Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Public visé : Développeur Administrateur X RSSI X DSI X Utilisateur DAT-NT-25/A

Public visé : Développeur Administrateur X RSSI X DSI X Utilisateur DAT-NT-25/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 24 juin 2016 de la défense et de la sécurité nationale N o DAT-NT-25/ANSSI/SDE/NP Agence nationale de la sécurité Nombre de pages du document des systèmes d’information (y compris cette page) : 75 Note technique Recommandations pour la sécurisation d’un commutateur de desserte Informations Avertissement Ce document rédigé par l’ANSSI présente les « Recommandations pour la sécurisation d’un commutateur de desserte ». Il est téléchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de l’ANSSI. Il est à ce titre placé sous le régime de la « Licence ouverte » publiée par la mission Etalab (www.etalab.gouv.fr). Il est par conséquent diﬀusable sans restriction. Ces recommandations sont livrées en l’état et adaptées aux menaces au jour de leur publication. Au regard de la diversité des systèmes d’information, l’ANSSI ne peut garantir que ces informations puissent être reprises sans adaptation sur les systèmes d’information cibles. Dans tous les cas, la pertinence de l’implémentation des éléments proposés par l’ANSSI doit être soumise, au préalable, à la validation de l’administrateur du système et/ou des personnes en charge de la sécurité des systèmes d’information. Personnes ayant contribué à la rédaction de ce document : Contributeurs Rédigé par Approuvé par Date BAI, BAS, BRT, BSC, LRP BSS SDE 24 juin 2016 Evolutions du document : Version Date Nature des modiﬁcations 1.0 24 juin 2016 Version initiale Pour toute question : Contact Adresse @mél 51 bd de La Division Assistance Tour-Maubourg conseil.technique@ssi.gouv.fr Technique de l’ANSSI 75700 Paris Cedex 07 SP N o DAT-NT-25/ANSSI/SDE/NP du 24 juin 2016 Page 1 sur74 Table des matières 1 Préambule 5 1.1 Documents de référence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 1.2 Acronymes et terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 2 Les commutateurs dans le système d’information 8 3 Interface en ligne de commande 9 4 Administration 10 4.1 Réseau d’administration out-of-band . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 4.1.1 Port physique dédié. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 4.1.2 Réseau dédié. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 4.2 Accès à l’administration du commutateur. . . . . . . . . . . . . . . . . . . . . . . . .11 4.2.1 Port console (CTY - ligne console). . . . . . . . . . . . . . . . . . . . . . . . .11 4.2.2 Port Ethernet (VTY - ligne virtuelle). . . . . . . . . . . . . . . . . . . . . . .12 4.2.2.1 SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 4.2.2.2 HTTP/HTTPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15 4.2.2.3 Telnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 4.2.2.4 Limitation de l’accès à l’interface d’administration. . . . . . . . . . .16 4.2.3 Journalisation des authentiﬁcations. . . . . . . . . . . . . . . . . . . . . . . . .17 4.2.4 Protection contre l’attaque par force brute. . . . . . . . . . . . . . . . . . . .17 4.3 Gestion des comptes utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 4.3.1 Niveau de privilège. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 4.3.2 Accès enable ou system-view . . . . . . . . . . . . . . . . . . . . . . . . . . . .19 4.3.3 Comptes locaux et comptes centralisés. . . . . . . . . . . . . . . . . . . . . . .20 4.3.3.1 Gestion des comptes locaux. . . . . . . . . . . . . . . . . . . . . . . .20 4.3.4 Désactivation/suppression des comptes par défaut. . . . . . . . . . . . . . . .22 4.4 Contrôle d’accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 4.4.1 RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 4.4.2 TACACS+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25 4.5 Politique de sécurité des mots de passe. . . . . . . . . . . . . . . . . . . . . . . . . . .26 4.6 Bannière de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 5 Cloisonnement des réseaux et VLAN 27 5.1 Conﬁguration automatique des VLAN. . . . . . . . . . . . . . . . . . . . . . . . . . .27 5.2 Conﬁguration des VLAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 5.2.1 Ports en mode access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 5.2.2 Ports en mode trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 5.3 DTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 5.4 VLAN de quarantaine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 5.5 VLAN par défaut et VLAN natif. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31 5.6 Private VLAN (ou PVLAN). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33 5.7 Protected Port et Port Isolation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38 N o DAT-NT-25/ANSSI/SDE/NP du 24 juin 2016 Page 2 sur74 6 Routage 38 6.1 Routage interVLAN. . . . . . uploads/Management/ conf.pdf