Routeur CISCO

La sécurité du système d'information fait partie intégrante des actions quotidiennes d'une équipe informatique. Les équipements CISCO constituant les points d'entrées du réseau: sécurisation et audit sont donc obligatoires sur les routeurs et switchs Catalyst.

Je pratique depuis plusieurs années les switchs CISCO. Le réseau déployé dans l'entreprise s'appuie sur un Catalyst 4506 épaulé par plusieurs Catalyst 3750 et 2960.

Sécurité réseau CISCO

La sécurisation des équipements réseaux n'est pas simple sur les gros switchs, les routeurs, ...

Il existe un script simple : CCSAT (Cisco Configuration Security Auditing Tool), qui réalise un audit des configurations des commutateurs réseaux, des routeurs, il produit un rapport qui indique les lacunes, les failles de sécurité dans la configuration et comment y remédier.

Le rapport d'audit généré, bien qu'un peu brute donne de précieuses informations (rapport épuré) :

Total number of audited devices = 1
Total number of interfaces = 236
Total number of shutdown interfaces = 1
Total number of open interfaces = 235
Total number of lines (con/vty/aux) = 3
Total number of console lines = 1
Total number of terminal lines = 2
Total number of auxiliary lines = 0
Total number of access lists = 43
Total number of snmp ro/rw rules = 1 (ro=1 + rw=0)
I. General Configuration

...

banner not configured on...
0 of 1 devices


II. Passwords and Authentication


'service password-encryption' not configured on...
0 of 1 devices

'enable secret' not configured on...
0 of 1 devices

...

SNMP community default strings still configured on...
0 (ro) and 0 (rw) of 1 devices

...

user privilege not configured on...
0 of 1 devices


III. Network Services

...

IV. IP Routing and Security

...

V. Access Control and ACLs

...

VI. Logging


'service timestamps log...' not configured on...
0 of 1 devices

...

Un outil simple, efficace, qui limitera les trous de sécurité, les oublis !

Cisco propose sur son site un très bon document : Cisco Guide to Harden Cisco IOS Devices