**** ****

INFORMATIQUE ET TELECOMMUNICATIONS

CONFIGURATION DE LA SECURITE SUR UN ROUTEUR CISCO
2800 SERIE : CAS DU LABORATOIRE INFORMATIQUE DE
L'INSTITUT SUPERIEUR DU SAHEL

Mémoire présenté et soutenu en vue de l'obtention du Diplôme

D'INGENIEUR DES TRAVAUX

en

SECURITE ET ADMINISTRATION RESEAUX

Par

TCHEUTOU Hervé Michel (Matricule 13Z760S)

Sous la Direction de
M. TERDAM Valentin
Assistant

Devant le jury composé de :

Président : Dr NGALE HAULIN Emmanuel

Rapporteur : M. TERDAM Valentin

Examinateur : Prof. Dr-Ing Habil KOLYANG DINA TAÏWE

Année Académique 2013 / 2014

Configuration de la sécurité des routeurs Cisco

Dédicace

A la famille TCHEUTOU

.

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

Remerciements

Ce mémoire est le fruit du travail de plusieurs intervenants qui ont su montrer leur intérêt et leur dévouement. Par ce mémoire, nos sincères remerciements vont à l'endroit de :

? Nos membres du jury à l'instar du président de jury, Dr NGALE HAULIN Emmanuel, l'examinateur, Prof. Dr-Ing Habil KOLYANG DINA TAÏWE, et notre encadreur, M. TERDAM Valentin, pour l'attention et l'intérêt qu'ils ont accordés à ce travail.

? Tous nos enseignants qui par leurs enseignements riches et variés ont participé à notre formation à l'Institut Supérieur du Sahel.

? Tout le corps administratif de l'Université de Maroua.

? M. TERDAM Valentin, pour les grandes orientations pratiques et académiques et surtout pour sa disponibilité incommensurable, ses pertinentes critiques, son énergie débordante pour un travail de qualité.

Que tous ceux qui nous ont soutenus de près ou de loin, par leurs apports multiformes, trouvent ici l'expression de nos reconnaissances et de nos sincères gratitudes.

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

Table des matières

Dédicace i

Remerciements ii

Table des matières iii

Résumé vi

Abstract vii

Liste des tableaux viii

Liste des figures et illustrations ix

Liste des sigles et abréviations x

INTRODUCTION GENERALE 1

CHAPITRE 1 : CONTEXTE ET PROBLEMATIQUE 2

INTRODUCTION 2

I.1. Présentation de l'environnement du stage 2

I.2. Contexte et problématique 4

I.3. Méthodologie 4

I.4. Objectifs 5

CONCLUSION 5

CHAPITRE 2 : GENERALITES SUR LES ROUTEURS CISCO 6

INTRODUCTION 6

II.1. Equipements d'interconnexion 6

II.2. Les routeurs Cisco 6

II.3. Architecture des routeurs Cisco 2800 série 7

II.3.1. Vue externe des routeurs Cisco 2800 série 7

II.3.2. Vue interne des routeurs Cisco 2800 série 7

II.3.3. Séquence de démarrage des routeurs Cisco 8

II.4. Méthodes et modes d'accès au routeur Cisco 2800 8

II.4.1. Méthodes d'accès 8

II.4.2. Les modes d'accès 10

II.5. Les protocoles de routage 10

II.5.1. Le routage à vecteur de distance 13

II.5.2. Le routage à état de lien 13

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

II.5.3. Etude comparative des protocoles de routages à vecteur de distance (RIP 2) et

les protocoles à état de lien (OSPF). 14

II.5.4. Analyse du protocole à vecteur de distance évolutif EIGRP 14

II.6. Vulnérabilité des routeurs Cisco 16

II.6.1. Faiblesses des protocoles 16

II.6.2. Faiblesses dans la stratégie de sécurité 17

II.7. Quelques mécanismes d'attaques des routeurs Cisco 18

CONCLUSION 18

CHAPITRE 3 : ANALYSE, CHOIX ET IMPLEMENTATION DE LA SOLUTION 19

INTRODUCTION 19

III.1. Cahier de charge 19

III.1.1. Présentation du projet 19

III.1.2. Fonctions de sécurité du routeur Cisco 2800 séries 20

III.1.3. Enumération des besoins 20

III.1.4. Politique de sécurité et de complexité des mots de passe 21

III.2. Implémentation et choix de la solution 23

III.2.1. Sécurité physique 23

III.2.2. Sécurisation des accès administratifs et lignes VTY du routeur Cisco 2800 23

