CORRECTION TP 4 :

Partie 2 : Configuration de base d’un routeur

Objectif :
Configurer un routeur en utilisant le mode CLI (Command Line Interface) avec un accès via un câble
console. Les étapes incluent la sécurisation de l'accès, l'attribution d'une adresse IP à une interface, et
l'activation des accès Telnet/SSH.
1. Connexion au routeur :
• Connexion physique :
o Reliez le routeur (port console) au PC de configuration avec un câble console.
o Ouvrez un logiciel d’émulation de terminal (ex. PuTTY, SecureCRT) sur le PC de
configuration.
o Paramètres à configurer dans l’émulateur de terminal :
▪ Baud rate : 9600.
▪ Data bits : 8.
▪ Parity : None.
▪ Stop bits : 1.
▪ Flow control : None.
• Premier démarrage :
o Lors du premier démarrage, répondez No à la proposition d’activer le System
Configuration Dialog.
2. Passer en mode privilégié :
• Depuis le User Mode (Router>), entrez la commande suivante : Router>enable
• Vous passez au Privileged Mode (Router#).
3. Configuration de base :
• Accédez au mode configuration : Router#configure terminal
• Changez le nom du routeur pour FSTRouter :Router(config)#hostname FSTRouter
4. Sécuriser l'accès au mode privilégié :
• Mot de passe en clair : FSTRouter(config)#enable password fst@2024
• Mot de passe crypté : FSTRouter(config)#enable secret fst@2024-11
 • Testez l'accès :
o Revenez en mode utilisateur avec la commande exit.
o Essayez de revenir en mode privilégié (enable) et observez le comportement en
utilisant les deux mots de passe.
##
5. Revenez en mode utilisateur, puis essayez de passer en mode privilégié. Qu’observez-vous ?
Étapes à suivre :
1. Revenez au mode utilisateur depuis le mode privilégié :FSTRouter#exit
Vous verrez l'invite FSTRouter> indiquant que vous êtes maintenant en User Mode.
2. Essayez de retourner en mode privilégié :
o Tapez la commande :FSTRouter>enable
3. Le routeur demandera le mot de passe du mode privilégié que vous avez configuré
précédemment.
Observation attendue :
• Si vous avez configuré un mot de passe avec enable password :
o Vous devez entrer ce mot de passe pour accéder au mode privilégié.
o Exemple :Password: fst@2024
• Si vous avez configuré un mot de passe avec enable secret :
o Le mot de passe crypté défini avec enable secret remplace celui configuré avec
enable password.
o Exemple : Password: fst@2024-11

Explication technique :
1. Le mode utilisateur (User Mode) :
o Ce mode est limité et ne permet que des commandes de diagnostic simples, comme
ping.
o Les commandes avancées, comme show running-config ou toute modification,
nécessitent de passer en mode privilégié.
2. Le mot de passe protège le mode privilégié (Privileged Mode) :
o Ce mot de passe empêche les utilisateurs non autorisés d'accéder aux commandes
sensibles du routeur.
3. Priorité du mot de passe enable secret :
 o Si un mot de passe est défini avec enable password et un autre avec enable secret,
seul celui défini avec enable secret sera demandé.
o Cela garantit un niveau de sécurité plus élevé grâce au cryptage.

Importance pour la sécurité :

• Cette étape montre que le mot de passe protège l'accès au Privileged Mode, où des actions
critiques comme la modification de la configuration ou la sauvegarde sont possibles.
• Sans ce mot de passe, le routeur serait vulnérable à toute personne ayant un accès physique
ou distant.

