SlideShare une entreprise Scribd logo
Port-security<br />Par Fred le vendredi, avril 18 2008, 14:44 - CCNP - Lien permanent <br />bcmsn<br />CCNP<br />port-security<br />sécurité<br />Cet article présente la fonction port-security que l'on peut appliquer à une interface sur un switch Cisco pour restreindre le nombre d'adresse mac utilisable sur ce port.<br />Configuration<br />Vérification<br />Adresse Dynamic ou Configured<br />Exemple de Violation<br />Recovery<br />Sticky<br />Changer son adresse Mac<br />Configuration<br />Activation<br />Le port-security s'applique sur les interfaces access<br />SW1(config)#int fa 0/3<br />SW1(config-if)#switchport port-security<br />Nombre d'adresse maximum<br />on peut spécifier un nombre maximum d'adresse: 1 (par défaut) à 132.<br />SW1(config-if)#switchport port-security maximum 2<br />Violation<br />la commande violation permet de spécifier le comportement à avoir en cas de détection de violation: <br />protect : les trames venant des adresses non autorisées sont droppées et il n'y a aucun message de log signalant la violation.<br />restrict : les trames venant des adresses non autorisées sont droppées, un message de log est créé et une trap SNMP est envoyée.<br />shutdown : si une trame venant d'une adresse non autorisée est détécté, le port est mis en err-disabled, un message de log est créé et une trap SNMP est envoyée. Une intervention manuelle est nécessaire ou errdisable revovery doit être configuré pour automatiquement faire remonter le port après un certain laps de temps.<br />SW1(config-if)#switchport port-security violation shutdown<br />Adresse Mac<br />On peut spécifier des adresses mac statiquement. A noter que si aucune adresse n'est spécifiée, elle sera apprise automatiquement.<br />SW1(config-if)#switchport port-security mac-address 0050.5611.06b1<br />Il n'est pas possible de mettre n'importe quoi<br />SW1(config-if)#switchport port-security mac-address 0500.4333.5431<br />Invalid secure mac-address 0500.4333.5431.<br />On peut spécifier autant d'adresse que le nombre maximum spécifié. Attention les adresses apprises dynamiquement compte pour une adresse.<br />SW1(config-if)#switchport port-security mac-address 0050.1111.3332<br />Total secure mac-addresses on interface FastEthernet0/3 has reached maximum limit.<br />Vérification<br />Dans l'exemple suivant, nous voyons que pour le port Fa0/3, 2 adresses sont autorisées et une seule a été configurée. En cas de violation, le port est mis en shutdown.<br />SW1#sh port-security<br />Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action<br />               (Count)       (Count)          (Count)<br />      Fa0/3              2            1                  0         Shutdown<br />Total Addresses in System (excluding one mac per port)     : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Voir les adresses affectées une interface<br />Dans l'example ci-dessous, la première adresse est configurée statiquement et la seconde a été apprise dynamiquement.<br />SW1#sh port-security address<br />          Secure Mac Address Table<br />Vlan    Mac Address       Type                Ports   Remaining Age<br />                                                         (mins)<br />  11    0050.5564.2111    SecureConfigured    Fa0/3        -<br />  11    0050.5611.06b1    SecureDynamic       Fa0/3        -<br />Total Addresses in System (excluding one mac per port)     : 1<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Voir l'état d'un port<br />SW1#sh port-security interface fa 0/3<br />Port Security              : Enabled<br />Port Status                : Secure-up<br />Violation Mode             : Shutdown<br />Aging Time                 : 0 mins<br />Aging Type                 : Absolute<br />SecureStatic Address Aging : Disabled<br />Maximum MAC Addresses      : 2<br />Total MAC Addresses        : 1<br />Configured MAC Addresses   : 1<br />Sticky MAC Addresses       : 0<br />Last Source Address        : 0000.0000.0000<br />Security Violation Count   : 0<br />Adresse Dynamic ou Configured<br />Si l'adresse n'a pas été configuré statiquement sur un port, elle peut avoir été apprise dynamiquement<br />SW1#sh port-security address<br />          Secure Mac Address Table<br />Vlan    Mac Address       Type                Ports   Remaining Age<br />                                                         (mins)<br />  11    0050.5611.06b1    SecureDynamic       Fa0/3        -<br />Total Addresses in System (excluding one mac per port)     : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Si l'on souhaite ajouter l'adresse dynamiquement dans la configuration de l'interface, un message d'erreur nous indique que l'adresse est déja connue.<br />SW1(config)#int fa 0/3<br />SW1(config-if)#switchport port-security mac-address 0050.5611.06b1<br />Found duplicate mac-address 0050.5611.06b1.<br />Il faut alors supprimer cette adresse (bien que n'apparaissant pas dans la configuration), et la re-assigner. Si vous n'avez pas le temps entre ces 2 lignes, mettez le port en shut et faites la modification calmement.