Sécurisation d'un switch Cisco

Avec les Switchs Cisco, il est possible de faire un contrôle sur les ports en limitant l’accès à certaines adresses MAC, cela permet de sécuriser l’accès.

Pour cela, il faut utiliser l’option Port-security.

Il y a deux méthodes, la première consiste à enregistrer manuellement l’adresse MAC autorisée et la seconde consiste à prendre comme adresse MAC autorisée celle de l’hôte qui va se connecter et envoyer une trame en premier à ce port du Switch Cisco.

Pour voir de manière globale où est active la protection et avoir quelques informations : show port-security

Pour voir les adresses MAC autorisées sur chacun des ports sécurisés : show port-security address

Pour voir le détail de la sécurité d’une interface : show port-security interface fastEhernet x/x

Dans un premier temps, on va sécuriser manuellement l’accès en définissant une adresse MAC précise pour un port.

Dans le but d’empêcher n’importe quel poste de travail de se connecter.

Switch>enable

Switch#Configure terminal

Switch(config)#interface FastEthernet 0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0001.4299.E010

En passe cette interface en mode access au lieu de dynamic puis on active la sécurité du port port-security.

Pour finir, on définit l’adresse MAC autorisée sur cette interface.

Remarque : l’adresse MAC doit se marquer sous la forme xxxx.xxxx.xxxx et non xx:xx:xx:xx:xx:xx

La protection s’applique bien.

Il est possible de sécuriser l’accès de manière automatique c'est-à-dire que l’on active le port-security et c’est le premier hôte qui va se connecter et envoyer une trame qui va en être en quelque sorte le propriétaire.

Tout le temps qu’il n’y a pas de trame, l’adresse MAC du PC connecté n’est pas enregistrée.

Switch>enable

Switch#Configure terminal

Switch(config)#interface FastEthernet 0/3

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address sticky

Le port est actif et le PC connecté, il ne reste plus qu’à envoyer une trame (par exemple pinger le PC Client LAN) pour que l’adresse MAC du Client Nomade 2 soit enregistrée.

Lorsqu’un hôte non autorisé se connecte sur un port sécurisé, le switch se doit de réagir à cette violation de la sécurité.

Pour cela il utilise la commande switchport port-security violation avec 3 options différentes, qui sont :

La méthode shutdown : Elle désactive l’interface lorsque qu’il y a violation.

Pour la réactiver, il faut désactiver le port manuellement et le réactiver manuellement pour qu’il redevienne actif.

Pour cela, allez dans la configuration de l’interface et saisissez la commande shutdown pour désactiver puis no shutdown pour activer l’interface.

La méthode protect : Toutes les trames ayant des adresses MAC sources inconnues sont bloquées et les autres autorisées.

La méthode restrict : Alerte SNMP envoyée et le compteur de violation est incrémenté.

Exemple si on veut ajouter ce paramètre sur une interface déjà sécurisée :

Switch>enable

Switch#Configure terminal

Switch(config)#interface FastEthernet 0/3

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security violation nom_methode

Par défaut, il est possible d’autoriser une seule adresse MAC sur chacun des ports mais il est possible d’augmenter le nombre d’adresses grâce à la commande : switchport port-security maximum x

Où X correspond au nombre maximum d’adresses que vous souhaitez autoriser.

Dans cet atelier, nous mettrons l'accent sur la sécurisation des ports d'un switch Cisco à travers la fonctionnalité Port-Security.

Switchport-Port Security permet de contrôler au plus bas niveau les accès à un réseau informatique.

Elle fait partie de l'arsenal disponible pour contrer les attaques de bas niveaux sur les infrastructures commutées parmi : BPDU Guard ; Deep ARP Inspection ; DHCP Snooping ; IEEE 802.1X/EAP + Radius ; Les VLAN.

switchport mode access !! Mettre le port en L2 (une obligation).

switchport port-security !! Activer la sécurité sur ce port.

switchport port-security mac address ab:cd:ef:gh:ij:kl !! n'autoriser que cette machine dont l'adresse MAC est citée à se brancher sur ce port.

switchport port-security maximum 2 !! Uniquement les deux premières machines à se brancher sur ce port n'ont le droit d'utiliser ce port.

switchport port-security sticky !! Au lieu d'indiquer manuellement les adresses MAC autorisées sur un port, l'apprentissage se fera automatiquement, et ces adresses MAC seront écrites en dur dans le fichier de configuration du switch.

switchport port-security violation protect | restrict | shutdown !! donner les mesures à appliquer en cas de violation des règles fixées.

Le mode protect : Lorsque la violation est constatée, le switch arrête de transférer du trafic sur ce port, sans envoyer de messages Logs.

Le mode restrict : Lorsque la violation est constatée, le switch arrête de transférer du trafic sur ce port en envoyant des messages Logs.

Le mode shutdown (par défaut) : Lorsque la violation est constatée, ce port passe en mode err-disabled (shutdown) et un message log est envoyé.

Nous n'allons autoriser que le PC1 à utiliser le port Eth0/0 du switch.

La mesure sera : shutdown.

Sur le port Eth0/1, nous n'allons autoriser que les deux premières machines à se brancher (PC2 et la suivante).

La mesure sera : protect.

! interface Ethernet0/0 switchport mode access switchport port-security mac-address 0050.7966.6800 switchport port-security switchport port-security violation shutdown end

! interface Ethernet0/1 switchport mode access switchport port-security maximum 2 switchport port-security violation protect switchport port-security mac-address sticky switchport port-security end

Actuellement la table MAC du switch est vide car il n'y pas eu de trafic entre les machines.

Après un ping entre ces dernières, des informations sont obtenues...

Nous allons maintenant mettre un autre PC (192.168.1.3/24) à la place du PC1.

Juste après avoir générer du trafic sur ce port, le switch a constaté que c'est une machine dont l'adresse MAC est différente de celle autorisée qui y est dorénavant.

Il a donc réagi.

Et lorsque nous affichons plus d'informations, nous avons : le statut du port, l'adresse MAC de la machine fautive et son VLAN d'appartenance, ainsi que le nombre de fois de la violation de la règle.

Passons au port Eth0/1.

Remplaçons le PC2 par un autre, nous verrons que le switch acceptera volontiers cette autre machine, car nous avions autorisé jusqu'à deux machines sur ce port.

Lorsque du trafic est généré sur ce port, nous verrons que les adresses MAC apprises dynamiquement sont écrites en dur dans la configuration.

Mais il ne peut toujours pas y avoir de trafic sur le port Eth0/0 car il est en état err-disabled, donc down.

En tant qu'administrateur réseau, remettons la bonne machine (PC1) sur son port, Eth0/0.

La solution pour réactiver ce port est de faire les actions suivantes : ! interface Ethernet0/0 shutdown no shutdown end.

Mais nous allons faire preuve de professionnalisme en disant au switch de remettre les choses dans l'ordre lorsque la bonne machine regagne le bon port.

conf t errdisable recovery cause psecure-violation.

Nous pouvons aussi agir sur le délais de rétablissement comme suit : conf t errdisable recovery interval 30.

Nous venons de fixer un délais de 30s.

Le switch nous parle dans sa langue que les choses sont maintenant dans l'ordre.

Et lorsque nous branchons une troisième machine sur le port Eth0/1 du switch, il y aura violation car nous avions indiqué au switch de n'accepter que deux machines sur ce port.

Nous avons ci-dessous la liste des adresses MAC autorisées sur les ports dont la sécurité est activée.

Fixées manuellement (SecureConfigured), et apprises automatiquement (SecureSticky).

La Fonctionnalité Port-Security est assez efficace lorsqu'il s'agit d'assurer l'identité des machines censées se connecter à un réseau filaire pour envoyer et récevoir du trafic !!!