Configurer un mot de passe en mode dexécution privilégié Cisco

Objectifs pédagogiques

Configurer la gestion de base des commutateurs

Configurer la sécurité dynamique des ports 

Tester la sécurité dynamique des ports 

Sécuriser les ports inutilisés 

Tâche 1 : configuration de la gestion de base des commutateurs

Étape 1 : accès à la connexion console vers S1 depuis PC1

Cliquez sur PC1, puis sur l’onglet Desktop. Sélectionnez Terminal sous l’onglet Desktop. 

Conservez ces paramètres par défaut pour Terminal Configuration et cliquez sur OK : 

Bits par seconde = 9600 

Bits de données = 8 

Parité = Aucune 

Bits d’arrêt = 1 

Contrôle de flux = Aucun 

Vous êtes maintenant connecté à S1 via la console. Appuyez sur Entrée pour afficher l’invite du commutateur. 

Étape 2 : passage en mode d’exécution privilégié

Pour accéder au mode d’exécution privilégié, saisissez la commande enable. L’invite change de > à #. 

 S1>enable S1#

Remarquez de quelle manière vous avez pu accéder au mode d’exécution privilégié sans fournir de mot de passe. Pourquoi l’absence de mot de passe de mode d’exécution privilégié constitue-t-elle une menace ?

Étape 3 : passage en mode de configuration globale et configuration du mot de passe pour le mode d’exécution privilégié

En mode d’exécution privilégié, vous pouvez accéder au mode de configuration globale en entrant la commande configure terminal. 

Utilisez la commande enable secret pour configurer le mot de passe. Pour cet exercice, définissez le mot de passe sur class. 

 S1#configure terminal Enter configuration commands, one per line.  End with CNTL/Z.

 S1(config)#enable secret class S1(config)# 

Remarque : PT n’évalue pas la commande enable secret.

Étape 4 : configuration des mots de passe de terminal virtuel et de console et demande de connexion aux utilisateurs

Un mot de passe doit être requis pour accéder à la ligne de console. Même le mode d’exécution utilisateur de base peut fournir des informations importantes à un utilisateur malveillant. Par ailleurs, les lignes vty doivent avoir un mot de passe avant que les utilisateurs ne puissent accéder au commutateur à distance.

Accédez à l’invite de console à l’aide de la commande line console 0. 

Utilisez la commande password pour configurer les lignes vty et console avec cisco comme mot de passe. Remarque : PT n’évalue pas la commande password cisco dans ce cas. 

Entrez ensuite la commande login, qui exige des utilisateurs qu’ils entrent un mot de passe avant d’accéder au mode d’exécution utilisateur. 

Renouvelez ce processus avec les lignes vty. Utilisez la commande line vty 0 15 pour accéder à la bonne invite. 

Saisissez la commande exit pour retourner à l’invite de configuration globale. 

 S1(config)#line console 0 S1(config-line)#password cisco S1(config-line)#login S1(config-line)#line vty 0 15 S1(config-line)#password cisco S1(config-line)#login S1(config-line)#exit S1(config)# 

Étape 5 : configuration du chiffrement du mot de passe

Le mot de passe d’exécution privilégié est déjà chiffré. Pour chiffrer les mots de passe de ligne que vous venez de configurer, saisissez la commande service password-encryption en mode de configuration globale.

 S1(config)#service password-encryption S1(config)#

Étape 6 : configuration et test de la bannière MOTD

Configurez le message du jour (MOTD) avec le texte Authorized Access Only. Les majuscules et les minuscules sont différenciées pour le texte de la bannière. Veillez à ne pas ajouter d’espace avant ou après le texte de la bannière. Utilisez un séparateur avant et après le texte de la bannière pour indiquer où débute et se termine le texte. Le séparateur utilisé dans l’exemple ci-dessous est &, mais vous pouvez utiliser tout caractère qui n’est pas utilisé dans le texte de la bannière. Après la configuration du MOTD, déconnectez-vous du commutateur pour vérifier que la bannière apparaît lorsque vous vous reconnectez. 

 S1(config)#banner motd &Authorized Access Only& S1(config)#end [or exit] S1#exit

S1 con0 is now available

Press RETURN to get started.

[Entrée]

Authorized Access Only

User Access Verification

Password: 

L’invite de mot de passe exige maintenant un mot de passe pour entrer en mode d’exécution utilisateur. Entrez le mot de passe cisco. 

Entrez en mode d’exécution privilégié avec le mot de passe class et retournez en mode de configuration globale avec la commande configure terminal. 

 Password: [cisco] !Note: Password does not display as you type.

S1>enable Password: [class] !Note: Password does not display as you type. S1#configure terminal Enter configuration commands, one per line.  End with CNTL/Z.

 S1(config)# 

Étape 7 : vérification des résultats

Votre pourcentage de réalisation devrait être de 40 %. Si ce n’est pas le cas, cliquez sur Check Results pour voir quels éléments requis ne sont pas encore terminés.

Tâche 2 : configuration de la sécurité dynamique des ports

Étape 1 : activation de VLAN 99

Packet Tracer s’ouvre avec l’interface VLAN 99 en état désactivé, ce qui ne correspond pas au fonctionnement normal d’un commutateur. Vous devez activer VLAN 99 avec la commande no shutdown avant que l’interface ne devienne active dans Packet Tracer.

 S1(config)#interface vlan 99 S1(config-if)#no shutdown 

Étape 2 : passage en mode de configuration d’interface pour FastEthernet 0/18 et activation de la sécurité des ports

Avant de pouvoir configurer toute autre commande de sécurité des ports sur l’interface, la sécurité des ports doit être activée.

 S1(config-if)#interface fa0/18 S1(config-if)#switchport port-security 

Il n’est pas nécessaire de quitter le mode de configuration globale avant d’entrer en mode de configuration d’interface pour fa0/18.

Étape 3 : configuration du nombre maximal d’adresses MAC

Pour configurer le port pour apprendre une adresse MAC uniquement, configurez maximum sur 1 :

 S1(config-if)#switchport port-security maximum 1 

Remarque : PT n’évalue pas la commande switchport port-security maximum 1, bien que cette commande soit essentielle à la configuration de la sécurité des ports.

Étape 4 : configuration du port pour ajouter l’adresse MAC à la configuration en cours

L’adresse MAC apprise sur le port peut être ajoutée (« collée ») à la configuration en cours pour ce port. 

 S1(config-if)#switchport port-security mac-address sticky 

Remarque : PT n’évalue pas la commande switchport port-security mac-address sticky, bien que cette commande soit essentielle à la configuration de la sécurité des ports.

Étape 5 : configuration du port pour qu’il se désactive automatiquement en cas de violation de la sécurité

Si vous ne configurez pas la commande suivante, S1 consigne uniquement la violation dans les statistiques de sécurité des ports, mais ne désactive pas le port.

 S1(config-if)#switchport port-security violation shutdown 

Remarque : PT n’évalue pas la commande switchport port-security violation shutdown, bien que cette commande soit essentielle à la configuration de la sécurité des ports.

Étape 6 : confirmation que S1 a appris l’adresse MAC pour PC1

Effectuez une requête ping de PC1 vers S1.

Confirmez que S1 a maintenant une entrée d’adresse MAC statique pour PC1 dans la table MAC :

 S1#show mac-address-table Mac Address Table -------------------------------------------

Vlan    Mac Address       Type        Ports ----    -----------       --------    -----

  99    0060.5c5b.cd23    STATIC      Fa0/18 

L’adresse MAC est maintenant ajoutée à la configuration en cours.

 S1#show running-config <output omitted> interface FastEthernet0/18 switchport access vlan 99 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security mac-address sticky 0060.5C5B.CD23 <output omitted> S1# 

Étape 7 : vérification des résultats

Votre pourcentage de réalisation devrait être de 70 %. Si ce n’est pas le cas, cliquez sur Check Results pour voir quels éléments requis ne sont pas encore terminés.

Tâche 3 : test de la sécurité dynamique des ports

Étape 1 : suppression de la connexion entre PC1 et S1 et connexion de PC2 à S1

Pour tester la sécurité des ports, supprimez la connexion Ethernet entre PC1 et S1. Si vous supprimez accidentellement la connexion de câble console, reconnectez-la simplement. 

Connectez PC2 à Fa0/18 sur S1. Avant de réaliser la requête ping de PC2 vers S1, attendez que le voyant de liaison orange passe au vert. Le port doit alors automatiquement être désactivé. 

Étape 2 : vérification que la sécurité des ports est la cause de la désactivation du port

Pour vérifier que la sécurité des ports est la cause de la désactivation du port, entrez la commande show interface fa0/18.

S1#show interface fa0/18 FastEthernet0/18 is down, line protocol is down (err-disabled) Hardware is Lance, address is 0090.213e.5712 (bia 0090.213e.5712) <output omitted>

Le protocole de ligne est désactivé suite à une erreur (err) d’acceptation de trame avec une adresse MAC différente de celle apprise. Le logiciel Cisco IOS a donc arrêté (désactivé) le port.

Vous pouvez aussi vérifier une violation de sécurité avec la commande show port-security interface fa0/18.

S1#show port-security interface fa0/18 Port Security              : Enabled Port Status                : Secure-shutdown Violation Mode             : Shutdown Aging Time                 : 0 mins Aging Type                 : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses      : 1 Total MAC Addresses        : 1 Configured MAC Addresses   : 1 Sticky MAC Addresses       : 0 Last Source Address:Vlan   : 00E0.F7B0.086E:99 Security Violation Count   : 1 

Remarquez que le statut de port est secure-shutdown, et que le décompte de violations de sécurité est 1.

Étape 3 : restauration de la connexion entre PC1 et S1 et réinitialisation de la sécurité des ports

Supprimez la connexion entre PC2 et S1. Reconnectez PC1 au port Fa0/18 sur S1.

Remarquez que le port est encore désactivé alors que vous avez reconnecté le PC autorisé sur ce port. Un port désactivé suite à une violation de sécurité doit être réactivé manuellement. Arrêtez le port puis activez-le avec la commande no shutdown.

S1#config t Enter configuration commands, one per line.  End with CNTL/Z. S1(config)#interface fa0/18 S1(config-if)#shutdown %LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down S1(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up S1(config-if)#exit S1(config)# 

Étape 4 : test de la connectivité en lançant une commande ping de S1 vers PC1

La requête ping de PC1 vers S1 devrait fonctionner.

Votre pourcentage de réalisation devrait toujours être de 70 % à la fin de cette tâche.

Tâche 4 : sécurisation des ports inutilisés

Une méthode simple pour les administrateurs pour sécuriser leur réseau contre les accès non autorisés consiste à désactiver tous les ports inutilisés sur un commutateur réseau.

Étape 1 : désactivation de l’interface Fa0/17 sur S1

Passez en mode de configuration d’interface pour FastEthernet 0/17 et désactivez le port.

S1(config)#interface fa0/17 S1(config-if)#shutdown 

Étape 2 : test du port en connectant PC2 à Fa0/17 sur S1

Connectez PC2 à Fa0/17 sur S1. Remarquez que les témoins de liaison sont rouges. PC2 n’a pas accès au réseau.

Étape 3 : vérification des résultats

Votre pourcentage de réalisation devrait être de 100 %. Si ce n’est pas le cas, cliquez sur Check Results pour voir quels éléments requis ne sont pas encore terminés.

Comment passer en mode d'exécution privilégié cisco ?

Comment l'accès privilégié en mode d'exécution Est

Comment mettre un mot de passe sur un routeur cisco ?

Quelle commande active l'authentification par mot de passe pour l'accès en mode d'exécution utilisateur sur un commutateur ?