Home
Notions de base sur la commutation, le routage et sans fil – Modules 11 : Configuration de la Sécurité du Commutateur

Notions de base sur la commutation, le routage et sans fil – Modules 11 : Configuration de la Sécurité du Commutateur

12/04/2023 CCNA 2 No Comments

Mis à jour le 12/04/2023

11.0 Introduction

11.0.1 Pourquoi devrais-je prendre ce module?

Bienvenue dans le module de configuration de la sécurité de commutateur !

Votre responsabilité en tant que professionnel du réseau est de garantir la sécurité du réseau. La plupart du temps, nous ne pensons qu’aux attaques de sécurité provenant de l’extérieur du réseau, mais les menaces peuvent également provenir de l’intérieur du réseau. Ces menaces se présentent sous diverses formes, depuis un employé qui ajoute discrètement un commutateur Ethernet au réseau de l’entreprise pour disposer un grand nombre de ports jusqu’aux attaques malveillantes provoquées par un employé insatisfait. Votre devoir de protéger le réseau et de vous assurer que les opérations commerciales se poursuivent sans compromis.

Comment garder le réseau sûr et stable? Comment le protégeons-nous contre les attaques malveillantes au sein du réseau? Comment pouvons-nous nous assurer que les employés n’ajoutent pas de commutateurs, serveurs et autres périphériques au réseau qui pourraient compromettre les opérations réseau?

Ce module est votre introduction pour sécuriser votre réseau de l’intérieur!

11.0.2 Qu’est-ce que je vais apprendre dans ce module?

Titre du module: Configuration de la Sécurité du Commutateur

Objectif du Module: Configurer la sécurité des commutateurs pour atténuer les attaques LAN.

Titre du Rubrique Objectif du rubrique
Mise en œuvre de la sécurité des ports Mettre en œuvre la sécurité des ports pour atténuer les attaques de table d’adresses MAC.
Atténuer les attaques VLAN Expliquer comment configurer le DTP et le VLAN natif pour atténuer les attaques de VLAN.
Atténuer les attaques du DHCP Expliquer comment configurer l’espionnage DHCP pour atténuer les attaques DHCP.
Atténuer les attaques d’ARP Configurer l’inspection d’ARP pour atténuer les attaques d’ARP.
Atténuer les attaques STP Expliquer comment configurer PortFast et BPDU Guard pour atténuer les attaques STP.

11.1 Mise en œuvre de la sécurité des ports

11.1.1 Sécurisation des ports inutilisés

Les appareils de couche 2 sont considérés la liaison le plus faible de l’infrastructure de sécurité d’une entreprise. Les attaques de couche 2 sont parmi les plus faciles à déployer pour les pirates, mais ces menaces peuvent également être atténuées avec certaines solutions de couche 2 courantes.

Tous les ports (interfaces) du commutateur doivent être sécurisés avant que le commutateur soit déployé pour une utilisation en production. La façon dont un port est sécurisé dépend de sa fonction.

Une méthode simple que nombreux administrateurs utilisent pour aider à sécuriser le réseau contre les accès non autorisé est de désactiver tous les ports qui ne sont pas exploités sur un commutateur. Par exemple, si un commutateur Catalyst 2960 a 24 ports et si trois connexions Fast Ethernet sont utilisées, il est conseillé de désactiver les 21 ports inutilisés. Naviguez vers chaque port inutilisé et exécutez la commande shutdown de Cisco IOS. Si un port doit être réactivé plus tard,il peut être activé en exécutant la commande no shutdown .

Pour configurer une gamma de ports, exécutez la commande interface range .

Switch(config)# interface range type module/first-number – last-number

Par exemple, pour désactiver les ports Fa0 / 8 à Fa0 / 24 sur S1, vous devez exécuter la commande suivante.

S1(config)# interface range fa0/8 - 24
S1(config-if-range)# shutdown
%LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
(output omitted)
%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down
S1(config-if-range)#

11.1.2 Atténuation des attaques de table d’adresses MAC

La méthode la plus simple et la plus efficace qui permet d’éviter la saturation des attaques de la tableau adresse MAC est d’activer la sécurité des ports.

La sécurité des ports limite le nombre d’adresses MAC autorisées sur un port. Il permet à un administrateur de configurer manuellement les adresses MAC d’un port ou de permettre au commutateur d’apprendre dynamiquement un nombre limité d’adresses MAC. Lorsqu’un port configuré avec la sécurité des ports reçoit une trame, le système recherche l’adresse MAC source de la trame dans la liste des adresses source sécurisées qui ont été configurées manuellement ou automatiquement (par apprentissage) sur le port.

En limitant le nombre d’adresses MAC autorisées sur un port à un, la sécurité du port peut être utilisée pour contrôler l’accès non autorisé au réseau, comme illustré dans la figure.

Remarque: Les adresses MAC sont représentées comme 24 bits pour la simplicité.

11.1.3 Activer la sécurité des ports

Notez que dans l’exemple, la commande switchport port-security a été refusée. En effet, la sécurité des ports ne peut être configurée que sur des ports d’accès configurés manuellement ou des ports de trunc de réseau configurés manuellement. Par défaut, les ports de commutateur de couche 2 sont réglés sur l’auto dynamique (trunking activée). Par conséquent, dans l’exemple, le port est configuré avec la commande de configuration de l’interface switchport mode access .

Remarque: la sécurité des ports trunc dépasse le cadre de ce cours.

S1(config)# interface f0/1
S1(config-if)# switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end
S1#

Exécutez la commande show port-security interfacepour afficher les paramètres de sécurité de port actuels pour FastEthernet 0/1,comme illustré dans l’exemple. Notez comment la sécurité des ports est activée, le mode de violation est arrêté et comment le nombre maximal d’adresses MAC est 1. Si un périphérique est connecté au port, le commutateur ajoute automatiquement l’adresse MAC du périphérique en tant que MAC sécurisé. Dans cet exemple, aucun périphérique n’est connecté au port.

S1# show port-security interface f0/1
Port Security              : Enabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0
S1#

Remarque: si un port actif est configuré avec la commande switchport port-security et que plusieurs périphériques sont connectés à ce port, le port passera à l’état désactivé par erreur. Cette condition est abordée plus tard dans cette rubrique.

