Configuration de base - commutateur cisco

De Wiki doc

Révision datée du 28 juillet 2018 à 10:12 par Ycharbi (discussion | contributions) (Aération du code + Ajout astuce de connexion SSH + ajout section "Message d'accueil".)

Ce document décrit la configuration de base d'un commutateur Cisco afin d'avoir une sécurité et une base de travail convenable.

INFORMATION

Pour entrer ces commandes, il est nécessaire de rentrer en mode configuration via la commande conf t en mode privilège.

Désactivation des protocoles non nécessaires

no ip domain-lookup
no cdp run
no ip http server
no ip http secure-server
no service finger
no service tcp-small-servers
no service udp-small-servers
no service pad
no ip source-route
no service dhcp
no service password-recovery

Eteindre l'interface VLAN1

Ceci évite aux machines hors des Vlans de pouvoir communiquer avec le commutateur. 

int vlan1
shut

Configuration port console et VTY

!Port console
line console 0
login local
exec-timeout 3 0
logging synchronous
exit
!VTY 0-4
line vty 0 4
login local
logging synchronous
transport input ssh
transport output ssh
exec-timeout 3 0
exit
!vty 5-15
login
transport input none
transport output none
exit
!auxiliaire (peu courant)
line auxiliaire 0
login

Vlan Poubelle

Une bonne pratique consite à créer un Vlan poubelle destiné à accueillir les ports inutilisés de sorte à ce que personnes ne puisse les exploiter pour atteindre d'autre machines.

Création du Vlan Poubelle

# vlan database
vlan 66 name Poubelle
!ou
(config) # vlan 66
name Poubelle
description --- Poubelle ---

Attribution du Vlan aux interfaces inutilisées

int range fa0/13 - 17
switchport mode access
switchport access vlan 66
description --- Interface inutile ---
shut

Gestion utilisateur

Activation du service de hashage des mots de passe 

service password-encryption

Création d'un utilisateur 

username "prenom.nom" privilege 15 secret "mot de passe"

Ajout d'un mot de passe au mode enable 

enable secret "mot de passe"

Activation du SSH

Le SSH a besoin d'un nom d'hôte et d'un nom de domaine pour pouvoir générer la clé RSA 

hostname "nom de machine"
ip domain-name "nom de domain"
ip ssh version 2
crypto key generate rsa

INFORMATION

Une clé RSA de minimum 768 bits est requise pour pouvoir utiliser du SSHv2. En dessous, on passe automatiquement en SSHv1.

ASTUCE

Pour ce connecter via une machine Debian (à partir de Stretch selon mes tests). Il faut préciser la suite cryptographique à utiliser (IOS utilisant des trucks jugés trop faibles pour OpenSSH): ssh -oHostKeyAlgorithms=+ssh-dss -oKexAlgorithms=+diffie-hellman-group1-sha1 admin@192.168.100.1. J'ai trouvé ça ici.

Message d'accueil

Il est possible de définir une bannière d'accueil lors de la connexion à un équipement Cisco tout comme sous Linux via le Message Of The Day (MOTD). Pour ce faire, il suffit d'entrer (en mode de configuration) ceci: 

banner motd ^C
Votre message à afficher.
Vous pouvez y mettre plusieurs lignes.
Il faut finir le texte par le caractère qui vous a servi à entrer ici.
Comme avec n'importe quel EOF.
^C
Récupérée de « https://doc.lesmorin.fr/index.php?title=Configuration_de_base_-_commutateur_cisco&oldid=877 »