Commandes de Sécurité - Cisco Packet

Tracer
1. Sécurité des accès (physique et distant)
Commande Description

enable secret MOTDEPASSE Définit un mot de passe chiffré pour le

mode privilégié

line console 0 Protège l'accès via la console

password MOTDEPASSE
login

line vty 0 4 Protège l'accès distant (Telnet/SSH)

password MOTDEPASSE
login

service password-encryption Chiffre tous les mots de passe clairs

login local Utilise les comptes locaux créés avec

'username'

2. Comptes d’utilisateurs locaux

Commande Description

username admin password MOTDEPASSE Crée un utilisateur local

username admin privilege 15 password Crée un utilisateur avec privilèges élevés

MOTDEPASSE

3. Sécurité SSH (au lieu de Telnet)

Commande Description

hostname ROUTER Donne un nom à l'équipement (requis pour

SSH)

ip domain-name [Link] Définit un domaine pour SSH

crypto key generate rsa Génère une clé RSA pour SSH
ip ssh version 2 Active SSH version 2

line vty 0 4 Oblige l'utilisation de SSH

transport input ssh
login local

4. Sécurité des ports sur les switches (Port Security)

Commande Description

interface fa0/1 Sélectionne le port

switchport mode access Met le port en mode accès

switchport port-security Active la sécurité sur le port

switchport port-security maximum 1 Autorise un seul MAC

switchport port-security violation Réagit en cas de violation

shutdown

switchport port-security mac-address Apprend automatiquement le MAC

sticky

5. Contrôle du trafic (ACL - Access Control Lists)

Commande Description

access-list 10 permit [Link] [Link] Autorise le trafic depuis ce réseau

access-list 10 deny any Bloque tout le reste

interface fa0/0 Applique la liste d’accès sur une interface

ip access-group 10 in

6. Bannière d’avertissement
Commande Description

banner motd #Accès interdit aux Affiche un avertissement légal

personnes non autorisées#
7. Vérification de la sécurité
Commande Description

show running-config Vérifie toute la configuration en cours

show access-lists Affiche les ACL actives

show port-security interface fa0/1 Affiche l’état de la sécurité du port

show ssh Vérifie les connexions SSH actives

Commandes de Sécurité Avancées -

Cisco (VPN, PKI, ZBF, Firewall, IDS/IPS,
DMZ)
1. VPN (Virtual Private Network)
Commande Description

crypto isakmp policy 10 Crée une politique ISAKMP pour IKE phase
1

encryption aes Définit l’algorithme de chiffrement

hash sha Définit l’algorithme de hachage

authentication pre-share Utilise une clé pré-partagée

group 2 Définit le groupe Diffie-Hellman

crypto isakmp key cisco address [Link] Définit la clé partagée

crypto ipsec transform-set TS esp-aes esp- Définit le jeu de transformation pour IKE
sha-hmac phase 2

crypto map VPN-MAP 10 ipsec-isakmp Crée la carte crypto

set peer x.x.x.x Définit l’adresse IP du pair VPN

match address 101 Lie la crypto map à une ACL

interface s0/0/0 Applique la crypto map à l’interface

crypto map VPN-MAP
2. PKI (Public Key Infrastructure)
Commande Description

crypto pki trustpoint MY-CA Définit un point de confiance PKI

enrollment url [Link] Définit l’URL du serveur CA

crypto pki authenticate MY-CA Authentifie le CA

crypto pki enroll MY-CA Demande un certificat

crypto key generate rsa general-keys label Génère une paire de clés RSA
MYKEY modulus 2048

3. ZBF (Zone-Based Firewall)

Commande Description

zone security IN Crée une zone de sécurité

zone security OUT Crée une autre zone

zone-pair security ZP-IN-OUT source IN Crée une paire de zones

destination OUT

class-map type inspect match-any CM- Définit un class-map

TRAFFIC

match protocol http Spécifie le protocole à inspecter

policy-map type inspect PM-IN-OUT Crée une policy-map

class type inspect CM-TRAFFIC Associe la classe à une policy

inspect Active l’inspection

service-policy type inspect PM-IN-OUT Associe la policy à la paire de zones

zone-member security IN Assigne une interface à une zone

4. ZPF (Zone Policy Firewall - similaire à ZBF)

Commande Description

class-map match-any WEB-TRAFFIC Définit les classes de trafic web

match protocol http Filtre le trafic HTTP

policy-map POLICY-WEB Crée une policy de traitement

class WEB-TRAFFIC Associe la classe à la policy

inspect Inspection de trafic

zone security INSIDE Définit la zone interne

zone security OUTSIDE Définit la zone externe

zone-pair security ZP-IN-OUT source Lie les zones

INSIDE destination OUTSIDE

service-policy type inspect POLICY-WEB Applique la politique

5. Pare-feu (Firewall classique avec ACLs)

Commande Description

access-list 100 permit tcp any any eq 80 Autorise le trafic HTTP

access-list 100 deny ip any any Bloque tout autre trafic

interface fa0/0 Applique l’ACL en entrée

ip access-group 100 in

ip inspect name MYFIREWALL tcp Active l’inspection TCP

ip inspect name MYFIREWALL http Active l’inspection HTTP

6. IDS/IPS (Intrusion Detection/Prevention System)

Commande Description

ip ips name MYIPS Crée une instance IPS

ip ips notify log Active la journalisation

ip ips signature-definition Charge les signatures

interface fa0/1 Applique l’IPS à une interface

ip ips MYIPS in
7. DMZ (Demilitarized Zone)
Commande Description

interface fa0/1 Interface vers LAN

ip address [Link] [Link]

interface fa0/2 Interface DMZ

ip address [Link] [Link]

ip nat inside Marque comme réseau interne

ip nat outside Marque comme externe (Internet)

access-list 1 permit [Link] [Link] Permet l'accès LAN

ip nat inside source list 1 interface fa0/0 Active NAT pour l’accès Internet
overload

Cours – Infrastructure PKI (Public Key

Infrastructure)
Définition
La PKI est un ensemble de technologies, politiques et procédures permettant de créer,
gérer, distribuer, utiliser, stocker et révoquer des certificats numériques et des paires de
clés publiques/privées.

Objectifs

• Garantir l'authenticité d’une entité (serveur, utilisateur, site web…).

• Assurer la confidentialité via chiffrement.

• Permettre la non-répudiation grâce à la signature numérique.

• Maintenir l’intégrité des données transmises.

Composants clés
Élément Rôle

CA (Certification Authority) Autorité chargée de délivrer et signer les

certificats numériques
RA (Registration Authority) Valide l'identité de l'entité avant l'émission
du certificat

Certificat numérique Contient la clé publique, les infos d'identité

et la signature de la CA

CRL (Certificate Revocation List) Liste des certificats révoqués avant

expiration

Clé publique / clé privée Paire cryptographique utilisée pour le

chiffrement et la signature

CSR (Certificate Signing Request) Demande d’émission de certificat

contenant la clé publique

Fonctionnement général
1. Le client génère une paire de clés (publique/privée).

2. Il envoie la clé publique à la CA via un CSR.

3. La CA signe le certificat numérique contenant la clé publique.

4. Ce certificat est ensuite utilisé pour :

- Signer numériquement des emails/documents.

- Authentifier un serveur (ex : HTTPS).

- Chiffrer des communications (VPN, SSL/TLS).