Remarque :
Si aucun mot de passe n’est configuré pour le mode privilégié, la commande enable vous permet
d’accéder directement au mode privilégié, ce qui est un risque majeur pour la sécurité. C'est pourquoi la
configuration d'un mot de passe est essentielle.
##
5. Vérification des configurations :
• Affichez la configuration en cours : FSTRouter#show running-config
• Affichez la configuration enregistrée : FSTRouter#show startup-config
Observation :
• La configuration running-config est active mais non sauvegardée. Si le routeur redémarre, il
utilisera la startup-config enregistrée.
6. Configurer un mot de passe pour l'accès console :
1. Accédez à la ligne console : FSTRouter(config)#line console 0
2. Définissez un mot de passe : FSTRouter(config-line)#password console1234
3. Activez la connexion avec mot de passe : FSTRouter(config-line)#login
4. Quittez la ligne console : FSTRouter(config-line)#exit
7. Crypter tous les mots de passe :
• Activez le cryptage des mots de passe en clair dans la configuration :
FSTRouter(config)#service password-encryption
##
Observation attendue :
La commande show running-config affiche la configuration actuelle du routeur stockée dans la RAM
(running-config). Vous verrez des éléments tels que :
1. Nom du routeur (hostname) :
o Exemple : hostname FSTRouter.
2. Mots de passe configurés :
o Les mots de passe apparaissent cryptés si la commande service password-encryption
a été activée.
o Exemple : enable secret 5 $1$abC12345...
3. Configuration des lignes d'accès (console, VTY) :
o Exemple pour la console :
line console 0
password console1234
login
o Exemple pour les lignes VTY (Telnet/SSH) :
line vty 0 4
password telnet1234
login
4. Bannière d'accueil (motd) :
o Exemple :
banner motd ^C
Bienvenue sur le routeur de la FST
^C
5. Interfaces configurées :
o Vous verrez les interfaces avec leurs adresses IP et leur état (activé ou non).
o Exemple pour une interface GigabitEthernet 0/0 :
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
Déduction :
1. Configuration en cours :
o La running-config reflète la configuration actuellement appliquée sur le routeur.
o Elle est stockée dans la RAM et n’est pas permanente : elle sera perdue si le routeur
redémarre.
2. État des mots de passe :
o Si service password-encryption est activé, les mots de passe apparaissent cryptés,
augmentant la sécurité.
o Si non activé, les mots de passe sont visibles en clair, ce qui représente un risque.
3. Interfaces :
o Les interfaces configurées (avec ip address et no shutdown) apparaissent dans l’état
activé.
o Toute interface non configurée ou désactivée sera affichée comme "administratively
down".
4. Importance de sauvegarder :
o Toute modification dans la running-config doit être sauvegardée dans la startup-
config pour être conservée après un redémarrage.
o Commande pour sauvegarder : Router#copy running-config startup-config

Conclusion :
La commande show running-config est essentielle pour :
• Vérifier que toutes les configurations (mot de passe, interfaces, accès distant, etc.) sont
correctement appliquées.
• Détecter les erreurs ou les oublis dans la configuration.
• Identifier si des éléments sensibles, comme les mots de passe, sont correctement cryptés pour
renforcer la sécurité.
En résumé, la running-config est le reflet en temps réel de l'état actuel du routeur. La sauvegarde
de cette configuration est cruciale pour éviter sa perte en cas de redémarrage.
##
8. Configurer une bannière d'accueil :
• Ajoutez une bannière de connexion (Message of the Day) :
FSTRouter(config)#banner motd #Bienvenue sur le routeur de la FST#
##
13. Fermez la console de la machine utilisée, puis essayez de vous reconnecter à cette console.
Qu’observez-vous ?
Étapes pour exécuter cette action :
1. Fermer la console :
o Sur votre logiciel d'émulation de terminal (ex. PuTTY ou SecureCRT), terminez la
session ou fermez simplement la fenêtre du terminal.
2. Reconnectez-vous au routeur via le câble console :
o Relancez le logiciel d'émulation de terminal.
o Configurez les mêmes paramètres de connexion :
▪ Baud rate : 9600.
▪ Data bits : 8.
▪ Parity : None.
▪ Stop bits : 1.
▪ Flow control : None.
o Ouvrez la session pour vous reconnecter au routeur.
Observation attendue :
• Une fois la console re-connectée, vous serez invité à entrer le mot de passe configuré pour
l'accès console (console1234 dans cet exemple).
• Si le mot de passe est correct, vous accéderez au User Mode (Router>).