Une fois la sécurité des ports est activée, d’autres spécificités de sécurité des ports peuvent être configurées, comme illustré dans l’exemple.

S1(config-if)# switchport port-security ?
  aging        Port-security aging commands
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode  
S1(config-if)# switchport port-security

11.1.4 Limiter et apprendre les adresses MAC

Pour définir le nombre maximal d’adresses MAC autorisées sur un port, utilisez la commande suivante:

Switch(config-if)# switchport port-security maximum value

La valeur de sécurité du port par défaut est 1. Le nombre maximal d’adresses MAC sécurisées qui puissent être configurées dépend du commutateur et de l’IOS. Dans cet exemple, le maximum est 8192.

S1(config)# interface f0/1
S1(config-if)# switchport port-security maximum ? 
  <1-8192>  Maximum addresses
S1(config-if)# switchport port-security maximum

Le commutateur est configuré pour en savoir plus sur les adresses MAC sur un port sécurisé de trois manières:

1. Configuration manuelle

L’administrateur configure manuellement une ou des adresses MAC statiques à l’aide de la commande suivante pour chaque adresse MAC sécurisée sur le port:

Switch(config-if)# switchport port-security mac-address mac-address

2. Apprentissage dynamique

Lorsque la commande switchport port-security est exécutée, le MAC source actuel pour le périphérique connecté au port est automatiquement sécurisé mais n’est pas ajouté à la configuration en cours. Si le commutateur est redémarré, le port devra réapprendre l’adresse MAC du périphérique.

[/alert-announce]

3. Apprentissage dynamique – Sticky

L’administrateur peut activer le commutateur pour apprendre dynamiquement l’adresse MAC et le «coller» à la configuration en cours en utilisant la commande suivante:

Switch(config-if)# switchport port-security mac-address sticky

[/alert-announce]
En conservant la configuration en cours, l’apprentissage dynamique d’adresse MAC sera enregistrée dans la NVRAM.

L’exemple illustre une configuration complète de sécurité de port pour FastEthernet 0/1. L’administrateur spécifie un maximum de 4 adresses MAC, configure manuellement une adresse MAC sécurisée, puis configure le port pour apprendre dynamiquement des adresses MAC sécurisées supplémentaires jusqu’à 4 adresses MAC sécurisées au maximum. Utilisez les commandes show port-security interface et show port-security address pour vérifier la configuration.

*Mar  1 00:12:38.179: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:12:39.194: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
S1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#
S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 2
S1(config-if)# switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)# switchport port-security mac-address sticky 
S1(config-if)# end
S1# show port-security interface fa0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : a41f.7272.676a:1
Security Violation Count   : 0
S1# show port-security address
               Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan    Mac Address       Type                          Ports   Remaining Age
                                                                   (mins)    
----    -----------       ----                          -----   -------------
1    a41f.7272.676a    SecureSticky                  Fa0/1        -
1    aaaa.bbbb.1234    SecureConfigured              Fa0/1        -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 1
Max  Addresses limit in System (excluding one mac per port) : 8192
S1#

The output of the show port-security interface command verifies that port security is enabled, there is a host connected to the port (i.e., Secure-up), a total of 2 MAC addresses will be allowed, and S1 has learned one MAC address statically and one MAC address dynamically (i.e., sticky).

The output of the show port-security address command lists the two learned MAC addresses.

11.1.5 Obsolescence de la sécurité des ports

L’obsolescence de la sécurité des ports peut être utilisée pour définir le temps d’obsolescence des adresses sécurisées statiques et dynamiques sur un port. Deux types d’obsolescence sont pris en charge par port:

  • Absolue – Les adresses sécurisées sur le port sont supprimées après le temps d’obsolescence spécifié.
  • Inactivité – Les adresses sécurisées sur le port sont supprimées uniquement si elles sont inactives pendant la durée d’obsolescence spécifiée.

Utilisez l’obsolescence pour supprimer les adresses MAC sécurisées sur un port sécurisé sans supprimer manuellement les adresses MAC sécurisées existantes. Les limites de temps d’obsolescence peuvent également être augmentés pour garantir que les anciennes adresses MAC sécurisées persistent, même lorsque de nouvelles adresses MAC sont ajoutées. l’obsolescence des adresses sécurisées configurées statiquement peut être activé ou désactivé par port.

Exécutez la commande switchport port-security aging pour activer ou désactiver l’obsolescence statique pour le port sécurisé, ou pour définir le temps ou le type d’obsolescence.

Switch(config-if)# switchport port-security aging 
{ static | time time | type {absolute | inactivity}}

Les paramètres de la commande sont décrits dans le tableau.

Paramètre Description 
statique
 Activez la commande aging pour les adresses sécurisées configurées statiquement sur ce port. 
time time
 Spécifiez aging time pour ce port. La gamme est de 0 à 1440 minutes. Si Si le temps est 0, aging est désactivé pour ce 
Aging Type : Absolute
 Réglez Absolute Aging Type Toutes les adresses sécurisées sur l’age de ce port expire exactement après le temps (en minutes) spécifié et sont supprimés de la liste d’adresse sécurisé. 
Aging Type : Inactivity
 Réglez Inactivity Aging Type Les adresses sécurisées sur ce port expirent uniquement s’il n’y a pas de trafic de données provenant de l’adresse source sécurisée pour une période de temps spécifiée.

Remarque: Les adresses MAC sont représentées comme 24 bits pour la simplicité.

L’exemple montre un administrateur configurant le type d’obsolescence (aging type) à 10 minutes d’inactivité et en exécutant la commande show port-security interface pour vérifier la configuration.

S1(config)# interface fa0/1
S1(config-if)# switchport port-security aging time 10 
S1(config-if)# switchport port-security aging type inactivity 
S1(config-if)# end
S1# show port-security interface fa0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 10 mins
Aging Type                 : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : a41f.7272.676a:1
Security Violation Count   : 0
S1#

11.1.6 Modes de Violation de la Sécurité des Ports

Si l’adresse MAC d’un périphérique connecté au port est différent de la liste des adresses sécurisées, alors une violation de port se produit. Par défaut, le port entre l’état error-disabled.

