Sécurité du plan de gestion

50 0 1 0

Sécurité du plan de gestion

Comme indiqué dans les sections précédentes, la mesure de protection de la sécurité pour le plan de gestion est la protection de la connexion de l'administrateur. Pour vous assurer que les administrateurs peuvent se connecter et gérer le commutateur de manière sécurisée, résolvez les trois problèmes suivants.

1.1 Qui peut se connecter

20170331152143987001.png

1. Configurez le nom d'utilisateur et le mot de passe sur le commutateur. Seul l'administrateur possédant un nom d'utilisateur et un mot de passe peut se connecter au commutateur.

Le commutateur prend en charge les modes d'authentification de connexion suivants. AAA offre une sécurité accrue.

l AAA: Les utilisateurs doivent entrer les noms d’utilisateur et les mots de passe pour se connecter.

l Mot de passe: seul le mot de passe est requis pour la connexion.

l Aucun: Aucune vérification n'est requise.

Figure 1-1 Connexion administrateur

20170331152144475002.png

Dans la figure 1-1 , le commutateur utilise AAA pour contrôler la connexion de l'utilisateur. Créez un nom d'utilisateur admin001 et un mot de passe SuperAdmin@123 .

[Switch] aaa

[Switch-aaa] local-user admin001 password irreversible-cipher SuperAdmin@123

Administrateur 1 et administrateur 2 sont des utilisateurs autorisés possédant les noms d'utilisateur et les mots de passe. Ils peuvent se connecter au commutateur. L'utilisateur non autorisé n'a pas de nom d'utilisateur ni de mot de passe et ne peut pas se connecter au commutateur. Toutefois, si le mode none est utilisé, l'utilisateur non autorisé peut également se connecter au commutateur.

2 Configurez la liste de contrôle d'accès pour autoriser uniquement les utilisateurs répondant aux règles à se connecter au commutateur.

Seul l'administrateur connaît le nom d'utilisateur et le mot de passe de connexion du commutateur. Toutefois, si le nom d'utilisateur et le mot de passe sont obtenus par des utilisateurs non autorisés, ceux-ci peuvent se connecter au commutateur. Pour éviter ce problème, configurez une liste de contrôle d'accès pour autoriser uniquement les utilisateurs du sous-réseau spécifié à se connecter.

Figure 1-2 Configurer ACL pour contrôler la connexion

20170331152145515003.png

Dans la figure 1-2 , l'administrateur 1 et l'administrateur 2 appartiennent au sous-réseau 10.10.10.0/24 et l'utilisateur non autorisé appartient au sous-réseau 20.20.10.0/24. Configurez une liste de contrôle d'accès sur le commutateur pour autoriser uniquement l'utilisateur du sous-réseau 10.10.10.0/24 à se connecter au commutateur. Les utilisateurs d'autres sous-réseaux ne peuvent pas se connecter même s'ils obtiennent le nom d'utilisateur et le mot de passe. La configuration sur le commutateur est la suivante:

[Switch] acl 2008 
[Switch-acl-basic-2008] rule permit source 10.10.10.0 0.0.0.255 
[Switch-acl-basic-2008] quit 
[Switch] user-interface vty 0 14 
[Switch-ui-vty0-14] acl 2008 inbound

[Switch-ui-vty0-14] quit

1.2 Comment se connecter en toute sécurité

20170331152146014004.png

Les utilisateurs peuvent se connecter au commutateur via CLI ou Web. La connexion CLI est implémentée via le port de console, Telnet ou STelnet.

l Port de console: Ceci est un mode de connexion local. Le terminal utilisateur est connecté au commutateur via un câble de console dédié.Ce mode est généralement utilisé pour la première connexion sur un commutateur. Le risque est contrôlable.

l Telnet: Ceci est un mode de connexion à distance. Le processus de connexion utilise la transmission de texte brut et est peu sécurisé. Les informations utilisateur peuvent être interceptées.

l STelnet: C'est aussi un mode de connexion à distance. Il est basé sur SSH et a une sécurité élevée.

