Table of Contents
SÉCURISER L’IOS CISCO
Tout ce que vous configurez IOS sur un commutateur ou un routeur est stocké dans un fichier de configuration qu’on appelle la « running-config ».
Ça se traduit par le fichier de configuration en cours d’exécution.
La commande « show running-config » permet d’afficher l’ensemble de la configuration qui est en cours d’exécution.
Il s’agit de la configuration qui est active pour le moment.
Dans l’exemple on peut voir l’ensemble de la configuration qu'on fait auparavant.
Si vous voulez supprimer quelque chose de la running-config, il suffit de mettre simplement un « no » devant la ligne à supprimer.
Par exemple, si on envoie la commande « no hostname Rick », l’IOS supprimera le hostname Rick et remettra celui d’origine.
La running-config est stockée dans la mémoire RAM, ce qui signifie que si vous éteignez votre appareil, votre configuration est perdue.
Pour éviter ça, il faut enregistrer la running-config sur la startup-config.
La commande « copy running-config startup-config » permet de copier le fichier qui est en cours d’exécution dans le fichier qui sera chargé au démarrage de l’équipement.
La running-config se situe dans la mémoire RAM et la startup-config est située dans la mémoire NVRAM.
À chaque fois que vous allumez votre appareil, il cherchera le fichier de la startup-config dans la mémoire NVRAM et le copiera dans le fichier de la running-config de notre RAM.
Pour supprimer le fichier de la startup-config...
...Il faut taper la commande « erase startup-config », confirmer la demande, et redémarrer le commutateur ou routeur pour que cela prenne effet avec la commande « reload »
Maintenant, revenons sur la sortie de notre commande « show running-config ».
Vous pouvez voir que l’ensemble des mots de passe sont affichés en clair…
Ce qui n’est pas très bon pour la sécurité, car toute personne ayant accès à ce fichier de configuration aura les mots de passe...
Pour corriger ça, il existe une commande qui nous permet de crypter tous les mots de passe de la configuration.
Il s’agit de la commande « service password-encryption ».
On peut observer que les mots de passe ont été cryptés, avec un "7" devant chaque mot de passe, indiquant le type de cryptage.
La commande
service password-encryptionapplique le type 7.Bien que ce cryptage améliore légèrement la sécurité, il reste faible car il peut être facilement déchiffré en ligne.
Pour renforcer la sécurité, Cisco recommande d’utiliser un hachage MD5 :
Remplacez le mot-clé
passwordparsecret.Cette commande crée un hachage MD5 du mot de passe et l’enregistre dans la running-config, offrant une protection beaucoup plus robuste.
Il peut devenir ennuyeux de parcourir l'intégralité de la configuration à chaque fois que vous voulez vérifier un seul élément.
L’IOS Cisco a quelques astuces que nous pouvons utiliser pour nous faciliter la vie :
Au lieu de simplement taper "show running-config", vous pouvez utiliser le « include » pour n’afficher que les lignes qui contiennent un certain mot.
Dans l’exemple il s’agit du mot « secret ».
Vous pouvez utiliser aussi le « | begin » pour afficher le fichier de conf qu’à partir d’un mot ou d’une série de mots.
Dans l’exemple, il nous affiche toutes les lignes qui suivent après « line con 0 ».
Dans la CLI, il y a une chose qui est assez agaçante, le fait est quand on se trompe de commande… Un message de ce type s’affiche :
Par accident, je tape la commande « show » avec 3 w…
Et cette commande n'existe pas.
L’IOS pense alors que j’ai tapé le nom d'hôte d'un périphérique et que je souhaite le joindre par Telnet.
Il effectue donc une recherche DNS, pensant que c’est un nom d’hôte, et bien sûr il n’obtiendra jamais de réponse.
Cela peut prendre plusieurs secondes et il est impossible de l’annuler…
Pour résoudre ce problème, il faut taper la commande « no ip domain-lookup ».
Elle indique au commutateur qu'il ne doit pas essayer de faire des recherches DNS.