<br />SW1(config-if)#no switchport port-security mac-address 0050.5611.06b1<br />SW1(config-if)#switchport port-security mac-address 0050.5611.06b1<br />L'adresse est maintenant bien connue comme static.<br />SW1#sh port-security address<br />          Secure Mac Address Table<br />Vlan    Mac Address       Type                Ports   Remaining Age<br />                                                         (mins)<br />  11    0050.5611.06b1    SecureConfigured    Fa0/3        -<br />Total Addresses in System (excluding one mac per port)     : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Exemple de Violation<br />En fonctionnement normal<br />SW1#sh port-security<br />Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action<br />                (Count)       (Count)          (Count)<br />      Fa0/3              1            1                  0         Shutdown<br />Total Addresses in System (excluding one mac per port)     : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Log lors de la violation<br />*Mar  2 19:00:58: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/3, putting Fa0/3 in err-disable state<br />*Mar  2 19:00:58: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0010.f6b3.d000 on port FastEthernet0/3.<br />*Mar  2 19:00:59: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down<br />*Mar  2 19:01:00: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to down<br />Le port est bloqué<br />SW1#sh port-security<br />Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action<br />                (Count)       (Count)          (Count)<br />      Fa0/3              1            1                  1         Shutdown<br />Total Addresses in System (excluding one mac per port)     : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />L'état du port est passé en err-disabled.<br />SW1#sh int fa 0/3 status<br />Port      Name               Status       Vlan       Duplex  Speed Type<br />Fa0/3     PC win XP          err-disabled 11           full    100 10/100BaseTX<br />SW1#sh port-security interface fa 0/3<br />Port Security              : Enabled<br />Port Status                : Secure-shutdown<br />Violation Mode             : Shutdown<br />Aging Time                 : 0 mins<br />Aging Type                 : Absolute<br />SecureStatic Address Aging : Disabled<br />Maximum MAC Addresses      : 2<br />Total MAC Addresses        : 2<br />Configured MAC Addresses   : 2<br />Sticky MAC Addresses       : 0<br />Last Source Address        : 0010.f6b3.d000<br />Security Violation Count   : 1<br />Recovery<br />Il est possible de faire remonter le port automatiquement après un certain delais. Dans l'exemple suivant, si un port est en err-disabled à cause d'une<br />violation port-security, il est remonté au bout de 30 secondes.<br />errdisable recovery cause psecure-violation<br />errdisable recovery interval 30<br />Mar 2 19:26:24: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/3<br />Mar 2 19:26:29: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up<br />Mar 2 19:26:30: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up<br />Sticky<br />En mode sticky, le switch va apprendre automatiquement l'adresse de l'utilisateur et la conserve (une ligne apparait automatiquement dans la configuration de l'interface). Ainsi, une fois que l'adresse est connue, on ne peut plus la changer. En mode dynamique, on peut limiter le nombre d'adresse mais si un utilisateur disparaît, un nouveau peut prendre la place.<br />Configurer sticky<br />SW1(config-if)#switchport port-security mac-address sticky<br />Vérifier<br />SW1#sh run int fa 0/3<br />Building configuration...<br />Current configuration : 236 bytes<br />!<br />interface FastEthernet0/3<br /> description PC win XP<br /> switchport access vlan 11<br /> switchport mode access<br /> switchport port-security<br /> switchport port-security mac-address sticky<br /> shutdown<br /> speed 100<br /> duplex full<br /> spanning-tree portfast<br />end<br />Vérification<br />SW1#show  port-security address<br />          Secure Mac Address Table<br />Vlan    Mac Address       Type                Ports   Remaining Age<br />                                                         (mins)<br />  11    0010.f6b3.d000    SecureSticky        Fa0/3        -<br />Total Addresses in System (excluding one mac per port)     : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />On voit qu'une ligne est automatiquement ajoutée dans la configuration<br />SW1#sh run int fa 0/3<br />Building configuration...<br />Current configuration : 286 bytes<br />!<br />interface FastEthernet0/3<br /> description PC win XP<br /> switchport access vlan 11<br /> switchport mode access<br /> switchport port-security<br /> switchport port-security mac-address sticky<br /> switchport port-security mac-address sticky 0010.f6b3.d000<br /> speed 100<br /> duplex full<br /> spanning-tree portfast<br />end<br />Changer son adresse Mac<br />ChangeMac sur PC<br />ChangeMac sur Mac<br />Sous Linux<br />ifconfig eth0 hw ether 0050.1234.4567<br />
Port security
Port security
Port security
Port security
Port security

Contenu connexe

Tendances

Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routage
belhadj_rached
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques   configuration du routage entre réseaux locaux virtuelsTravaux pratiques   configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuelsMohamed Keita
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
Configuration de base_router
Configuration de base_routerConfiguration de base_router
Configuration de base_routerCONNECT Tunisia
 
Configuration de-base-d
Configuration de-base-dConfiguration de-base-d
Configuration de-base-d
Nabil EL KASSOUMI
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissamben
Wissam Bencold
 
Acl cisco
Acl ciscoAcl cisco
Acl cisco
Bou Diop
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
Yaya N'Tyeni Sanogo
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemCONNECT Tunisia
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
Johan Moreau
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
Aurore de Cosnac
 
Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7basschuck2411
 
Astuces cisco
Astuces ciscoAstuces cisco
Astuces cisco
CONNECT Tunisia
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
Thomas Moegli
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Yassmina AGHIL
 
E4 pt act_7_5_1
E4 pt act_7_5_1E4 pt act_7_5_1
E4 pt act_7_5_1
Simo Alaoui
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
Comandos Basicos Configuracion Routers y Switches
Comandos Basicos Configuracion Routers y SwitchesComandos Basicos Configuracion Routers y Switches
Comandos Basicos Configuracion Routers y Switches
Marcobrio Diaz de Leon
 

Tendances (20)

Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routage
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques   configuration du routage entre réseaux locaux virtuelsTravaux pratiques   configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuels
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Configuration de base_router
Configuration de base_routerConfiguration de base_router
Configuration de base_router
 
Configuration de-base-d
Configuration de-base-dConfiguration de-base-d
Configuration de-base-d
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissamben
 
Acl cisco
Acl ciscoAcl cisco
Acl cisco
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
 
Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7
 
Astuces cisco
Astuces ciscoAstuces cisco
Astuces cisco
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux
 
E4 pt act_7_5_1
E4 pt act_7_5_1E4 pt act_7_5_1
E4 pt act_7_5_1
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Comandos Basicos Configuracion Routers y Switches
Comandos Basicos Configuracion Routers y SwitchesComandos Basicos Configuracion Routers y Switches
Comandos Basicos Configuracion Routers y Switches
 

En vedette

British sights
British sightsBritish sights
Actividad de refuerzo de quimica
Actividad de refuerzo  de quimicaActividad de refuerzo  de quimica
Actividad de refuerzo de quimica
Blanqui Garcia
 
Aural aids
Aural aidsAural aids
Aural aids
Julius Salido
 
Pp n intenet
Pp n intenetPp n intenet
Pp n intenet
Julius Salido
 
History of meteorology
History of meteorologyHistory of meteorology
History of meteorology
shiela21
 
омар хайям видатний астроном
омар хайям видатний астрономомар хайям видатний астроном
омар хайям видатний астрономДима Картинин
 
Great Britain
Great BritainGreat Britain
History of meteorology
History of meteorologyHistory of meteorology
History of meteorology
shiela21
 
Acting for film and musical theater
Acting for film and musical theaterActing for film and musical theater
Acting for film and musical theater
emeragan45polkadots
 
Factores de riesgo
Factores de riesgoFactores de riesgo
Factores de riesgo
Katherine Rodriguez
 
омар хайям неперевершений майстер рубаї
омар хайям   неперевершений майстер рубаїомар хайям   неперевершений майстер рубаї
омар хайям неперевершений майстер рубаїДима Картинин
 
Acting for film and musical theater
Acting for film and musical theaterActing for film and musical theater
Acting for film and musical theater
emeragan45polkadots
 
Who Do You Trust?
Who Do You Trust?Who Do You Trust?
Who Do You Trust?
Jake Causby
 

En vedette (17)

