VIDEO
HIGHLIGHT
Log InSign up
12 - CCNA 01 - Chapitre 02 - Sécuriser les accès console et Telnet
SummaryTranscriptChat

12 - CCNA 01 - Chapitre 02 - Sécuriser les accès console et Telnet

Configuration de Base d'un Équipement Cisco Switch

Introduction à la Sécurisation des Équipements

  • Bienvenue dans la dernière partie de la configuration de base d'un switch Cisco, où nous allons revoir les étapes essentielles pour sécuriser l'équipement.
  • Rappel des configurations précédentes : mot de passe d'accès avec enable secret et attribution d'un nom à l'équipement via hostname.

Importance de la Sécurisation Complète

  • La sécurité ne se limite pas au mode privilégié ; il est crucial de sécuriser également l'accès utilisateur à l'équipement.
  • Le mode utilisateur permet certaines actions comme le ping ou traceroute, ce qui peut être exploité par un attaquant.

Stratégies pour Renforcer la Sécurité

  • Toute information récupérée par un hacker est précieuse. Il est donc essentiel de restreindre l'accès dès que possible.
  • Pour sécuriser l'accès physique, il faut exiger un mot de passe pour toute connexion via la ligne console.

Mise en Place d'une Bannière Avertissant les Utilisateurs

  • Avant d'accéder à l'équipement, une bannière doit être affichée pour informer les utilisateurs qu'ils accèdent à un équipement protégé.
  • Cette bannière sert aussi à établir une responsabilité juridique en cas d'utilisation non autorisée.

Configuration Pratique et Commandes

  • La bannière doit mentionner que tout accès sera surveillé et que des poursuites judiciaires peuvent suivre en cas d'intrusion.
  • Un message clair dans la bannière aide à prouver qu'il s'agit bien du matériel de l'entreprise, évitant ainsi des malentendus juridiques.

Finalisation de la Configuration

  • La commande pour insérer une bannière est banner motd, suivie des caractères choisis pour délimiter le message.
  • Une fois configurée, il est important que cette bannière soit validée par le service juridique avant son utilisation officielle.

Accès Contrôlé aux Lignes Console

  • Après avoir inséré la bannière, on configure maintenant les lignes d'accès spécifiques, notamment celle de la console.

Configuration de l'accès à un équipement réseau

Introduction à la configuration des ports

  • Un seul port et un seul câble sont nécessaires pour une seule personne, ce qui simplifie l'accès.
  • Accès au mode privilégié via le mot de passe d'utilisateur, suivi du passage en mode de configuration globale.

Modes de configuration

  • Introduction au premier sous-mode de configuration où un mot de passe doit être ajouté pour sécuriser l'accès.
  • Utilisation d'un mot de passe simple pour authentifier l'accès, avec mention d'une méthode plus avancée à explorer ultérieurement.

Méthodes d'authentification

  • Présentation des différentes méthodes d'authentification disponibles, mais choix d'une méthode simple demandant uniquement un mot de passe.
  • Importance d'insérer les commandes login et password correctement pour éviter les blocages dans la configuration.

Sauvegarde et vérification des configurations

  • Sortie du mode de configuration avec la commande exit, suivie par la sauvegarde des configurations via copy running-config startup-config.
  • Vérification que les configurations sont bien enregistrées avant toute déconnexion ou redémarrage.

Sécurisation des mots de passe

  • Rappel sur le changement régulier des mots de passe pour maintenir la sécurité.
  • Consultation du fichier running-config pour vérifier les mots de passe configurés et leur sécurité.

Chiffrement des mots de passe

  • Discussion sur l'utilisation du chiffrement pour protéger les mots de passe dans la configuration.
  • Limitation concernant le type 6 (secret), qui n'est pas applicable ici ; nécessité d'utiliser une autre méthode comme le service password encryption.

Résolution des erreurs courantes

  • Importance d'apprendre à résoudre les erreurs lors de l'insertion des commandes dans le bon ordre.

