Sécurisez Vos Routeurs - Administrez Une Architecture Réseau Avec CISCO - OpenClassrooms
Sécurisez Vos Routeurs - Administrez Une Architecture Réseau Avec CISCO - OpenClassrooms
Sécurisez Vos Routeurs - Administrez Une Architecture Réseau Avec CISCO - OpenClassrooms
AG
Accueil > Cours > Administrez une architecture réseau avec CISCO > Sécurisez vos routeurs
10 heures Moyenne
Votre réseau est enfin prêt… à se faire pirater ! Le piratage informatique n’est pas une menace qu’il faut
prendre à la légère. Vous ne savez ni quand ni comment, mais ce dont vous pouvez être sûr, c’est que
cela arrivera tôt ou tard. La seule chose à faire est donc de vous y préparer en sécurisant votre réseau.
C’est ce que nous allons voir dans cette dernière partie qui clôt notre cours.
Dans ce premier chapitre, je vous propose de vous intéresser aux sécurités à mettre directement sur
votre routeur, comme, par exemple, la création d’un mot de passe pour se connecter. Allez c’est parti !
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 1/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
01:48
L’une des premières choses à faire lorsque vous initialisez un routeur ou n’importe quel autre appareil
informatique, est de lui attribuer un mot de passe. C’est une première barrière qui est indispensable et
qu’il ne faut jamais oublier.
Cette commande vous permet de créer un mot de passe « motDePasse » avec comme algorithme de
hachage pour le mode privilège.
Un algo-quoi ?
Un algorithme ou fonction de hachage et une fonction qui permet de créer une empreinte d’une
donnée numérique. De cette façon, on ne stocke pas le mot de passe en clair sur le routeur mais
de façon chiffrée. Lorsque vous entrerez votre mot de passe dans le routeur, celui-ci va le passer
(comme il l’a fait lors de la création du mot de passe) dans la fonction de hachage et comparer
les deux empreintes. Si elles sont identiques, c’est que le mot de passe entré est le bon. Notez
qu’il n’est pas possible de faire la fonction inverse, à partir de l’empreinte il est presque impossible
(il faut beaucoup de ressources et de temps) de découvrir le mot de passe. MD5 est craqué
depuis longtemps c’est pourquoi je vous recommande d’utiliser sha256
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 2/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
Avec un mot de passe, votre routeur est déjà beaucoup plus sûr qu’il ne l’était. Mais si vous voulez
personnaliser les accès au routeur, il vous faut ajouter des utilisateurs.
Vous venez de créer l’utilisateur root et lui avez attribué le mot de passe « motDePasse ». Le niveau de
privilège 15 correspond au niveau maximum, c'est-à-dire que l'utilisateur root a tous les droits.
N’utilisez pas ce mot de passe, hein ! Un bon mot de passe est un mot de passe d’au moins 8
caractères, comprenant majuscules, minuscules, chiffres et caractères spéciaux. Plus il sera long,
plus il sera sûr.
C’est pourquoi on utilise de plus en plus des phrases de passe au lieu des mots de passe. Par
exemple, « UnSuperCoursSurCisco » auquel vous devez ajouter des caractères spéciaux
Un$up€rCoursSurC!sco. Ils sont certes plus longs mais plus faciles à se rappeler si vous notez
une phrase qui a du sens pour vous.
Si votre identifiant et votre mot de passe sont bien créés, ils doivent apparaître dans votre fichier
running-config. C’est l’occasion de vous montrer une petite astuce issue du monde Linux.
L’abréviation sh run , vous la connaissez déjà. Pour les adeptes de Linux, la seconde partie saute aux
yeux. Le | est ce que l’on appelle un pipe, il permet d’ajouter une seconde commande à la suite de la
première. Le include est l’équivalent (en plus explicite) du grep de Linux. Il permet de
rechercher un mot.
Ici, vous recherchez dans votre fichier running-config une ligne comportant le mot « root ».
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 3/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
Avec cette commande, vous trouvez tous les mots de passe enregistrés dans votre fichier running-
config.
Je me connecte à mon routeur, mais on ne me demande pas de mot de passe, que se passe-t-il ?
Vous venez bien de créer un utilisateur et un mot de passe pour passer en mode administration, mais
pas sur le chemin que vous utilisez.
02:42
Nous l’avons déjà évoqué, mais lorsque vous vous connectez à votre routeur par Cisco Packet Tracer,
celui-ci simule une connexion locale physique, comme si vous vous branchiez directement sur le port
série du routeur. Pour le vérifier, tapez exit sur votre routeur jusqu’à sortir du CLI. Vous devez apercevoir
ceci :
C’est la première ligne qui nous intéresse. Elle nous dit que routeur 1 est accessible via con0.
Il s’agit justement du port console du routeur. Mais ce n’est pas le seul port sur votre routeur. Pour les
voir, tapez la commande show line sur votre routeur.
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 4/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
routeur1#sh line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
2-57
Ce que vous voyez à l’écran sont les ports du routeur. On les appelle TTY line :
La première CTY est le port console. Le con0 qui apparaît sur votre écran.
La deuxième AUX est un port auxiliaire.
La troisième VTY est un port virtuel, il ne correspond à aucun matériel physique. C’est un port
logiciel.
Il en manque une dernière que vous verrez sur d’autres routeurs CISCO. Il s’agit des lignes TTY, des
lignes asynchrones (utilisées pour les longues distances). Ces ports correspondent à un matériel
installé sur le routeur. Ici rien n’est installé, vous ne disposez que du matériel de base, le port
console, l'auxiliaire et les ports virtuels.
Au cty ou con0 pour le port console et les utilisateurs qui se connecteront directement sur le
routeur.
Au vty pour les utilisateurs qui se connecteront par telnet ou ssh.
Commencez par le port console, où vous allez d’abord configurer un mot de passe unique, sans
utilisateur, puis vous associerez les mots de passe que vous avez créés au routeur. Vous pouvez ainsi
vous connecter au routeur et entrer ces commandes :
routeur1#conf t
routeur1(config)#line con 0
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 5/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
routeur1(config-line)#password motDePasse
routeur1(config-line)#login
...au login.
routeur1(config-line)#end
Attention, ne sauvegarder qu’après avoir fait un test. Sinon, vous ne pourrez plus vous connecter
au routeur.
!
line con 0
exec-timeout 0 0
privilege level 15
password motDePasse
logging synchronous
login
Vous devez apercevoir ceci tout en bas. Il s’agit de vos ports et le port con0 est associé à un mot de
passe motDePasse au login. Avec cette méthode le mot de passe est unique, rien à voir avec les
utilisateurs que vous avez créés. Regardez comment faire pour les associer :
routeur1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
routeur1(config)#line con 0
routeur1(config-line)#login local
C’est cette ligne qui associe les utilisateurs que vous avez créés au port 0. Vous devrez cette fois-ci
entrer :
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 6/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
C’est déjà une bonne sécurité. Mais il y a de fortes chances qu’un pirate ne se donne pas la peine de
venir jusque dans vos locaux pour tenter de pirater vos routeurs. Il en est de même pour les
administrateurs du routeur. En effet, il vous faut configurer un accès sécurisé à distance, j’ai nommé SSH
bien sûr.
03:25
Pour configurer SSH sur votre routeur, vous avez besoin de plusieurs choses :
Vous allez devoir d’abord créer un nom de domaine pour votre routeur.
Une fois cela effectué, créez la paire de clés nécessaire au fonctionnement de SSH.
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 7/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
Passez en mode line sur les vty 0 à 4, pour configurer les VTY (les ports virtuels utilisés pour SSH) de
votre routeur.
routeur1(config)#line vty 0 4
Et activez uniquement SSH sur ces ports (telnet n’étant pas un moyen de transport sûr).
Vous allez pouvoir utiliser les utilisateurs présents dans votre configuration.
routeur1(config-line)#login local
routeur1(config-line)#end
Pour le tester vous pouvez soit ajouter une machine à votre maquette, ou si vous ne voulez pas l’alourdir
(comme moi), vous pouvez vous y connecter depuis un autre routeur.
Pour cela, connectez-vous à n’importe quel autre routeur et entrez cette commande :
Cette commande lance une connexion SSH et -l vous permet de spécifier l’utilisateur suivi de
l’adresse IP du routeur.
Attention, si vous tentez de vous connecter au routeur 1 par l’interface 223.0.0.1, n’oubliez pas de
désactiver le NAT statique car il renverra votre tentative de connexion au serveur dans le LAN !
Vos routeurs sont maintenant sécurisés par un mot de passe et accessibles par un protocole de
communication des plus sûrs, SSH. Vous pourrez ainsi vous y connecter en toute sécurité et sans vous
déplacer de votre fauteuil.
En résumé
Il est possible de créer des mots de passe pour sécuriser l’accès de vos routeurs.
Ces mots de passe peuvent être uniques ou différents pour chaque utilisateur.
L’accès avec mot de passe se configure au niveau d’une entrée du routeur. Ces entrées s’appellent
line. Il en existe quatre types :
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 8/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
Projets professionnalisants
Mentorat individuel
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 9/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
Quiz : Découvrez les protocoles de Définissez les accès utilisateur avec les
routage ACLs (Access control list)
Les professeurs
Lélio Motta
Ingénieur diplômé du Conservatoire National des Arts et Métiers, réseaux, systèmes et
multimédia. Freelance pour start-up et PME.
Laura Baptista
Ingénieur Systèmes et Réseaux et Formatrice IT
OPENCLASSROOMS
AIDE
LANGUE
Français
NOUS SUIVRE
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 10/11
13/02/2024 12:59 Sécurisez vos routeurs - Administrez une architecture réseau avec CISCO - OpenClassrooms
Mentions légales Conditions générales d'utilisation Politique de protection des données personnelles
Cookies Accessibilité
https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135501-securisez-vos-routeurs 11/11