Search
Close this search box.
switch moxa eds-4000

Comment configurer le switch Moxa EDS-G4000 pour la cybersécurité du réseau OT

Les switchs Moxa EDS-4000 et EDS-G4000 sont certifiées IEC-62443-4-2, mais leur bon paramétrage reste indispensable pour obtenir un niveau de cybersécurité satisfaisant.
Ce document vous fournit donc des informations pour vous aider à cyber-sécuriser votre switch Moxa EDS-4000 ou EDS-G4000, et ainsi renforcer la sécurité de votre réseau OT.
Il fournit un bref aperçu de chaque fonctionnalité et indique où trouver les références à la documentation associée.
A la fin vous trouverez une checklist que nous vous conseillons d’imprimer et de conserver visible.

Ce document se concentre sur les mesures de sécurité recommandées qui aideront à réduire les interfaces vulnérables sur le switch Ethernet Moxa. Par conséquent, la sécurité du système et la manière de sécuriser le réseau n’entrent pas dans le cadre de ce document. La raison en est qu’une planification ou des dispositifs supplémentaires peuvent être nécessaires, comme un pare-feu pour isoler le réseau.
De plus, il convient d’envisager la planification du réseau de layer 3, mais cela sort également du cadre de ce document

Sécurité physique

Désactiver les ports inutilisés

Dès réception de l’appareil, tous les ports et emplacements SFP sont activés. Les utilisateurs doivent désactiver l’accès au réseau pour les ports et les emplacements SFP inutilisés afin d’éviter les intrusions. Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Port ->Interface de port

Désactivez le switch DIP

Si le switch DIP n’est pas requis, il est fortement recommandé de désactiver l’interface physique du switch DIP pour éviter que des modifications indésirables ne soient apportées au réseau. Veuillez lire la section suivante dans le manuel de l’EDS-4000 et de l’EDS-G4000 ples instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Sécurité -> Sécurité des appareils ->Accès au matériel

Sécurité du réseau

VLAN

La segmentation du réseau avec des VLAN crée un ensemble de réseaux isolés au sein du réseau industriel. Chaque réseau est un domaine de diffusion distinct. Avec une configuration appropriée, la segmentation VLAN entrave gravement l’accès aux surfaces d’attaque du système. Elle réduit les capacités de détection de paquets et rend plus difficile le piratage du réseau.
Un VLAN dédié garantit que les paquets de contrôle du réseau sont transmis sur un VLAN distinct, ce qui rend beaucoup plus difficile la modification par les utilisateurs non autorisés et minimise l’impact. des tempêtes de diffusion. Les conseils suivants peuvent être pris en compte lors de la planification du VLAN :

  • Il n’est pas recommandé d’utiliser le VLAN 1 comme VLAN de gestion ou de segmenter le réseau, car les utilisateurs prévus peuvent y accéder. vers d’autres VLAN.
  • Séparez les zones ou systèmes sensibles du reste du réseau lors de l’utilisation de VLAN. Cela diminue la probabilité que les utilisateurs accèdent aux informations sur ces clients et serveurs.
  • Désactiver ports de switch inutilisés et attribuez-leur un numéro de VLAN inutilisé autre que le VLAN 1 pour empêcher que ce VLAN soit activé par un attaquant qui pourrait ensuite accéder au VLAN.

Veuillez lire la section suivante dans le manuel pour Séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web – >Commutation de couche 2 ->IEEE 802.1Q

QoS

Pour éviter de perturber le fonctionnement normal du switch, les administrateurs doivent configurer la fonction QoS.
L’appareil prend en charge Arrêt du port d’entrée.
Les administrateurs peuvent décider comment gérer le flux de données excessif et configurer l’appareil en conséquence.
La qualité de service (QoS) est un mécanisme qui contrôle le trafic et régule le trafic réseau global en donnant la priorité aux applications qui nécessitent une priorité réseau.
En utilisant la QoS, les applications peuvent être grandement améliorées sur le réseau, notamment en termes de vitesse, de latence, de perte et de transmission des paquets. Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Commutation de couche 2 ->QoS

Contrôle des tempêtes de trafic

Une tempête de trafic peut se produire lorsque des paquets inondent le réseau ; cela provoque un trafic excessif et ralentit les performances du réseau. Pour contrer cela, Traffic Storm Control fournit un mécanisme efficace pour empêcher le réseau d’être inondé par une tempête de trafic de diffusion, de multidiffusion ou de monodiffusion sur une couche réseau physique. La fonctionnalité peut gérer les paquets provenant des données d’entrée et de sortie.
Remarque : Veuillez faire attention aux paramètres de seuil dans le contrôle des tempêtes de trafic, en particulier si l’application est exécutée en diffusion. Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Sécurité ->Sécurité du réseau ->Contrôle des tempêtes de trafic

Désactiver GVRP

Le protocole d’enregistrement de VLAN GARP (GVRP) peut être utilisé pour configurer dynamiquement des VLAN dans un appareil. Cependant, cela crée également une surface d’attaque potentielle. Nous recommandons aux utilisateurs de désactiver cette fonction si elle n’est pas utilisée. Cette fonction est désactivée par défaut.
Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Commutation de couche 2 ->VLAN ->IEEE 802.1Q

Désactiver GMRP

Le protocole d’enregistrement multicast GARP (GVRP) peut enregistrer des adresses MAC de groupe.
Cependant, cela crée également une surface d’attaque potentielle.
Nous recommandons aux utilisateurs de désactiver cette fonction si elle n’est pas utilisée. Cette fonction est désactivée par défaut.
Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la procédure à suivre.

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Commutation de couche 2 ->Multidiffusion ->GMRP

Désactiver le service DHCP

Les services DHCP doivent être désactivés s’ils ne sont pas requis, car cela aidera à prévenir les attaques potentielles via le service DHCP.
Veuillez lire la section suivante dans le manuel. pour les séries EDS-4000 et EDS-G4000pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Système ->Réseau ->Serveur DHCP

Sécurité du service de gestion

Synchronisation de l’heure du réseau

La synchronisation de l’heure du réseau est requise pour les fonctionnalités de sécurité, telles que comme si le certificat est toujours valide ou à des fins syslog.
Pour augmenter la sécurité de la synchronisation de l’heure du réseau, nous vous suggérons de planifier une politique globale de synchronisation de l’heure du réseau.
La série EDS-4000 prend en charge NTP pour synchroniser l’heure du réseau.

Serveur de temps  : Lorsque NTP est activé, le serveur de temps doit être configuré afin que les horodatages puissent être corrélés avec précision. L’appareil peut configurer deux serveurs de temps différents, l’un pour le point de synchronisation principal tandis que l’autre est le serveur de sauvegarde si le premier serveur ne parvient pas à se connecter. Nous vous suggérons de configurer deux serveurs pour augmenter la fiabilité de la synchronisation.

Authentification NTP Activez la fonction d’authentification pour empêcher les attaquants malveillants de modifier les données du paquet d’horloge. Si l’authentification NTP est configurée, elle permet au client NTP de vérifier que le serveur est connu et peut authentifier les switchs en toute sécurité, ce qui améliore la sécurité du réseau.

Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Système ->Heure

SNMP v3

SNMP v3 améliore la sécurité des opérations SNMP en aidant à fournir un accès à distance sécurisé aux appareils et authentifie les données tout en offrant la possibilité de crypter les données sur le réseau.
SNMP v3 contient deux aspects de sécurité :
Authentification : lorsque cette fonction est activée, le paquet SNMP doit être authentifié. La série EDS-4000/G4000 prend en charge MD5 et SHA.

Cryptage des données : améliorez la confidentialité des données avec une clé de cryptage des données.

La série EDS-4000/G4000 prend en charge DES et AES. Les configurations par défaut d’un switch Ethernet Moxa sont : SNMP v1, v2. Veuillez lire la section suivante dans le manuel pour EDS-4000 et EDS- Série G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Gestion -> Gestion du réseau ->SNMP

Mise en miroir des ports

La mise en miroir des ports permet aux utilisateurs de surveiller les données réseau transmises via un port spécifique.
Vous pouvez ensuite transmettre ce trafic vers un port de destination sur le même appareil. La mise en miroir des ports est fréquemment utilisée sur les réseaux. La mise en miroir des ports copie les données d’un ou plusieurs ports sources et envoie les données copiées vers une ou plusieurs destinations pour analyse par un analyseur de réseau ou un autre périphérique de surveillance. Cependant, le trafic d’un port source ne peut être copié que vers un seul port de destination. La mise en miroir des ports n’affecte pas le flux de trafic sur les ports sources et permet au trafic mis en miroir d’être envoyé vers un port de destination.

L’IDS/IPS du réseau doit être capable d’inspecter le trafic réseau des utilisateurs afin pour remplir avec succès leurs fonctions. L’utilisation d’une configuration de mise en miroir des ports est un excellent moyen de répondre à ces exigences. Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Diagnostic ->Mise en miroir des ports

Journal des événements et syslog

Le journal des événements vous offre une visibilité sur les opérations d’un appareil et du réseau sur lequel il est déployé. En raison de la capacité de stockage limitée, le journal des événements ne peut contenir qu’un maximum de 10 000 entrées. Les administrateurs peuvent définir un avertissement pour un seuil prédéfini. Nous recommandons aux utilisateurs de sauvegarder régulièrement les journaux d’événements système.
Le serveur Syslog permet de corréler et d’auditer plus efficacement les événements réseau et de sécurité sur les périphériques réseau. Veuillez noter que les messages Syslog ne sont pas transmis de manière fiable par UDP et en texte clair.
L’application Syslog peut envoyer des messages sur le réseau à l’aide du protocole Transport LayerSecurity (TLS). Ajoutez la certification et la clé pour protéger la connexion entre le serveur Syslog et le client. Veuillez lire les sections suivantes dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Diagnostics ->Notification d’événement ->Configuration de l’interface Web Syslog ->Diagnostics ->Diagnostic ->Événement Journal

Créer un fichier de configuration de sauvegarde

Créez un fichier de configuration de sauvegarde lorsque les configurations de l’appareil sont terminées. Il peut être sauvegardé sur le configurateur de sauvegarde ABC-02 ou dans un fichier séparé sauvegardé dans un dossier spécifique. Lors de la sauvegarde du fichier de configuration, nous vous suggérons de chiffrer le fichier de configuration de sauvegarde pour améliorer la confidentialité et de signer le fichier de configuration de sauvegarde pour améliorer l’intégrité et l’authenticité.
Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour les instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Système ->Gestion du système ->Configurer la sauvegarde et la restauration

Sécurité d’accès

Sécurité du port

Limiter l’accès au port en utilisant une adresse MAC spécifique peut augmenter la sécurité de l’appareil.
L’adresse MAC peut être attribuée dynamiquement ou manuellement.
Verrouillage de port statique : l’utilisateur spécifie manuellement une liste d’adresses MAC pour le port.MAC Sticky : le port peut apprendre au maximum le nombre maximum, qui est définies par les utilisateurs, des adresses MAC.
Lorsqu’il est déterminé qu’un paquet provenant d’une adresse MAC ne figure pas dans la liste éligible du port, l’action suivante sera prise :
Arrêt du port : le port sera s’arrêtera une fois qu’une violation se produit.
Abandon de paquet : le paquet sera abandonné une fois qu’une violation se produit.

Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour plus de détails. instructions sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Sécurité du réseau ->Sécurité des ports

Contrôle d’accès au réseau basé sur le port 802.1X

Les appareils qui tentent de se connecter à un réseau local nécessitent un mécanisme d’authentification. IEEE802.1X, une norme IEEE pour le contrôle d’accès réseau basé sur les ports (PNAC), fournit une authentification protégée pour un accès réseau sécurisé.

La norme IEEE 802.1X définit un protocole pour le contrôle d’accès basé sur client/serveur et authentification. Le protocole empêche les clients non autorisés de se connecter à un réseau local via des ports ouverts sur Internet et qui autrement seraient facilement accessibles. Le but du serveur d’authentification est de vérifier chaque client qui demande l’accès au port. Le client n’est autorisé à accéder au port que si l’autorisation du client est authentifiée.

Trois composants sont utilisés pour créer un mécanisme d’authentification basé sur les normes 802.1X : Client/Supplicant, Serveur d’authentification et Authentificateur.
Client/Supplicant : station d’extrémité qui demande l’accès aux services du réseau local et du switch et répond aux demandes du switch. Serveur d’authentification : le serveur qui effectue l’authentification réelle du demandeur.
Authentificateur : switch Edge ou point d’accès sans fil qui agit comme un proxy entre le demandeur et le serveur d’authentification, demandant des informations d’identité au demandeur, vérifiant les informations auprès du serveur d’authentification et relayant une réponse au demandeur.

Le switch Moxa agit comme un authentificateur dans un environnement 802.1X où un demandeur et un authentificateur échangent des trames EAPOL (Extensible Authentication Protocol over LAN). Nous pouvons soit utiliser un serveur RADIUS externe comme serveur d’authentification, soit implémenter le serveur d’authentification dans le switch Moxa en utilisant une base de données d’utilisateurs locale comme table de recherche d’authentification. Lorsque nous utilisons un serveur RADIUS externe comme serveur d’authentification, l’authentificateur et le serveur d’authentification échangent des trames EAP. L’authentification peut être initiée soit par le demandeur, soit par l’authentifiant. Lorsque le demandeur lance le processus d’authentification, il envoie une trame EAPOL-Start à l’authentificateur. Lorsque l’authentificateur lance le processus d’authentification ou lorsqu’il reçoit une trame de démarrage EAPOL, il envoie une trame de requête/identité EAP pour demander le nom d’utilisateur du demandeur.

Veuillez lire la section suivante dans le manuel d’EDS. -Séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Sécurité ->Sécurité du réseau ->IEEE 802.1X

Liste d’accès IP de confiance

De confiance L’accès est un mécanisme permettant de fournir une connexion sécurisée à l’appareil. Une fois configurées et activées, seules les adresses IP répertoriées peuvent accéder à l’appareil.

Remarque : veuillez vous assurer que la console de gestion est configurée dans la liste d’accès IP approuvés.

Veuillez lire la section suivante. dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Sécurité ->Sécurité des appareils ->Accès approuvé

Message de connexion

Dans certaines régions, les utilisateurs malveillants ne peuvent être poursuivis que s’ils ont été informés qu’ils le sont. pas autorisé à utiliser le système. Ce message peut être affiché sous forme de message contextuel sur l’écran de connexion de votre appareil Moxa. Afin de fournir des informations significatives, un conseiller juridique doit être consulté au sujet des notifications légales. Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Système ->Gestion du compte ->Politique de mot de passe

Échec de connexion au compte lockout

Le verrouillage en cas d’échec de connexion au compte verrouillera le compte d’utilisateur local si le mot de passe est saisi de manière incorrecte plus de fois que le seuil d’échec de nouvelle tentative défini.
Remarque : cette configuration s’applique aux applications Web, CLI et série. .Les paramètres suivants peuvent être configurés pour le mécanisme de verrouillage en cas d’échec de connexion de l’utilisateur :

Le nombre maximum d’échecs de connexion jusqu’à ce que l’appareil se verrouille.
Le temps de gel si le nombre d’échecs est atteint

Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000. Série :
Configuration de l’interface Web ->Système ->Gestion de compte ->Politique de mot de passe

Clé SSH

Par défaut, l’appareil Moxa contient une paire de clés d’hôte SSH. La clé hôte SSH utilise le cryptage AES256 et AES 192. Il est recommandé de régénérer la clé pour remplacer la clé par défaut. Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Sécurité ->SSH et amp; SSL ->SSH

Certificat SSL

Nous vous recommandons d’utiliser un certificat signé par l’autorité de certification pour améliorer la sécurité. Configurez les paramètres suivants et suivez les étapes ci-dessous pour importer le certificat.
1. Exportez le fichier CSR du switch et fournissez-le à l’autorité de certification pour générer le certificat.
2. Importez le certificat signé par l’autorité de certification sur le switch. Il est recommandé d’utiliser le certificat certifié pour remplacer le certificat par défaut.
Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées. sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Sécurité ->SSH & SSL ->SSH2.4.8 Désactiver les interfaces non sécuriséesNous recommandons de désactiver tous les services non utilisés, car ils peuvent être utilisés pour lancer des aDoS et d’autres types d’attaques.
Ce qui suit inclut la liste des services qui doivent être désactivés s’ils ne sont pas utilisés.

 Configuration recommandéeConfiguration par défaut
SNMP v1DésactivéActivé
SNMP v2DésactivéActivé
TelnetDésactivéDésactivé
HTTP DésactivéDésactivéActivé (redirection vers HTTPS)
liste des services qui doivent être désactivés s’ils ne sont pas utilisés.

Veuillez lire la section suivante dans le Manuel pour les séries EDS-4000 et EDS-G4000 pour les instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Interface Web Configuration -> Sécurité -> Sécurité de l’appareil -> Interface de gestion