Explication technique :
• Le mot de passe configuré pour la ligne console protège l'accès direct au routeur via un câble
console.
• Lorsque vous configurez un mot de passe sur la ligne console (line console 0), le routeur exige
ce mot de passe pour toute tentative de connexion via la console.
• Cela garantit que seuls les utilisateurs autorisés peuvent accéder au CLI, même s'ils ont un
accès physique au routeur.
Commandes utilisées pour sécuriser l'accès console :
FSTRouter(config)#line console 0
FSTRouter(config-line)#password console1234
FSTRouter(config-line)#login
FSTRouter(config-line)#exit
Remarque :
Si vous ne configurez pas le mot de passe pour la ligne console ou si vous oubliez d’ajouter la
commande login, le routeur ne demandera pas de mot de passe et toute personne ayant un accès
physique pourra se connecter au CLI via le port console.
Pour des raisons de sécurité, il est essentiel de toujours configurer un mot de passe pour l’accès
console.
##
9. Configurer l'accès Telnet/SSH :
1. Accédez aux lignes virtuelles (VTY) :
FSTRouter(config)#line vty 0 4
2. Ajoutez un mot de passe :
FSTRouter(config-line)#password telnet1234
3. Activez l’accès Telnet :
FSTRouter(config-line)#login
4. Quittez la configuration des lignes VTY :
FSTRouter(config-line)#exit
##
15. Quel est l'impact des différents mots de passe créés sur la sécurité réseau ?
Résumé des mots de passe configurés et leur rôle :
1. Mot de passe pour le mode privilégié (enable password et enable secret) :
o Impact sur la sécurité :
▪ Protège l'accès au Privileged Mode (Router#) où des commandes critiques,
comme la modification de la configuration du routeur, sont possibles.
▪ Enable secret est crypté et donc beaucoup plus sécurisé que enable
password, qui est stocké en clair.
o Recommandation :
▪ Toujours utiliser enable secret au lieu de enable password.
2. Mot de passe pour l'accès console (line console 0) :
o Impact sur la sécurité :
▪ Empêche tout accès non autorisé via un câble console directement connecté
au routeur.
 ▪ Protège le routeur des modifications accidentelles ou malveillantes par
quelqu’un ayant un accès physique.
3. Crypter les mots de passe (service password-encryption) :
o Impact sur la sécurité :
▪ Crypte tous les mots de passe configurés en clair, comme ceux pour la
console ou les lignes VTY.
▪ Cela empêche quiconque accédant à la configuration (show running-config) de
lire les mots de passe en texte brut.
o Limitation :
▪ Le cryptage utilisé n’est pas très robuste (simple algorithme de chiffrement de
type base64). Pour une sécurité renforcée, il est préférable d’utiliser enable
secret.
4. Mot de passe pour Telnet/SSH (line vty 0 4) :
o Impact sur la sécurité :
▪ Protège l'accès distant au routeur via Telnet ou SSH.
▪ Sans mot de passe, n’importe qui ayant une connexion réseau au routeur
pourrait accéder au CLI.
o Recommandation :
▪ Utiliser SSH au lieu de Telnet, car SSH chiffre les données transmises (mot de
passe inclus), tandis que Telnet envoie tout en texte clair.
5. Bannière de connexion (banner motd) :
o Impact sur la sécurité :
▪ Informe les utilisateurs qu’ils accèdent à un système protégé.
▪ Bien qu’elle n’ait pas d’effet direct sur la sécurité technique, elle dissuade les
accès non autorisés et fournit une preuve légale en cas d’intrusion.

Impact global des mots de passe sur la sécurité réseau :

1. Renforcement de la sécurité physique et logicielle :
o Les mots de passe pour la console et le mode privilégié protègent contre les accès non
autorisés aux paramètres critiques du routeur.
2. Protection contre les attaques distantes :
o Les mots de passe pour Telnet/SSH et les lignes VTY empêchent les connexions non
autorisées via le réseau.
3. Prévention des erreurs accidentelles :
 o Les mots de passe ajoutent une couche de vérification pour éviter que des utilisateurs
non formés ne modifient la configuration.
4. Réduction des risques de divulgation d'informations sensibles :
o Le cryptage des mots de passe dans la configuration (avec service password-
encryption) empêche quiconque accédant à la configuration du routeur de les lire en
clair.

Recommandations pour une sécurité renforcée :

1. Toujours activer enable secret au lieu de enable password.
2. Utiliser SSH pour les accès distants :
o Désactiver Telnet lorsque SSH est configuré.
3. Utiliser des mots de passe complexes :
o Inclure des majuscules, minuscules, chiffres et caractères spéciaux (ex.
Pa$$w0rd!123).
4. Sauvegarder régulièrement la configuration et restreindre l’accès physique au routeur.
5. Limiter les IP autorisées à accéder au routeur via Telnet/SSH (utilisation des ACL - Access
Control Lists).
En appliquant ces principes, les mots de passe configurés joueront un rôle crucial pour protéger le
routeur et le réseau dans son ensemble contre les accès non autorisés et les intrusions.
##
10. Attribuer une adresse IP à une interface :
1. Accédez à l'interface GigabitEthernet 0/0 :
FSTRouter(config)#interface gigabitEthernet 0/0
2. Configurez l’adresse IP et le masque de sous-réseau :
FSTRouter(config-if)#ip address 192.168.1.1 255.255.255.0
3. Activez l'interface (défaut : désactivée) :
FSTRouter(config-if)#no shutdown
4. Quittez la configuration de l’interface :
FSTRouter(config-if)#exit

11. Sauvegarder la configuration :

• Enregistrez la configuration active dans la NVRAM :
FSTRouter#copy running-config startup-config
 • Confirmez avec "Enter".

12. Vérification de la configuration :

1. Vérifiez l’état des interfaces :
FSTRouter#show ip interface brief
2. Comparez la configuration en cours et celle sauvegardée :
o Running-config : Configuration active en RAM.
o Startup-config : Configuration sauvegardée en NVRAM.