Les switchs : Protection de ports (2/4)

To the non-french speaker, note that you can translate the articles using the Google Trad widget situated at the bottom of all pages.


Comme nous l’avons vu dans l’article précédent, un switch est un équipement qui permet de relier des matériels sur un réseau. Tout comme les routeurs, c’est un équipement qui a besoin d’être sécurisé. En effet on ne voudrait pas que n’importe qui puisse brancher son ordinateur sur notre switch et ait accès à notre réseau.

Pour sécuriser notre switch nous disposons de deux techniques complémentaires.

I/ Désactiver les ports non utilisés

En reprenant l’achitecture du précédent article, nous pouvons voir que notre switch utilise au maximum sept interfaces (une pour chaque matériel) :

toutconnecte

Or sur ce switch nous disposons de 24 interfaces. Il y en a donc 17 qui sont fonctionnelles mais non utilisées. Celles là, on peut donc les désactiver ! Pour cela on utilisera cette commande :

shutdown

shutdown.png

Et le résultat :

gotshutdowned.png

On pourra, bien évidemment, les réactiver en lançant la commande inverse :

no shutdown

Notez aussi qu’il est possible de modifier plusieurs interfaces en même temps en spécifiant une range. Par exemple si on voulait shutdown toutes les interfaces fastEthernet supérieures à sept on entrerait cette commande :

interface range fastEthernet 0/8-24
shutdown

range.png

Voilà ! Toutes les interfaces non utilisées sont désactivées. En revanche il reste encore un gros problème. En effet rien n’empêchera un pirate de se connecter à un des ports toujours actifs. Alors du coup comment pourrait-on sécuriser nos interfaces actives ?

II/ Sécuriser nos ports via attribution d’adresses MAC

En fait, on peut paramétrer notre switch pour qu’il accepte de transférer les paquets envoyés que par certaines adresses MAC et refuser toutes les autres ! Prenons par exemple l’interface cinq de notre switch. La machine qui y est connectée utilise cette adresse MAC :

lac.png

Sur notre switch nous pourrons donc dire que cette adresse MAC et seulement celle-ci pourra utiliser le port cinq. Pour cela on utilisera ces commandes :

interface fastEthernet 0/5
switchport mode access #Active le mode access
switchport port-security #Active la sécurité des ports
switchport port-security mac-address 0002.16A6.39D6

Du coup si on branche un autre ordinateur sur ce port, eh bien il ne pourra pas communiquer sur le réseau :

noping.png

En langage Cisco, ce que nous venons de faire s’appelle une violation de sécurité. Il existe trois modes de violation de sécurité qui vont toutes effectuer des actions différentes :

Protect : les paquets munies d’adresses MAC inconnues sont refusées et aucune notification n’est envoyée à l’administrateur.
Restrict : les paquets munies d’adresses MAC inconnues sont refusés et une notification est envoyé à l’administrateur.
Shutdown : c’est le mode par défaut (et celui que je préfère), l’interface est tout simplement désactivée.

Je n’ai pas modifié le mode de violation de sécurité de ce switch donc son interface 5 devrait être désactivée :

desactivee.png

Et c’est bien le cas.

Avec ces paramètrages on peut donc augmenter considérablement la sécurité de nos switchs et par conséquent celle de notre réseau.

Il nous reste un dernier point à voir : les VLANs !

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s