Crouzet Automation - em4 Ethernet Brochure, version française
3 switchport securité
1. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 1
Free Powerpoint Templates
Sécurité des ports « Switch »
Présenter par :
Djediden Med Fiad Alaa
2. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 2
Introduction
La sécurité des réseaux informatiques est un sujet essentiel pour favoriser le
développement des échanges dans tous les domaines.
la sécurité recouvre à la fois l'accès aux informations sur les postes de travail, sur les
serveurs ainsi que le réseau de transport des données.
Il peut s'agir :
d'empêcher des personnes non autorisées d'agir sur le système de façon
malveillante
d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de
nuire au système
de sécuriser les données en prévoyant les pannes
de garantir la non-interruption d'un service
3. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 3
Introduction
On distingue généralement deux types d'insécurité :
l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des
fonctionnalités du système
l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur)
d'un système ne connaît pas les dispositifs de sécurité dont il dispose
Comment se protéger ?
• se tenir au courant
• connaître le système d'exploitation
• réduire l'accès au réseau (firewall)
• réduire le nombre de points d'entrée (ports)
• définir une politique de sécurité interne (mots de passe, lancement d'exécutables)
• déployer des utilitaires de sécurité (journalisation)
4. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 4
Les types de menaces
Les attaques les plus fréquentes sur les commutateurs sont :
• inondation d’adresses MAC
• attaques par mystification
• attaques CDP
• attaques Telnet
• attaque de mot de passe en force
5. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 5
Inondation d@ MAC
submerge la table d’adresses MAC avec de fausses adresses.
Lorsque celle-ci est saturée, le commutateur fonctionne comme un hub et diffuse
toutes les trames sur tous les ports.
Une personne malveillante peut voir alors les trames transmises vers l’hote qu’il
souhaite attaquer.
6. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 6
Attaque par mystification
On active le DHCP snooping dans la configuration générale :
switch(config)#ip dhcp snooping
A partir de ce moment là tous les ports du switch sont considérés en tant que ports
« untrust ».
Pour configurer un port en tant que port de confiance, faire comme suit :
switch(config)#interface fa0/1
switch(config-if)#ip dhcp snooping trust
switch(config-if)#ip dhcp snooping limit rate 100 (on limite à 100 requêtes/seconde)
7. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 7
Attaque CDP / Telnet
CDP est un protocole propriétaire cisco qui détecte tous les périphériques
voisins ; il est activée par défaut.
Il donne des informations sur le périphériques tels que l’ad. IP, l’IOS, la
plateforme etc. Il est donc préférable de désactiver le protocole CDP.
no cdp run,no cdp enable
Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH.
L’attaque de mot de passe en force :
un pirate commence par utiliser des mots de passe courants, puis des
combinaisons de caractères pour tenter de deviner un mot de passe et
effectuer une connexion sur le commutateur.
Il est donc important d’avoir un mot de passe fort et de le modifier
régulièrement.
8. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 8
Mode du port
Quand on branche un équipement sur un switch il est soit en accès (il est dans un vlan) ou en trunk (il est
dans plusieurs vlans).
Qu’est-ce qu’un port en mode accès ?
Quand on a un équipement en mode accès c’est le switch qui gère pour lui le vlan avec lequel il
communique. On l’utilise principalement pour les machines.
Comment mettre un port en mode accès sur un switch :
Switch(conf)# interface f0/10
Switch(conf-if)# switchport mode acces
Switch(conf-if)# switchport acces vlan 10
Qu’est-ce qu’un port en mode trunk ?
Quand on a un équipement en mode trunk c’est ce dit équipement qui gère le/les vlan(s).
Ce mode est principalement utilisé pour les interconnexions entre switchs ou vers un routeur, vers un
firewall ou même vers une machine de supervision.
Comment mettre un port en mode trunk :
Switch(conf)# interface f0/10
Switch(conf-if)# switchport mode trunk
Une étiquette est placée dans l’en-téte de chaque trame au moment où celle-ci rejoint le trunk.
Lorsque la trame quitte le trunk, le switch retire l’étiquette avant de transmettre la trame à l’hote
destinataire.
9. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 9
Configuration par défaut d’un port
10. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 10
Sécurisé les ports
Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de
rassembler des informations ou de mener des attaques sur le réseau.
La sécurisation passe par la limitation du nombre d’adresses MAC utilisées sur
un port.
on peut spécifier un nombre maximum d'adresse: 1 (par défaut) à 132.
SW1(config-if)#switchport port-security maximum 2
Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, une
violation de sécurité se produit.
Il existe plusieurs façons de configurer la sécurité des ports sur un
commutateur :
• adresses MAC sécurisées statiques
• adresses MAC sécurisées dynamiques
• adresses MAC sécurisées rémanentes
11. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 11
@ mac sécurisé statique
Le mode statique : les adresses mac autorisées sont configurées manuellement à
l’aide de la commande de configuration d’interface :
S1(config)# interface fa0/15
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security mac-address ad. MAC
S1(config-if)# end
L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée
dans le running-config.
12. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 12
@ mac sécurisé dynamique
Une adresse MAC sécurisée dynamique est récupérée dynamiquement et
stockée uniquement dans la table d’adresses MAC.
c’est le premier hôte qui va se connecter et envoyer une trame qui va en être en
quelque sorte le propriétaire.
L’adresse est supprimée au redémarrage du Switch.
S1(config)# interface fa0/15
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end
13. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 13
@ mac sécurisé rémanente
Une adresse MAC sécurisée rémanente est apprise dynamiquement, puis
enregistrée dans le running-config.
S1(config)# interface fa0/15
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 10
S1(config-if)# switchport port-security sticky
S1(config-if)# end
De plus les adresses MAC sécurisées rémanentes présentes les caractéristiques
suivantes :
• l’utilisation de la commande switchport port-security sticky convertit
toutes les adresses MAC utilisées sur le port et les ajoute toute dans le
running-config.
• l’utilisation de la commande no switchport port-security sticky efface les
adresses MAC sécurisées rémanentes du running-config mais les garde
dans la table d’adresses MAC.
14. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 14
Mode de violation
On considère qu’il y a violation de sécurité lorsque l’une des situations suivantes se
présente :
• le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelle
adresse MAC tente d’accéder à l’interface.
• une adresse MAC statique ou dynamique associée à une interface tente
d’accéder à une autre interface dans le même réseau.
il existe trois modes de violation configurable sur une interface :
1. Protect : les trames sont ignorées. Aucun message de notification n’est envoyé.
2. restrict : les trames sont ignorées. Un message syslog est envoyé.
3. shutdown : Le port est immédiatement désactivé et un message syslog est
envoyé.
Le port peut être réactivé manuellement avec la commande no shutdown.
15. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 15
Vérification de la sécurité
Pour vérifier les paramètres de sécurité des ports :
S1# show port-security [interface fa0/15 ]
Par défaut, les paramètres de la sécurité des ports sont les suivants :
Pour vérifier les adresses MAC sécurisées :
S1# show port-security address [interface fa0/15 ]
Désactivation des ports inutilisés
Une méthode simple pour sécuriser un commutateur est de désactiver les ports inutilisés
avec la commande shutdown.
Il est possible de désactiver plusieurs ports en même temps avec la commande :
S1(config) # interface range fa 0/2 - 8
S1(config-if)# shutdown
16. Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 16