La majorité des préconisations se basent sur les recommandations de l'ANSSI disponible à cette adresse : https://cyber.gouv.fr/sites/default/files/2016/07/nt_commutateurs.pdf
Préconisation R23
no banner login no banner exec no banner incoming no banner motd
Préconisation R25
vtp mode off
Préconisation R32
ip arp proxy disable
Préconisation R33
no ip source-route
Préconisation R45
Si préconisation R70 appliquée, il faut spécifier une ou des adresses IP :
ntp server 10.10.100.123
Si préconisation R70 non appliquée, l'utilisation d'un nom de domaine est possible :
ntp server srv-ntp.domaine.lan
Préconisation R54
no logging console
Préconisation R69
service password-encryption
Préconisation R70
no ip domain lookup no cdp run no service dhcp
no ip bootp server no ip finger no service finger no service pad no ip source-route
Sur interface WAN :
no cdp enable no ip redirects no ip unreachables no ip directed-broadcast
line con 0 login local end
no license smart enable
no call-home no service call-home
no service password-recovery
Valable uniquement sur les “Cisco ISR 1100 Series”
Reportez-vous à ce tableau pour connaitre le numéro du subslot : https://www.cisco.com/c/en/us/td/docs/routers/access/1100/software/configuration/xe-16-7/cisco_1100_series_swcfg_xe_16_7_x/cisco_1100_series_swcfg_chapter_01010.html#concept_jtj_gzl_1bb
hw-module subslot 0/4 shutdown unpowered
Dans la configuration d'une interface, ces commandes permettent :
switchport port-security maximum 1 switchport port-security mac-address sticky switchport port-security violation protect