Accès à distance aux équipements réseau

Introduction à la configuration des switches

  • Lors de la configuration d'un switch, il est essentiel de se rappeler que si le switch est déjà en production, l'accès direct avec un câble console peut ne pas être possible.
  • L'administrateur doit souvent travailler à distance, ce qui rend l'utilisation d'un PC portable pour accéder au switch moins pratique.

Défis de gestion des équipements distants

  • Dans une entreprise avec plusieurs agences ou magasins, il n'est pas viable d'avoir un administrateur sur place dans chaque lieu.
  • Il est nécessaire de penser à des solutions plus avancées pour accéder aux équipements sans dépendre uniquement du câble console.

Solutions d'accès distant

  • Le trafic peut être acheminé via le réseau local, permettant ainsi un accès à distance depuis n'importe quel emplacement (Paris, Lyon, Marseille).
  • Cet accès s'appelle "accès virtuel" et nécessite une configuration préalable du réseau.

Configuration de l'accès distant

  • Pour configurer l'accès distant, on utilise les commandes similaires à celles utilisées pour les câbles console.
  • Il faut définir combien de personnes peuvent accéder simultanément à l'équipement; par défaut, cela permet 16 connexions.

Gestion des connexions simultanées

  • En configurant line vty, on peut spécifier le nombre maximum d'utilisateurs pouvant se connecter. Par exemple, line vty 0 4 permet cinq connexions.
  • Ouvrir trop de lignes peut créer des problèmes de sécurité; il est donc crucial de limiter les accès selon les besoins réels.

Importance du mot de passe et configurations supplémentaires

  • L'accès distant nécessite également la configuration d'un mot de passe (line password) et d'un login approprié pour sécuriser l'équipement.
  • La commande end permet de revenir rapidement au mode privilégié après avoir effectué des configurations.

Conditions préalables pour l'accès distant

  • L'accès distant ne fonctionnera pas sans avoir configuré correctement le mot de passe enable.

Configuration d'un réseau avec un switch

Connexion des câbles

  • Pour établir une connexion, il est nécessaire d'utiliser un câble approprié, ici un câble droit, qui sera branché dans le port Ethernet de la machine.
  • Le câble est tiré jusqu'au switch et connecté à l'un des ports disponibles. Le port reste orange pendant 30 secondes avant de devenir vert.

Configuration de l'adresse IP

  • Après avoir connecté le switch, il faut configurer l'adresse IP sur le PC ainsi que sur le switch. La configuration se fait via le panneau de configuration du système d'exploitation.
  • L'utilisateur accède au centre de réseau et partage pour voir les informations du réseau connecté. Il peut alors modifier les paramètres IPv4 ou IPv6.

Paramètres DNS et passerelle

  • L'option automatique pour obtenir une adresse IP est souvent utilisée, car elle permet à la box (routeur) de fournir les informations nécessaires sans intervention manuelle.
  • La passerelle par défaut correspond généralement à l'adresse du routeur. Il n'est pas nécessaire d'expliquer son fonctionnement en détail à ce stade.

Vérification des caractéristiques du réseau

  • Pour vérifier les caractéristiques détaillées du réseau, il suffit de cliquer sur "détails" dans les paramètres réseau afin d'obtenir toutes les informations pertinentes.

Simulation avec Packet Tracer

  • Dans Packet Tracer, on simule la configuration effectuée sur un vrai PC. Ce logiciel permet également de configurer une adresse IP directement sur l'interface virtuelle.
  • Les adresses IP sont composées de quatre octets séparés par des points. Une explication plus approfondie sera donnée ultérieurement concernant leur structure et leur signification.

Configuration d'une Interface Virtuelle sur un Switch

Introduction à l'Interface Virtuelle

  • L'intervenant souligne la difficulté de mémoriser toutes les informations nécessaires pour configurer un réseau, suggérant qu'il est plus efficace de travailler avec des interfaces virtuelles.
  • Il explique que ces interfaces virtuelles ne correspondent pas aux ports physiques réels du switch, mais regroupent plusieurs ports sous une seule interface.

