Configuration Sécurisée

Configuration Sécurisée

 

Voici un petit fichier qui vous aidera pour paramétrer vos équipements de manière sécurisé.

Les liens en gras vous dirigera vers l’article correspondant à cette ligne de commande.

 

Bonne configuration 😉

 

|==========================================================================|
|                        Hostname + Login                                  |
|==========================================================================|

 hostname XXXXXXX

 enable secret XXXXXXXXXX
 username root privi 15 secret XXXXXXXXXX

|==========================================================================|
|                               SSH                                        |
|==========================================================================|

----------------------- Génération de la clée RSA -------------------------
 ip domain-name XXXX.XXXX.XXXX
 crypto key generate rsa modulus 1024

-------------------------- Configuration SSH ------------------------------
 ip ssh time-out 120
 ip ssh authentication-retries 3
 ip ssh version 2


 banner login #
 ********************************************************************
 ***            VOUS ACCEDEZ AU RESEAU FINGERINTHENET             ***
 ********************************************************************
 ***       Tout acces ou tentative d'acces fera l'objet de        ***
 ***                   poursuites penales.                        ***
 ********************************************************************
 #

 access-list 1 remark ----- ADMIN RESEAU ----
 access-list 1 permit X.X.X.X 0.0.0.255
 access-list 1 deny any log


 line aux 0
  login
  no exec

 line con 0
  login local
  exec-timeout 3 0

 line vty 0 4
  login local
  exec-timeout 3 0
  logging synchronous
  transport input ssh
  transport output ssh
  access-class 1 in

 line vty 5 15
  login
  transport output none
  transport input none
  no exec


|==========================================================================|
|                                  VLANS                                   |
|==========================================================================|
------------------------------------- VTP ----------------------------------
 vtp domain PARIS
 vtp password PARIS
 vtp version 3
 vtp prunning

 vtp mode [client|server|transparent|off]

----------- Désactivation du VLAN 1 et Création d'un VLAN SHUTDOWN --------

 interface Vlan1
  no ip address
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  shutdown
  exit

 interface Vlan1000
  description SHUTDOWN
  no ip address
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  shutdown
  exit

--------------------------- Création du VLAN ADMIN ------------------------

 interface Vlan100
  description ADMIN_RESEAU
  ip address X.X.X.X X.X.X.X

|==========================================================================|
|                        CONFIGURATION DES INTERFACES                      |
|==========================================================================|

----------------------------- Lien INTER-SWITCHS ---------------------------

 description VERS_WAN
 switchport mode trunk
 switchport nonegotiate
 switchport trunk native vlan XX
 switchport trunk allowed vlan XXXXX
 spanning-tree guard root
 spanning-tree loop guard
 dhcp snooping trust
 duplex auto
 speed auto
 no shut

------------------------------- Ports Clients ------------------------------

 description PRISE XX-XX
 switchport mode access
 switchport access vlan XX
 switchport port-security
 switchport port-security violation restrict
 switchport port-security mac-address sticky
 spanning-tree portfast
 spanning-tree bpduguard enable
 no logging event link-status
 duplex auto
 speed auto
 no shut

------------------------------- Ports inutilisés ---------------------------

 description OFF
 switchport access vlan 1000
 switchport mode access
 shutdown

|==========================================================================|
|                              SUPERVISION SNMP                            |
|==========================================================================|


 ip access-list standard NAGVIS
  permit X.X.X.X
  deny   any log


 snmp-server community EyesOfNetwork RO ACL_SNMP
 snmp-server host X.X.X.X version 2c EyesOfNetwork
 snmp-server enable traps


|==========================================================================|
|                                    NTP                                   |
|==========================================================================|

 clock timezone FR 1
 clock summer-time FR recurring last Sun Mar 2:00 last Sun Oct 3:00

|==========================================================================|
|                            CONFIGURATION SSI                             |
|==========================================================================|

 service password-encryption
 (option)dhcp snooping
 (option)dhcp snooping vlan X
 no service dhcp
 no service finger
 no service pad
 no ip source-route
 no service tcp-small-servers
 no service udp-small-servers
 no ip bootp server
 no ip http server
 no ip http secure-server
 no cdp run
 no ip domain-lookup
 no setup express

|==========================================================================|
|                            ARCHIVAGE CONFIGURATION                       |
|==========================================================================|

 archive
 log config
   logging enable
   notify syslog contenttype plaintext
 path scp://cisco:cisco@X.X.X.X//
Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *