3 switchport securité

207 vues

Publié le

Sécurisé les switch Cisco

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
207
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
32
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

3 switchport securité

  1. 1. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 1 Free Powerpoint Templates Sécurité des ports « Switch » Présenter par : Djediden Med Fiad Alaa
  2. 2. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 2 Introduction  La sécurité des réseaux informatiques est un sujet essentiel pour favoriser le développement des échanges dans tous les domaines.  la sécurité recouvre à la fois l'accès aux informations sur les postes de travail, sur les serveurs ainsi que le réseau de transport des données.  Il peut s'agir :  d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante  d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système  de sécuriser les données en prévoyant les pannes  de garantir la non-interruption d'un service
  3. 3. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 3 Introduction  On distingue généralement deux types d'insécurité :  l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du système  l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose  Comment se protéger ? • se tenir au courant • connaître le système d'exploitation • réduire l'accès au réseau (firewall) • réduire le nombre de points d'entrée (ports) • définir une politique de sécurité interne (mots de passe, lancement d'exécutables) • déployer des utilitaires de sécurité (journalisation)
  4. 4. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 4 Les types de menaces Les attaques les plus fréquentes sur les commutateurs sont : • inondation d’adresses MAC • attaques par mystification • attaques CDP • attaques Telnet • attaque de mot de passe en force
  5. 5. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 5 Inondation d@ MAC submerge la table d’adresses MAC avec de fausses adresses. Lorsque celle-ci est saturée, le commutateur fonctionne comme un hub et diffuse toutes les trames sur tous les ports. Une personne malveillante peut voir alors les trames transmises vers l’hote qu’il souhaite attaquer.
  6. 6. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 6 Attaque par mystification  On active le DHCP snooping dans la configuration générale : switch(config)#ip dhcp snooping  A partir de ce moment là tous les ports du switch sont considérés en tant que ports « untrust ».  Pour configurer un port en tant que port de confiance, faire comme suit : switch(config)#interface fa0/1 switch(config-if)#ip dhcp snooping trust switch(config-if)#ip dhcp snooping limit rate 100 (on limite à 100 requêtes/seconde)
  7. 7. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 7 Attaque CDP / Telnet  CDP est un protocole propriétaire cisco qui détecte tous les périphériques voisins ; il est activée par défaut. Il donne des informations sur le périphériques tels que l’ad. IP, l’IOS, la plateforme etc. Il est donc préférable de désactiver le protocole CDP. no cdp run,no cdp enable  Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH.  L’attaque de mot de passe en force : un pirate commence par utiliser des mots de passe courants, puis des combinaisons de caractères pour tenter de deviner un mot de passe et effectuer une connexion sur le commutateur. Il est donc important d’avoir un mot de passe fort et de le modifier régulièrement.
  8. 8. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 8 Mode du port Quand on branche un équipement sur un switch il est soit en accès (il est dans un vlan) ou en trunk (il est dans plusieurs vlans). Qu’est-ce qu’un port en mode accès ? Quand on a un équipement en mode accès c’est le switch qui gère pour lui le vlan avec lequel il communique. On l’utilise principalement pour les machines. Comment mettre un port en mode accès sur un switch : Switch(conf)# interface f0/10 Switch(conf-if)# switchport mode acces Switch(conf-if)# switchport acces vlan 10  Qu’est-ce qu’un port en mode trunk ? Quand on a un équipement en mode trunk c’est ce dit équipement qui gère le/les vlan(s). Ce mode est principalement utilisé pour les interconnexions entre switchs ou vers un routeur, vers un firewall ou même vers une machine de supervision. Comment mettre un port en mode trunk : Switch(conf)# interface f0/10 Switch(conf-if)# switchport mode trunk Une étiquette est placée dans l’en-téte de chaque trame au moment où celle-ci rejoint le trunk. Lorsque la trame quitte le trunk, le switch retire l’étiquette avant de transmettre la trame à l’hote destinataire.
  9. 9. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 9 Configuration par défaut d’un port
  10. 10. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 10 Sécurisé les ports  Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de rassembler des informations ou de mener des attaques sur le réseau.  La sécurisation passe par la limitation du nombre d’adresses MAC utilisées sur un port.  on peut spécifier un nombre maximum d'adresse: 1 (par défaut) à 132. SW1(config-if)#switchport port-security maximum 2  Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, une violation de sécurité se produit.  Il existe plusieurs façons de configurer la sécurité des ports sur un commutateur : • adresses MAC sécurisées statiques • adresses MAC sécurisées dynamiques • adresses MAC sécurisées rémanentes
  11. 11. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 11 @ mac sécurisé statique  Le mode statique : les adresses mac autorisées sont configurées manuellement à l’aide de la commande de configuration d’interface : S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security mac-address ad. MAC S1(config-if)# end  L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée dans le running-config.
  12. 12. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 12 @ mac sécurisé dynamique  Une adresse MAC sécurisée dynamique est récupérée dynamiquement et stockée uniquement dans la table d’adresses MAC.  c’est le premier hôte qui va se connecter et envoyer une trame qui va en être en quelque sorte le propriétaire.  L’adresse est supprimée au redémarrage du Switch. S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# end
  13. 13. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 13 @ mac sécurisé rémanente  Une adresse MAC sécurisée rémanente est apprise dynamiquement, puis enregistrée dans le running-config. S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security maximum 10 S1(config-if)# switchport port-security sticky S1(config-if)# end  De plus les adresses MAC sécurisées rémanentes présentes les caractéristiques suivantes : • l’utilisation de la commande switchport port-security sticky convertit toutes les adresses MAC utilisées sur le port et les ajoute toute dans le running-config. • l’utilisation de la commande no switchport port-security sticky efface les adresses MAC sécurisées rémanentes du running-config mais les garde dans la table d’adresses MAC.
  14. 14. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 14 Mode de violation  On considère qu’il y a violation de sécurité lorsque l’une des situations suivantes se présente : • le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelle adresse MAC tente d’accéder à l’interface. • une adresse MAC statique ou dynamique associée à une interface tente d’accéder à une autre interface dans le même réseau.  il existe trois modes de violation configurable sur une interface : 1. Protect : les trames sont ignorées. Aucun message de notification n’est envoyé. 2. restrict : les trames sont ignorées. Un message syslog est envoyé. 3. shutdown : Le port est immédiatement désactivé et un message syslog est envoyé. Le port peut être réactivé manuellement avec la commande no shutdown.
  15. 15. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 15 Vérification de la sécurité  Pour vérifier les paramètres de sécurité des ports : S1# show port-security [interface fa0/15 ] Par défaut, les paramètres de la sécurité des ports sont les suivants :  Pour vérifier les adresses MAC sécurisées : S1# show port-security address [interface fa0/15 ] Désactivation des ports inutilisés Une méthode simple pour sécuriser un commutateur est de désactiver les ports inutilisés avec la commande shutdown. Il est possible de désactiver plusieurs ports en même temps avec la commande : S1(config) # interface range fa 0/2 - 8 S1(config-if)# shutdown
  16. 16. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 16

×