Fonctionnement des Ports et Interfaces

  • Chaque port physique du switch peut être connecté à une interface virtuelle, permettant ainsi une gestion simplifiée des connexions.
  • L'importance de comprendre que ces ports sont virtuels et non matériels est soulignée; ils n'existent pas physiquement dans le matériel.

Configuration de l'Interface Virtuelle

  • Le port virtuel mentionné s'appelle "VLAN 1", qui regroupe tous les ports par défaut. La possibilité de changer ce paramètre existe, mais cela ne sera pas abordé dans ce chapitre.
  • L'intervenant passe à la configuration du switch en utilisant le terminal pour attribuer une adresse IP à l'interface VLAN 1.

Modes de Configuration

  • Un nouveau mode de configuration est introduit : le mode "configuration d'interface". Cela permet d'accéder directement aux paramètres spécifiques d'une interface.
  • Il est essentiel d'activer l'interface après sa configuration; deux lignes indiquent si l'interface est activée physiquement et logiquement.

Attribution d'une Adresse IP

  • Pour configurer une adresse IP, il faut utiliser la commande ip address suivie de l'adresse et du masque appropriés (ex: 192.168.1.3/255.255.255.0).
  • Une fois configurée, il est crucial de sauvegarder les modifications avec copy running-config startup-config.

Test de Connectivité

  • Après avoir configuré l'adresse IP, il est recommandé de tester la connectivité via le terminal en utilisant la commande ping.
  • L'intervenant montre comment accéder au terminal sur un PC réel pour effectuer cette opération, en insérant la commande CMD dans la barre de recherche.

Exécution du Ping

  • En exécutant un ping vers l'adresse IP configurée (192.168.1.2), on teste si le switch répond correctement aux requêtes.
  • Il note que souvent, la première requête peut être perdue pour des raisons techniques, mais les réponses suivantes devraient confirmer la connectivité réussie.

Accès à distance et gestion des équipements réseau

Configuration et tests de connexion

  • L'accès à distance a été testé avec succès, permettant de vérifier la connectivité entre la machine et le switch. Quatre connexions ont été envoyées, dont trois ont réussi, une étant perdue.
  • Le câble console n'est plus nécessaire pour l'accès, ce qui facilite la gestion des équipements situés à distance (par exemple, au 15ème étage alors que le switch est au rez-de-chaussée).

Gestion des problèmes à distance

  • En cas de problème signalé dans un autre étage, il est possible d'ouvrir un logiciel pour diagnostiquer les soucis sans être physiquement présent près du switch.
  • Utilisation du protocole Telnet pour accéder aux équipements à distance. Ce protocole permet d'établir une connexion via l'adresse IP spécifiée (ex: 192.168.1.1).

Connexion et authentification

  • Une fois connecté via Telnet, l'utilisateur accède à une interface noire où il peut interagir avec l'équipement réseau.
  • Après avoir entré le mot de passe requis pour Telnet et le mot de passe "enabled", l'utilisateur se connecte avec succès à l'équipement distant.

Commandes disponibles en mode distant

  • L'utilisateur peut afficher la configuration en cours ("running config") ou démarrer/arrêter des interfaces spécifiques sur l'équipement.
  • Il est important d'être prudent lors de la désactivation d'une interface afin d'éviter toute perte de connexion accidentelle.

Redémarrage et vérification de la connexion

  • Lorsqu'un équipement est redémarré, il y a un risque temporaire de perte de connexion jusqu'à ce qu'il soit opérationnel à nouveau.
  • Un ping est utilisé pour vérifier si l'équipement a redémarré correctement; si le ping réussit, cela confirme que l'équipement est accessible à nouveau.
Video description

Nous terminerons le chapitre et la partie sécurité par définir les règles de bonnes pratiques pour avoir des accès sécurisés aux Swiches CISCO en local et à distance Twitter : https://twitter.com/easi_fr