Parfois, la CLI vous montrera des messages de notification comme celui-ci :
Même si ce genre de message peut être utile, ça reste ennuyeux quand on tape une série de commandes ou bien alors qu’on effectue de la recherche de panne sur l’équipement. Ce message s’affiche en plein milieu de votre commande, comme le montre l’exemple…
Heureusement, il y a une commande pour empêcher ceci :
La commande « logging synchronous » permet de garder la dernière ligne lisible.
Cette commande est à faire généralement sur la configuration de l’accès au port Console et sur les lignes virtuelles, pour les connexions Telnet ou SSH.
Le message s’affichera au-dessus pour ne pas déranger notre commande.
Conclusion
En conclusion, sécuriser l'IOS Cisco est une étape cruciale dans la gestion et la maintenance des réseaux informatiques. La configuration de l'IOS repose sur des fichiers tels que la running-config et la startup-config, dont la gestion et la sauvegarde sont essentielles pour éviter la perte de configurations vitales.
Le cryptage des mots de passe est un autre aspect crucial de la sécurité de l'IOS. Bien que le cryptage de type 7 soit une première mesure, il est recommandé d'utiliser le hachage MD5 pour des niveaux de sécurité plus élevés.
Par ailleurs, l'utilisation judicieuse des commandes de recherche telles que "include" et "| begin" permet de simplifier l'analyse de la configuration, en affichant uniquement les informations pertinentes.
Enfin, la gestion des messages de notification et la commande "logging synchronous" contribuent à améliorer l'expérience utilisateur lors de l'interaction avec la CLI, en minimisant les interruptions indésirables.
En mettant en œuvre ces bonnes pratiques de sécurisation et de gestion, les administrateurs réseau peuvent garantir la fiabilité, la confidentialité et l'intégrité des réseaux fonctionnant sous l'IOS Cisco. La sécurité réseau est un processus continu, et il est crucial de rester informé des dernières vulnérabilités et des meilleures pratiques en matière de sécurité pour maintenir un environnement réseau robuste et protégé contre les menaces potentielles.
Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.
Pour approfondir la sécurisation des équipements réseau, il est utile de comprendre également le fonctionnement de l’Election STP : Processus de sélection des racines, qui garantit la stabilité et la redondance des topologies réseau.
FAQs
Qu’est-ce que la running-config sur un IOS Cisco ?
La running-config est le fichier de configuration en cours d’exécution sur un commutateur ou un routeur. Il est stocké en RAM et toutes les modifications actives sont prises en compte immédiatement.
Quelle est la différence entre running-config et startup-config ?
La running-config se trouve en RAM et est temporaire, tandis que la startup-config est sauvegardée en NVRAM et chargée automatiquement au démarrage de l’appareil.
Comment sauvegarder la configuration IOS ?
Utilisez la commande :
pour enregistrer la configuration active dans la startup-config afin qu’elle soit conservée après un redémarrage.
Comment supprimer la configuration de démarrage ?
Tapez :
pour effacer la configuration et redémarrer le périphérique.
Comment sécuriser les mots de passe sur IOS ?
Activez le cryptage avec :
ou utilisez le mot-clé secret pour créer un hachage MD5 plus sécurisé des mots de passe.
Comment rechercher rapidement des informations dans la configuration IOS ?
Vous pouvez utiliser :
pour afficher uniquement les lignes contenant ou suivant un mot spécifique.
Comment désactiver la recherche DNS automatique sur IOS ?
La commande suivante empêche les recherches DNS inutiles lors de la saisie de commandes incorrectes :
Comment éviter que les messages de notification CLI interrompent les commandes ?
Activez la commande :
pour afficher les messages au-dessus de la ligne de commande sans perturber la saisie.
Pourquoi sécuriser l’IOS Cisco est-il crucial ?
La sécurisation de l’IOS protège les fichiers de configuration, les mots de passe et la confidentialité du réseau, assurant la fiabilité, la disponibilité et l’intégrité des infrastructures réseau.
