset sécurisé. cch

7 cch Commande ou Action But boot [ partition-number:][ filename]
Exemple: rommon 2 > boot slot0:c3745-js2-mz Démarre le routeur en utilisant l'image booset sécurisée. no --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: no (Optionnel) Décline l'entrée en session de configuration interactive pour le mode setup. • Si la NVRAM a été effacée, le routeur entre en mode setup et demande à l'utilisateur d'initier une session de configuration interactive. enable Router> enable Valide le mode EXEC privilégié ● Entrez un mot de passe sur demande configure terminal Router# configure terminal Entre en mode de configuration global. secure boot-config [restore filename] Router(config)# secure boot-config restore slot0:rescue-cfg Restaure la configuration sécurisée vers le fichier indi- qué. end Router(config)# end Sortie du mode privilégié. copy filename running-config Router# copy slot0:rescue-cfg running-config Copie la configuration restaurée vers la configuration courante. cch

Télécharger ppt "Configuration Sécurisée de l'IOS Cisco"

Présentations similaires

13 - Plate-forme logicielle Cisco IOS

13 - Plate-forme logicielle Cisco IOS
Formation Cisco Partie 2 – IOS.

Formation Cisco Partie 2 – IOS.
1 Perte du Mot de passe Enable. AFNOG 2 Perte du mot du mot de passe enable Comment se connecter au routeur en cas de perte du mot de passe enable et.

1 Perte du Mot de passe Enable. AFNOG 2 Perte du mot du mot de passe enable Comment se connecter au routeur en cas de perte du mot de passe enable et.
Module 13 : Implémentation de la protection contre les sinistres.

Module 13 : Implémentation de la protection contre les sinistres.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Perte du Mot de passe Enable

Perte du Mot de passe Enable
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
Catalyst 500E - Réinitialisation avec les Paramètres usine

Catalyst 500E - Réinitialisation avec les Paramètres usine
Cisco IOS - Utilisation du Système

Cisco IOS - Utilisation du Système
show ip dhcp server statistics

show ip dhcp server statistics
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Catalyst 500E - Mise à niveau de l'image logicielle

Catalyst 500E - Mise à niveau de l'image logicielle
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Configuration - Diagnostics en ligne

Configuration - Diagnostics en ligne
Sécurité - VPN - Configurer la mise à jour du client

Sécurité - VPN - Configurer la mise à jour du client

Présentations similaires

Annonces Google