Cisco aide les FAI
Date : 11 Juillet 2005
Cisco a mis à jour son document " Cisco ISP Essentials " destiné aux Fournisseurs d'Accès Internet (FAI) désirant sécuriser au mieux leur infrastructure basée sur des routeurs Cisco.
Ce document se présente sous la forme d'une série de conseils sur la façon d'aborder la configuration des routeurs d'un point de vue ;
- de leur configuration générale,
- de leur gestion de la sécurité,
- de leur gestion des protocoles de routage.
Configuration générale du routeur :
Dans cette partie sont abordées les problématiques suivantes :
- Choix de la version de l'IOS adéquate,
- Mise en oeuvre de la journalisation,
- Mise en oeuvre d'un référentiel de temps (service NTP),
- Mise en oeuvre de l'administration via le protocole SNMP,
- Gestion sécurisée de l'administration via le serveur HTTP fourni avec l'équipement,
- Sauvegarde des traces " des plantages " (core dumps) des services offerts par l'équipement,
- Utilisation de l'interface " loopback ",
- Mise en oeuvre du protocole CEF (Cisco Express Forwarding) augmentant les performances du point de vue de " commutation " de paquets dans l'équipement,
- ...
Gestion de la sécurité au sein de ces équipements :
Dans cette partie sont abordées les problématiques suivantes :
- Sécurisation de l'équipement lui-même (accès sécurisés (via SSH) et limités, mots de passe, ...),
- Sécurisation des protocoles de routage,
- Sécurisation des communications :
- ACL (Access Control List),
- Turbo ACL - sorte d'ACL compilées pour accroître les performances,
- RPF (Reverse Path Forwareding) contre les DDoS,
- Mise en place de la qualité de service (QoS) - Committend Access Rate (CAR) - afin de se prémunir des attaques de type Smurf,
- ...
La gestion des protocoles de routage :
Dans cette partie sont abordées les problématiques suivantes :
- Mise en oeuvre d'un protocole de gestion de tolérance aux pannes - Hot Standby Routing Protocol (HSRP)
- Mise en oeuvre sécurisée des protocoles de routage interne (IGP), comme OSPF, et externe (EGP) comme BGP.
De plus, des exemples de configurations sécurisées ainsi qu'une liste d'utilitaires sont données dans l'annexe de ce document.
Ce document constitue une approche relativement rigoureuse des principes de sécurité au niveau des équipements réseaux mis en oeuvre par les fournisseurs d'accès.
Vous pouvez retrouver ce dernier à l'adresse : http://www.cisco.com/public/cons/isp/documents/IOSEssentialsPDF.zip