3 switchport securité

Pour plus de modèles : Modèles Powerpoint PPT gratuits

Free Powerpoint Templates

Sécurité des ports « Switch »Présenter par :

Djediden Med Fiad Alaa

http://www.modeles-powerpoint.fr/

http://www.powerpointstyles.com/


Introduction

La sécurité des réseaux informatiques est un sujet essentiel pour favoriser le

développement des échanges dans tous les domaines.

la sécurité recouvre à la fois l'accès aux informations sur les postes de travail, sur les

serveurs ainsi que le réseau de transport des données.

Il peut s'agir :

d'empêcher des personnes non autorisées d'agir sur le système de façon

malveillante

d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de

nuire au système

de sécuriser les données en prévoyant les pannes

de garantir la non-interruption d'un service



Introduction

On distingue généralement deux types d'insécurité :

l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des

fonctionnalités du système

l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur)

d'un système ne connaît pas les dispositifs de sécurité dont il dispose

Comment se protéger ?

• se tenir au courant

• connaître le système d'exploitation

• réduire l'accès au réseau (firewall)

• réduire le nombre de points d'entrée (ports)

• définir une politique de sécurité interne (mots de passe, lancement d'exécutables)

• déployer des utilitaires de sécurité (journalisation)



Les types de menaces

Les attaques les plus fréquentes sur les commutateurs sont :

• inondation d’adresses MAC

• attaques par mystification

• attaques CDP

• attaques Telnet

• attaque de mot de passe en force



Inondation d@ MAC

submerge la table d’adresses MAC avec de fausses adresses. Lorsque celle-ci est saturée, le commutateur fonctionne comme un hub et diffuse toutes les trames sur tous les ports. Une personne malveillante peut voir alors les trames transmises vers l’hote qu’il souhaite attaquer.



Attaque par mystification

On active le DHCP snooping dans la configuration générale :

switch(config)#ip dhcp snooping

A partir de ce moment là tous les ports du switch sont considérés en tant que ports

« untrust ».

Pour configurer un port en tant que port de confiance, faire comme suit :

switch(config)#interface fa0/1

switch(config-if)#ip dhcp snooping trust

switch(config-if)#ip dhcp snooping limit rate 100 (on limite à 100 requêtes/seconde)



Attaque CDP / Telnet

CDP est un protocole propriétaire cisco qui détecte tous les périphériques voisins ; il est activée par défaut. Il donne des informations sur le périphériques tels que l’ad. IP, l’IOS, la

plateforme etc. Il est donc préférable de désactiver le protocole CDP. no cdp run,no cdp enable

Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH. L’attaque de mot de passe en force :

un pirate commence par utiliser des mots de passe courants, puis des combinaisons de caractères pour tenter de deviner un mot de passe et effectuer une connexion sur le commutateur.

Il est donc important d’avoir un mot de passe fort et de le modifier régulièrement.



Mode du port

Quand on branche un équipement sur un switch il est soit en accès (il est dans un vlan) ou en trunk (il est dans plusieurs vlans).Qu’est-ce qu’un port en mode accès ?Quand on a un équipement en mode accès c’est le switch qui gère pour lui le vlan avec lequel il communique. On l’utilise principalement pour les machines.Comment mettre un port en mode accès sur un switch :

Switch(conf)# interface f0/10Switch(conf-if)# switchport mode accesSwitch(conf-if)# switchport acces vlan 10

Qu’est-ce qu’un port en mode trunk ? Quand on a un équipement en mode trunk c’est ce dit équipement qui gère le/les vlan(s). Ce mode est principalement utilisé pour les interconnexions entre switchs ou vers un routeur, vers un firewall ou même vers une machine de supervision.Comment mettre un port en mode trunk :

Switch(conf)# interface f0/10Switch(conf-if)# switchport mode trunk

Une étiquette est placée dans l’en-téte de chaque trame au moment où celle-ci rejoint le trunk. Lorsque la trame quitte le trunk, le switch retire l’étiquette avant de transmettre la trame à l’hote destinataire.



Configuration par défaut d’un port



Sécurisé les ports

Un commutateur dont les ports ne sont pas sécurisés permet à un pirate derassembler des informations ou de mener des attaques sur le réseau. La sécurisation passe par la limitation du nombre d’adresses MAC utilisées surun port. on peut spécifier un nombre maximum d'adresse: 1 (par défaut) à 132.

SW1(config-if)#switchport port-security maximum 2 Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, uneviolation de sécurité se produit. Il existe plusieurs façons de configurer la sécurité des ports sur un

commutateur :• adresses MAC sécurisées statiques• adresses MAC sécurisées dynamiques• adresses MAC sécurisées rémanentes



@ mac sécurisé statique

Le mode statique : les adresses mac autorisées sont configurées manuellement à

l’aide de la commande de configuration d’interface :

S1(config)# interface fa0/15

S1(config-if)# switchport mode access

S1(config-if)# switchport port-security

S1(config-if)# switchport port-security mac-address ad. MAC

S1(config-if)# end

L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée

dans le running-config.



@ mac sécurisé dynamique

Une adresse MAC sécurisée dynamique est récupérée dynamiquement et

stockée uniquement dans la table d’adresses MAC.

c’est le premier hôte qui va se connecter et envoyer une trame qui va en être en

quelque sorte le propriétaire.

L’adresse est supprimée au redémarrage du Switch.

S1(config)# interface fa0/15

S1(config-if)# switchport mode access

S1(config-if)# switchport port-security

S1(config-if)# end



@ mac sécurisé rémanente Une adresse MAC sécurisée rémanente est apprise dynamiquement, puisenregistrée dans le running-config.

S1(config)# interface fa0/15S1(config-if)# switchport mode accessS1(config-if)# switchport port-securityS1(config-if)# switchport port-security maximum 10S1(config-if)# switchport port-security stickyS1(config-if)# end

De plus les adresses MAC sécurisées rémanentes présentes les caractéristiquessuivantes :

• l’utilisation de la commande switchport port-security sticky convertittoutes les adresses MAC utilisées sur le port et les ajoute toute dans le

running-config.• l’utilisation de la commande no switchport port-security sticky efface lesadresses MAC sécurisées rémanentes du running-config mais les garde

dans la table d’adresses MAC.



Mode de violation On considère qu’il y a violation de sécurité lorsque l’une des situations suivantes se

présente :• le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelleadresse MAC tente d’accéder à l’interface.• une adresse MAC statique ou dynamique associée à une interface tented’accéder à une autre interface dans le même réseau.

il existe trois modes de violation configurable sur une interface :1. Protect : les trames sont ignorées. Aucun message de notification n’est envoyé.2. restrict : les trames sont ignorées. Un message syslog est envoyé.3. shutdown : Le port est immédiatement désactivé et un message syslog est

envoyé.Le port peut être réactivé manuellement avec la commande no shutdown.



Vérification de la sécurité

Pour vérifier les paramètres de sécurité des ports :

S1# show port-security [interface fa0/15 ]

Par défaut, les paramètres de la sécurité des ports sont les suivants :

Pour vérifier les adresses MAC sécurisées :

S1# show port-security address [interface fa0/15 ]

Désactivation des ports inutilisés

Une méthode simple pour sécuriser un commutateur est de désactiver les ports inutilisés

avec la commande shutdown.

Il est possible de désactiver plusieurs ports en même temps avec la commande :

S1(config) # interface range fa 0/2 - 8

S1(config-if)# shutdown


3 switchport securité

Technology

Transcript of 3 switchport securité