III.2.3. Sécurisation des accès administratifs à distance du routeur Cisco 2800 série. 25

III.2.4. Interconnexion sécurisée des sites distants avec un tunnel VPN 26

III.3. Sécurisation des protocoles de routage 27

III.4. Gestion des accès internet et surcharge NAT (Network Address Translation) 28

III.5. Prévention contre les attaques et filtrage du trafic réseau 29

III.5.1. Prévention contre les attaques 29

III.5.2. Filtrage du trafic réseau 30

III.6. Journalisation de l'activité du routeur 31

III.7. Présentation des outils 31

III.7.1. GNS3 31

III.7.2. Packet Tracer 31

CONCLUSION 31

CHAPITRE 4 : RESULTATS ET COMMENTAIRES 32

INTRODUCTION 32

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

IV.1. Sécurisation des accès administratifs 32

IV.2. Vulnérabilité des mots de passe et sécurisation 33

IV.2.1. Vulnérabilité des mots de passe de niveau 0 et chiffrement de niveau 7 33

IV.2.2. Vulnérabilité des mots de passe de niveau 7 et chiffrement de niveau 5 33

IV.3. Vulnérabilité Telnet et solution SSH 34

IV.4. Authentification RADIUS avec le Telnet 35

IV.5. Vulnérabilité HTTP et solution HTTPS 35

IV.6. Test de vulnérabilité des algorithmes de routage 36

IV.6.1. Attaque sur le routage EIGRP 36

IV.6.2. Attaque sur le routage RIP V2 avec authentification MD5 37

IV.7. Résultat des listes de contrôle d'accès 37

IV.8. Résultat du verrouillage automatique du routeur Cisco 38

CONCLUSION 38

CONCLUSION ET PERSPECTIVES 39

BIBLIOGRAPHIE 40

ANNEXES

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

Résumé

La sécurité des routeurs est un élément crucial dans tout déploiement de sécurisation car ils sont des portes d'entrée et sortie de l'infrastructure réseau. Les routeurs Cisco, malgré leur robustesse en sécurité sont des cibles définies pour les assaillants du réseau. La sécurisation des routeurs Cisco dans un réseau parait être son épine dorsale d'où la nécessité d'empêcher sa vulnérabilité par une synopsie de ses fonctions de sécurité, en particulier celles du routeur Cisco 2800.

Compte tenu de la perte de configuration de notre routeur Cisco 2811 due à une panne physique, notre première tâche a été la création d'une session dans la mémoire flash du routeur, puis nous y avons installé un IOS (Internet Work Operating System) compatible au chiffrement RSA (Rivest Shamir Adleman), à la signature MD5 (Message Digest 5) et à l'authentification AAA (Authentication, Authorization and Accounting). Grâce au chiffrement RSA, nous avons sécurisé l'accès administratif à distance par un tunnel SSH (Secure Shell) et l'authentification AAA nous a permis d'élever le niveau de sécurité des accès Telnet par une authentification locale ou par le biais d'un serveur RADIUS (Remote Authentication Dial-In User Service) dans le cas de la gestion centralisée des accès de plusieurs routeurs. Moyennant le protocole IPsec (Internet Protocol Security), nous avons implémenté les tunnels VPN (Virtual Private Network) entre les sites distants afin de sécuriser leur interconnexion. Une catégorie d'attaques plus subtile vise les informations du protocole de routage, cela dit, nous avons opté pour l'authentification MD5 sur le protocole EIGRP (Enhanced Interior Gateway Routing Protocol) afin d'assurer la confidentialité et l'intégrité des informations de routage. Disposant d'une seule adresse publique, nous avons opté pour la surcharge NAT afin d'assurer la confidentialité de la visibilité du réseau local. Nous avons élaboré une approche préventive par l'établissement des listes de contrôle d'accès, la désactivation des services vulnérables aux attaques et la configuration des préventions aux dénis de service, au smurf et à l'empoisonnement du cache ARP, au redémarrage forcé du routeur ...

Mots clés: Routeur Cisco, Administration, Sécurité, Vulnérabilité.

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

Abstract

The security of routers is a crucial element in any security deployment because they are the gates of entry and exit of the network infrastructure. Cisco routers, despite their secure robustness are targets defined for network attackers. Securing Cisco routers in a network seems to be its backbone, hence the need to prevent its vulnerability through synopsis its security functions, especially those of the Cisco 2800 router.

Given the loss of configuration of our Cisco 2811 router due to a physical failure, our first task was to create a session in the flash memory of the router, then we will have installed an IOS (Internetwork Operating System) compatible encryption RSA (Rivest Shamir Adleman) in the MD5 (Message Digest 5) and AAA authentication (authentication, Authorization and Accounting). With RSA encryption, we secure remote administrative access through a SSH tunnel (Secure Shell) and AAA authentication enabled us to raise the level of security for Telnet access through a local authentication or via 'a RADIUS server (RADIUS) in the case of centralized management of multiple access routers. Through IPsec (Internet Protocol Security) protocol, we have implemented VPN tunnels (Virtual Private Network) between remote sites to secure their interconnection. A class of attacks is more subtle details of the routing protocol, which said, we opted for the MD5 authentication on EIGRP (Enhanced Interior Gateway Routing Protocol) to ensure the confidentiality and integrity of information routing. With a single public address, we opted for NAT overload to ensure the confidentiality of the visibility of the local network. We have developed a preventive approach by setting access control lists, disabling vulnerable services attacks and configuration of prejudice to denial of service, the smurf and poisoning the ARP cache, forced restart router...

Tags: Cisco Router, Administration, Security, Vulnerability.

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

Liste des tableaux

Tableau 2.1: Distance administrative [10] 11

Tableau 2. 2: Comparaison EIGRP et les protocoles à vecteur de distance 15

Tableau 3. 1:Management plan [12] 21

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

Liste des figures et illustrations

Figure 2.1: Gammes de routeur Cisco 2800 série [11] 7

Figure 2. 2:Séquences de démarrage des routeurs Cisco [5] 8

Figure 2. 3: routeur Cisco2811 [3] 8

Figure 2. 4:câble console de type DB9-RJ45 [4] 9

Figure 2.5: Les différents modes d'accès au routeur 10

Figure 2.6: Schéma synoptique du classement des protocoles de routage [10] 12

Figure 2.7: Les Différents protocoles de routage [8] 13

Figure 3. 1:Architecture du projet 19

Figure 3. 2:La roue de sécurité [2] 21

Figure 3. 3:Périphériques de sécurité physique [1] 23

Figure 3. 6:Authentification des protocoles de routage [1] 28

Figure 3. 7:Présentation de l'authentification des protocoles de routage [1] 28

Figure 3. 8: Surcharge NAT [1] 29

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

Liste des sigles et abréviations

AAA : Autorisation, Authentification et Administration (ou Accounting)

ACL: Access Control List

ASA: Adaptive Security Appliance

BDR: Backup Designated Router

BGP: Border Gateway Protocol

CDP: Cisco Discovery Protocol

CIDR: Classless InterDomain Routing

CLI: Command Line Interface

CTY: Console Teletype

DMZ: Demilitarized Zone

DoS: Denial Of Service

DR: Designated Router

DUAL: Diffusing Update Algorithm

EGP: External Gateway Protocol

EIGRP: Enhanced Interior Gateway Routing Protocol

FAI : Fournisseur d'Accès à Internet

FTP : File Transfer Protocol

GNS3: Graphical Network Simulator

GRE: Generic Routing Encapsulation

HTTP: Hypertext Transfer Protocol

HTTPS: Hypertext Transfer Protocol Secure

ICMP: Internet Control Message Protocol

IGMP: Internet Group Management Protocol

IGP: Interior Gateway Protocol

IGRP: Interior Gateway Routing Protocol

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

IIS: Internet Information Services

IOS: Internetwork Operating System

IP: Internet Protocol (IPv6: Internet Protocol version 6)

IPS: Intrusion Prevention System

IPsec: Internet Protocol Security

IS-IS: Intermedia System-Intermedia System

ISR: Integrated Services Routers

MD5: Message Digest Version 5

MTU: Maximum Transmission Unit

NAC: Network Admission Control

NAT: Network Address Translation

NTP: Network Time Protocol

NVRAM: Non-Volatile Random Access Memory

OSI: Open Systems Interconnection

OSPF: Open Shortest Path First

PPTP: Point-to-point Tunneling Protocol

RADIUS: Remote Authentication Dial-In User Service

RAM: Random Access Memory

RIP: Routing Information Protocol

RJ45: Registered Jack 45

ROM: Read Only Memory

RSA : Rivest Shamir Adleman

SA : Système Autonome

SDM: Security Device Manager

SMTP: Simple Mail Transfer Protocol

SNMP: Simple Network Management Protocol

SPF: Shortest Path First

SSH: Secure Shell

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

SSL: Secure Socket Layer

SYN: Synchronisation

SysLog: System Log

TCP/IP: Transmission control protocol / Internet Protocol

TELNET: TELetype NETwork

TFTP: Trivial File Transfer Protocol

UDP: User Datagram Protocol

UPS: Uninterruptible Power Supply

V3PN: Voice and Video Enabled VPN

VLAN: Virtual Local Area Network

VLSM: Variable Length Subnet Mask

VPN: Virtual Private Network

VRF: VPN Routing and Forwarding table

VTP: VLAN Trunking Protocol

VTY: Virtual Teletype

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco

INTRODUCTION GENERALE

La sécurité est un enjeu crucial dans le domaine des réseaux informatiques et en particulier dans la fabrication des routeurs Cisco. La sécurité des routeurs Cisco est la clé de voûte de tout déploiement de sécurisation réseau. Ces derniers sont des voies d'accès et de sortie du réseau et leur compromission peut être le sésame des personnes malveillantes. Sur ce sillage, Cisco à travers sa gamme 2800 séries défend le slogan : « le routeur qui se défend tout seul » [1] par l'intégration des services de sécurité tels que le chiffrement RSA (Rivest Shamir Adleman), le routage sécurisé MD5, le verrouillage automatique auto secure et la sécurité physique intégrant les modules IPsec.

Lorsqu'il est question de sécurité des routeurs, trois notions se conjuguent à savoir les vulnérabilités, les menaces et les attaques. La connaissance du fonctionnement des routeurs Cisco et des algorithmes de routage, est un levier pour résoudre cette énigme. L'université de MAROUA par le truchement de son laboratoire informatique corrobore cette philosophie de sécurité avec l'acquisition d'un routeur Cisco 2800 afin d'interconnecter ses différents sites distants, mais comment optimiser le niveau de sécurité de cet équipement en charge de router les informations sensibles du réseau de l'Université de Maroua ?

Répondre à cette question sera pour nous, l'occasion d'étayer les fonctions de sécurité du routeur Cisco 2800 séries et de corroborer sa politique de sécurité à la stratégie de sécurité du réseau de l'Université de Maroua. La configuration de la sécurité du routeur Cisco 2800 constituera la toile de fond de notre projet de fin de premier cycle d'ingénieur des travaux à travers quatre chapitres. Le premier chapitre nous situera dans le contexte de l'Université de Maroua en mettant en avant la problématique, les objectifs visés et la méthodologie. Par ailleurs, le deuxième chapitre constituera un tour d'horizon sur les généralités des routeurs Cisco et les troisième et quatrième chapitres seront respectivement consacrés à la configuration de la sécurité du routeur Cisco et à une ébauche des vulnérabilités et des solutions qui constitueront les résultats.

Par TCHEUTOU Hervé Michel

Configuration de la sécurité des routeurs Cisco