[Cisco] Découverte & Utilisation du Port-Security

Les switch font partit des matériels clés sur un réseau, qu’importe l’architecture. Ils peuvent être aussi un point crucial pour les attaques informatique… Des règles de sécurité sont donc à mettre en œuvre.

Pour éviter que n’importe qui se connecte sur un port d’un switch, il est possible de faire un contrôle sur les adresses MAC des machines connectés pour chaque port.
Ainsi, si le switch détecte qu’un PC a changé de mac (usurpation MAC), et que cette nouvelle adresse mac n’est pas celle qui est entrée dans ses paramètres, la connexion va alors se couper (le port va automatiquement s’éteindre, se mettre en position « down »).


Les options du « Port-Security »

Avant de mettre en place cette sécurité vis-à-vis des ports du Switch, il vous faut connaître les trois options de la commande.

  • port-security violation shutdown —> « Shutdown » bloquerera le port si une usurpation MAC est détectée
  • port-security violation protect —> « Protect » bloquera les trames avec les MAC inconnues
  • port-security violation restrict —> Message envoyé au « Syslog » + compteur incrémentiel

I. Adressage IP

Pour ce cas, il est préférable d’avoir au minimum 3 postes & 1 switch dans votre réseau virtuel. Votre switch doit supporter l’administration CLI (lignes de commandes). Le réseau peut être n’importe lequel, qu’il soit de classe A, B, C ou D, mais veillez à ce que les machines soient toutes dans le même réseau.

Voici notre configuration (exemple) :

  • Le « Serveur0 » est connecté sur le port « fastEthernet0/1 » – IP : 192.168.1.250
  • PC0 —> « fastEthernet0/2 » – IP : 192.168.1.1
  • PC1 —> « fastEthernet0/3 » – IP : 192.168.1.2
  • PC2 —> « fastEthernet0/4 » – IP : 192.168.1.3

II. Configuration du switch & des ports

5 ports ethernet sont concernés pour cette nouvelle sécurité, il faut alors les configurer 1 par 1. Nous allons devoir entrer dans la configuration « avancée » du switch, pour modifier les paramètres des ports concernés :

Dès lors que le switch affiche  » (config) « , vous êtes dans la partie vous permettant d’administrer les VLAN, les interfaces, les protocoles… La majorité des options disponibles du switch.

Nous allons commencer par la première interface, « fastEthernet0/1« .

Mode opératoire :

  1. Entrer dans l’interface concernée (fastEthernet0/1) ;
  2. Activer le mode « switchport access » —> Autoriser l’accessibilité du port, le switch laisse passer les trames / la communication dans ce port ;
  3. Activer le mode « port-security » pour initialiser la sécurité ;
  4. Entrer l’adresse MAC du PC / Serveur autorisé à communiquer avec ce port ;
  5. Sélectionner & activer l’option « port-security » à attribuer sur ce port concerné ;
  6. Ne pas oublier de sauvegarder la configuration générale du switch (« copy running-config startup-config« )
  7. Répétez les étapes 1 à 6 pour tous les ports concernés.
[alert type= »info » close= »false » heading= »Rappel »] La commande « no shutdown » n’éteint pas l’interface. Cette commande « allume » / « monte » le port. [/alert]

Exemples par ligne de commandes :

[alert type= »success » close= »false » ] Remarquez le format de l’adresse MAC –> Il ne s’agit plus de 6 groupes de 2 caractères, mais de 3 groupes de 4 caractères. Il s’agit toutefois d’une adresse MAC, c’est seulement Cisco IOS qui impose cet écriture… [/alert]


Option « Sticky »

Il existe une option alternative pour la ligne « switch port-security mac-address […] ». En effet, le switch peut être capable « d’observer » les adresses MAC qui transitent dans ses interfaces, et n’autoriser une ou plusieurs adresses. Ainsi, lors de la commande « switchport port-security mac-address« , il ne faut pas mettre l’adresse MAC d’une machine, mais l’attribut « sticky« .

Par défaut, il n’y aura qu’une seule adresse MAC autorisée avec l’option sticky. Vous pouvez donc changer cette valeur grâce à la commande ci-dessous :

« n » = Nombre d’adresse MAC autorisée(s) par port, où « n » est un nombre de 1 à 99.

De par cette commande, vous pouvez autoriser une ou plusieurs adresses MAC sur un même port, mais à certaines conditions, comme présentées ci-dessous…


III. Exemples

A partir de ce moment, vous avez 3 solutions possibles :

  • Switch(config-if)# switchport port-security violation shutdown —> Bloquer le port si il y a une tentative d’usurpation MAC ;
  • Switch(config-if)# switchport port-security violation protect —> Bloque les trames avec des adresses MAC inconnues de ce port ;
  • Switch(config-if)# switchport port-security violation restrict —> Si une usurpation MAC est détectée, un message sera envoyé sur le « Syslog », en plus d’augmenter la valeur du compteur incrémentiel (Le nombre d’échecs est comptabilisé.)

N’oubliez pas après de « monter » la configuration de l’interface, grâce à la commande … :


1°) port-security violation shutdown

En activant le mode « violation shutdown », dès qu’une usurpation MAC est détectée, le port va automatiquement & instantanément s’éteindre. Ainsi, il sera reconnu comme « down » dans le switch, et ne se « remontera » pas, même avec la bonne adresse MAC.

Pour réactiver le port, il faut entrer dans l’interface « descendue », et la « remonter » manuellement :

Lors de l’exécution de la commande « shutdown », un message apparaîtra :

Le switch a alors repéré que vous venez de « monter » le port (interface) administrativement, c’est à dire en ligne de commande. La commande « no shutdown » permet de sauvegarder l’état en cours de l’interface.


2°) port-security violation protect

Le mode « violation protect » est un peu moins « méchant » et restrictif que le « violation shutdown« .
En effet, si des trames considérées comme illégitimes transitent via le port ethernet du switch (disposant de la sécurité), elles seront automatiquement bloquées et n’iront pas plus loin que le switch sur le réseau.

Contrairement au mode « violation shutdown », le port ethernet concerné ne sera pas éteint.


3°) port-security violation restrict

Le mode « violation restrict » est le mode le moins bloquant ; Toutes les tentatives d’usurpations et autres « attaques » seront loggués dans un fichier (syslog) en interne dans le switch.
Cependant, les attaques (donc les trames usurpées/corrompues etc) continueront de passer librement au travers du switch et donc du réseau…


IV.  Quelques commandes utiles en vrac…

Afficher la configuration du switch en cours d’utilisation


Afficher la configuration générale de tous les « port-security »


Afficher la configuration port-security d’un port spécifique

Vous pouvez changer « fastEthernet0/1 » par un autre numéro correspondant au port choisit –> fastEthernet0/3, fastEthernet1/23

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

One Comment

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Close
Close