Concepts et configuration de base de la commutation (S3/C2) Monodiffusion, multidiffusion et diffusion Ethernet

Contrôle de l’accès aux supports avec Ethernet Il existe 3 types d’adresses MAC :

Ethernet utilise la méthode CSMA/CD pour gérer l’accès au support et les • monodiffusion
collisions. • multidiffusion
• diffusion
Détection de signal : Avant d’envoyer un message, un périphérique écoute la
porteuse :
Monodiffusion : un périphérique envoie un message à un seul destinataire.
• Si aucun signal n’est détecté : le périphérique envoie son message.
Diffusion : un périphérique envoie un message à tous les périphériques du
domaine de diffusion.
• Si un signal est détecté : le périphérique attend un certain temps avant
L’adresse IP destinataire ne contient que des 1 dans la partie hôte. L’adresse
d’essayer à nouveau d’envoyer son message.
MAC correspondante comporte 48 bits à 1 donc FF-FF-FF-FF-FF-FF.
Accès multiple : Si deux périphériques émettent en même temps, une collision
Multidiffusion : un périphérique envoie un message à un groupe de
peut se produire.
périphériques (groupe de multidiffusion).
Dès la détection de collision, les deux périphériques responsables de la collision
Rappel : les adresses de multidiffusion vont de 224.0.0.0 à 239.255.255.255.
envoient un signal de détection.
Ce signal demande à tous les périphériques de cesser d’émettre pendant un
Chaque adresse IP de multidiffusion nécessite une adresse MAC de multidiffusion
temps aléatoire– algorithme d’interruption.
correspondante.
Ainsi, les 6 premiers nombres hexadécimaux sont 01-00-5E.
Après ce délai, les périphériques se remettent sur mode écoute. Afin que les
Les 6 derniers nombres hexadécimaux correspondent à
périphériques se ne remettent pas à émettre en même temps, une période de
réémission aléatoire est activée sur chaque périphérique. • 1er bit : 0
• les 23 bits depuis la droite de l’adresse IP de multidiffusion

1 2
Concentrateurs et domaines de collisions
Un répéteur est un dispositif réseau de couche 1 qui retransmet un signal reçu
depuis un segment sur le segment suivant. Il augmente la distance que les câbles
Ethernet peuvent atteindre.
Un concentrateur est un répéteur multiport. Il permet de connecter un plus
grand nombre d’hôtes. Il retransmet un signal reçu depuis un port sur tous les
autres ports.
Lorsqu’une collision survient, celle-ci se propage sur une partie du réseau appelé
domaine de collisions.
Les répéteurs et les concentrateurs propagent les collisions. Ils augmentent
donc la taille du domaine de collisions.
Latence : un signal met un certain temps à se propager le long du support. Ce
délai augmente la probabilité de survenance de collisions.
Commutateurs (switchs)
Un commutateur est un dispositif réseau de couche 2. Il permet de segmenter
un LAN en plusieurs domaines de collisions distincts. Chaque port du commu-
tateur représente un seul domaine de collisions.
Lorsque tous les noeuds sont connectés directement au commutateur, celui
assure :
• une bande passsante dédiée sur tous les ports
• un environnement sans collision
• une transmission bidirectionnelle simultanée
Fonctionnement d’un commutateur
Un commutateur effectue un réacheminement sélectif. Pour ce faire, le
commutateur fait appel aux fonctions de base suivantes :
• l’apprentissage
• l’horodatage
• l’inondation
• le réacheminement sélectif
• le filtrage
3 4
Méthodes de transmission par commutateur
Un commutateur peut transmettre des trames selon différents modes :
• store and forward (stockage et retransmission)
• cut-through
Un commutateur store and forward reçoit la trame entière, calcule le CRC
et vérifie la longueur de la trame. Si les deux sont corrects, le commutateur
recherche l’adresse de destination qui détermine l’interface de sortie, puis
achemine la trame.
Un commutateur cut-through achemine la trame avant qu’elle ne soit
entièrement reçue. Au minimum, l’adresse de destination de la trame doit être
lue avant que celle-ci ne soit pas retransmise.
Il existe deux variantes du mode cut-trough : fast-forward et fragment-free.
La commutation fast-forward transmet le paquet immédiatement après la
lecture de l’adresse de destination et donc offre un temps de latence très bas. Il
s’agit du mode cut-trough le plus fréquent.
La commutation fragment-free stocke les 64 premiers bytes de la trame avant
la retransmission. Comme la plupart des erreurs et collisions arrivent avant le
64ème byte, cela permet de s’assurer qu’aucune collision ne s’est produite.
Certains commutateurs sont configurés en mode cut-through par port. Une fois
un seuil d’erreurs définis atteint, le port automatiquement en mode store and
forward. lorsque le nombre d’erreurs passe en dessous du seuil défini, le port
revient en mode cut-trough.
Mise en mémoire tampon
Le commutateur stocke la trame dans une mémoire tampon pendant une
courte période. Il existe deux types de mémoire tampon :
• axée sur les ports
• partagée
Une mémoire axée sur les ports : les trames sont stockées dans des files
d’attente liées à des ports entrants spécifiques.
Une mémoire partagée : toutes les trames sont stockées dans une mémoire
tampon commune à tous les ports du commutateur.
Commutations symétrique et asymétrique Mots de passe d’un commutateur

Il existe deux types de commutation : Les mots de passe ont pour but de limiter l’accès au routeur. Il est possible de
sécuriser l’accès au routeur sur
• symétrique • les lignes de terminal virtuel (vty)
• asymétrique • la ligne console
• le mode privilégié
Une commutation symétrique offre la même bande passante pour tous les ports.
Le mot de passe console :
Une commutation asymétrique offre une bande passante plus importante sur
un port afin d’éviter un goulot d’étranglement.
Switch(config)#line console 0
Switch(config-line)#password cisco
Un commutateur fonctionne au niveau de la couche 2 du modèle OSI : il filtre
Switch(config-line)#login
en se basant uniquement sur les adresses MAC.
Le mot de passe terminal :
Il existe également des commutateurs de couche 3 : il utilise aussi les adresses IP
pour prendre ces décisions. Il peut effectuer des fonctions de routage.
Un commutateur prend en charge généralement 16 lignes vty (numérotées de 0
à 15). Ces lignes permettent d’accéder à distance avec telnet au commutateur.
Séquence d’amorçage d’un commutateur
Switch(config)#line vty 0 15
Le commutateur charge le bootloader depuis la NVRAM. Switch(config-line)#password cisco
Switch(config-line)#login
Le bootloader :
Le mot de passe pour le mode privilégié :
• initialise le CPU
Il existe deux commandes pour configurer un mot de passe pour le mode
• effectue le POST privilégié :

• initialise le système de fichiers flash Switch(config)#enable password cisco

Switch(config)#enable secret class
• charge l’IOS dans la RAM.
Il est préférable d’utiliser enable secret car le mot de passe est crypté.
L’IOS est exécuté à l’aide du fichier config.text stocké dans la flash. Afin que les mots de passe apparaissent sous forme cryptée dans les fichiers de
configuration, on utilise la commande :
Le bootloader permet d’accéder au switch si l’IOS n’est pas utilisable. Il permet,
par l’intermédiaire de la ligne de commande, d’accéder aux fichiers stockés dans Switch(config)#service password-encryption
la flash. Cela permet, entre autres, de récupérer un mot de passe perdu.

