Lors de la mise en œuvre des périphériques, il est important de respecter toutes les consignes de sécurité définies par l'entreprise. Cela implique que les noms des périphériques permettent une documentation et un suivi faciles, mais assurent également la sécurité. Il n'est pas judicieux de fournir trop d'informations sur l'utilisation du périphérique dans le nom d'hôte. D'autres mesures de sécurité de base doivent également être prises.
Sécurité supplémentaire des mots de passe
Les mots de passe forts sont efficaces uniquement s'ils sont secrets. Plusieurs mesures permettent de s'assurer de leur confidentialité. Tout d'abord, la commande de configuration globale service password-encryption empêche les personnes non autorisées de consulter les mots de passe en clair dans le fichier de configuration, comme le montre la figure. Cette commande génère le chiffrement de tous les mots de passe en clair.
En outre, pour garantir la longueur minimale de tous les mots de passe configurés, utilisez la commande security passwords min-length en mode de configuration globale.
Les pirates peuvent également obtenir les mots de passe simplement par une attaque en force, en essayant plusieurs mots de passe jusqu'à ce que l'un d'eux fonctionne. Il est possible d'empêcher ce type d'attaque en bloquant les tentatives de connexion au périphérique si un nombre défini d'échecs survient sur une période donnée.
Router(config)# login block-for 120 attempts 3 within 60
Cette commande bloque les tentatives de connexion pendant 120 secondes après trois échecs de connexion en l'espace de 60 secondes.
Bannières
Un message de bannière est l'équivalent d'un panneau Entrée interdite. Ces messages sont indispensables pour permettre l'assignation au tribunal de quiconque accède au système de façon inappropriée. Assurez-vous que les messages de bannière sont conformes aux stratégies de sécurité de l'entreprise.
Router(config)# banner motd #message#
Exec Timeout
Il est également recommandé de définir des délais d'exécution. Vous indiquez ainsi au périphérique Cisco de déconnecter automatiquement tout utilisateur en ligne en cas d'inactivité pendant le délai défini. Les délais d'exécution peuvent être configurés sur la console, l'interface vty et les ports auxiliaires.
Router(config)# line vty 0 4
Router(config-vty)# exec-timeout 10
Cette commande déconnecte les utilisateurs au bout de 10 minutes.