Configuration Sécurisée CISCO
Article de blog | Finger In The Net
Configuration Sécurisée CISCO
- Nombre de lecteurs : 2061
- Rédigé par : Noël NICOLAS
Voici un petit fichier qui vous aidera pour paramétrer vos équipements de manière sécurisé.
Les liens en gras vous dirigera vers l’article correspondant à cette ligne de commande.
Lien important : https://www.ssi.gouv.fr/administration/guide/recommandations-pour-la-securisation-dun-commutateur-de-desserte/ Bonne configuration 😉|==========================================================================| | Hostname + Login | |==========================================================================| hostname XXXXXXX enable secret XXXXXXXXXX username root privi 15 secret XXXXXXXXXX |==========================================================================| | SSH | |==========================================================================| ----------------------- Génération de la clée RSA ------------------------- ip domain-name XXXX.XXXX.XXXX crypto key generate rsa modulus 1024 -------------------------- Configuration SSH ------------------------------ ip ssh time-out 120 ip ssh authentication-retries 3 ip ssh version 2 banner login # ******************************************************************** *** VOUS ACCEDEZ AU RESEAU FINGERINTHENET *** ******************************************************************** *** Tout accès ou tentative d’accès fera l'objet de *** *** poursuites pénales. *** ******************************************************************** #[contentcropnow]
access-list 1 remark ----- ADMIN RESEAU ---- access-list 1 permit X.X.X.X 0.0.0.255 access-list 1 deny any log line aux 0 login no exec line con 0 login local exec-timeout 3 0 line vty 0 4 login local exec-timeout 3 0 logging synchronous transport input ssh transport output ssh access-class 1 in line vty 5 15 login transport output none transport input none no exec |==========================================================================| | VLANS | |==========================================================================| ------------------------------------- VTP ---------------------------------- vtp domain PARIS vtp password PARIS vtp version 3 vtp prunning vtp mode [client|server|transparent|off] ----------- Désactivation du VLAN 1 et Création d'un VLAN SHUTDOWN -------- interface Vlan1 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown exit interface Vlan1000 description SHUTDOWN no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown exit --------------------------- Création du VLAN ADMIN ------------------------ interface Vlan100 description ADMIN_RESEAU ip address X.X.X.X X.X.X.X |==========================================================================| | CONFIGURATION DES INTERFACES | |==========================================================================| ----------------------------- Lien INTER-SWITCHS --------------------------- description VERS_WAN switchport mode trunk switchport nonegotiate switchport trunk native vlan XX switchport trunk allowed vlan XXXXX spanning-tree guard root spanning-tree loop guard dhcp snooping trust duplex auto speed auto no shut ------------------------------- Ports Clients ------------------------------ description PRISE XX-XX switchport mode access switchport access vlan XX switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky spanning-tree portfast spanning-tree bpduguard enable no logging event link-status duplex auto speed auto no shut ------------------------------- Ports inutilisés --------------------------- description OFF switchport access vlan 1000 switchport mode access shutdown |==========================================================================| | SUPERVISION SNMP | |==========================================================================| ip access-list standard NAGVIS permit X.X.X.X deny any log snmp-server community EyesOfNetwork RO ACL_SNMP snmp-server host X.X.X.X version 2c EyesOfNetwork snmp-server enable traps |==========================================================================| | NTP | |==========================================================================| clock timezone FR 1 clock summer-time FR recurring last Sun Mar 2:00 last Sun Oct 3:00 |==========================================================================| | CONFIGURATION SSI | |==========================================================================| service password-encryption (option)dhcp snooping (option)dhcp snooping vlan X no service dhcp no service finger no service pad no ip source-route no service tcp-small-servers no service udp-small-servers no ip bootp server no ip http server no ip http secure-server no cdp run no ip domain-lookup no setup express |==========================================================================| | ARCHIVAGE CONFIGURATION | |==========================================================================| archive log config logging enable notify syslog contenttype plaintext path scp://cisco:cisco@X.X.X.X//
Noël NICOLAS
Auteur de l'article
Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet
Eric JOUFFRILLON
Co-auteur de l'article
Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.
CURSUS DE FORMATION
Administrateur Réseau
Présentation
Les protocoles
En pratique
Les options
Présentation
Les bases
Les tables OSPF
La Sécurité
Autres
Présentation
Les échanges
Choix de la route
Choix du masque
Sécurité