Nom du commutateur

Il est important d’attribuer un nom unique à un dispositif :

Switch(config)#hostname nomswitch

5 6
Configuration de l’interface de gestion d’un commutateur Configuration SSH

Les interfaces physiques d’un switch ne possèdent pas d’adresses IP et sont SSH (Secure Shell) fournit une communication sécurisée pour configurer des
actives par défaut. périphériques à distance.
Cependant, tous les IOS ne prennent pas en charge SSH. Dans ce cas, il est
Pour pouvoir gérer un switch à distance, il est nécessaire de lui attribuer une nécessaire d’utiliser Telnet.
adresse IP. Celle-ci est attribuée sur l’interface virtuelle vlan 1.
Etape 1 :
Switch(config)#interface vlan 1
Switch(config-if)#ip address adresse IP masque sous-réseau On configure un nom d’hôte et un domaine hôte :
Switch(config-if)#no shutdown
Switch(config-if)#exit Switch(config)# hostname S1
S1(config)# ip domain-name mydomain.com
Finalement,pour permettre au switch de communiquer en dehors du réseau
local, il est nécessaire de lui attribuer une passerelle par défaut. Etape 2 :

Switch(config)#ip default-gateway adresse IP On crée un nom d’utilisateur et un mot de passe :

Switch(config)#exit
S1(config)# aaa new-model
Gestion de base du commutateur S1(config)# username admin secret class

Pour enregistrer la configuration en cours dans la configuration de démarrage Etape 3 :

du commutateur :
On active le serveur SSH sur le switch et on génère une paire de clés RSA :
S1(config)# copy running-config startup-config
S1(config)# crypto key generate rsa
ou
Remarque : Pour supprimer les clés RSA :
S1(config)# copy system:running-config flash:startup-config
S1(config)# crypto key zeroize rsa
Pour afficher la table d’adresses MAC (statiques et dynamiques) d’un commu-
tateur : Etape 4 :

S1# show mac-address-table Pour permettre uniquement les connexions SSH :

S1(config)# line vty 0 15

S1(config-line)# transport input ssh

Pour permettre les connexions telnet et SSH :

S1(config-line)# transport input all

Pour voir les connexions :

S1# show ssh

7 8
Récupération de mot de passe du commutateur
• Eteignez le switch. Rallumez-le en maintenant enfoncé le bouton MODE
jusqu’à ce que la LED de l’interface fa 0/1 s’éteigne.
Le prompt suivant s’affiche alors : switch :
• Entrez les commandes suivantes :
flash init
load helper
• Renommez alors le fichier de configuration :
rename flash:config.text flash:config.text.old
• Amorcez le système : boot
• A la question : ”Continue with the configuration dialog ? ”, répondez
négativement.
• Entrez en mode enable (sans mot de passe).
• Renommez le fichier de configuration d’après son nom d’origine :
rename flash:config.text.old flash:config.text
• Copiez le fichier de configuration dans la mémoire :
copy flash:config.text system:running-config
• Changez le mot de passe.
• Sauvegardez le fichier de configuration :
copy running-config startup-config
• Rechargez le commutateur : reload
9 10
Menaces fréquentes en termes de sécurité
Les attaques les plus fréquentes sur les commutateurs sont :
• inondation d’adresses MAC
• attaques par mystification
• attaques CDP
• attaques Telnet
• attaque de mot de passe en force
L’inondation d’adresses MAC : submerge la table d’adresses MAC avec de
fausses adresses. Lorsque celle-ci est saturée, le commutateur fonctionne comme
un hub et diffuse toutes les trames sur tous les ports. Une personne malveillante
peut voir alors les trames transmises vers l’hôte qu’il souhaite attaquer.
L’attaque par mystification :
Première méthode :
Un périphérique pirate se fait passer pour un serveur DHCP et fournit dans sa
réponse à une requête DHCP sa prore adresse comme adresse de passerelle. Il
transmet à son tour les trames à destination voulue et de ce fait peut passer
complètement inaperçu.
Seconde méthode :
Un périphérique pirate demande en permanence des adresses IP auprès d’un
véritable serveur DHCP. Tous les baux sont alors alloués et les véritables clients
ne peuvent plus obtenir une adresse DHCP.
Pour parer à de telles attaques, on utilise la surveillance DHCP qui détermine
les ports du commutateur qui sont en mesure de répondre à des requêtes DHCP
avec la commande ip dhcp snooping.
L’attaque CDP : CDP est un protocole propriétaire cisco qui détecte tous les
périphériques voisins ; il est activé par défaut. Il donne des informations sur le
périphériques tels que l’ad. IP, l’IOS, la plateforme etc. Il est donc préférable de
désactiver le protocole CDP.
Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH.
L’attaque de mot de passe en force : un pirate commence par utiliser
des mots de passe courants, puis des combinaisons de caractères pour tenter
de deviner un mot de passe et effectuer une connexion sur le commutateur.
Il est donc important d’avoir un mot de passe fort et de le modifier régulièrement.
Configuration de la sécurité des ports Adresse MAC sécurisée rémanente

Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de Une adresse MAC sécurisée rémanente est apprise dynamiquement, puis
rassembler des informations ou de mener des attaques sur le réseau. enregistrée dans le running-config.

La sécurisation passe par la limitation du nombre d’adresses MAC utilisées sur S1(config)# interface fa0/15
un port. Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, une S1(config-if)# switchport mode access
violation de sécurité se produit. S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 10
Il existe plusieurs façons de configurer la sécurité des ports sur un commutateur : S1(config-if)# switchport port-security sticky
S1(config-if)# end
• adresses MAC sécurisées statiques
• adresses MAC sécurisées dynamiques De plus les adresses MAC sécurisées rémanentes présentes les caractéristiques
• adresses MAC sécurisées rémanentes suivantes :

• l’utilisation de la commande switchport port-security sticky convertit

Une adresse MAC sécurisée statique est configurée manuellement à l’aide toutes les adresses MAC utilisées sur le port, y compris rétroactivement et les
de la commande de configuration d’interface : ajoute toute dans le running-config.

S1(config)# interface fa0/15 • l’utilisation de la commande no switchport port-security sticky efface les
S1(config-if)# switchport mode access adresses MAC sécurisées rémanentes du running-config mais les garde dans la
S1(config-if)# switchport port-security table d’adresses MAC.
S1(config-if)# switchport port-security mac-addressad. MAC
S1(config-if)# end

L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée
dans le running-config.

Une adresse MAC sécurisée dynamique est récupérée dynamiquement et

stockée uniquement dans la table d’adresses MAC. L’adresse est supprimée au
redémarrage du switch.

S1(config)# interface fa0/15

S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end

11 12
Modes de violation de sécurité Vérification de la sécurité des ports

On considère qu’il y a violation de sécurité lorsque l’une des situations
suivantes se présente :
• le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelle
adresse MAC tente d’accéder à l’interface.
Pour vérifier les paramètres de sécurité des ports :
S1# show port-security [interface fa0/15 ]
Pour vérifier les adresses MAC sécurisées :

• une adresse MAC statique ou dynamique associée à une interface tente S1# show port-security address [interface fa0/15 ]
d’accéder à une autre interface dans le même réseau.

Il existe trois modes de violation configurable sur une interface : Désactivation des ports inutilisés

Une méthode simple pour sécuriser un commutateur est de désactiver les ports
• protect
inutilisés avec la commande shudown.
• restrict
• violation
Pour les IOS plus récents, il est possible de désactiver plusieurs ports en même
temps avec la commande :
protect : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur
le port et une nouvelle adresse MAC tente d’envoyer des trames : celles-ci sont S1(config) # interface range fa 0/2 - 8
ignorées. Aucun message de notification n’est envoyé. S1(config-if)# shutdown

restrict : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur

le port et une nouvelle adresse MAC tente d’envoyer des trames : celles-ci sont
ignorées. Un message syslog est envoyé.

shutdown : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur

le port et une nouvelle adresse MAC tente d’envoyer des trames. Le port est
immédiatement désactivé et un message syslog est envoyé. Le port peut être
réactivé manuellement avec la commande no shutdown.
Par défaut, les paramètres de la sécurité des ports sont les suivants :

• sécurité des ports : désactivée

• nombre maximal d’adresses MAC sécurisées : 1
• mode de violation : shutdown
• apprentissage des adresses rémanentes : désactivé

13 14