Pour définir le mode de violation de sécurité du port, exécutez la commande suivante:

Switch(config-if)# switchport port-security violation { protect | restrict | shutdown}

Le tableau suivant indique la réaction d’un commutateur selon le mode de violation configuré.

Security Violation Mode Descriptions

Mode Description 
Démarrer

(par défaut)

 Le port passe immédiatement à l’état désactivé par erreur, éteint la le voyant du port et envoie un message Syslog. Il incrémente le compteur de violations. Compteur Lorsqu’un port sécurisé est dans l’état désactivé par erreur, un un administrateur doit le réactiver en entrant le shutdown et no shutdown commands. 
restreindre
 Le port supprime les paquets avec des adresses source MAC inconnues jusqu’à ce que vous supprimez un un nombre suffisant d’adresses MAC sécurisées pour descendre en dessous du maximum valeur ou augmentez la valeur maximale. Ce mode provoque la sécurité de violation compteur pour augmenter et générer un message syslog. 
protéger
 Il s’agit du mode de violation de sécurité le moins sécurisé. Le port supprime les paquets avec des adresses source MAC inconnues jusqu’à ce que vous supprimez un un nombre suffisant d’adresses MAC sécurisées pour descendre en dessous du maximum ou augmentez la valeur maximale. No syslog message est envoyé.

Security Violation Mode Comparison

Mode de Violation Rejeter un trafic illégal Envoi d’un message Syslog Incrémentation du Compteur de Violation Arrêt du port
Protéger Oui Non Non Non
Restreindre Oui Oui Oui Non
Arrêt Oui Oui Oui Oui

L’exemple indique qu’un administrateur modifie la violation de sécurité pour «Restreindre». Le résultat de commande show port-security interface confirme que la modification a été effectuée.

S1(config)# interface f0/1
S1(config-if)# switchport port-security violation restrict
S1(config-if)# end
S1#
S1# show port-security interface f0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 10 mins
Aging Type                 : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : a41f.7272.676a:1
Security Violation Count   : 0
S1#

11.1.7 Ports en état error-disabled

Quand un port est arrêté et placé dans l’état error-disabled, aucun trafic n’est envoyé ou reçu sur ce port. Une série de messages liés à la sécurité des ports s’affiche sur la console, comme illustré dans l’exemple suivant.

S1(config)# int fa0/1
S1(config-if)# switchport port-security violation shutdown
S1(config-if)# end
S1#
*Mar 1 00:24:15.599: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Mar 1 00:24:16.606: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
*Mar 1 00:24:19.114: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar 1 00:24:20.121: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
S1#
*Mar 1 00:24:32.829: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
*Mar 1 00:24:32.838: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address a41f.7273.018c on port FastEthernet0/1.
*Mar 1 00:24:33.836: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Mar 1 00:24:34.843: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
S1#

Remarque: le protocole du port et l’état de la liaison passent à l’état bas et le voyant du port est éteint.

Dans l’exemple, la commande show interface identifie l’état du port comme étant error-disabled. Le résultat de la commande show port-security interface affiche désormais l’état du port comme étant secure-shutdown. Le compteur de violation de sécurité incrémente par 1.

S1# show interface fa0/1 | include down
FastEthernet0/18 is down, line protocol is down (err-disabled)
(output omitted)
S1# show port-security interface fa0/1
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 10 mins
Aging Type                 : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : a41f.7273.018c:1
Security Violation Count   : 1
S1#

L’administrateur doit déterminer la cause de la violation de sécurité. Si un périphérique non autorisé est connecté à un port sécurisé, la menace de sécurité est éliminée avant de réactiver le port.

Pour réactiver le port, utilisez d’abord la commande shutdown puis utilisez la commande no shutdown pour que le port soit fonctionnel, comme indiqué dans l’exemple.

S1(config)# interface fa0/1
S1(config-if)# shutdown
S1(config-if)#
*Mar  1 00:39:54.981: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
S1(config-if)# no shutdown
S1(config-if)#
*Mar  1 00:40:04.275: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:40:05.282: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
S1(config-if)#

11.1.8 Vérification de la sécurité des ports

Après avoir configuré la sécurité des ports sur un commutateur, examinez chaque interface pour vérifier que la sécurité des ports est correctement définie et assurez-vous que les adresses MAC statiques ont été correctement configurées.

Sécurité du port pour toutes les interfaces

Pour afficher les paramètres de sécurité des ports pour un commutateur, utilisez la commande show port-security. L’exemple indique que les 24 interfaces sont configurées avec la commande switchport port-security car le maximum autorisé est 1 et le mode de violation est arrêté. Aucun appareil n’est connecté. Par conséquent, le CurrentAddr (Count) est 0 pour chaque interface.

S1# show port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)
---------------------------------------------------------------------------
      Fa0/1              2            2                  0         Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 1
Max Addresses limit in System (excluding one mac per port) : 8192
S1#

Sécurité du port pour une interface spécifique

Utilisez la commande show port-security interface pour afficher les détails d’une interface spécifique, comme indiqué précédemment et dans cet exemple.

S1# show port-security interface fastethernet 0/1
Port Security          	    : Enabled
Port Status            	    : Secure-up
Violation Mode              : Shutdown
Aging Time                  : 10 mins
Aging Type                  : Inactivity
SecureStatic Address Aging  : Disabled
Maximum MAC Addresses       : 2
Total MAC Addresses         : 2
Configured MAC Addresses    : 1
Sticky MAC Addresses        : 1
Last Source Address:Vlan    : a41f.7273.018c:1
Security Violation Count    : 0
S1#

Vérifiez les adresses MAC apprises

Pour vérifier que les adresses MAC «collent» à la configuration, utilisez la commande show run comme indiqué dans l’exemple pour FastEthernet 0/19.

S1# show run interface fa0/1
Building configuration...

Current configuration : 365 bytes
!
interface FastEthernet0/1
 switchport mode access
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky a41f.7272.676a
 switchport port-security mac-address aaaa.bbbb.1234
 switchport port-security aging time 10
 switchport port-security aging type inactivity
 switchport port-security
end

S1#

Vérification des adresses MAC sécurisées

Pour afficher toutes les adresses MAC sécurisées configurées manuellement ou apprises dynamiquement sur toutes les interfaces de commutateur, utilisez la commande show port-security address comme indiqué dans l’exemple.

S1# show port-security address
               Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan    Mac Address       Type                          Ports   Remaining Age
                                                                   (mins)
----    -----------       ----                          -----   -------------
   1    a41f.7272.676a    SecureSticky                  Fa0/1        -
   1    aaaa.bbbb.1234    SecureConfigured              Fa0/1        -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 1
Max Addresses limit in System (excluding one mac per port) : 8192
S1#

11.1.9 Vérificateur de syntaxe – Mettez en œuvre la sécurité des ports

Mettre en œuvre la sécurité des ports pour une interface de commutateur en fonction des exigences spécifiées

Vous êtes actuellement connecté à S1. Configurez FastEthernet 0/5 pour la sécurité des ports en utilisant les exigences suivantes:

  • Utilisez le nom d’interface fa0 / 5 pour passer en mode de configuration d’interface.
  • Activez le port pour le mode d’accès.
  • Activez la sécurité des ports
  • Définissez le nombre maximal d’adresses MAC à 3.
  • Configurez statiquement l’adresse MAC aaaa.bbbb.1234.
  • Configurez le port pour apprendre dynamiquement des adresses MAC supplémentaires et les ajouter dynamiquement à la configuration courante.
  • Revenir au mode d’exécution privilégié.
S1(config)#interface fa0/5
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 3
S1(config-if)#switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#end

Exécutez la commande pour vérifier la sécurité des ports pour toutes les interfaces.

S1#show port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)
---------------------------------------------------------------------------
      Fa0/5              3            2                  0         Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 8192

Exécutez la commande pour vérifier la sécurité des ports sur FastEthernet 0/5. Utilisez fa0/5 pour le nom de l’interface.

S1#show port-security interface fa0/5
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 3
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0090.2135.6B8C:1
Security Violation Count   : 0

Entrez la commande qui affichera toutes les adresses pour vérifier que les adresses MAC configurées manuellement et apprises dynamiquement sont dans la configuration en cours d’exécution.

S1#show port-security address
               Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan    Mac Address       Type                          Ports   Remaining Age
                                                                   (mins)    
----    -----------       ----                          -----   -------------
   1    0090.2135.6b8c    SecureSticky                  Fa0/5        -
   1    aaaa.bbbb.1234    SecureConfigured              Fa0/5        -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 8192

Vous avez correctement configuré et vérifié la sécurité des ports pour l’interface.

11.1.10 Packet Tracer – Mettre en œuvre la sécurité des ports

Dans cette activité, vous allez configurer et vérifier la sécurité des ports sur un commutateur. La sécurité des ports vous permet de limiter le trafic d’entrée d’un port en limitant les adresses MAC autorisées à envoyer du trafic sur ce port.

11.2 Atténuer les attaques VLAN

11.2.1 Revision des attaques de VLAN

En bref, Une attaque par saut de VLAN peut être lancée de trois manières:

  • Usurpation des messages DTP de l’hôte attaquant pour que le commutateur passe en mode de trunking. À partir de là, l’attaquant peut envoyer du trafic étiqueté avec le VLAN cible, et le commutateur délivre ensuite les paquets à la destination.
  • Présentation d’un commutateur indésirable et activation de trunking. L’attaquant peut alors accéder à tous les VLAN sur le commutateur victime à partir du commutateur non autorisé.
  • Un autre type d’attaque par saut de VLAN est une attaque à double étiquète (ou à double encapsulation). Cette attaque profite de la façon dont le matériel de la plupart des commutateurs fonctionne.

11.2.2 Les Étapes pour atténuer les attaques par sauts de VLAN

Utilisez les étapes suivantes pour atténuer les attaques par saut de VLAN:

Étape 1: désactivez les négociations DTP (jonction automatique) sur les ports sans trunc à l’aide de la commande de configuration de l’interface switchport mode access .

Étape 2: désactivez les ports inutilisés et placez-les dans un VLAN inutilisé.

Étape 3: Activez manuellement la liaison de jonction sur un port de jonction à l’aide de la commande switchport mode trunk .

Étape 4: désactivez les négociations DTP (trunking automatique) sur les ports de jonction à l’aide de la commande switchport nonegotiate .

Étape 5: définissez le VLAN natif sur un VLAN autre que VLAN 1 à l’aide de la commande switchport trunk native vlan vlan_number.

Par exemple, supposez ce qui suit:

  • Les ports FastEthernet 0/1 à fa0 / 16 sont des ports d’accès actifs
  • Les ports FastEthernet 0/17 à 0/24 ne sont pas actuellement utilisés
  • 53/5000 Les ports FastEthernet 0/21 à 0/20 sont des ports de trunc.

Le saut de VLAN peut être atténué en mettant en œuvre la configuration suivante.

S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)# 
S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# shutdown
S1(config-if-range)# exit
S1(config)# 
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#
  • Les ports FastEthernet 0/1 à 0/16 sont des ports d’accès donc trunking est désactivée en leur faisant explicitement des ports d’accès.
  • Les ports FastEthernet 0/17 à 0/20 sont des ports inutilisés et sont désactivés et affectés à un VLAN inutilisé.
  • Les ports FastEthernet 0/21 à 0/24 sont des liaisons de trunc et sont activés manuellement en tant que truncs avec DTP désactivé. Le VLAN natif passe également du VLAN 1 par défaut à un VLAN 999 inutilisé.

11.2.3 Vérificateur de syntaxe – Atténuer les attaques par sauts de VLAN

Atténuez les attaques par sauts de VLAN sur le commutateur en fonction des exigences spécifiées.

Vous êtes actuellement connecté à S1. L’état des ports est comme suivant:

  • Les ports FastEthernet 0/1 à 0/4 sont utilisés pour le trunc avec d’autres commutateurs.
  • Les ports FastEthernet 0/5 à 0/10 ne sont pas utilisés.
  • Les ports FastEthernet 0/11 à 0/24 ne sont pas actuellement utilisés

Utilisez interface range fa0/1 – 4 pour passer en mode de configuration d’interface pour les truncs.

S1(config)#interface range fa0/1 - 4

Configurez les interfaces comme liaison truncs non négociatrices affectées au VLAN 99 par défaut.

S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport nonegotiate
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)# exit

Utilisez interface range fa0/5 – 10 pour entrer en mode de configuration d’interface pour les truncs.

S1(config)#interface range fa0/5 - 10

Configurez les ports inutilisés comme ports d’accès, affectez-les au VLAN 86 et arrêtez les ports.

S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport access vlan 86
% Access VLAN does not exist. Creating vlan 86
S1(config-if-range)#shutdown
*Mar 1 00:28:48.883: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state to administratively down
*Mar 1 00:28:48.900: %LINK-5-CHANGED: Interface FastEthernet0/6, changed state to administratively down
*Mar 1 00:28:48.908: %LINK-5-CHANGED: Interface FastEthernet0/7, changed state to administratively down
*Mar 1 00:28:48.917: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
*Mar 1 00:28:48.942: %LINK-5-CHANGED: Interface FastEthernet0/9, changed state to administratively down
*Mar 1 00:28:48.950: %LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down
*Mar 1 00:28:49.890: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down
*Mar 1 00:28:49.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/6, changed state to down
S1(config-if-range)# exit

Utilisez interface range fa0/11 – 24 pour entrer dans le mode de configuration d’interface pour les ports actifs, puis configurez-les pour empêcher le trunc.

S1(config)#interface range fa0/11 - 24
S1(config-if-range)#switchport mode access
S1(config-if-range)# end
S1#

Vous avez réussi à atténuer les attaques par sauts de VLAN sur ce commutateur.

11.3 Atténuer les attaques DHCP

11.3.1 Révision des attaques DHCP

L’objectif d’une attaque par insuffisance de resources DHCP est de créer un déni de service (DoS) pour connecter les clients. Les attaques par insuffisance des ressources DHCP reposent sur un outil d’attaque,par exemple, Gobbler. Rappelez-vous que les attaques d’insuffisance DHCP peuvent être efficacement atténuées en utilisant la sécurité des ports car Gobbler utilise une adresse MAC source unique pour chaque demande DHCP envoyée.

Cependant, l’atténuation des attaques d’usurpation DHCP nécessite plus de protection. Gobbler peut être configuré pour utiliser l’adresse MAC de l’interface réelle comme adresse Ethernet source, mais indiquer une adresse Ethernet différente dans la charge utile DHCP. Cela rendrait la sécurité du port inefficace car l’adresse MAC source serait légitime.

Les attaques d’usurpation DHCP peuvent être atténuées en utilisant l’espionnage DHCP sur les ports approuvés.

11.3.2 Espionnage (snooping) DHCP

L’espionnage DHCP ne dépend pas des adresses MAC source. Au lieu de cela, l’espionnage DHCP détermine si les messages DHCP proviennent d’une source de confiance ou non approuvée configurée administrativement. Il filtre ensuite les messages DHCP et limite la fiabilité du trafic DHCP de sources qui ne sont pas approuvé.

Les périphériques sous contrôle administratif (par exemple, les commutateurs, les routeurs et les serveurs) sont des sources fiables. Tout appareil placé en dehors le pare-feu ou en dehors de votre réseau est une source non fiable. Par ailleurs, tous les ports d’accès sont généralement traités comme des sources non fiables. La figure montre un exemple de ports approuvés et non approuvés.

Notez que le serveur DHCP rouge serait sur un port non approuvé après avoir activé l’espionnage DHCP. Toutes les interfaces sont traitées comme non fiables par défaut. Les interfaces approuvées sont généralement des liaisons de trunc et des ports directement connectés à un serveur DHCP légitime. Ces interfaces doivent être explicitement configurées comme approuvées.

Une table DHCP est créée qui inclut l’adresse MAC source d’un périphérique sur un port non approuvé et l’adresse IP attribuée par le serveur DHCP à ce périphérique. L’adresse MAC et l’adresse IP sont liées ensemble. Par conséquent, cette table est appelé table de liaison d’espionnage DHCP.

11.3.3 Étapes pour implémenter l’espionnage DHCP

Utilisez les étapes suivantes pour activer l’espionnage DHCP (snooping):

Étape 1. Activez l’espionnage DHCP à l’aide de la commande de configuration globale ip dhcp snooping .

Étape 2. Sur les ports approuvés, configurez l’interface avec la commande ip dhcp snooping trust.

Étape 3: Limitez le nombre de messages de découverte DHCP pouvant être reçus par seconde sur les ports non approuvés à l’aide de la commande de configuration d’interface ip dhcp snooping limit rate .

Étape 4. Activez la surveillance DHCP par VLAN ou par une plage de VLAN à l’aide de la commande de configuration globale ip dhcp snooping vlan.

11.3.4 Exemple de configuration de l’espionnage DHCP:

La topologie de référence pour cet exemple d’espionnage DHCP est illustrée dans la figure. Notez que F0 / 5 est un port non approuvé car il se connecte à un PC. F0 / 1 est un port approuvé car il se connecte au serveur DHCP.

Voici un exemple de configuration de l’espionnage DHCP sur S1. Remarquez comment l’espionnage DHCP est activée pour la première fois. Alors l’interface en amont du serveur DHCP est explicitement approuvée. Ensuite, la gamma de ports FastEthernet de F0 / 5 à F0 / 24 n’est pas approuvée par défaut, donc une limite de débit est fixée à six paquets par seconde. Enfin, l’espionnage DHCP est activée sur les VLANS 5, 10, 50, 51 et 52.

S1(config)# ip dhcp snooping
S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6
S1(config-if-range)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1#

Utilisez la commande EXEC privilégiée show ip dhcp snooping pour vérifier la surveillance DHCP et show ip dhcp snooping binding pour afficher les clients qui ont reçu des informations DHCP, comme illustré dans l’exemple.

Remarque: l’espionnage DHCP est également requis par l’inspection ARP dynamique (DAI), qui est le sujet suivant

S1# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
5,10,50-52
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------   
FastEthernet0/1            yes        yes             unlimited
  Custom circuit-ids:
FastEthernet0/5            no         no              6         
  Custom circuit-ids:
FastEthernet0/6            no         no              6         
  Custom circuit-ids:
S1# show ip dhcp snooping binding
MacAddress         IpAddress       Lease(sec) Type          VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD  192.168.10.11   193185     dhcp-snooping 5    FastEthernet0/5

11.3.5 Vérificateur de syntaxe – Atténuer les attaques DHCP

Mettez en oeuvre l’espionnage DHCP pour un commutateur en fonction de la topologie suivante et des exigences spécifiées.

Vous êtes actuellement connecté à S1. Activez globalement L’espionnage DHCP (snooping )sur le commutateur.

S1(config)#ip dhcp snooping

Entrez en mode de configuration d’interface pour g0 / 1 – 2, faites confiance aux interfaces et revenez au mode de configuration globale.

S1(config)#interface range g0/1 - 2
S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#exit

Entrez en mode de configuration d’interface pour f0 / 1 – 24, limitez les messages DHCP à 10 maximum par seconde et revenez en mode de configuration globale.

S1(config)#interface range f0/1 - 24
S1(config-if-range)#ip dhcp snooping limit rate 10
S1(config-if-range)#exit

Enable DHCP snooping for VLANs 10,20,30-49.

S1(config)#ip dhcp snooping vlan 10,20,30-49
S1(config)# exit

Entrez la commande pour vérifier l’espionnage DHCP.

S1#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10,20,30-49
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------   
GigabitEthernet0/1         yes        yes             unlimited
  Custom circuit-ids:
GigabitEthernet0/2         yes        yes             unlimited
  Custom circuit-ids:
FastEthernet0/1            no         no              10         
  Custom circuit-ids:

Entrez la commande pour vérifier les liaisons DHCP actuelles enregistrées par l’espionnage DHCP

S1#show ip dhcp snooping binding
MacAddress         IpAddress       Lease(sec) Type          VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD  10.0.0.10       193185     dhcp-snooping 5    FastEthernet0/1
S1#

Vous avez correctement configuré et vérifié l’espionnage DHCP pour le commutateur.

11.4 Atténuer les attaques d’ARP

11.4.1 Inspection ARP dynamique

Dans une attaque ARP typique, un acteur de menace peut envoyer des réponses ARP non sollicitées à d’autres hôtes du sous-réseau avec l’adresse MAC de l’acteur de menace et l’adresse IP de la passerelle par défaut. Pour empêcher l’usurpation ARP et l’empoisonnement ARP qui en résulte, un commutateur doit garantir que seules les requêtes et les réponses ARP valides sont relayées.

L’inspection ARP Dynamique (DAI) nécessite l’espionnage DHCP (snooping) et aide à prévenir les attaques ARP en :

  • Ne pas relayer les réponses ARP non valides ou gratuites vers d’autres ports du même VLAN.
  • Interception de toutes les requêtes et les réponses ARP sur les ports non approuvés.
  • Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.
  • Abandon et journalisation des réponses ARP provenant de non valides pour empêcher l’empoisonnement ARP.
  • Error-disabling l’interface si le nombre DAI des paquets ARP configurés sont dépassées.

11.4.2 Directives de mettre en œuvre DAI

Pour atténuer les risques d’usurpation ARP et d’empoisonnement ARP, suivez ces directives d’implémentation DAI:

  • Activez globalement L’espionnage DHCP (snooping ).
  • Activer l’espionnage DHCP sur les VLAN sélectionnés.
  • Activer l’inspection ARP dynamique (DAI) sur les VLAN sélectionnés.
  • Configurer les interface approuvées avec l’espionnage DHCP et l’inspection ARP.

Il est généralement conseillé de configurer tous les ports de commutateur d’accès comme non approuvés et de configurer tous les ports de liaison montante qui sont connectés à d’autres commutateurs comme approuvés.

L’exemple de topologie de la figure identifie les ports approuvés et non approuvés.

11.4.3 Exemple de configuration DAI

Dans la topologie précédente, S1 connecte deux utilisateurs sur le VLAN 10. DAI sera configuré pour atténuer les attaques d’usurpation ARP et d’empoisonnement ARP.

Comme indiqué dans l’exemple, l’espionnage DHCP est activée car DAI nécessite la table de liaison d’espionnage DHCP pour fonctionner. Ensuite, la surveillance DHCP et l’inspection ARP sont activés pour les PC sur VLAN10. Le port de liaison montante vers le routeur est approuvé et est donc configuré comme approuvé pour l’espionnage DHCP et l’inspection ARP.

S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

L’inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la source des adresses MAC et IP :

  • MAC de destination -vérifie l’adresse MAC de destination dans l’en-tête Ethernet par rapport à l’adresse MAC cible dans le corps ARP.
  • Source MAC – Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l’expéditeur Adresse MAC dans le corps ARP.
  • Adresse IP – Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses 0.0.0.0, 255.255.255.255 et tous les adresses multidiffusion IP.

La commande de configuration globale ip arp inspection validate {[src-mac][dst-mac] [ip]} est utilisée pour configurer DAI pour supprimer les paquets ARP lorsque les adresses IP ne sont pas valides. Il peut être utilisé lorsque les adresses MAC dans le corps des paquets ARP ne correspondent pas aux adresses spécifiées dans l’en-tête Ethernet. Remarquez dans l’exemple suivant comment une seule commande peut être configurée. Par conséquent, la saisie de plusieurs commandes ip arp inspection validate écrase la commande précédente. Pour inclure plusieurs méthodes de validation, saisissez-les sur la même ligne de commande comme indiqué et vérifié le résultat suivante.

S1(config)# ip arp inspection validate ?
dst-mac  Validate destination MAC address
  ip       Validate IP addresses
  src-mac  Validate source MAC address
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
ip arp inspection validate ip 
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip 
S1(config)#

11.4.4 Vérificateur de syntaxe – Atténuer les attaques ARP

Mettez en œuvre pour un commutateur en fonction de la topologie suivante et des exigences spécifiées.

Vous êtes actuellement connecté à S1. Activez globalement L’espionnage DHCP (snooping )sur le commutateur.

S1(config)#ip dhcp snooping

Entrez en mode de configuration d’interface pour g0 / 1 – 2, faites confiance aux interfaces d’espionnage DHCP et DAI et puis revenez au mode de configuration globale.

S1(config)#interface range g0/1 - 2
S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#ip arp inspection trust
S1(config-if-range)#exit

Enable DHCP snooping and DAI for VLANs 10,20,30-49.

S1(config)#ip dhcp snooping vlan 10,20,30-49
S1(config)#ip arp inspection vlan 10,20,30-49
S1(config)#

Vous avez correctement configuré DAI pour le commutateur.

11.5 Atténuer les attaques du STP

11.5.1 PortFast et protection BPDU

Rappelez-vous que les attaquants du réseau peuvent manipuler le protocole STP (Spanning Tree Protocol) pour mener une attaque en usurpant le pont racine et en modifiant la topologie d’un réseau. Pour atténuer les attaques de manipulation du protocole Spanning Tree (STP), utilisez PortFast et Bridge Protocol Data Unit (BPDU) Garde :

  • PortFast – Avec PortFast, une interface configurée comme un port d’accès ou trunc passe immédiatement de l’état de blocage à celui de transfert, et contourne ainsi les situations d’écoutes et d’apprentissages. Appliquer à tous les ports d’utilisateur final. PortFast ne doit pas être configuré que sur les ports connectés aux périphériques finaux.
  • BPDU Guard – Une erreur de BPDU guard désactive immédiatement un port qui reçoit un BPDU. Comme PortFast, BPDU guard ne doit pas être configuré que sur les ports connectés aux périphériques finaux.

Dans la figure, les ports d’accès pour S1 doivent être configurés avec PortFast et BPDU Guard.

11.5.2 Configurer PortFast

PortFast contourne les situations d’écoute et d’apprentissage STP pour limiter le temps que les ports d’accès doivent attendre que STP se converge. Si PortFast est activé sur un port connecté à un autre commutateur, alors il y en a un risque de créer une boucle Spanning Tree.

PortFast peut être activée alternativement sur une interface avec la commande de configuration spanning-tree portfast . Alternativement, PortFast peut être configurée sur tous les ports non trunc avec la commande de configuration globale spanning-tree portfast default .

Pour vérifier si PortFast est activé globalement, vous pouvez utiliser la commande show running-config | commande begin span ou la commande show spanning-tree summary . Pour vérifier si PortFast est activé sur l’interface, utilisez la commande show running-config interface type / number, comme indiqué dans l’exemple suivant. La commande show spanning-tree interface type/number detail peut également être utilisée pour la vérification.

Notez que lors PortFast est active, les messages d’avertissement s’affichent.

S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION
%Portfast has been configured on FastEthernet0/1 but will only
 have effect when the interface is in a non-trunking mode.
S1(config-if)# exit
S1(config)# spanning-tree portfast default
%Warning: this command enables portfast by default on all interfaces. You
 should now disable portfast explicitly on switched ports leading to hubs,
 switches and bridges as they may create temporary bridging loops.
S1(config)# exit
S1# show running-config | begin span
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
!
interface FastEthernet0/1
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
! 
(output omitted)
S1#

11.5.3 Configuration BPDU Guard

Même si PortFast est activé, l’interface écoutera toujours les BPDU. Les BPDU inattendus peuvent être accidentels ou faire partie d’une tentative non autorisée d’ajouter un commutateur au réseau.

Si une BPDU est reçue sur un port d’accès activé par BPDU Guard, le port est mis en état désactivé par erreur. Cela signifie que le port est arrêté et doit être réactivé manuellement ou récupéré automatiquement par la commande globale errdisable recovery cause psecure_violation.

BPDU Guard peut être activé sur un port à l’aide de la commande de configuration d’interface spanning-tree bpduguard enable. Autrement, utiliser la commande de configuration globale spanning-tree portfast bpduguard default pour activer globalement la protection BPDU sur tous les ports où PortFast est activée.

Pour afficher des informations sur l’état du spanning tree, utilisez la commande show spanning-tree summary. Dans l’exemple, PortFast par défaut et BPDU Guard sont activés comme situation par défaut pour les ports configurés en mode d’accès.

Remarque: Activez toujours BPDU Guard sur tous les ports activés par PortFast.

S1(config)# interface fa0/1
S1(config-if)# spanning-tree bpduguard enable
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default
S1(config)# end
S1# show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#

11.5.4 Vérificateur de syntaxe – Atténuer les attaques STP

Mettez en œuvre Portfast et BPDU Guard pour un commutateur en fonction de la topologie suivante et des exigences spécifiées.

Vous êtes actuellement connecté à S1. Complétez les étapes suivantes pour implémenter PortFast et BPDU Guard sur tous les ports d’accès:

  • Passez en mode de configuration d’interface pour fa0/1 – 24.
  • Configurez le port en mode d’accès.
  • Repassez en mode de configuration globale.
  • Activez Portfast par défaut sur tous les ports d’accès.
  • Activez BPDU Guard par défaut sur tous les ports d’accès.
S1(config)#interface range fa0/1 - 24
S1(config-if-range)#switchport mode access
S1(config-if-range)#exit
S1(config)#spanning-tree portfast default
S1(config)#spanning-tree portfast bpduguard default
S1(config)# exit

Vérifiez que PortFast et BPDU Guard sont activés par défaut en affichant les informations récapitulatives STP.

S1#show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#

Vous avez correctement configuré PortFast et BPDU Guard pour ce commutateur.

