Gestion des mots de passe et sécurisation
Définition
La sécurisation de l'accès aux équipements Cisco repose sur la configuration de mots de passe sur les différents niveaux d'accès (console, VTY, enable) et sur les mécanismes de chiffrement et de contrôle (service password-encryption, enable secret, SSH, ACL sur les lignes VTY). Une mauvaise gestion des mots de passe est l'une des premières vulnérabilités exploitées sur un réseau.
Contexte
Un routeur ou switch Cisco accessible sans mot de passe offre un contrôle total à quiconque s'y connecte. La sécurisation des accès est une exigence fondamentale de toute politique de sécurité réseau. La certification CCST couvre les niveaux de mots de passe, le chiffrement des secrets et les bonnes pratiques d'accès.
Détails techniques
Les niveaux d'accès et leurs protections
| Niveau d'accès | Ligne/Mode | Commande de protection |
|---|---|---|
| Console (accès physique) | line con 0 |
password <mdp> + login |
| VTY (Telnet/SSH distant) | line vty 0 15 |
password <mdp> + login ou login local |
| Auxiliary (modem) | line aux 0 |
password <mdp> + login |
| Mode privilégié (enable) | Mode global | enable password ou enable secret |
enable password vs enable secret
| Critère | enable password |
enable secret |
|---|---|---|
| Chiffrement | Aucun (Type 0, clair dans la config) | Oui (MD5 Type 5 ou SCRYPT Type 9) |
| Priorité | Ignoré si enable secret est configuré |
Toujours prioritaire |
| Recommandation | Ne jamais utiliser | Toujours utiliser |
Router(config)# enable secret C1sc0_S3cur3!
service password-encryption
Cette commande globale applique un chiffrement faible (Type 7, algorithme Vigenère réversible) sur tous les mots de passe en clair dans la configuration :
Router(config)# service password-encryption
Attention : le chiffrement Type 7 est facilement réversible avec des outils en ligne. Il protège uniquement contre un regard rapide sur l'écran. Pour une vraie sécurité, utiliser
enable secret(Type 5/9) et des utilisateurs locaux avecsecret.
Utilisateurs locaux
Router(config)# username admin privilege 15 secret S3cur3P@ss!
Router(config)# line vty 0 15
Router(config-line)# login local
| Paramètre | Description |
|---|---|
username |
Nom d'utilisateur |
privilege 15 |
Niveau de privilège maximum (accès direct au mode enable) |
secret |
Mot de passe chiffré (Type 5/9) dans la config |
login local |
Authentification par base locale au lieu d'un mot de passe de ligne |
Sécurisation SSH (remplacement de Telnet)
Telnet transmet les identifiants en clair. SSH les chiffre. Configuration minimale :
Router(config)# hostname R1
R1(config)# ip domain-name corp.local
R1(config)# crypto key generate rsa modulus 2048
R1(config)# ip ssh version 2
R1(config)# line vty 0 15
R1(config-line)# transport input ssh
R1(config-line)# login local
ACL de restriction sur les lignes VTY
Limiter les adresses IP autorisées à se connecter en SSH :
R1(config)# access-list 10 permit 10.0.0.0 0.0.0.255
R1(config)# line vty 0 15
R1(config-line)# access-class 10 in
Bannières de sécurité
R1(config)# banner motd # Accès non autorisé interdit. Toute activité est surveillée. #
Les bannières MOTD sont affichées avant l'authentification et servent d'avertissement légal.
Récapitulatif des types de chiffrement
| Type | Algorithme | Sécurité |
|---|---|---|
| 0 | Texte clair | Aucune |
| 7 | Vigenère (réversible) | Faible |
| 5 | MD5 (salé) | Moyenne |
| 8 | PBKDF2-SHA-256 | Forte |
| 9 | SCRYPT | Très forte (recommandé) |
Exemple concret
Scénario : sécurisation d'un nouveau switch Catalyst 2960 avant sa mise en production.
- Définir un hostname et un domaine pour SSH :
Switch(config)# hostname SW-ACCES-01 SW-ACCES-01(config)# ip domain-name corp.local - Créer un utilisateur admin et un enable secret :
SW-ACCES-01(config)# enable secret $Tr0ng_3nable! SW-ACCES-01(config)# username netadmin privilege 15 secret N3t@dmin2026 - Sécuriser la console :
SW-ACCES-01(config)# line con 0 SW-ACCES-01(config-line)# login local SW-ACCES-01(config-line)# exec-timeout 5 0 - Configurer SSH et bloquer Telnet :
SW-ACCES-01(config)# crypto key generate rsa modulus 2048 SW-ACCES-01(config)# ip ssh version 2 SW-ACCES-01(config)# line vty 0 15 SW-ACCES-01(config-line)# transport input ssh SW-ACCES-01(config-line)# login local SW-ACCES-01(config-line)# access-class 10 in - Activer le chiffrement global et la bannière :
SW-ACCES-01(config)# service password-encryption SW-ACCES-01(config)# banner motd # Accès réservé au personnel autorisé #