1. Login STelnet

Telnet utilise la transmission de texte brut. Les données transmises peuvent être interceptées. Lorsque ce mode est utilisé, le commutateur peut subir l'attaque de l'homme au milieu (MITM). C'est-à-dire que "l'intermédiaire" se présente en serveur pour recevoir les données de l'hôte utilisateur sur le serveur réel, puis en hôte hôte pour renvoyer les données au serveur réel. Les données échangées entre le serveur et l'hôte de l'utilisateur sont altérées.

SSH peut chiffrer les données transmises pour empêcher les attaques MITM.

Par conséquent, pour le mode CLI, le protocole STelnet basé sur SSH est recommandé.

2 Connexion Web

En mode de connexion Web, les utilisateurs se connectent au commutateur via HTTPS et l'utilisent sur l'interface graphique. Basé sur HTTP, HTTPS utilise SSL pour chiffrer les données entre le client et le commutateur. Si une sécurité accrue est requise, vous pouvez également reconfigurer une stratégie SSL et charger un certificat numérique sur le commutateur.

1.3 Comment assurer la sécurité des opérations

Différents droits d'opération peuvent être configurés pour différents administrateurs. Les opérations qu'un administrateur peut effectuer dépendent du niveau d'utilisateur et du niveau de commande. L'administrateur peut uniquement exécuter les commandes dont les niveaux de commande sont inférieurs ou égaux au niveau d'utilisateur de l'administrateur.

Il existe 16 niveaux d'utilisateur (niveau 0-15) et 4 niveaux de commande (niveau 0-3). Une valeur supérieure indique un niveau supérieur.

Le tableau suivant répertorie les mappages entre les niveaux utilisateur et les niveaux de commande.

Niveau de l'utilisateur

Niveau de commandement

La description

0

0

Outils de diagnostic réseau (tels que ping et tracert) et commandes de connexion de périphérique (telles que Telnet)

1

0, 1

La plupart des commandes d'affichage

2

0, 1, 2

Commandes de configuration du service

3 - 15

0, 1, 2, 3

Toutes les commandes enregistrées dans le système, y compris les commandes de débogage et de diagnostic

Les niveaux de commande sont définis dans le système et seuls les niveaux d'utilisateur sont configurables. Comment les niveaux d'utilisateurs sont-ils configurés? Il existe un concept important "Interface utilisateur du terminal de type virtuel (VTY)".

Qu'est ce que VTY? Lorsqu'un utilisateur se connecte au commutateur via Telnet ou STelnet, le système attribue automatiquement une interface utilisateur VTY pour gérer et surveiller le périphérique et les sessions utilisateur. Chaque interface utilisateur VTY a le mode d'authentification et le niveau d'utilisateur correspondants.

Lorsque le mode d'authentification de l'interface utilisateur VTY est Mot de passe ou Aucun, le niveau d'interface utilisateur VTY est le niveau utilisateur. Le niveau d'utilisateur par défaut est 0.

Lorsque le mode d'authentification de l'interface utilisateur VTY est AAA, le niveau utilisateur est celui spécifié dans la vue AAA. Le niveau d'utilisateur par défaut est 0.

La configuration de niveau utilisateur sur le commutateur:

l Définissez le niveau utilisateur des interfaces utilisateur VTY 0-4 sur 2.

[Switch] user-interface vty 0 4 
[Switch-ui-vty0-4] user privilege level 2

l Définissez le niveau utilisateur pour l'utilisateur test001 dans la vue AAA sur 15.

[Switch] aaa 
[Switch-aaa] local-user test001 privilege level 15

La section suivante présente l'exemple de configuration de la connexion et de la gestion du commutateur sécurisé.

1.4 Exemple de configuration de la connexion sécurisée d'administrateur

Figure 1-3 Connexion sécurisée de l'administrateur

20170331152147019005.png

Dans la figure 1-3 , trois administrateurs assurent la maintenance et la gestion des périphériques. Pour assurer la sécurité de la gestion des périphériques, effectuez les configurations suivantes.

Feuille de route de configuration

1. L'Administrateur 1 est le responsable de la maintenance qui est autorisé à effectuer des opérations majeures sur les périphériques. Donc, l'administrateur 1 a le plus haut droit d'opération. L'administrateur 1 étant sur le réseau interne, l'environnement réseau est sécurisé.Considérons la connexion Telnet.

