Le monde Internet Le code binaire Le modèle OSI Le modèle TCP/IP Le câblage Les adresses MAC La table ARP La table CAM Les domaines de collision Les adresse IP Les adresses IPV4 Les adresses IPV6 Débuter avec CISCO Présentation de la virtualisation Présentation des Wildcard Mask

Les Vlans Les liens Trunk Le routage inter-vlan Le protocole VTP Les VACLs Les Private VLANs Le Spanning-Tree Introduction au FHRP Le protocole HSRP Le protocole VRRP Le protocole GLBP La méthode VSS Etherchannel

Configuration d’un routeur Le routage statique Le routage dynamique Le protocole RIP Le protocole OSPF Le protocole EIGRP Le protocole BGP Le Frame Relay HDLC / PPP Le protocole PPPoE Le metroEthernet Les services CLOUD

Le NAT Le SLA Le protocole DHCP Le protocole NTP Le protocole SNMP Le protocole NetFlow La gestion des logs SPAN / RSPAN / ERSPAN Le protocole CDP / LLDP Les protocoles PPP et HDLC Introduction à la QOS Le Frame-Relay Les Templates SDM Le protocole PPPoE Configuration sécurisée CISCO

Le protocole SSH Les access-lists Le DHCP Snooping Le Dynamic ARP Inspection L’ IP Source guard Le protocole AAA Le port-security Le port-based authentication Le Storm-control Service password-recovery Les ERR-DISABLE

Les tunnels GRE Le protocole IPSec Le DMVPN CBWFQ over GRE Tunneling IPv6 over IPv4

Présentation Introduction au Spanning-Tree Les protocoles le Protocole STP le Protocole RSTP En pratique le Protocole PVST+ le Protocole Rapid-PVST+ le Protocole MST Les options Spanning-Tree Portfast Spanning-Tree BPDUFilter Spanning-Tree BPDUguard Spanning-Tree Root Guard Spanning-Tree Loop Guard Le protocole UDLD

Présentation Le protocole OSPF Les bases Les aires OSPF Le Virtual Link Election du DR et du BDR Les tables OSPF La Neighbors Table La Link State Database La table de routage La Sécurité Authentification OSPF Le LSA Filtering Autres Les types de réseau WAN

Présentation Le protocole EIGRP Les échanges Les paquets EIGRP Stuck in Active Les routeurs Stub Choix de la route Load Balancing EIGRP Metric EIGRP Choix du masque Auto-summary Summarization Sécurité Authentification EIGRP Filtrage EIGRP

Le signal Wifi : Différence entre 2.4Ghz vs 5 Ghz Les différents standards Wifi Installer une borne Wi-Fi MIMO Le BEACON Architecture Wifi: Wi-Fi : Le BSS Lightweight Access Point Les WLC Le Roaming Sécurité : Sécurité Wi-Fi Le WEP Le WPA / WPA2 Le WPA3

Le Port-security (CISCO)

Article de blog | Finger In The Net

Afin de sécuriser l’accès physique à notre réseau, nous pouvons utiliser deux méthodes :

Port-security (Sécurisation de nos ports via adresse MAC)
Port-based authentication (Sécurisation de nos ports via le protocole 802.1x)

Chapitre 1

Fonctionnement du port-security

Une adresse MAC est une adresse qui permet d’identifier une carte réseau. Cette adresse est UNIQUE au monde. On va donc utiliser ces adresses pour autoriser ou non un client sur un port.

Il existe trois types de réactions si un client se présente avec une adresse mac non autorisée :

Shutdown : Le port va se mettre en mode ERR-DISABLE. Il doit y avoir une action humaine pour remettre ce port en état de fonctionner (“shutdown” / “no shutdown” sur l’interface en question). Le switch garde une trace de cette violation.

Restrict : Le port va dropper toutes les trames reçues par cette adresse MAC. Il traitera toujours les trames possédant une adresse MAC autorisée. Le switch garde une trace de cette violation.

Protect : Identique au mode “restrict” sauf que le switch ne garde pas la trace des violations de sécurité.

Chapitre 2

CONFIGURATION du port-security

Activation du “port-security”

Sw(config)# interface FastEthernet 0/1
Sw(config-if)# switchport mode access (obligatoire)
Sw(config-if)# switchport port-security

Méthode d’apprentissage Statique

Sw(config-if)# switchport port-security mac-address 0000.0000.0001
Sw(config-if)# switchport port-security mac-address 0000.0000.0002
Sw(config-if)# switchport port-security mac-address 0000.0000.0003
etc ..

Méthode d’apprentissage Dynamique

Sw(config-if)# switchport port-security mac-address sticky
Sw(config-if)# switchport port-security maximum 10

10 adresses MAC vont être apprises dynamiquement par le Sticky.

Violation

Sw(config-if)# switchport port-security violation [shutdown|restrict|protect]

Chapitre 3

Dépannage du port-security

Switch# show port-security

Cette commande affiche l’état des ports utilisant le “port-security”

Switch# show interfaces status err-disabled

Cette commande nous montre les ports en mode “err-disable“. Pour remettre un port “err-disable” en état de fonctionner, retirer l’équipement non autorisé du port puis faite :

Switch(config)# interface FastEthernet X/X   
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

Chapitre 4

Faiblesse du port-security

Le port-security sécurise l’accès à notre réseau via l’adresse MAC. Cette adresse MAC est changeable facilement …
Afin de prouver la faiblesse de cette sécurisation, mettons-nous à la place d’une personne malveillante.

Exemple: Une personne malveillante veut se connecter à notre réseau. Il va donc devoir prendre la place de quelqu’un afin d’être sûr que le port soit ouvert et d’être dans un Vlan fonctionnel. Pour ce faire il va débrancher un client du réseau afin de faire un point à point avec ce dernier.

Grâce au logiciel Wireshark, il va apprendre l’adresse IP et l’adresse MAC du client.
Il va s’attribuer l’adresse IP du client.
Il va s’attribuer l’adresse MAC du client grâce au logiciel Technitium.

Il ne reste plus qu’à se connecter au réseau et le tour est joué !!

Port-security - Intrusion — Port-security – Intrusion

Chapitre 5

Conclusion

Le port-security est une méthode qui permet de sécuriser l’accès au réseau.
Ce n’est pas la meilleure, mais c’est mieux que rien !
Cette solution est facile à mettre en oeuvre. Un utilisateur lambda ne va pas se donner la peine de chercher une solution pour se connecter illégalement à votre réseau. Une personne mal intentionnée va prendre 5 minutes pour s’y connecter.

Pour un réseau sensible , tournez-vous vers le “Port-Based Authentication“

Merci de votre attention

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

CURSUS DE FORMATION

Administrateur Réseau

Les bases du réseau

La Partie Switching

La Partie Routing

Les Services

La Sécurité

Les VPNs

Le Spanning Tree

Présentation

Introduction au Spanning-Tree

Les protocoles

En pratique

Les options

Le protocole OSPF

Présentation

Le protocole OSPF

Les bases

Les tables OSPF

La Sécurité

Autres

Les types de réseau WAN

Le protocole EIGRP

Présentation

Le protocole EIGRP

Les échanges

Choix de la route

Choix du masque

Auto-summary
Summarization

Sécurité

Les réseaux Wi-Fi

Le signal Wifi :

Architecture Wifi:

Sécurité :

Formation
CCNA 200-301

Découvrir la formation

Le Port-security (CISCO)

Article de blog | Finger In The Net

Fonctionnement du port-security

CONFIGURATION du port-security

Dépannage du port-security

Faiblesse du port-security

Conclusion

Sur le même thème

Noël NICOLAS

Auteur de l'article

Eric JOUFFRILLON

Co-auteur de l'article

Formation
CCNA 200-301

Les bases du réseau

La partie Switching

La partie ROUTING

Les services

La sécurité

Les VPNs

Spanning-Tree

Le Port-security (CISCO)

Article de blog | Finger In The Net

Fonctionnement du port-security

CONFIGURATION du port-security

Dépannage du port-security

Faiblesse du port-security

Conclusion

Sur le même thème

Noël NICOLAS

Auteur de l'article

Eric JOUFFRILLON

Co-auteur de l'article

FormationCCNA 200-301

Les bases du réseau

La partie Switching

La partie ROUTING

Les services

La sécurité

Les VPNs

Spanning-Tree

Formation
CCNA 200-301