Attaques MacFlooding – Sécuriser son switch Cisco
![](https://le-guide-du-secops.fr/wp-content/uploads/2020/04/3881198-big-data-wallpaper_brlndtech.jpg)
Nous avons la possibilité avec les Switchs Cisco, de réaliser un contrôle sur les ports du commutateur en limitant l’accès à certaines @ MAC, cela permet de sécuriser l’accès et d’éviter des attaques de type « MacFlooding« . Pour cela, il faut utiliser l’option « Port-security ».
Il y a deux méthodes qui nous permettent de mettre en oeuvre cette technologie :
- Sécurisation manuelle : Enregistrer manuellement l’adresse MAC autorisée, pour un port X
- Sécurisation Automatique de l’accès (Mode sticky) : C’est le premier hôte qui va se connecter physiquement au switch qui va en être en quelque sorte locataire du port de manière temporaire.
Mise en pratique avec Packet tracer
![](https://i0.wp.com/i.imgur.com/h3JOA7ml.png?w=750&ssl=1)
Configuration du port fa0/1 et fa0/2 -> port security (mac address mode) / configuration Manuelle
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 00E0.8F5E.B950
# le port fa0/1 accepte uniquement la liaison avec PC0
Switch(config)#int fa0/20060.7041.BEC7
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0060.7041.BEC7
# le port fa0/2 accepte uniquement la liaison avec PC1
Configuration du port fa0/3 -> port security (sticky mode) – configuration dynamique / automatique
Switch(config)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
# Le port est actif et le PC connecté, il ne reste plus qu’à envoyer une trame (par exemple pinger le PC « PC0 (Port fa0/1) ») pour que l’adresse MAC du « PC2 (Port fa0/3) » soit enregistrée.
Configurer la réaction lors de la violation de la sécurité
Lorsqu’un périphérique non autorisé se connecte sur un port qui a été configuré avec port-security, le commutateur doit réagir instantanément à cette violation de sécurité.
Pour cela nous allons utiliser la commande « switchport port-security violation » avec 3 options qui vont nous permettre de bloquer d’éventuelles attaques.
- La méthode « shutdown » : Elle désactive l’interface lorsqu’il y a violation.
Note : Pour réactiver l’interface, il faut désactiver le port manuellement et le réactiver manuellement pour qu’il redevienne actif, avec les commandes shutdown et no shutdown.
- La méthode « protect » : Toutes les trames ayant des adresses MAC sources inconnues sont bloquées et les autres autorisées.
- La méthode « restrict » : Alerte SNMP envoyée et le compteur de violation est incrémenté.
Si on veut mettre en oeuvre la méthode « shutdown » sur le port fa0/1 :
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security violation shutdown
![](https://i0.wp.com/i.imgur.com/MY2CYgxl.png?w=750&ssl=1)
Augmenter le nombre d’adresses MAC autorisées sur un port
Cisco permet d’autoriser par défaut une seule @ MAC sur chacun des ports mais il est possible d’augmenter le nombre d’adresses grâce à l’instruction suivante :
switchport port-security maximum X
Où X correspond au nombre maximum d’adresses que vous souhaitez autoriser.
À Bientôt 😉
Brlndtech
En savoir plus sur Le Guide Du SecOps
Subscribe to get the latest posts sent to your email.