La sécurité des ports
En réseaux, la sécurité est un aspect à prendre très au sérieux. Chaque composant du réseau, y compris les ports sur un switch ou un routeur, représente un point potentiel d’entrée pour les menaces. Par conséquent, la sécurisation des ports est un élément clé pour maintenir l’intégrité, la disponibilité et la confidentialité des données transitant sur le réseau.
La sécurité des ports implique une série de mesures visant à protéger les ports individuels sur un switch ou un routeur contre les menaces potentielles. Ces menaces peuvent aller de l’usage non autorisé d’un port à des attaques plus complexes comme les attaques de type man-in-the-middle ou les attaques de déni de service. De plus, sans une sécurité des ports adéquate, il y a un risque que des appareils non autorisés soient connectés au réseau. Ces appareils pourraient alors accéder à des ressources sensibles ou perturber le fonctionnement du réseau.
Étant donné que les ports sur un switch sont une porte d’entrée ouverte aux menaces, il est tout à fait logique de prendre des mesures pour les sécuriser et ainsi préserver l’intégrité du réseau. Fort heureusement, il existe différentes approches pour protéger ces points d’accès, chacune ayant ses propres forces et faiblesses. Voici quelques-uns des problèmes couramment rencontrés et les moyens de les résoudre :
-
MAC Spoofing : Cette attaque consiste à imiter l’adresse MAC d’un autre appareil sur le réseau. L’attaquant peut alors intercepter le trafic destiné à l’appareil ciblé. La sécurité des ports (port-security) peut être utilisée pour contrer cette attaque en limitant le nombre d’adresses MAC autorisées sur un port donné.
-
IP Spoofing : Cette attaque consiste à usurper l’adresse IP d’un autre appareil pour masquer l’identité de l’attaquant ou rediriger le trafic. IP Source Guard peut aider à prévenir ce type d’attaque en limitant l’IP et le trafic MAC sur un port spécifique.
-
ARP Spoofing : L’ARP Spoofing consiste à usurper l’adresse IP d’un autre appareil sur le réseau, souvent dans le but d’intercepter ou de rediriger le trafic. Le Dynamic ARP Inspection peut être utilisée pour contrer cette attaque en bloquant les réponses ARP inattendues sur un port.
-
DHCP Spoofing : Une attaque de DHCP Spoofing consiste à usurper l’identité d’un serveur DHCP dans le but de distribuer une adresse de passerelle par défaut qui pointe vers l’appareil de l’attaquant. Cela signifie que tout le trafic destiné à des adresses en dehors du réseau local sera d’abord envoyé à l’attaquant, ce qui lui permet d’intercepter et d’examiner les données. DHCP Snooping peut être utilisé pour contrer cette attaque en limitant les réponses DHCP aux seuls serveurs DHCP fiables.
-
STP Manipulation : Il s’agit d’une attaque qui vise à perturber la topologie du réseau (Spanning Tree). L’attaquant peut soit créer une boucle dans le réseau, soit forcer le trafic à passer par un appareil spécifique. Le BPDU Guard protège contre la création de boucles en désactivant le port si des BPDUs sont reçus. De son côté, Root Guard empêche un port de devenir la racine du STP pour prévenir les attaques de racine.
Résumé des commandes
Les commandes détaillées ci-dessous sont un résumé des fonctionnalités de sécurité que nous allons étudier plus en détail dans les sections suivantes de ce cours. Elles représentent un ensemble de configurations de sécurité pour les switches qui, combinées, fournissent une couverture de sécurité globale contre une variété d’attaques courantes. Sans une telle sécurité, même les systèmes les plus avancés et les plus coûteux deviennent inutiles. La sécurité des réseaux est un tout indivisible : un seul point faible peut rendre vaine toute la chaine de protection.
Dans la configuration ci-dessous, on active d’abord des mesures de sécurité pour prévenir deux types spécifiques d’attaques. D’abord, on utilise la commande ip dhcp snooping
pour activer la fonctionnalité sur le switch, qui protège contre les attaques de type IP spoofing et DHCP spoofing. Ensuite, la commande ip arp inspection
est utilisée pour activer l’inspection, qui protège contre les attaques de type ARP spoofing. Ces deux fonctionnalités sont vitales pour maintenir la sécurité du réseau et minimiser les risques.
Le deuxième bloc de commandes concerne la configuration des ports d’accès. Ces ports sont configurés pour n’accepter qu’une seule adresse MAC grâce à l’utilisation de la fonction port-security
. De plus, la fonction IP Source Guard est utilisée en association avec la sécurité des ports pour empêcher l’usurpation d’adresses IP. Enfin, la fonction BPDU Guard est activée pour prévenir les modifications non autorisées de la topologie du réseau. Toutes ces configurations augmentent le niveau de sécurité du réseau en limitant l’accès aux ports et en prévenant diverses formes d’attaques.
Enfin, les ports GigabitEthernet, généralement utilisés comme ports de liaison montante vers d’autres switches ou routeurs, sont configurés pour faire confiance aux réponses ARP et DHCP. Cette confiance est établie en utilisant les commandes ip arp inspection trust
et ip dhcp snooping trust
. Cela signifie que ces ports sont autorisés à recevoir des réponses ARP et DHCP sans être bloqués par les mécanismes de sécurité, permettant ainsi un bon flux de trafic vers et depuis les autres dispositifs du réseau.
Switch> enable
Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1
Switch(config)# ip arp inspection vlan 1
Switch(config)# interface range fastethernet 0/1-24
Switch(config-if-ra)# switchport mode access
Switch(config-if-ra)# switchport port-security
Switch(config-if-ra)# switchport port-security maximum 1
Switch(config-if-ra)# switchport port-security mac-address sticky
Switch(config-if-ra)# ip verify source port-security
Switch(config-if-ra)# spanning-tree bpduguard enable
Switch(config-if-ra)# end
Switch(config)# interface range GigabitEthernet 0/1-2
Switch(config-if-ra)# ip arp inspection trust
Switch(config-if-ra)# ip dhcp snooping trust
Switch(config-if-ra)# end