11.6 Module pratique et questionnaire

11.6.1 Packet Tracer – Configuration de la sécurité des ports de commutateur

Dans cette activité Packet Tracer, vous allez:

  • Sécuriser les ports inutilisés
  • Configurer la sécurité des ports
  • Atténuer les attaques par saut de VLAN
  • Limiter les attaques DHCP
  • Limiter les attaques ARP
  • Limiter les attaques STP
  • Vérifier la configuration de sécurité du commutateur

11.6.2 Travaux pratiques – Configuration de la sécurité du commutateur

Au cours de ces travaux pratiques, vous allez:

  • Sécuriser les ports inutilisés
  • Configurer la sécurité des ports
  • Atténuer les attaques par saut de VLAN
  • Limiter les attaques DHCP
  • Limiter les attaques ARP
  • Limiter les attaques STP
  • Vérifier la configuration de sécurité du commutateur

11.6.3 Qu’est-ce que j’ai appris dans ce module?

Tous les ports (interfaces) du commutateur doivent être sécurisés avant que le commutateur est possédé pour la production d’utilisation. La méthode la plus simple et la plus efficace qui permet d’éviter la saturation des attaques de le tableau d’adresse MAC est d’activer la sécurité des ports. Par défaut, les ports de commutateur de couche 2 sont définis automatiquement dynamique (dynamic auto) (trunking on). Le commutateur peut être configuré pour connaître les adresses MAC sur un port sécurisé de trois manières: configuré manuellement, appris dynamiquement et appris dynamiquement – collant. L’obsolescence de la sécurité des ports peut être utilisée pour définir le temps d’obsolescence des adresses sécurisées statiques et dynamiques sur un port. Deux types d’obsolescence sont pris en charge par port:Absolute et Inactivity Si l’adresse MAC d’un périphérique connecté au port est différent de la liste des adresses sécurisées, alors une violation de port se produit. Par défaut, le port entre l’état error-disabled. Quand un port est fermé et placé dans l’état error-disabled, aucun trafic n’est envoyé ou reçu sur ce port Pour afficher les paramètres de sécurité des ports pour un commutateur, utilisez la commande show port-security.

Pour atténuer les attaques par saut de VLAN:

Étape 1. Désactivez les négociations DTP sur les ports sans trunking.
Étape 2. Désactivation des ports inutilisés.
Étape 3. Activez manuellement la liaison trunc sur un port de trunking.
Étape 4. Désactivez les négociations DTP sur les ports trunking.
Étape 5. Choisissez un VLAN natif autre que le VLAN.

L’objectif d’une attaque par insuffisance de resources DHCP est de créer un déni de service (DoS) pour connecter les clients. Les attaques par usurpation DHCP peuvent être contrecarrées au moyen de fonctions de surveillance DHCP sur les ports de confiance. L’espionnage DHCP détermine si les messages DHCP proviennent d’une source approuvée ou non approuvée configurée par l’administrateur. Il filtre ensuite les messages DHCP et limite la fiabilité du trafic DHCP de sources qui ne sont pas approuvé. Utilisez les étapes suivantes pour activer l’espionnage DHCP (snooping):

Étape 1. Activer L’espionnage (snooping) DHCP.
Étape 2. Sur les ports approuvés, configure l’interface avec la commande ip dhcp snooping trust.
Étape 3. Limitez le nombre de messages de découverte DHCP pouvant être reçus par seconde sur les ports non approuvés.
Étape 4. Activez l’espionnage DHCP par VLAN ou par une gamme de VLAN.

L’inspection ARP Dynamique (DAI) nécessite l’espionnage DHCP (snooping) et aide à prévenir les attaques ARP en :

  • Ne pas relayer les réponses ARP non valides ou gratuites vers d’autres ports du même VLAN.
  • Interception de toutes les requêtes et les réponses ARP sur les ports non approuvés.
  • Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.
  • Abandon et journalisation des réponses ARP provenant de non valides pour empêcher l’empoisonnement ARP.
  • Error-disabling l’interface si le nombre DAI des paquets ARP configurés sont dépassées.

Pour atténuer les risques d’usurpation ARP et d’empoisonnement ARP, suivez ces directives d’implémentation DAI:

  • Activez globalement L’espionnage DHCP (snooping ).
  • Activez l’espionnage DHCP sur les VLAN sélectionnés.
  • Activez l’inspection ARP dynamique (DAI) sur les VLAN sélectionnés.
  • Configurez les interface approuvées avec l’espionnage DHCP et l’inspection ARP.

Il est généralement conseillé de configurer tous les ports de commutateur d’accès comme non approuvés et de configurer tous les ports de liaison montante qui sont connectés à d’autres commutateurs comme approuvés.

L’inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la source des adresses MAC et IP :

  • MAC de destination -vérifie l’adresse MAC de destination dans l’en-tête Ethernet par rapport à l’adresse MAC cible dans le corps ARP.
  • Source MAC – Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l’expéditeur Adresse MAC dans le corps ARP.
  • Adresse IP – Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses 0.0.0.0, 255.255.255.255, et tous les adresses multidiffusion IP.

Pour atténuer les attaques de manipulation du protocole Spanning Tree (STP), utilisez PortFast et Bridge Protocol Data Unit (BPDU) Garde :

  • PortFast – Avec PortFast, une interface configurée comme un port d’accès ou trunc passe immédiatement de l’état de blocage à celui de transfert, et contourne ainsi les états d’écoutes et d’apprentissages. S’applique à tous les ports d’utilisateur finaux. PortFast ne doit pas être configuré que sur les ports connectés aux périphériques finaux. PortFast contourne les états d’écoute et d’apprentissage STP pour limiter le temps que les ports d’accès doivent attendre que STP se converge. Si PortFast est activé sur un port connecté à un autre commutateur, alors il y en a un risque de créer une boucle Spanning Tree.
  • BPDU Guard – Une erreur de BPDU guard désactive immédiatement un port qui reçoit un BPDU. Comme PortFast, BPDU ne doit pas être configuré que sur les ports connectés aux périphériques finaux. BPDU Guard peut être activé sur un port à l’aide de la commande de configuration d’interface spanning-tree bpduguard enable. Autrement, utiliser la commande de configuration globale spanning-tree portfast bpduguard default pour activer globalement la protection BPDU sur tous les ports où PortFast est activée.

Related Posts

Subscribe
Notify of
guest

0 Comments
Newest
Oldest Most Voted
Inline Feedbacks
View all comments