Bien configurer et sécuriser un switch Cisco 2924XL
Par Yoann, mercredi 3 janvier 2007 à 14:41 :: L1nuX and c0 :: #62 :: rss
Pour un besoin assez spécifique je me retrouve avoir besoin de mettre un switch Cisco 2924XL en frontal sur internet, et non plus derrière mon FireWall.
Un poil parano. (sans tomber dans l'exces non plus) j'ai cherché à sécuriser un minimum la configuration de ce switch.
Il y a certainement moyen de faire bien mieux, et vos commentaires seront là pour améliorer ce billet 
Sécuriser les mots de passe
Depuis le mode 'enable' passer en mode 'configuration' :
sw-net1#conf term Enter configuration commands, one per line. End with CNTL/Z.
Indiquer que les mots de passe doivent être crypté
service password-encryption
Changer les mots de passe
Mot de passe d'accès console
Depuis le mode 'enable' passer en mode 'configuration' :
sw-net1#conf term Enter configuration commands, one per line. End with CNTL/Z.
Indiquer l'interface sur laquel nous souhaitons travailler (ici la console) :
line console 0
Indiquer le mot de passe souhaité :
password MotDePasse
Indiquer qu'il y a authentification sur cette interface :
login
(Pour désactiver l'authentification : no login)
Mot de passe d'accès telnet
Depuis le mode 'enable' passer en mode 'configuration' :
sw-net1#conf term Enter configuration commands, one per line. End with CNTL/Z.
Indiquer l'interface sur laquel nous souhaitons travailler (ici la console) :
line vty 0 4
Indiquer le mot de passe souhaité :
password MotDePasse
Indiquer qu'il y a authentification sur cette interface :
login
Mot de passe enable
Depuis le mode 'enable' passer en mode 'configuration' :
sw-net1#conf term Enter configuration commands, one per line. End with CNTL/Z.
Indiquer le mot de passe souhaité :
enable secret MotDePasse
Mettre en place des ACL pour l'accès telnet
Le bute est de n'authorisé que certaines IP a ce connecter via telnet au switch.
Créer une access-list pour les machines authorisé a faire du telnet
access-list 23 permit 10.1.10.0 0.0.0.255 access-list 23 permit 10.1.20.23 access-list 23 deny any log
Depuis le mode 'enable' passer en mode 'configuration' :
sw-net1#conf term Enter configuration commands, one per line. End with CNTL/Z.
Indiquer l'interface sur laquel nous souhaitons travailler (ici la console) :
line vty 0 4
On indiquer maintenant le numero d'ACL a utiliser (on spécifie ici que l'ACL n'est utilisé que pour les requetes entrantes)
access-class 23 in
Mettre en place des ACL pour SNMP
Depuis le mode 'enable' passer en mode 'configuration' :
sw-net1#conf term Enter configuration commands, one per line. End with CNTL/Z.
Créer une access-list pour les machines authorisé a faire du snmp
access-list 61 permit 10.1.20.23 access-list 61 deny any log
Indiquer à snmp de tenir compte des ACL.
snmp-server community public RO 61
Fermer les ports non utilisés
Depuis le mode 'enable' passer en mode 'configuration' :
sw-net1#conf term Enter configuration commands, one per line. End with CNTL/Z.
Indiquer l'interface sur laquel nous souhaitons travailler :
sw-net1(config)#interface FastEthernet0/3
Et indiquer que l'interface est désactivée :
sw-net1(config-if)#shutdown
Ressources
ACL : http://www.labo-cisco.com/cours_cna_2.asp?ART=30&MOD=3
Commentaires
1. Le mardi 6 février 2007 à 23:12, par kemar
2. Le vendredi 13 avril 2007 à 11:32, par kemar
3. Le jeudi 19 juin 2008 à 15:56, par 98
Ajouter un commentaire