Attaques MacFlooding – Sécuriser son switch Cisco

Publié par Geoffrey Sauvageot-Berland le

Nous avons la possibilité avec les Switchs Cisco, de réaliser un contrôle sur les ports du commutateur en limitant l’accès à certaines @ MAC, cela permet de sécuriser l’accès et d’éviter des attaques de type « MacFlooding« . Pour cela, il faut utiliser l’option « Port-security ».

Il y a deux méthodes qui nous permettent de mettre en oeuvre cette technologie :

  • Sécurisation manuelle : Enregistrer manuellement l’adresse MAC autorisée, pour un port X
  • Sécurisation Automatique de l’accès (Mode sticky) : C’est le premier hôte qui va se connecter physiquement au switch qui va en être en quelque sorte locataire du port de manière temporaire.

Mise en pratique avec Packet tracer

Configuration du port fa0/1 et fa0/2 -> port security (mac address mode) / configuration Manuelle

Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 00E0.8F5E.B950
# le port fa0/1 accepte uniquement la liaison avec PC0
Switch(config)#int fa0/20060.7041.BEC7
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0060.7041.BEC7
# le port fa0/2 accepte uniquement la liaison avec PC1

Configuration du port fa0/3 -> port security (sticky mode) – configuration dynamique / automatique

Switch(config)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
# Le port est actif et le PC connecté, il ne reste plus qu’à envoyer une trame (par exemple pinger le PC « PC0 (Port fa0/1) ») pour que l’adresse MAC du « PC2 (Port fa0/3) » soit enregistrée.

Configurer la réaction lors de la violation de la sécurité

Lorsqu’un périphérique non autorisé se connecte sur un port qui a été configuré avec port-security, le commutateur doit réagir instantanément à cette violation de sécurité.

Pour cela nous allons utiliser la commande « switchport port-security violation » avec 3 options qui vont nous permettre de bloquer d’éventuelles attaques.

  • La méthode « shutdown » : Elle désactive l’interface lorsqu’il y a violation.

Note : Pour réactiver l’interface, il faut désactiver le port manuellement et le réactiver manuellement pour qu’il redevienne actif, avec les commandes shutdown et no shutdown.

  • La méthode « protect » : Toutes les trames ayant des adresses MAC sources inconnues sont bloquées et les autres autorisées.
  • La méthode « restrict » : Alerte SNMP envoyée et le compteur de violation est incrémenté.

Si on veut mettre en oeuvre la méthode « shutdown » sur le port fa0/1 :

Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security violation shutdown

Augmenter le nombre d’adresses MAC autorisées sur un port

Cisco permet d’autoriser par défaut une seule @ MAC sur chacun des ports mais il est possible d’augmenter le nombre d’adresses grâce à l’instruction suivante :

switchport port-security maximum X

Où X correspond au nombre maximum d’adresses que vous souhaitez autoriser.

À Bientôt 😉

Brlndtech


En savoir plus sur Le Guide Du SecOps

Subscribe to get the latest posts sent to your email.


Geoffrey Sauvageot-Berland

Ingénieur diplômé par l’état en Informatique et Cybersécurité. Généraliste, à l'origine administrateur systèmes et réseaux, j’occupe actuellement un poste d’auditeur en sécurité offensive. J’apprécie également la programmation/automatisation. Fondateur du blog : "Le Guide du SecOps", anciennement "Le Guide du SysOps"

En savoir plus sur Le Guide Du SecOps

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading