PORT SECURITY : Renforcer la sGireté des ports maritimes PORT SECURITY : CONFIGURATION Une personne mal intentionnée pourrait trés bien se connecter sur un des ports non utilisés du switch et accéder au réseau ! sent, c'est de mande « interface range Sw1(config)# FastEthernet0/1 — 2 Switch(config-if-range)# Switch(config-if-range)# ss vlan 99 ips les interfaces Fast Ethernet de 1a2 t dans un range ¢’IP avec le nouveau sigle du mode le « shutdown nge, c’est-a-dire les ports 1 ste us : « switchport access vian 99 en placant ces 2 interfaces dans un vian qui n’est pas utilisé. Sw1(config)# SUE Tamel) name. NonUtilisé i Interface FastEthernet0/1 switchport access vlan 99 shutdown i TaltciecleMa-liaseit tent -100) ea switchport access vlan 99 shutdown show running-config », on voit bien que nos deux interfaces sont désactivées ca Shutdown et q ont partie de vlan 99 n switen q e 24 ports ne sont pas uti ment $ ports sont utlises, alors Cette fonctionnalité trés utilisée pour la sécurité s'appelle « port-security ». je 2 maniéres différentes existe 3 types de sécurisation pour le port : + One lAppentissage statique qui est configurée manuellement par un admin réseau « \ly a lapprentissage dynamique a Fapprentissag PCc1 Mac :aaaa.aaaa.aaaa Pc2 Mac :bbbb.bbbb.bbbb Sur cette topologie, nous avons 2 pe’s qui sont connectés sur le méme port du switch Alors, pas simultanément, mais c’est juste pour montrer un exemple. Lorsqu'une trame arrive sur un port configuré en port sécurity, son adresse MAC source est vérifiée par la table MAC du switch. Si la mac-adresse source est bien rattachée au bon port du switch, alors les données seront transmises ! siclle ne fait pas partie des adresses MAC autorisées, alors le switch ne transmettra pas la trame. Lorsque ¢a se produit, on peut configurer le switch pour quill réagisse de 3 facons différentes avec le paquet qui n'est pas autorisé : = Ona le mode Protect : qui va tout simplement supprimer les paquets qui ont une adresse a le mode Restrict Sw1(config)# Sw1(config-if)# Et comme pour le mode « restrict », il g ssi une trace des violations. ‘On va maintenant voir on détail sa configuration sur le switch. Pci Mac :aaaa.aaaa.aaaa Pc2 Mac :bbbb.bbbb.bbbb r le Port Fast Ethernet 0/3 avec + I seule adresse Mae qui pourra s «Un apprentissage dynamique e e sticky tA la moindre violation, nous << rt se désactive tout seuls. Sw1(config)# FastEthernet 0/3 Sw1(config-if)# Elae-s9 Sw1(config-if}# Sw1(config-if}# RSWa Reel sali a Ca Te.44 Sw1(config-if}# shutdown trunk switchport mode access itchport port-security maximum 1 ‘On choisit un apprentissage dynamique sticky de l'adresse Mac. Comme est A 1, la premiare e que le port appre autorisée et inscrite dans le fichier de configuration du switch. Aucune autre adresse ne pourra se connecter a ce port. 3 moins que le switch redémarre erminer la configuratio} choisit le mod: on « Shutdown ede metire soit « Protect » ou soit « Restrict nod PORT SECURITY : VERIFICATION Maintenant qu’on a bien configuré la sécurité sur le port 3 du switch, on va vérifier que ca fonctionne bien! Sw1(config)# interface FastEthernet 0/3 Port Security pS) (9 Port Status MATa Cont] Violation Mode : Shutdown PY:4 a) ns pa Oa a) PN alam od : Absolute SecureStatic Address Agi : Disabled Maximum MAC Addresses :1 Total MAC Addresses sl Configured MAC Addresses Sticky MAC Addresses :0 Last Source Address: VLAN MC CCC ELLE te Security Violation Count oa] Le mode de violation est bien régié sur < shutdown Le nombre maximum de mac adresses qui