Opérations réseau sécurisées

La sécurisation des opérations du réseau est un sujet important. Bien que la plus grande partie de ce document soit dédiée à la configuration sécurisée d’un périphérique Firepower 4100/9300 exécutant FXOS, les configurations à elles seules ne sécurisent pas complètement un réseau. Les procédures opérationnelles utilisées sur le réseau, ainsi que les personnes qui gèrent le réseau, contribuent aussi à la sécurité que la configuration des périphériques sous-jacents.

Les sections suivantes contiennent des recommandations opérationnelles qu’il est conseillé aux administrateurs FXOS de mettre en œuvre. Ces sections mettent en évidence des domaines critiques des opérations du réseau et ne sont pas complètes.

Supervision des avis de sécurité Cisco

L’équipe chargée de traiter les incidents liés à la sécurité des produits Cisco (PSIRT) crée et tient à jour des publications, communément appelées « Cisco Security Advisories » (avis de sécurité Cisco), sur les problèmes de sécurité des produits Cisco. Les avis de sécurité sont disponibles sur http://www.cisco.com/go/psirt.

Pour en savoir plus sur les rapports de vulnérabilités de Cisco PSIRT, consultez la Politique sur les failles de sécurité de Cisco.

Pour maintenir un système sécurisé, les administrateurs Cisco FXOS doivent être conscients des informations communiquées dans les avis de sécurité Cisco. Une connaissance détaillée de la vulnérabilité est nécessaire avant d’évaluer la menace que la vulnérabilité peut présenter pour un réseau. Pour obtenir de l’aide sur ce processus d’évaluation, voir Triage des risques pour les annonces sur les failles de sécurité.

Passer à la dernière version de FXOS

Des mises à jour de sécurité importantes sont incluses dans chaque nouvelle version groupée de la plateforme de FXOS. Nous vous recommandons de mettre à jour votre système FXOS à la dernière version disponible dès que possible.

Pour en savoir plus sur la compatibilité et les chemins de mise à niveau pris en charge pour FXOS dans diverses configurations, consultez le guide de compatibilité de Cisco Firepower 4100/9300 FXOS et le Guide de mise à niveau de Cisco Firepower 4100/9300 sur Cisco.com.

Personnaliser la bannière de pré-connexion

Vous pouvez spécifier le message que FXOS affiche aux utilisateurs avant qu’ils se connectent au Firepower Chassis Manager ou à l’interface de ligne de commande de FXOS. Du point de vue du renforcement, ce message devrait être utilisé pour dissuader tout accès non autorisé.

L’exemple d’interface de ligne de commande suivant crée une bannière de pré-connexion pour le gestionnaire de châssis FXOS et l’interface de ligne de commande FXOS : 

Firepower-chassis# scope security
Firepower-chassis /security # scope banner
Firepower-chassis /security/banner # create pre-login-banner
Firepower-chassis /security/banner/pre-login-banner* # set message
Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort.
Enter prelogin banner:
>UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED
 You must have explicit, authorized permission to access or configure this device.
 Unauthorized attempts and actions to access or use this system may result in civil and/or 
criminal penalties.
>ENDOFBUF
Firepower-chassis /security/banner/pre-login-banner* # commit-buffer
Firepower-chassis /security/banner/pre-login-banner #

Activer le mode Common Criteria ou FIPS

Si votre organisation est tenue de n’utiliser que des équipements et des logiciels conformes aux normes de sécurité établies par le ministère américain de la défense ou d’autres organismes de certification gouvernementaux, vous pouvez activer le mode Common Criteria ou FIPS pour appliquer plusieurs changements de renforcement avec un seul paramètre. Notez que si votre organisation n’est pas tenue de se conformer aux normes de conformité des certifications de sécurité, vous pouvez toujours activer les modes FIPS ou Common Criteria pour FXOS, mais sachez que cela peut entraîner des problèmes de compatibilité sur votre appareil.

Les options pour activer le mode Common Criteria ou FIPS apparaissent sous Platform Settings (Paramètres de plateforme) > FIPS/Common Criteria (FMC/Critères communs) en mode dans l’interface Web Firepower Chassis Manager.


Remarque

  • L’activation de la conformité aux certifications de sécurité ne garantit pas le respect strict de toutes les exigences du mode de sécurité sélectionné. Les paramètres supplémentaires recommandés pour renforcer votre déploiement au-delà de ceux fournis par les modes Common Criteria ou FIPS sont décrits dans ce document. Pour des informations complètes sur les procédures de renforcement requises pour une conformité totale, se référer aux lignes directrices pour ce produit fournies par l’entité de certification.

  • Utilisez un outil conforme aux FIPS pour l’accès aux périphériques lorsque FIPS, Common Criteria ou les deux sont activés.

Sécuriser le protocole de temps réseau (NTP)

Il est fortement recommandé d’utiliser un serveur NTP (Network Time Protocol) de confiance pour synchroniser l’heure du système sur votre Firepower 4100/9300 FXOS et ses serveurs associés.

Pour activer NTP pour FXOS, vous devez d’abord générer des ID de clé NTP et des valeurs de clé, puis ajouter le serveur NTP au châssis FXOS à l’aide du flux de travail suivant dans FXOS Chassis Manager : Platform Settings > Set Time Source > Use NTP Server . Pour renforcer le NTP, configurez l’authentification du serveur NTP.

Pour des instructions complètes sur la configuration d’un serveur NTP et de l’authentification par serveur NTP pour FXOS, consultez la rubrique Réglage de la date et de l’heure à l’aide de NTP du chapitre des paramètres de la plateforme du Guide de configuration de l’interface de ligne de commande Cisco Firepower 4100/9300 FXOS.


Remarque

  • Lorsqu’elle est activée, la fonctionnalité d’authentification NTP est globale pour tous les serveurs configurés associés à FXOS.

  • Seul SHA1 est pris en charge pour l’authentification du serveur NTP.

  • Vous avez besoin de l’ID de clé et de la valeur de clé pour authentifier un serveur. L’ID de clé est utilisée pour indiquer au client et au serveur quelle valeur de clé utiliser lors du calcul du condensé du message. La valeur de clé est une valeur fixe qui est dérivée à l’aide de ip-keygen.

Sécuriser le système de noms de domaine (DNS)

Les ordinateurs qui communiquent entre eux dans un environnement en réseau dépendent du protocole DNS pour établir une correspondance entre les adresses IP et les noms d’hôtes.

Le DNS peut être sensible à des types d’attaques précises conçues pour tirer parti des points faibles d’un serveur DNS qui n’est pas configuré en tenant compte de la sécurité. Assurez-vous que votre serveur DNS local est configuré conformément aux bonnes pratiques de sécurité recommandées par l’industrie. Cisco propose des lignes directrices dans ce document : https://www.cisco.com/c/en/us/about/security-center/dns-best-practices.html.

Exploiter l’authentification, l’autorisation et la comptabilité

Le cadre Authentification, Autorisation et Comptabilité (AAA) est essentiel pour sécuriser l’accès interactif aux périphériques réseau. Le cadre AAA fournit un environnement hautement configurable qui peut être adapté selon les besoins du réseau.

RADIUS et TACACS+ sont tous deux pris en charge sur le système FXOS. TACACS+ chiffre l’ensemble des données utiles TCP, qui comprend le nom d’utilisateur et le mot de passe. Radius chiffre uniquement le mot de passe. De plus, TACACS+ permet l’autorisation de commande, tandis que RADIUS ne fournit que l’authentification et la traçabilité. Par conséquent, nous vous suggérons d’utiliser TACACS+ pour une sécurité d’authentification maximale.

En outre, vous pouvez utiliser LDAP pour l’authentification des utilisateurs. Pour chiffrer l’échange d’authentification LDAP, utilisez l’option CLI pour utiliser SSL. 

Firepower/security/ldap/server # set ssl yes

Pour en savoir plus et pour connaître les procédures complètes sur la configuration de AAA, consultez la section « Configuration de AAA » du chapitre des paramètres de la plateforme du Guide de configuration de l’interface de ligne de commande Cisco Firepower 4100/9300 FXOS.

Utiliser des protocoles sécurisés

Cisco FXOS utilise de nombreux protocoles pour acheminer des données de gestion de réseau sensibles. Vous devez utiliser des protocoles sécurisés dans la mesure du possible. Un choix de protocole sécurisé comprend l’utilisation de SSH au lieu de Telnet afin que les données d’authentification et les informations de gestion soient chiffrées. En outre, vous devez utiliser des protocoles de transfert de fichiers sécurisés lorsque vous copiez des données de configuration. Par exemple, l’utilisation du protocole Secure Copy Protocol (SCP) au lieu de FTP ou TFTP. Pour en savoir plus sur l’utilisation des protocoles sécurisés, consultez la section Plan de gestion de ce document.

Gestion de la configuration

La gestion de la configuration est un processus par lequel les modifications de configuration sont proposées, examinées, approuvées et déployées.

La configuration d’un appareil Cisco FXOS contient de nombreux détails sensibles, notamment les noms d’utilisateur, les mots de passe et le contenu des listes de contrôle d’accès (ACL). Le référentiel utilisé pour archiver les configurations des périphériques Cisco FXOS doit être sécurisé et l’accès doit être limité aux rôles et aux fonctions nécessitant un accès. Un accès non sécurisé à ces informations peut compromettre la sécurité de l’ensemble du réseau.