Sécurité de l’authentification de l’utilisateur

Authentification de connexion

L’appareil Moxa prend en charge à la fois l’authentification du compte local et un mécanisme centralisé à distance.
Le mécanisme d’authentification centralisé à distance comprend Terminal AccessController Access Control System Plus (TACACS+) et Remote Authentication Dial In UserService (RADIUS) pour valider les utilisateurs qui tentent d’accéder au périphérique via la console, l’interface graphique Web ou Telnet. TACACS+ est un protocole d’authentification à distance, qui permettra à un utilisateur distant de communiquer avec le serveur d’authentification pour donner à l’utilisateur l’accès au périphérique réseau.
Ces utilisateurs peuvent accéder aux appareils Moxa via SSH, HTTPS ou Telnet. RADIUS est un protocole similaire à TACACS+. Cependant, RADIUS chiffre uniquement le mot de passe, mais pas la totalité de la charge utile. En revanche, TACACS+ chiffre des charges utiles entières, qui incluent à la fois le nom d’utilisateur et le mot de passe. Les paramètres suivants doivent être pris en compte lors de l’autorisation de connexion locale ou de la configuration de TACACS+ ou RADIUS.
Connexion autorisée localement, ou TACACS+, ou RADIUS
Le Adresse IP du serveur d’authentification

Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel pour les séries EDS-4000 et EDS-G4000 :
Configuration de l’interface Web ->Sécurité ->Sécurité du réseau ->IEEE 802.1xNoteLes appareils Moxa offrent plusieurs méthodes de configuration.

Veuillez remarque : des méthodes de configuration simples ou multiples peuvent être utilisées.
Lorsque l’appareil ne peut s’authentifier que via TACACS+ou RADIUS, les utilisateurs ne peuvent pas se connecter à l’appareil lorsque le serveur d’authentification perd la connexion.

Politique de mot de passe

Les mots de passe contrôlent l’accès à appareils et autorisez la demande lorsque le mot de passe correspond. Nous vous recommandons fortement de modifier le mot de passe par défaut et d’utiliser un mot de passe fort pour augmenter la sécurité du compte. Lorsque vous vous connectez à l’appareil pour la première fois, l’appareil vous demandera de modifier le mot de passe par défaut. La politique de mot de passe suivante peut être appliquée dans la série EDS-4000/G4000 :

Au moins un chiffre
Au moins une lettre majuscule
Au moins une lettre minuscule
À au moins un caractère spécial

De plus, la durée de vie maximale du mot de passe peut être activée pour garantir que l’utilisateur change le mot de passe tous les nombres de jours définis.

Nom d’utilisateurMot de passe par défautRôle d’accès
adminmoxaAdmin
Gestion des MDPs

Veuillez lire la section suivante dans le manuel des séries EDS-4000 et EDS-G4000 pour obtenir des instructions détaillées sur la façon de procéder :

Manuel des séries EDS-4000 et EDS-G4000 :
Web Configuration de l’interface -> Système -> Gestion de compte -> Politique de mot de passe

Checklist pour paramétrer les EDS-4000 EDS-G-4000 afin de renforcer la cybersécurité

Cette liste de contrôle est une collection de tous les renforcements étapes présentées dans ce guide. Les utilisateurs peuvent l’utiliser comme rappel de toutes les fonctionnalités de renforcement disponibles qui peuvent être utilisées pour la série EDS-4000/G4000.

Sécurité physique

  • Désactiver les ports réseau inutilisés
  • Désactiver le switch DIP

Sécurité réseau

  • Modifier la valeur par défaut VLAN de gestion
  • Utiliser le VLAN pour segmenter les services les plus sensibles
  • Désactiver GVRP
  • Désactiver GMRP
  • Désactiver le service DHCP
  • Configurer la QoS pour les applications hautement prioritaires
  • Activer le contrôle des tempêtes de trafic

Sécurité du service de gestion

  • Configurer NTP avec authentification pour deux serveurs NTP de confiance
  • Configurer SNMP v3
  • Configurer le message Syslog sur deux serveurs de confiance avec horodatage
  • Sauvegarder périodiquement le fichier de configuration

Sécurité d’accès

  • Configurer Static Port Lock ou MAC Sticky
  • Régénérer périodiquement la clé SSH
  • Importer le certificat SSL signé par la certification autorité
  • Désactivez les interfaces non sécurisées ou inutilisées (Telnet, http…etc.)
  • Configurez la liste IP pouvant accéder à l’appareil
  • Configurez l’échec de connexion au compte verrouillage
  • Configurez la bannière de connexion qui s’affiche avant la connexion pour avertir l’utilisateur d’une utilisation non autorisée

Authentification de l’utilisateur

  • Modifier la valeur par défaut password
  • Configurer la politique de mot de passe telle que la longueur minimale, les majuscules… etc.
  • Configurer la politique de durée de vie du mot de passe
  • Configurer l’authentification centralisée à distance TACACS+ ou RADIUS