Finger in the net
Blog d'administration réseau
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Created by potrace 1.10, written by Peter Selinger 2001-2011

Le Port-security (CISCO)

Finger In The Net

Afin de sécuriser l’accès physique à notre réseau, nous pouvons utiliser deux méthodes :

  • Port-security (Sécurisation de nos ports via adresse MAC)
  • Port-based authentication (Sécurisation de nos ports via le protocole 802.1x)
Chapitre 1

Fonctionnement du port-security

Une adresse MAC est une adresse qui permet d’identifier une carte réseau. Cette adresse est UNIQUE au monde. On va donc utiliser ces adresses pour autoriser ou non un client sur un port.

Il existe trois types de réactions si un client se présente avec une adresse mac non autorisée :

  • Shutdown : Le port va se mettre en mode ERR-DISABLE. Il doit y avoir une action humaine pour remettre ce port en état de fonctionner (“shutdown” / “no shutdown” sur l’interface en question). Le switch garde une trace de cette violation.
  • Restrict : Le port va dropper toutes les trames reçues par cette adresse MAC. Il traitera toujours les trames possédant une adresse MAC autorisée. Le switch garde une trace de cette violation.
  • Protect : Identique au mode “restrict” sauf que le switch ne garde pas la trace des violations de sécurité.
Chapitre 2

CONFIGURATION du port-security

Activation du “port-security”

Sw(config)# interface FastEthernet 0/1
Sw(config-if)# switchport mode access (obligatoire) Sw(config-if)# switchport port-security

Méthode d’apprentissage Statique

Sw(config-if)# switchport port-security mac-address 0000.0000.0001
Sw(config-if)# switchport port-security mac-address 0000.0000.0002
Sw(config-if)# switchport port-security mac-address 0000.0000.0003
etc ..

Méthode d’apprentissage Dynamique

Sw(config-if)# switchport port-security mac-address sticky
Sw(config-if)# switchport port-security maximum 10

10 adresses MAC vont être apprises dynamiquement par le Sticky.

Violation

Sw(config-if)# switchport port-security violation [shutdown|restrict|protect]
Chapitre 3

Dépannage du port-security

Switch# show port-security

Cette commande affiche l’état des ports utilisant le “port-security”

Switch# show interfaces status err-disabled

Cette commande nous montre les ports en mode “err-disable“. Pour remettre un port “err-disable” en état de fonctionner, retirer l’équipement non autorisé du port puis faite :

Switch(config)# interface FastEthernet X/X   
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Chapitre 4

Faiblesse du port-security

Le port-security sécurise l’accès à notre réseau via l’adresse MAC. Cette adresse MAC est changeable facilement …
Afin de prouver la faiblesse de cette sécurisation, mettons-nous à la place d’une personne malveillante.

Exemple: Une personne malveillante veut se connecter à notre réseau. Il va donc devoir prendre la place de quelqu’un afin d’être sûr que le port soit ouvert et d’être dans un Vlan fonctionnel. Pour ce faire il va débrancher un client du réseau afin de faire un point à point avec ce dernier.

  1. Grâce au logiciel Wireshark, il va apprendre l’adresse IP et l’adresse MAC du client.
  2. Il va s’attribuer l’adresse IP du client.
  3. Il va s’attribuer l’adresse MAC du client grâce au logiciel Technitium.

Il ne reste plus qu’à se connecter au réseau et le tour est joué !!

Port-security - Intrusion
Port-security – Intrusion
Chapitre 5

Conclusion

Le port-security est une méthode qui permet de sécuriser l’accès au réseau.
Ce n’est pas la meilleure, mais c’est mieux que rien !
Cette solution est facile à mettre en oeuvre. Un utilisateur lambda ne va pas se donner la peine de chercher une solution pour se connecter illégalement à votre réseau. Une personne mal intentionnée va prendre 5 minutes pour s’y connecter.

Pour un réseau sensible , tournez-vous vers le “Port-Based Authentication

Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Excellent ! Quelques commentaires.

1 – En plus des méthodes 802.1x et du port-security, je crois qu’il y a une autre approche encore plus basic, c’est “mac-based authentication” ?

2 – Ça serait cool de préciser que des messages SysLog et traps SNMP peuvent être générés par le mode de violation “Restrict”.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

treize − sept =

CURSUS DE FORMATION

CHAPITRE 1 :

Les bases du réseau

LA BOUTIQUE
DES GEEKS