Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

No Global Description Solution Importance Mise en place (O/N/NA) 1 Vulnérabilit

No Global Description Solution Importance Mise en place (O/N/NA) 1 Vulnérabilité logiciels Mise à jour des IOS Critique 2 ACL Les ACL intégrées autorisent seulement le trafic légitime Revoir les ACL rigoureusement. Critique 3 ACL - Gestion Les ACL donnant accès au services de gestion autorisent seulement les Admin Critique 4 IPS / IDS Configurer et mettre en place le module du IPS de Cisco. Moyen 5 Telnet Désactiver toutes connexions non sécurisées comme Telnet. Configurer plutôt SSH transport input [none | ssh] Critique 6 Interface inutiles Les interfaces inutilisées sont désactivées Shut Interface Critique 7 Services TCP small server et UDP small server Désactiver les services TCP small server et UDP small server no service tcp-small-servers no service udp-small-servers Moyen 8 Service finger Désactiver le service Finger no service finger Moyen 9 Bootp server Désactiver le service Bootp no ipbootp server Moyen 10 Routage source Désactiver le paramètre de routage source no ip source-route Moyen 11 Redirection ICMP Désactiver toutes les réponses et redirection ICMP no ip redirects no ipunreachables no ip-mask reply Moyen 12 SSH Configurer des timeout de session pour les connexions SSH ssh timeout timeout-minutes Moyen 13 VPN Ipsec S'assurer de configurer le mode Main plutôt que le mode Aggressive afin de profiter des mesures optimales de sécurité. Moyen 14 VPN Ipsec Définir des algorithmes de chiffrement robustes pour les connexions VPN. AES - Sha-DH Moyen 15 Authentification du routage Ajouter de l'authentification des échanges de routage avec du MD5 Moyen N/A 16 Unicast RPF Pour contrer les attaques par spoofing ip cef [distributed] interface interface-name ip verify unicast reverse-path ipv6 cef [distributed] interface interface-name ipv6 verify unicast reverse-path Moyen 17 Clear text Revoir les ACL pour ne pas autoriser des communications en texte claire ACL Moyen 18 Console timeout Pour toute console utilisée, configurer un time out console timeout timeout-minutes Moyen 19 SNMP sécurisé Si SNMP n'est pas utilisé, désactiver le. Sinon, configurer SNMP avec chiffrement et restriendre les accès en lecture. no snmp-server Moyen 20 SNMP communauté Utiliser SNMP avec un nom de communauté approprié qui n'est pas un mot du dictionnaire. Changer les valeurs par défaut Public et Private. Moyen 21 TCP keepalives Afin de vérifier si une connexion est active ou orpheline. Peut conduire a des attaques de type DoS. service tcp-keepalives-in Moyen 22 Restreindre privilèges S'assurer que tous les comptes ont les privilèges les plus restrictifs selon les tâches administratives à accomplir Critique 23 uRPF Vérifier si le filtrage Unicast Reverse Path Forwarding devrait être désactivé ip verify unicast reverse-path Moyen 24 Password Aucun mot de passe d'un dictionnaire. Configurer des mots de passe complexes. Minimum 8 caractères. password password enable password password username name password password Critique 25 DTP Si DTP n'est pas requis, désactiver DTP. DTP est un protocole propriétaire Cisco et offre des mesures de négociation non sécuritaire. Moyen 26 NTP S'assurer que le trafic avec le service NTP est contrôlé. ntp access-group serve-only acl Faible 27 Chiffrer mot de passe Tous les mots de passe doivent être chiffrés username user-name secret password Critique 28 NTP authentification Dans la mesure du possible, rajouter l'authentification pour le service NTP ntp authenticate ntp authentication-key key-num md5 key-string ntp server ip-address key key-num [prefer] Faible 29 SSL chiffrement Configurer du chiffrement fort pour toutes les connexions SSL. TLS ou SSL v3 combiné avec AES 128 au minimum. ssl server-version {sslv3-only | tlsv1-only} ssl encryption {3des-sha1 | aes128-sha1 | aes256- sha1} Critique 30 CDP CDP est un protocole propriétaire Cisco qui permet le dialogue par diffusion entre les composantes Cisco. Le problème c'est qu'il n'y a aucune mesure d'authentification ni chiffrement. no cdp run no cdp enable Moyen 31 Proxy ARP Désactiver le service de Proxy ARP pour éviter de propager de requêtes ARP dans d'autres segments. no ip proxy-arp Moyen 32 MOTD Une bannière MOTD devrait être définie. Faible 33 Accès console Pour tous les accès aux consoles de gestion, configurer un timeout avec authentification Moyen 34 Ports auxiliaires Désactiver les accès aux ports auxiliaires si pas utilisés Moyen 35 Ligne VTY Pour tous les accès aux lignes VTY, configurer un timeout avec authentification Moyen 36 ACL VTY Configurer et controler le trafic pour restreindre les accès aux ligne VTY via des ACL Moyen 37 Stratégie de mots de passe Mettre en place une stratégie de changement des mots de passes à tous les 6 mois. Moyen OUI 38 Backup Mettre en place une stratégie de sauvegarde et de restauration périodique. Vérifier et faire le suivi. Backup Critique 39 Syslog Centraliser tous les logs dans un serveur de suivis de type Syslog Moyen 40 Stockage backup Un emplacement avec contrôle d'accès doit être spécifié pour le stockage des backup des switch et router. permission et droit d'accès sur les backup Moyen 41 Backup chiffrement Metter en place un mécanisme de chiffrement pour les backup. Chiffrement avec GPG ou PGP ou TrueCrypt. Moyen 42 Surveillance Mettre en place un mécanisme de surveillance à travers un systèeme d'audit, de log. Syslog Moyen 43 HTTP Désactiver le service HTTP et utiliser au besoin le protocole HTTPS Moyen Mesures de sécurité pour les router et ASA Cisco uploads/s1/ controles-de-securite-couche-3-4-pdf.pdf