2.
Paramètres de base
i. Nom du routeur
Il convient de donner un nom à notre routeur. Ce n'est
naturellement pas indispensable, mais facilite l'administration, puisque ce nom
sera disponible en SNMP et visible dans les différentes interfaces de
configuration du routeur :
La figure ci-haut montre comment changer le nom du routeur.
Figure 23 : Nom du routeur
ii. Login et mot de passe
d'administration
Nous allons maintenant sécuriser notre routeur, tout
d'abord en changeant le login administratif et en lui donnant un mot de passe
(sérieux...) :
La commande /user set adminname=samy permet de
changer le login admin en samy et après avoir changé le login
administrateur prière de redémarrer le routeur à l'aide de
la commande /system reboot.
Figure 24 : Login
La commande /passwordpermet de
déterminer le mot de passe du routeur et le valider sur la touche
entrer.
Figure 25 : Password
iii. Services
accessibles sur le routeur
Nous déterminons maintenant quels services doivent
être accessibles pour la configuration. En particulier pour un routeur
accessible depuis l'internet (sur un réseau et une adresse publique), il
convient de bloquer les services peu sûrs car non encryptés
(telnet, http), et de changer le port d'accès des services
sécurisés qui restent activés car
nécessaires :
La commande /ip service setpermet de
configurer les services accessibles sur le routeur ; ainsi nous avons pu
configurer cinq services comme l'explique la figure ci-dessous.
Figure 26 : Les services accessibles
Il ne s'agit ici que d'exemples, à adapter en fonction
de l'environnement du routeur et des contraintes de sécurité. La
liste des services, de leur état et du port sur lequel ils
écoutent peut être obtenue au moyen de la commande /ip
service print, le préfixe x signifie que le service est
désactivé :
Figure 27 : Services
configurés
iv. Interfaces et adresses IP
Un routeur, par définition, transfère des
paquets d'un (sous-)réseau à un autre. Dans le cas le plus
général, chaque interface du routeur est connectée
à un réseau différent, et dispose d'une adresse IP faisant
partie de ce réseau. Le mot "interface" est à interpréter
largement : il peut s'agir d'un port physique câblé (RJ45) ou
Wifi, d'un VLAN, d'un tunnel, d'une interface VRRP, etc.
|