Attaques MacFlooding – Sécuriser son switch Cisco
Nous avons la possibilité avec les Switchs Cisco, de réaliser un contrôle sur les ports du commutateur en limitant l’accès à certaines @ MAC, cela permet de sécuriser l’accès et d’éviter des attaques de type « MacFlooding« . Pour cela, il faut utiliser l’option « Port-security ».
Il y a deux méthodes qui nous permettent de mettre en oeuvre cette technologie :
- Sécurisation manuelle : Enregistrer manuellement l’adresse MAC autorisée, pour un port X
- Sécurisation Automatique de l’accès (Mode sticky) : C’est le premier hôte qui va se connecter physiquement au switch qui va en être en quelque sorte locataire du port de manière temporaire.
Mise en pratique avec Packet tracer
Configuration du port fa0/1 et fa0/2 -> port security (mac address mode) / configuration Manuelle
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 00E0.8F5E.B950
# le port fa0/1 accepte uniquement la liaison avec PC0
Switch(config)#int fa0/20060.7041.BEC7
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0060.7041.BEC7
# le port fa0/2 accepte uniquement la liaison avec PC1
Configuration du port fa0/3 -> port security (sticky mode) – configuration dynamique / automatique
Switch(config)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
# Le port est actif et le PC connecté, il ne reste plus qu’à envoyer une trame (par exemple pinger le PC « PC0 (Port fa0/1) ») pour que l’adresse MAC du « PC2 (Port fa0/3) » soit enregistrée.
Configurer la réaction lors de la violation de la sécurité
Lorsqu’un périphérique non autorisé se connecte sur un port qui a été configuré avec port-security, le commutateur doit réagir instantanément à cette violation de sécurité.
Pour cela nous allons utiliser la commande « switchport port-security violation » avec 3 options qui vont nous permettre de bloquer d’éventuelles attaques.
- La méthode « shutdown » : Elle désactive l’interface lorsqu’il y a violation.
Note : Pour réactiver l’interface, il faut désactiver le port manuellement et le réactiver manuellement pour qu’il redevienne actif, avec les commandes shutdown et no shutdown.
- La méthode « protect » : Toutes les trames ayant des adresses MAC sources inconnues sont bloquées et les autres autorisées.
- La méthode « restrict » : Alerte SNMP envoyée et le compteur de violation est incrémenté.
Si on veut mettre en oeuvre la méthode « shutdown » sur le port fa0/1 :
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security violation shutdown
Augmenter le nombre d’adresses MAC autorisées sur un port
Cisco permet d’autoriser par défaut une seule @ MAC sur chacun des ports mais il est possible d’augmenter le nombre d’adresses grâce à l’instruction suivante :
switchport port-security maximum X
Où X correspond au nombre maximum d’adresses que vous souhaitez autoriser.
À Bientôt 😉
Brlndtech
En savoir plus sur Le Guide Du SecOps
Subscribe to get the latest posts sent to your email.