Cisco 7607 - Sécurité

wimax91 · Visiteur Inscrit le: 30 Juil 2008 Messages: 9

Bonjour,

Pourriez vous me dire quels sont les points essentiels à vérifier si on voulait évaluer la sécurité d'un routeur cisco 7606 ( chassis composé de trois modules : Firewall + Supervision + Routeur ) ?

Meme question pour un catalyst 3750.

Toute réponse est la bienvenue , je suis novice en la matière.

Merci d'avance.
_________________
Cordialement,
Wimax

wimax91 · Visiteur Inscrit le: 30 Juil 2008 Messages: 9

je rajouterais que ces routeurs font partie d'une plateforme de services ( VoIP et Internet ) .

Cette plateforme est donc reliée à d'autres plateformes et aux flux Internet.
_________________
Cordialement,
Wimax

johnlewis · Posté le: Mer Juil 30, 2008 1:00 pm Sujet du message:

Salut Wimax

Je ne comprend pas bien ta question. Veux tu verifier les feautures de secrity dispo ds ton ios de 7600 et de 3750? Oubien verifier si ton FWSM fait bien ce que tu veux?Management securite?

Cdtl

wimax91 · Visiteur Inscrit le: 30 Juil 2008 Messages: 9

Salut,
En fait c'est un peu les deux.

J'ai une plateforme de services à disposition et je voudrais aller sur les routeurs & firewell ( en ssh) pour vérifier si les dispositifs de sécurité ( sensés etre en place ) sans bien configurés.

Merci d'avance.
_________________
Cordialement,
Wimax

Padawan · Posté le: Mer Juil 30, 2008 7:03 pm Sujet du message:

Attends, c'est toujours pas clair...
Tu veux une liste avec toutes les dispositions sécuritaires existantes sur un 7606 ou bien ?

Parce que c'est comme si tu disais : "Je veux avoir le routeur/switch le plus sécurisé"... C'est juste absurde.

A+

Padawan

wimax91 · Visiteur Inscrit le: 30 Juil 2008 Messages: 9

Bonjour,

Non je veux pas toutes les disposition sécuritaire possibles sur ces équipements mais ce que je voudrais : imagine tu as une plateforme de services ( voix et data ) sur laquelle il ya des routeurs & firewall ( 7606 & 3750) en interface avec le monde exterieur ( collecte & internet ...etc) et on te demande d'evaluer la sécurité des ses équipements : dans ce cas là qu'est ce que t'irais regarder en premier ( fichiers, paramètres ...).

Voilà je m'excuse si je ne suis pas assez clair et espère t'avoir éclairer.

N'hésite pas à me demander des récisions si t'en veux.

Merci d'avance et je me tien en attente de réponses.

Wimax.
_________________
Cordialement,
Wimax

johnlewis · Posté le: Jeu Juil 31, 2008 10:21 am Sujet du message:

Salut Wimax

C est assez difficile a faire si c est une platform qui tourne depuis des annees et si ca n a jamais ete fait au paravant
Premiere chose a faire:
- verifier les access a la machine( supprimer telnet, n utiliser que SSH)
- n authoriser l access au management que a ton jump server( si tu en a un, oubien la machine avec laquelle vous controlle vous routers)
- verifier tous les services qui sont actives sur ton router et supprimer ceux qui ne sont pas necessaires( tu as plein de docs sur le net pour ca)
-Verifier que tous tes password sont encryptes
- voir si tu peux mettre de la securite sur tes protocoles de routages
- scanner ton router de l exterieur et voir ce que tu trouves
- si tu as un IDS, monitorer tes packets

Pour ton firewall
- verifier et documenter chaque rule.
- verifier toutes les hosts connectes sur ton router et les identifiers.
- verifier les ressources parametres pour chaque context
- verifier si l access distant a ton Admin context est possible et d'ou
- scanner ton LAN de l exterieur pour voir si tes ports ne sont pas ouverts

Ce n est qu un debut ms c est deja pas mal

Cdtl

wimax91 · Visiteur Inscrit le: 30 Juil 2008 Messages: 9

Salut johnlewis,

Merci bcp pour tes réponse.

cdt,
_________________
Cordialement,
Wimax

gunm · Posté le: Jeu Juil 31, 2008 12:34 pm Sujet du message:

Sinon, tu te fais un petit auto secure c'est pas la panacée mais c'est déjà un début:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123_1/ftatosec.htm
_________________
Cordialement,

~~~ GunM ~~~

Padawan · Posté le: Jeu Juil 31, 2008 3:07 pm Sujet du message:

Le premier truc que j'irai regarder...

Hum l'accès physique des machines. Je pense que c'est la première phase de l'audit.

A+

Padawan

wimax91 · Visiteur Inscrit le: 30 Juil 2008 Messages: 9

Hummm,

Je n'ai pas l'accès physque.

J'ai accès aux machines à distance en ssh.

j'ai pas mal avancé dans la vérifications des services à risque ( comme
ip redirects
ip unreachables
ip proxy-arp

Et des services nécéssaires comme les tcp keep-alive...

Tout ça avec un simple show config MAIS les équipements ne me prennent pas la commande : show auto secure config

Merci encore à ts pour votre aide
_________________
Cordialement,
Wimax

Padawan · Posté le: Jeu Juil 31, 2008 3:58 pm Sujet du message:

C'est quoi comme IOS ?

A+

Padawan

wimax91 · Visiteur Inscrit le: 30 Juil 2008 Messages: 9

7606
Version 12.2

C'est ce que j'ai pu relever.

PS : ce 7606 est composé de trois modules :

==> Firewall
==> supervsion
==> routeur

++
_________________
Cordialement,
Wimax

Padawan · Posté le: Jeu Juil 31, 2008 4:35 pm Sujet du message:

Genre...
Si tu peux faire un "sh run", ne me dis pas que tu ne peux pas relever la version exacte de l'IOS.
Ou je penserais que t'es franchement incompétant.

A+

Padawan

wimax91 · Visiteur Inscrit le: 30 Juil 2008 Messages: 9

Mais le sh run donne la meme chose.

version 12.2

!?
_________________
Cordialement,
Wimax