2 Les administrateurs 2 et 3 doivent généralement se connecter aux périphériques pour afficher la configuration. Ils se voient attribuer un faible taux de fonctionnement. L'administrateur 2 et l'administrateur 3 se trouvent sur le réseau externe, ce qui présente un risque pour la sécurité. Par conséquent, considérez la connexion à STelnet.

3 Pour garantir la sécurité des utilisateurs, configurez une liste de contrôle d'accès pour n'autoriser que l'adresse IP de l'administrateur 1 et les adresses IP du sous-réseau où se trouvent l'administrateur 2 et l'administrateur 3.

Procédure

1. Configurez l'interface utilisateur VTY.

<Switch> system-view

[Switch] user-interface vty 0 4 //Configure the VTY user interfaces 0-4

[Switch-ui-vty0-4] authentication-mode aaa //Set the authentication method to AAA.

[Switch-ui-vty0-4] protocol inbound all //Set the login method to STelnet and Telnet.

[Switch-ui-vty0-4] quit

2 Configurer le nom d'utilisateur et le mot de passe pour l'administrateur 1. Attribuez le droit de fonctionnement le plus élevé et définissez le mode de connexion sur Telnet.

[Switch] telnet server enable //Enable Telnet server.

[Switch] aaa

[Switch-aaa] local-user admin001 password irreversible-cipher test@123

[Switch-aaa] local-user admin001 privilege level 15 //Configure the highest operation right.

[Switch-aaa] local-user admin001 service-type telnet //Set the login method to Telnet.

[Switch-aaa] quit

3 Configurez les noms d'utilisateur et les mots de passe pour l'administrateur 2 et l'administrateur 3. Configurez le droit de visualisation uniquement et définissez la méthode de connexion sur STelnet.

[Switch] dsa local-key-pair create //Generate the key pair.

Info: The key name will be: HUAWEI_Host_DSA.

Info: The key modulus can be any one of the following : 1024, 2048.

Info: If the key modulus is greater than 512, it may take a few minutes.

Please input the modulus [default=2048]:

Info: Generating keys...

Info: Succeeded in creating the DSA host keys.

[Switch] stelnet server enable //Enable STelnet server.

[Switch] aaa

[Switch-aaa] local-user admin002 password irreversible-cipher Hell@6789

[Switch-aaa] local-user admin002 privilege level 1 //Configure the view-only right.

[Switch-aaa] local-user admin002 service-type ssh //Set the service type to SSH.

[Switch-aaa] local-user admin003 password irreversible-cipher Hell@1234

[Switch-aaa] local-user admin003 privilege level 1

[Switch-aaa] local-user admin003 service-type ssh

[Switch-aaa] quit

[Switch] ssh user admin002 authentication-type password //Set the authentication method for administrator 2 to password.

[Switch] ssh user admin003 authentication-type password

[Switch] ssh user admin002 service-type stelnet //Set the service type for the SSH user to STelnet.

[Switch] ssh user admin003 service-type stelnet

Une fois les configurations terminées, installez le logiciel PuTTY sur le client. Entrez l'adresse IP du périphérique et définissez le type de protocole sur SSH.

4 Configurez la liste de contrôle d'accès pour empêcher les utilisateurs de sous-réseaux non spécifiques de se connecter au périphérique.

[Switch] acl 2008

[Switch-acl-basic-2008] rule permit source 10.10.10.2 0.0.0.0 //Allow only the user with IP address10.10.10.2 to log in.

[Switch-acl-basic-2008] rule permit source 10.10.20.0 0.0.0.255 //Allow only the users on this subnet to log in.

[Switch-acl-basic-2008] quit

[Switch] user-interface vty 0 4

[Switch-ui-vty0-14] acl 2008 inbound

[Switch-ui-vty0-14] quit

Une fois les configurations terminées, seuls l'utilisateur ayant l'adresse IP 10.10.10.2 et les utilisateurs du sous-réseau 10.10.20.0/24 peuvent se connecter au commutateur.

Problèmes de sécurité - Problème 1: Security Holistic View
Problèmes de sécurité - Problème 2: Sécurité du plan de gestion
Problèmes de sécurité - Problème 3: Sécurité du plan de contrôle
Problèmes de sécurité - Problème 4: Sécurité du plan de transfert - Sécurité de couche 2
Problèmes de sécurité - Problème 5: Sécurité du plan de transfert - Sécurité de couche 3



  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier