SecuLayer2

  • Pour ne pas faire de trunk
switchport mode access
  • Pour activer le port security
switchport port-security
  • Show pour les port secu
show port-security
show port-security interface fa0/1
  • Attention pour activer les ports, apres le port-security

A savoir que si il y a plusieurs mac sur un port du switch, le port-security bloc directement et le shutdown

shutdown=> no shutdownsur l’interface

  • Mettre mec static sur une interface
switchport port-security maximum 4
switchport port-security mac-address 000c.29ca.3b90

 

  • IP dhcp snooping

Start :

conf t
ip dhcp snooping vlan1

Authorisation sur l interface :

conf t
int fa0/2
ip dhcp snooping trust
ip dhcp snooping limit rate 100

show :

ctrl c
show ip dhcp snooping

 

  • Creation du NPS pour le switch
  • Client Radius

  • Network Policies

Network Policies : New

Create groupe : cisco_admin : ici

Ce type de port est utilisé entre-autre pour telnetet SSH. En vous renseignant dans les «events» microsoft ou les logs radius sur votre équipement Cisco, vous pourreztrouver le type de port à utiliser pour les connections console

Supprimer le reste des attributs

Finalement, dans les paramètres de configuration, ajoutez un attribut Radius pour le type Vendor Specific.

L’attribut en question sera Cisco-AV-Pair.

La valeur de l’attribut sera shell:priv-lvl=15

Ceci indiquera au switch qu’il doit exécuter les commandes avec un niveau de privilège de 15.

Pour info:

privilege level 1 = non-privileged (prompt isrouter>), the default level for logging in

privilege level 15 = privileged (prompt isrouter#), the level after going into enable mode

privilege level 0 = seldom used, but includes 5 commands:disable,enable,exit,help, andlogout

 

  • Sur le Cisco

Activer des nouvelles sur l'authentification

aaa new-model

Info du server Radius

radius-server host 10.10.10.1 key toor

Permettre encore l'authentification par mot de passe  enable

aaa authentification login default group radius enable

Activer le ssh sur le switch

line vty 0 15
transport input ssh

L'authentification au mode privileged EXEC

aaa authentification enable default group radius enable

Determinez par radius les droits utilisateur

aaa authorization exec default group radius if-authenticated

Ajouter l'AD et generer une cle RSA 1024bits

ip domain-name lol.me
crypto key generate rsa
1024

 

  • Connection en console avec radius

Cree un utilisateur $enab15$ dans l'AD