peut étre appris est de 1 Et on voit le compteur de violation qui est a 0. Voici les paramétres qui seront affectés par ce changement ! Sw1(config)# ace CRSA m0) ee) Port Security : Enable Losec ely : Secure-up Violation Mode BEST IRs (ol W7t} Aging Time :O mins Ovi Nels} : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses aE Total MAC Addresses oa. Configured MAC Addresses mi!) Srila Keke :0 Castel com \e elec dey | : aaaa.aaaa.aaaa:1 Security Violation Count me} Eero lag eT Fa0/3 1 gaaa.aaaa.aaaa SecureConfigured Fa0/5 Et Ia commande « show port-s6eurity » affiche les paramétr Baty Ao Mame erratic UO meta te meee ston cat Cato (oor (Count) (Count) fe) OPORT SECURITY : Renforcer la sdreté des ports maritimes (2) nto SWITCH-PORT SECURITY Le sécurité des ports ou port security est un s, Un scéna connectent au rese tifs non autoris ee ssestss) PCA Ui Cor Net) oC CeCe Sur cette topologie, queiqu'un a ramené de chez lui un petit switch et I'a connecté a la place de son PC conn Dans ce cas, notre commutateur Cisco apprendira l'adresse MAC du PC A et celle du PC portable con interface fast ethernet 0/1. jes utilisateurs puissent ramener leurs Pour des raisons de sécurité, nous ne souhaitons pas ments et les brancher normal ent sur notre propre réseau que nous gérons. Pour éviter que cela se produise, nous allors voir comment me ace la fonctionnalité de Portsecurity Tout d’abord, il faut se connecter sur linterfa: sstion, ici, ce sera Pinterface Fast Ethernet on. (config) # ‘onfig-if) # Pheekeee ees mande « switchport port-security la comman St eet ecentet tay) + Ou bien, on lui dit qu'il apprendra automatiquement la premiére adresse MAC onnectera sur le por t--dire qu'une adresse mac n’est pas auto ment le port, en lui faisant un « shutdown existe 3 modes de violation * Iyale mode « Protect » Dans ce m nem nant d'adresses MAC non auto * Dans le mode « Restrict ». Eth comme pour le mode Protect. ne provenant pas d'adr autoris am aussi, supprimées, Sauf que cette fois, on 3 ns le journal de bord, ou bien, on aura des trap SNMP, si on utilise un serveur de supervision. * Et le mode « Shutdown » est le mode par défa mis en « shutdown » p dant u ion intervient, le po! iniment, et seul un administrat au pourra rétablir le por! Switch Cisco(config) # Switch Cisco (config-if) # SwitchCiscqg (config—if) # Pour régler tte commande Par défaut, le délai de violation est généralement réglé a « 0 », n‘indiquant Cependant, dans ique, il est ajusté 3 10 minutes, déterminant le laps de jue des m: n-cas de vio rite. er lun des trois rr st « switchport port-security violation », ss défin come t du por gestion p s incidents potentiels, * Protect, = Restrict, © oushutdown. Switch Cisco (confi Parte a Ma RPE TERM Sco totes Torey era me eke tse Me rea ko ae te Cost aeRO Et SCM tlm ry La sécurité des ports, ou port security, est u égligé. Dans un s peuvent surgir a tc prendre des mes protéger les infrastructures une couche supp! aux uniquement aux dispositi bre d'adresses MAC auto! és Mon autorisé, quill sagisse ns la protection des urité robus des port security, les organisations pet renf leur identialité et la disponibilité de leurs données et la séet atiques re nte bien tune t un pilier fond ganisation, qu'elle soit petite ou grande. éseau pour garantir rite de des équipes inforrr s, la mise en ceuvre de mesures ment les chan 1 définitive, investir dans la sécurité des ports représente un investissement dans la stabilité et la far clients, les partenaires amerciaux tant servation de sa réputati