British sights
British sightsBritish sights
British sights
 
Actividad de refuerzo de quimica
Actividad de refuerzo  de quimicaActividad de refuerzo  de quimica
Actividad de refuerzo de quimica
 
Aural aids
Aural aidsAural aids
Aural aids
 
Учнівська презентація
Учнівська презентаціяУчнівська презентація
Учнівська презентація
 
Pp n intenet
Pp n intenetPp n intenet
Pp n intenet
 
Учительска презентація
Учительска презентаціяУчительска презентація
Учительска презентація
 
History of meteorology
History of meteorologyHistory of meteorology
History of meteorology
 
омар хайям видатний астроном
омар хайям видатний астрономомар хайям видатний астроном
омар хайям видатний астроном
 
Great Britain
Great BritainGreat Britain
Great Britain
 
History of meteorology
History of meteorologyHistory of meteorology
History of meteorology
 
омар хайям
омар хайямомар хайям
омар хайям
 
Acting for film and musical theater
Acting for film and musical theaterActing for film and musical theater
Acting for film and musical theater
 
Factores de riesgo
Factores de riesgoFactores de riesgo
Factores de riesgo
 
омар хайям неперевершений майстер рубаї
омар хайям   неперевершений майстер рубаїомар хайям   неперевершений майстер рубаї
омар хайям неперевершений майстер рубаї
 
Acting for film and musical theater
Acting for film and musical theaterActing for film and musical theater
Acting for film and musical theater
 
курение
курениекурение
курение
 
Who Do You Trust?
Who Do You Trust?Who Do You Trust?
Who Do You Trust?
 

Similaire à Port security

3 switchport securité
3 switchport securité3 switchport securité
3 switchport securité
medalaa
 
Switching
SwitchingSwitching
Switching
Omar Lakrary
 
EtherChannel
EtherChannelEtherChannel
EtherChannel
Thomas Moegli
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk web
Agarik
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Eric Romang
 
serveur kanne passerelle-sms
serveur kanne  passerelle-smsserveur kanne  passerelle-sms
serveur kanne passerelle-sms
Komaps99
 
Cours05.pdf
Cours05.pdfCours05.pdf
Cours05.pdf
ManalAg
 
Composants routeur cisco et différent mode de Configuration
Composants routeur cisco et différent mode de ConfigurationComposants routeur cisco et différent mode de Configuration
Composants routeur cisco et différent mode de Configuration
ZakariaBouzzitMadrid
 
laboratoire formation ccna cisco materiel .ppt
laboratoire formation ccna cisco materiel .pptlaboratoire formation ccna cisco materiel .ppt
laboratoire formation ccna cisco materiel .ppt
profsn
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITM
ESD Cybersecurity Academy
 
Gce ipx800 v3 manual
Gce ipx800 v3 manualGce ipx800 v3 manual
Gce ipx800 v3 manual
Domotica daVinci
 
Compte rendu
Compte renduCompte rendu
Compte rendu
HassanAbdoulNasser
 
cours_sockets_chap3 patie_I_22_03_2020.pdf
cours_sockets_chap3 patie_I_22_03_2020.pdfcours_sockets_chap3 patie_I_22_03_2020.pdf
cours_sockets_chap3 patie_I_22_03_2020.pdf
Sophie569778
 
Formation réseaux - Theodo 2015
Formation réseaux - Theodo 2015Formation réseaux - Theodo 2015
Formation réseaux - Theodo 2015
Samy GHRIBI
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middle
Bruno Valentin
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
SbastienGuritey
 
Les trames reseaux
Les trames reseauxLes trames reseaux
Les trames reseaux
Laurent_Macecchini
 

Similaire à Port security (20)

3 switchport securité
3 switchport securité3 switchport securité
3 switchport securité
 
Switching
SwitchingSwitching
Switching
 
Tout atm
Tout atmTout atm
Tout atm
 
EtherChannel
EtherChannelEtherChannel
EtherChannel
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk web
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3
 
serveur kanne passerelle-sms
serveur kanne  passerelle-smsserveur kanne  passerelle-sms
serveur kanne passerelle-sms
 
Cours05.pdf
Cours05.pdfCours05.pdf
Cours05.pdf
 
Composants routeur cisco et différent mode de Configuration
Composants routeur cisco et différent mode de ConfigurationComposants routeur cisco et différent mode de Configuration
Composants routeur cisco et différent mode de Configuration
 
laboratoire formation ccna cisco materiel .ppt
laboratoire formation ccna cisco materiel .pptlaboratoire formation ccna cisco materiel .ppt
laboratoire formation ccna cisco materiel .ppt
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITM
 
Gce ipx800 v3 manual
Gce ipx800 v3 manualGce ipx800 v3 manual
Gce ipx800 v3 manual
 
Cours b5.wifi-3x3
Cours b5.wifi-3x3Cours b5.wifi-3x3
Cours b5.wifi-3x3
 
Compte rendu
Compte renduCompte rendu
Compte rendu
 
cours_sockets_chap3 patie_I_22_03_2020.pdf
cours_sockets_chap3 patie_I_22_03_2020.pdfcours_sockets_chap3 patie_I_22_03_2020.pdf
cours_sockets_chap3 patie_I_22_03_2020.pdf
 
Formation réseaux - Theodo 2015
Formation réseaux - Theodo 2015Formation réseaux - Theodo 2015
Formation réseaux - Theodo 2015
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middle
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
 
CCNA 3.pdf
CCNA 3.pdfCCNA 3.pdf
CCNA 3.pdf
 
Les trames reseaux
Les trames reseauxLes trames reseaux
Les trames reseaux
 

Dernier

6 composants Essentiels pour écrire un Prompt ChatGPT Productif
6 composants Essentiels pour écrire un Prompt ChatGPT Productif6 composants Essentiels pour écrire un Prompt ChatGPT Productif
6 composants Essentiels pour écrire un Prompt ChatGPT Productif
AXIZ eBusiness
 
10-bonnes-pratiques-chatgpt-francais.pdf
10-bonnes-pratiques-chatgpt-francais.pdf10-bonnes-pratiques-chatgpt-francais.pdf
10-bonnes-pratiques-chatgpt-francais.pdf
AXIZ eBusiness
 
Présentation Plaspack, l'entreprise derrière Soliday
Présentation Plaspack, l'entreprise derrière SolidayPrésentation Plaspack, l'entreprise derrière Soliday
Présentation Plaspack, l'entreprise derrière Soliday
Soliday das Sonnensegel
 
Analyse résultats Luxembourg IMD 2024.pdf
Analyse résultats Luxembourg IMD 2024.pdfAnalyse résultats Luxembourg IMD 2024.pdf
Analyse résultats Luxembourg IMD 2024.pdf
Paperjam_redaction
 
Éveil BM-Rapport d'activités 2023-2024.pdf
Éveil BM-Rapport d'activités 2023-2024.pdfÉveil BM-Rapport d'activités 2023-2024.pdf
Éveil BM-Rapport d'activités 2023-2024.pdf
megmedia
 
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Mohamed Bouanane
 

Dernier (6)

6 composants Essentiels pour écrire un Prompt ChatGPT Productif
6 composants Essentiels pour écrire un Prompt ChatGPT Productif6 composants Essentiels pour écrire un Prompt ChatGPT Productif
6 composants Essentiels pour écrire un Prompt ChatGPT Productif
 
10-bonnes-pratiques-chatgpt-francais.pdf
10-bonnes-pratiques-chatgpt-francais.pdf10-bonnes-pratiques-chatgpt-francais.pdf
10-bonnes-pratiques-chatgpt-francais.pdf
 
Présentation Plaspack, l'entreprise derrière Soliday
Présentation Plaspack, l'entreprise derrière SolidayPrésentation Plaspack, l'entreprise derrière Soliday
Présentation Plaspack, l'entreprise derrière Soliday
 
Analyse résultats Luxembourg IMD 2024.pdf
Analyse résultats Luxembourg IMD 2024.pdfAnalyse résultats Luxembourg IMD 2024.pdf
Analyse résultats Luxembourg IMD 2024.pdf
 
Éveil BM-Rapport d'activités 2023-2024.pdf
Éveil BM-Rapport d'activités 2023-2024.pdfÉveil BM-Rapport d'activités 2023-2024.pdf
Éveil BM-Rapport d'activités 2023-2024.pdf
 
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
 

Port security

  • 1. Port-security<br />Par Fred le vendredi, avril 18 2008, 14:44 - CCNP - Lien permanent <br />bcmsn<br />CCNP<br />port-security<br />sécurité<br />Cet article présente la fonction port-security que l'on peut appliquer à une interface sur un switch Cisco pour restreindre le nombre d'adresse mac utilisable sur ce port.<br />Configuration<br />Vérification<br />Adresse Dynamic ou Configured<br />Exemple de Violation<br />Recovery<br />Sticky<br />Changer son adresse Mac<br />Configuration<br />Activation<br />Le port-security s'applique sur les interfaces access<br />SW1(config)#int fa 0/3<br />SW1(config-if)#switchport port-security<br />Nombre d'adresse maximum<br />on peut spécifier un nombre maximum d'adresse: 1 (par défaut) à 132.<br />SW1(config-if)#switchport port-security maximum 2<br />Violation<br />la commande violation permet de spécifier le comportement à avoir en cas de détection de violation: <br />protect : les trames venant des adresses non autorisées sont droppées et il n'y a aucun message de log signalant la violation.<br />restrict : les trames venant des adresses non autorisées sont droppées, un message de log est créé et une trap SNMP est envoyée.<br />shutdown : si une trame venant d'une adresse non autorisée est détécté, le port est mis en err-disabled, un message de log est créé et une trap SNMP est envoyée. Une intervention manuelle est nécessaire ou errdisable revovery doit être configuré pour automatiquement faire remonter le port après un certain laps de temps.<br />SW1(config-if)#switchport port-security violation shutdown<br />Adresse Mac<br />On peut spécifier des adresses mac statiquement. A noter que si aucune adresse n'est spécifiée, elle sera apprise automatiquement.<br />SW1(config-if)#switchport port-security mac-address 0050.5611.06b1<br />Il n'est pas possible de mettre n'importe quoi<br />SW1(config-if)#switchport port-security mac-address 0500.4333.5431<br />Invalid secure mac-address 0500.4333.5431.<br />On peut spécifier autant d'adresse que le nombre maximum spécifié. Attention les adresses apprises dynamiquement compte pour une adresse.<br />SW1(config-if)#switchport port-security mac-address 0050.1111.3332<br />Total secure mac-addresses on interface FastEthernet0/3 has reached maximum limit.<br />Vérification<br />Dans l'exemple suivant, nous voyons que pour le port Fa0/3, 2 adresses sont autorisées et une seule a été configurée. En cas de violation, le port est mis en shutdown.<br />SW1#sh port-security<br />Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action<br /> (Count) (Count) (Count)<br /> Fa0/3 2 1 0 Shutdown<br />Total Addresses in System (excluding one mac per port) : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Voir les adresses affectées une interface<br />Dans l'example ci-dessous, la première adresse est configurée statiquement et la seconde a été apprise dynamiquement.<br />SW1#sh port-security address<br /> Secure Mac Address Table<br />Vlan Mac Address Type Ports Remaining Age<br /> (mins)<br /> 11 0050.5564.2111 SecureConfigured Fa0/3 -<br /> 11 0050.5611.06b1 SecureDynamic Fa0/3 -<br />Total Addresses in System (excluding one mac per port) : 1<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Voir l'état d'un port<br />SW1#sh port-security interface fa 0/3<br />Port Security : Enabled<br />Port Status : Secure-up<br />Violation Mode : Shutdown<br />Aging Time : 0 mins<br />Aging Type : Absolute<br />SecureStatic Address Aging : Disabled<br />Maximum MAC Addresses : 2<br />Total MAC Addresses : 1<br />Configured MAC Addresses : 1<br />Sticky MAC Addresses : 0<br />Last Source Address : 0000.0000.0000<br />Security Violation Count : 0<br />Adresse Dynamic ou Configured<br />Si l'adresse n'a pas été configuré statiquement sur un port, elle peut avoir été apprise dynamiquement<br />SW1#sh port-security address<br /> Secure Mac Address Table<br />Vlan Mac Address Type Ports Remaining Age<br /> (mins)<br /> 11 0050.5611.06b1 SecureDynamic Fa0/3 -<br />Total Addresses in System (excluding one mac per port) : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Si l'on souhaite ajouter l'adresse dynamiquement dans la configuration de l'interface, un message d'erreur nous indique que l'adresse est déja connue.<br />SW1(config)#int fa 0/3<br />SW1(config-if)#switchport port-security mac-address 0050.5611.06b1<br />Found duplicate mac-address 0050.5611.06b1.<br />Il faut alors supprimer cette adresse (bien que n'apparaissant pas dans la configuration), et la re-assigner. Si vous n'avez pas le temps entre ces 2 lignes, mettez le port en shut et faites la modification calmement.<br />SW1(config-if)#no switchport port-security mac-address 0050.5611.06b1<br />SW1(config-if)#switchport port-security mac-address 0050.5611.06b1<br />L'adresse est maintenant bien connue comme static.<br />SW1#sh port-security address<br /> Secure Mac Address Table<br />Vlan Mac Address Type Ports Remaining Age<br /> (mins)<br /> 11 0050.5611.06b1 SecureConfigured Fa0/3 -<br />Total Addresses in System (excluding one mac per port) : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Exemple de Violation<br />En fonctionnement normal<br />SW1#sh port-security<br />Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action<br /> (Count) (Count) (Count)<br /> Fa0/3 1 1 0 Shutdown<br />Total Addresses in System (excluding one mac per port) : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />Log lors de la violation<br />*Mar 2 19:00:58: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/3, putting Fa0/3 in err-disable state<br />*Mar 2 19:00:58: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0010.f6b3.d000 on port FastEthernet0/3.<br />*Mar 2 19:00:59: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down<br />*Mar 2 19:01:00: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to down<br />Le port est bloqué<br />SW1#sh port-security<br />Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action<br /> (Count) (Count) (Count)<br /> Fa0/3 1 1 1 Shutdown<br />Total Addresses in System (excluding one mac per port) : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />L'état du port est passé en err-disabled.<br />SW1#sh int fa 0/3 status<br />Port Name Status Vlan Duplex Speed Type<br />Fa0/3 PC win XP err-disabled 11 full 100 10/100BaseTX<br />SW1#sh port-security interface fa 0/3<br />Port Security : Enabled<br />Port Status : Secure-shutdown<br />Violation Mode : Shutdown<br />Aging Time : 0 mins<br />Aging Type : Absolute<br />SecureStatic Address Aging : Disabled<br />Maximum MAC Addresses : 2<br />Total MAC Addresses : 2<br />Configured MAC Addresses : 2<br />Sticky MAC Addresses : 0<br />Last Source Address : 0010.f6b3.d000<br />Security Violation Count : 1<br />Recovery<br />Il est possible de faire remonter le port automatiquement après un certain delais. Dans l'exemple suivant, si un port est en err-disabled à cause d'une<br />violation port-security, il est remonté au bout de 30 secondes.<br />errdisable recovery cause psecure-violation<br />errdisable recovery interval 30<br />Mar 2 19:26:24: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/3<br />Mar 2 19:26:29: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up<br />Mar 2 19:26:30: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up<br />Sticky<br />En mode sticky, le switch va apprendre automatiquement l'adresse de l'utilisateur et la conserve (une ligne apparait automatiquement dans la configuration de l'interface). Ainsi, une fois que l'adresse est connue, on ne peut plus la changer. En mode dynamique, on peut limiter le nombre d'adresse mais si un utilisateur disparaît, un nouveau peut prendre la place.<br />Configurer sticky<br />SW1(config-if)#switchport port-security mac-address sticky<br />Vérifier<br />SW1#sh run int fa 0/3<br />Building configuration...<br />Current configuration : 236 bytes<br />!<br />interface FastEthernet0/3<br /> description PC win XP<br /> switchport access vlan 11<br /> switchport mode access<br /> switchport port-security<br /> switchport port-security mac-address sticky<br /> shutdown<br /> speed 100<br /> duplex full<br /> spanning-tree portfast<br />end<br />Vérification<br />SW1#show port-security address<br /> Secure Mac Address Table<br />Vlan Mac Address Type Ports Remaining Age<br /> (mins)<br /> 11 0010.f6b3.d000 SecureSticky Fa0/3 -<br />Total Addresses in System (excluding one mac per port) : 0<br />Max Addresses limit in System (excluding one mac per port) : 1024<br />On voit qu'une ligne est automatiquement ajoutée dans la configuration<br />SW1#sh run int fa 0/3<br />Building configuration...<br />Current configuration : 286 bytes<br />!<br />interface FastEthernet0/3<br /> description PC win XP<br /> switchport access vlan 11<br /> switchport mode access<br /> switchport port-security<br /> switchport port-security mac-address sticky<br /> switchport port-security mac-address sticky 0010.f6b3.d000<br /> speed 100<br /> duplex full<br /> spanning-tree portfast<br />end<br />Changer son adresse Mac<br />ChangeMac sur PC<br />ChangeMac sur Mac<br />Sous Linux<br />ifconfig eth0 hw ether 0050.1234.4567<br />