Cisco

Router

NE JAMAIS CONFIGURER DE PASSWORD EN TYPE 7 c’est un trou noir en terme de sécurité

Configurer un mot de passe avec :

username "name" secret "password"

Bloquer le nom de try sur une connexion

aaa local authentication attempts max-fail <max-attempts>
aaa authentication login default local

Désactiver les services inutiles :

no ip finger
no ip bootp server
no service dhcp
no mop enable 
no ip domain-lookup
no service pad
no ip http server
no cdp enable
no lldp transmit
no lldp receive
 

Configurer l’interface de management sur une loopback (SSH/SNMP/

interface loopback0

Réserver un minimum de mémoire vive pour un accès console

memory reserve console 4096

Utiliser des ACL pour se connecter

permit tcp host <trusted-ebgp-peer> host <local-ebgp-address> eq 179
permit tcp host <trusted-ebgp-peer> eq 179 host <local-ebgp-address>
permit tcp host <trusted-management-stations> any eq 22
permit udp host <trusted-netmgmt-servers> any eq 161

permit icmp host <trusted-management-stations> any echo
permit icmp host <trusted-netmgmt-servers> any echo

Utiliser SSH

crypto key generate rsa modulus 2048
!
ip ssh time-out 60
ip ssh authentication-retries 3
ssh source-interface GigabitEthernet 0/1
!
ip ssh version 2
line vty 0 4
transport input ssh
!

Proteger BGP

router bgp <asn>
neighbor <ip-address> remote-as <remote-asn>
neighbor <ip-address> ttl-security hops <hop-count>
!

Le ttl permet de pas exemple fixer le peer au jump suivant

Mettre un password entre neighbor

neighbor <ip-address> password <secret>

Configurer un préfix maximum sur bgp

neighbor <ip-address> maximum-prefix <shutdown-threshold> <log-percent>

Filtrer par des ACL BGP

ip prefix-list BGP-PL-INBOUND seq 5 permit 0.0.0.0/0
ip prefix-list BGP-PL-OUTBOUND seq 5 permit 192.168.2.0/24
!
router bgp <asn>
neighbor <ip-address> prefix-list BGP-PL-INBOUND in
neighbor <ip-address> prefix-list BGP-PL-OUTBOUND out

Configurer des interfaces passives

passive-interface default
no passive-interface <interface>

Permet d’éviter les paquets eigrp/ospf vers des interfaces de switch qui n’en ont pas besoin

Configurer un prefix-list sur les area ospf

!
ip prefix-list <list-name> seq 10 permit <prefix> 
!
router ospf <process-id>
area <area-id> filter-list prefix <list-name> in

Sécuriser HSRP (redundacy)

interface FastEthernet 2
description *** HSRP Authentication ***
standby 1 authentication md5 key-string <hsrp-secret>
standby 1 ip 10.2.2.1
!

Disable IP source Routing

no ip source-route

Disable la redirection des ping (icmp peut permet d’avoir le meilleur path pour une destination il est donc possible de changer le routage de paquet en l’influençant)

no ip redirects

Désactiver le proxy ARP

no proxy arp

FIXME /!\ ci dessous à mettre en partie sécurité sur les switch

Configurer port security

Permet d’éviter de spoofer des mac

interface <interface> 
 switchport
 switchport mode access 
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security maximum <number>
 switchport port-security violation <violation-mode>

Configurer l’inspection dynamique en ARP

FYI : si le mode access sur un switchport n’est pas présent il est possible de faire des sauts de Vlan

Cisco VPC

a venir

Cisco PVLAN

CiOS

Ajout Vlan Acess port

conf t
  interface Gi0/25
  description <String>
  switchport mode access
  switchport access vlan <ID>

Ajout Vlan trunk port

conf
  interface Gi0/35
  description <String>
  switchport
  switchport mode trunk
  switchport trunk allowed vlan <ID>,<ID2>

NX-OS

Suppression vlan

No interface Vlan 20

Conf MTU

conf t int Gi0/12 mtu 9216

show cdp neighbors show lldp neighbors

Ajout vlan VPC

Ajout VLAN Client sans routing sur Nx-OS

SW 1

conf t 
Vlan 1000
  name K
  
conf t 
interface Po1
switchport  trunk allowed vlan add 2000

conf t 
interface Po2
switchport  trunk allowed vlan add 2000

conf t
spanning-tree vlan 2000 priority 4096

Nexus 2

conf t 
Vlan 2000
  name K

conf t 
interface Po1
switchport  trunk allowed vlan add 2000

conf t 
interface Po2
switchport  trunk allowed vlan add 2000

conf t
spanning-tree vlan 2000 priority 8192

vérification

sh spanning-tree
sh vlan
sh vpc brief
sh vpc consistency-parameters vpc (vpc-ID)