Le routeur est un équipement de niveau 3 chargé principalement de l'acheminement des paquets IP entre différent réseaux.
Voyez ce petit article sur quelques commandes de configuration avant de revenir plus tard sur la sécurité de ces équipements puissants.Nous vous promettons de beaux articles sur des configurations sécurisées des routeurs Cisco.
Effacement du
fichier de configuration initiale
Avant toute chose, en tests, lorsqu’on accède à des routeurs dont on ne connaît
pas l’histoire, il peut être utile d’effacer toute pollution d’une
configuration antérieure par la commande erase et de
redémarrer le routeur.
Router#erase
startup-config
Router#reload
Notons que cette commande peut être remplacée par #write erase ou #erase nvram:
Router#copy running-config startup-config
Router(config)#hostname name
Par exemple :
Router(config)#hostname R15
R15(config)#
L’invite par défaut Router a été
changée en R15.
Mots de passe
sur Enable, Console et Telnet
Mot de passe Enable
On peut empêcher l’accès au mode privilège et aux modes suivants par un mot de
passe. Deux commande sont disponibles, l’une sans encryption et l’autre avec
l’encryption MD5.
Le mot de passe défini avec enable
secret sera encrypté et aura précéance sur enable pasword.
Router(config)#enable password mot_de_passe pour un mot de passe non
encrypté et Router(config)#enable secret mot_de_passe pour un mot de passe encrypté.
Mots de passe sur les ports Console et Telnet
On peut également restreindre l’accès aux ports Console et Telnet par mot de
passe.
Les routeurs Cisco disposent jusqu’à 5 terminaux virtuels (VTY). Il est
possible de configurer les terminaux séparément.
Router(config)#line con 0
Router(config-line)#login
Router(config-line)#password
mot_de_passe
Router(config-line)#exit
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password
mot_de_passe
Router(config-line)#exit
Les commandes sont similaires pour configurer le port AUX.
Router(config)#banner motd #
Enter TEXT message End with
the character '#'.
Bonjour !
#
Router(config)#
Le message doit se terminer #
Activation/Désactivation
de la recherche DNS
On est souvent dérangé par de tels message à la suite d’une commande
erronée :
Router#sxow
Translating "sxow" ...domain server
(255.255.255.255)
% Unknow command or computer name, or unable to
find computer address
Router#
Ce message vient du fait que la recherche DNS est activée par défaut.
Pour un confort d’utilisation, on peut la désactiver : Router(config)#no ip domain-lookup et la réactiver par Router(config)#ip domain-lookup
Messages
synchronisés de la console
On peut recevoir des messages du routeur qui trouble l’entrée des commandes.
Voici une illustration :
Router#confi
%SYS-5-CONFIG_I : Configured from console by
consolegure
Enter configuration commands, one per line. End
with CNTL/Z.
Router#
Pour éviter ce problème, on peut demander un logging synchronous sur la
console :
Router(config)#line con 0
Router(config-line)#logging synchronous
qui donnera :
Router#confi
%SYS-5-CONFIG_I : Configured from console by
console
Router#configure
Création d’une
table d’hôte pour Telnet
On peut définir une table de noms à des adresses IP par la commande
suivante :
Router(config)#ip host name
address
Par exemple Router(config)#ip host zozo
192.168.1.254
Attention, cette table d’hôte est propre au routeur et n’est pas
diffusée globalement !
Un nom d’image comporte 3 parties séparées par des tirets :
1.
la plateforme matérielle. Dans
l’exemple ci-dessous, il s’agit d’un Cisco 7200. On pourrait avoir c3600,
c2600, c1700, etc.
2. les
caractéristiques (features). Par exemple :
i pour IP (SNMP, IP, Bridging,
WAN, Remote Node, Terminal Services)
j pour Enterprise (+ tous les
protocoles de routage)
s pour Plus (NAT, VPN, etc.)
3. l’endroit de
chargement d’où l’image est exécutée :
f pour la mémoire flash
m pour la mémoire ram
r pour la mémoire rom
l pour la mémoire relocatable
et le format de compression :
z pour zip compressed
x pour mzip compressed
w pour "STAC"
compressed
Eventuellement, on trouvera une extension de format de fichier précédée
d’un point :
.tar pour un fichier géré via
l’utilitaire Gzip
.html pour un fichier lisible par
un navigateur Web
Source: NTLogon.com