Vous êtes sur la page 1sur 7

Concepts et configuration de base de la commutation (S3/C2) Monodiffusion, multidiffusion et diffusion Ethernet

Contrôle de l’accès aux supports avec Ethernet Il existe 3 types d’adresses MAC :

Ethernet utilise la méthode CSMA/CD pour gérer l’accès au support et les • monodiffusion
collisions. • multidiffusion
• diffusion
Détection de signal : Avant d’envoyer un message, un périphérique écoute la
porteuse :
Monodiffusion : un périphérique envoie un message à un seul destinataire.
• Si aucun signal n’est détecté : le périphérique envoie son message.
Diffusion : un périphérique envoie un message à tous les périphériques du
domaine de diffusion.
• Si un signal est détecté : le périphérique attend un certain temps avant
L’adresse IP destinataire ne contient que des 1 dans la partie hôte. L’adresse
d’essayer à nouveau d’envoyer son message.
MAC correspondante comporte 48 bits à 1 donc FF-FF-FF-FF-FF-FF.
Accès multiple : Si deux périphériques émettent en même temps, une collision
Multidiffusion : un périphérique envoie un message à un groupe de
peut se produire.
périphériques (groupe de multidiffusion).
Dès la détection de collision, les deux périphériques responsables de la collision
Rappel : les adresses de multidiffusion vont de 224.0.0.0 à 239.255.255.255.
envoient un signal de détection.
Ce signal demande à tous les périphériques de cesser d’émettre pendant un
Chaque adresse IP de multidiffusion nécessite une adresse MAC de multidiffusion
temps aléatoire– algorithme d’interruption.
correspondante.
Ainsi, les 6 premiers nombres hexadécimaux sont 01-00-5E.
Après ce délai, les périphériques se remettent sur mode écoute. Afin que les
Les 6 derniers nombres hexadécimaux correspondent à
périphériques se ne remettent pas à émettre en même temps, une période de
réémission aléatoire est activée sur chaque périphérique. • 1er bit : 0
• les 23 bits depuis la droite de l’adresse IP de multidiffusion

1 2
Concentrateurs et domaines de collisions Méthodes de transmission par commutateur

Un répéteur est un dispositif réseau de couche 1 qui retransmet un signal reçu Un commutateur peut transmettre des trames selon différents modes :
depuis un segment sur le segment suivant. Il augmente la distance que les câbles
Ethernet peuvent atteindre. • store and forward (stockage et retransmission)
• cut-through
Un concentrateur est un répéteur multiport. Il permet de connecter un plus
grand nombre d’hôtes. Il retransmet un signal reçu depuis un port sur tous les
autres ports. Un commutateur store and forward reçoit la trame entière, calcule le CRC
et vérifie la longueur de la trame. Si les deux sont corrects, le commutateur
Lorsqu’une collision survient, celle-ci se propage sur une partie du réseau appelé recherche l’adresse de destination qui détermine l’interface de sortie, puis
domaine de collisions. achemine la trame.

Les répéteurs et les concentrateurs propagent les collisions. Ils augmentent Un commutateur cut-through achemine la trame avant qu’elle ne soit
donc la taille du domaine de collisions. entièrement reçue. Au minimum, l’adresse de destination de la trame doit être
lue avant que celle-ci ne soit pas retransmise.
Latence : un signal met un certain temps à se propager le long du support. Ce Il existe deux variantes du mode cut-trough : fast-forward et fragment-free.
délai augmente la probabilité de survenance de collisions.
La commutation fast-forward transmet le paquet immédiatement après la
lecture de l’adresse de destination et donc offre un temps de latence très bas. Il
Commutateurs (switchs) s’agit du mode cut-trough le plus fréquent.

Un commutateur est un dispositif réseau de couche 2. Il permet de segmenter La commutation fragment-free stocke les 64 premiers bytes de la trame avant
un LAN en plusieurs domaines de collisions distincts. Chaque port du commu- la retransmission. Comme la plupart des erreurs et collisions arrivent avant le
tateur représente un seul domaine de collisions. 64ème byte, cela permet de s’assurer qu’aucune collision ne s’est produite.
Lorsque tous les noeuds sont connectés directement au commutateur, celui
assure : Certains commutateurs sont configurés en mode cut-through par port. Une fois
un seuil d’erreurs définis atteint, le port automatiquement en mode store and
forward. lorsque le nombre d’erreurs passe en dessous du seuil défini, le port
• une bande passsante dédiée sur tous les ports revient en mode cut-trough.
• un environnement sans collision
• une transmission bidirectionnelle simultanée
Mise en mémoire tampon

Le commutateur stocke la trame dans une mémoire tampon pendant une


Fonctionnement d’un commutateur courte période. Il existe deux types de mémoire tampon :

Un commutateur effectue un réacheminement sélectif. Pour ce faire, le • axée sur les ports
commutateur fait appel aux fonctions de base suivantes : • partagée

• l’apprentissage Une mémoire axée sur les ports : les trames sont stockées dans des files
• l’horodatage d’attente liées à des ports entrants spécifiques.
• l’inondation
• le réacheminement sélectif Une mémoire partagée : toutes les trames sont stockées dans une mémoire
• le filtrage tampon commune à tous les ports du commutateur.

3 4
Commutations symétrique et asymétrique Mots de passe d’un commutateur

Il existe deux types de commutation : Les mots de passe ont pour but de limiter l’accès au routeur. Il est possible de
sécuriser l’accès au routeur sur
• symétrique • les lignes de terminal virtuel (vty)
• asymétrique • la ligne console
• le mode privilégié
Une commutation symétrique offre la même bande passante pour tous les ports.
Le mot de passe console :
Une commutation asymétrique offre une bande passante plus importante sur
un port afin d’éviter un goulot d’étranglement.
Switch(config)#line console 0
Switch(config-line)#password cisco
Un commutateur fonctionne au niveau de la couche 2 du modèle OSI : il filtre
Switch(config-line)#login
en se basant uniquement sur les adresses MAC.
Le mot de passe terminal :
Il existe également des commutateurs de couche 3 : il utilise aussi les adresses IP
pour prendre ces décisions. Il peut effectuer des fonctions de routage.
Un commutateur prend en charge généralement 16 lignes vty (numérotées de 0
à 15). Ces lignes permettent d’accéder à distance avec telnet au commutateur.
Séquence d’amorçage d’un commutateur
Switch(config)#line vty 0 15
Le commutateur charge le bootloader depuis la NVRAM. Switch(config-line)#password cisco
Switch(config-line)#login
Le bootloader :
Le mot de passe pour le mode privilégié :
• initialise le CPU
Il existe deux commandes pour configurer un mot de passe pour le mode
• effectue le POST privilégié :

• initialise le système de fichiers flash Switch(config)#enable password cisco


Switch(config)#enable secret class
• charge l’IOS dans la RAM.
Il est préférable d’utiliser enable secret car le mot de passe est crypté.
L’IOS est exécuté à l’aide du fichier config.text stocké dans la flash. Afin que les mots de passe apparaissent sous forme cryptée dans les fichiers de
configuration, on utilise la commande :
Le bootloader permet d’accéder au switch si l’IOS n’est pas utilisable. Il permet,
par l’intermédiaire de la ligne de commande, d’accéder aux fichiers stockés dans Switch(config)#service password-encryption
la flash. Cela permet, entre autres, de récupérer un mot de passe perdu.

Nom du commutateur

Il est important d’attribuer un nom unique à un dispositif :

Switch(config)#hostname nomswitch

5 6
Configuration de l’interface de gestion d’un commutateur Configuration SSH

Les interfaces physiques d’un switch ne possèdent pas d’adresses IP et sont SSH (Secure Shell) fournit une communication sécurisée pour configurer des
actives par défaut. périphériques à distance.
Cependant, tous les IOS ne prennent pas en charge SSH. Dans ce cas, il est
Pour pouvoir gérer un switch à distance, il est nécessaire de lui attribuer une nécessaire d’utiliser Telnet.
adresse IP. Celle-ci est attribuée sur l’interface virtuelle vlan 1.
Etape 1 :
Switch(config)#interface vlan 1
Switch(config-if)#ip address adresse IP masque sous-réseau On configure un nom d’hôte et un domaine hôte :
Switch(config-if)#no shutdown
Switch(config-if)#exit Switch(config)# hostname S1
S1(config)# ip domain-name mydomain.com
Finalement,pour permettre au switch de communiquer en dehors du réseau
local, il est nécessaire de lui attribuer une passerelle par défaut. Etape 2 :

Switch(config)#ip default-gateway adresse IP On crée un nom d’utilisateur et un mot de passe :


Switch(config)#exit
S1(config)# aaa new-model
Gestion de base du commutateur S1(config)# username admin secret class

Pour enregistrer la configuration en cours dans la configuration de démarrage Etape 3 :


du commutateur :
On active le serveur SSH sur le switch et on génère une paire de clés RSA :
S1(config)# copy running-config startup-config
S1(config)# crypto key generate rsa
ou
Remarque : Pour supprimer les clés RSA :
S1(config)# copy system:running-config flash:startup-config
S1(config)# crypto key zeroize rsa
Pour afficher la table d’adresses MAC (statiques et dynamiques) d’un commu-
tateur : Etape 4 :

S1# show mac-address-table Pour permettre uniquement les connexions SSH :

S1(config)# line vty 0 15


S1(config-line)# transport input ssh

Pour permettre les connexions telnet et SSH :

S1(config-line)# transport input all

Pour voir les connexions :

S1# show ssh

7 8
Récupération de mot de passe du commutateur Menaces fréquentes en termes de sécurité

• Eteignez le switch. Rallumez-le en maintenant enfoncé le bouton MODE Les attaques les plus fréquentes sur les commutateurs sont :
jusqu’à ce que la LED de l’interface fa 0/1 s’éteigne.
• inondation d’adresses MAC
Le prompt suivant s’affiche alors : switch : • attaques par mystification
• attaques CDP
• Entrez les commandes suivantes : • attaques Telnet
• attaque de mot de passe en force
flash init

load helper L’inondation d’adresses MAC : submerge la table d’adresses MAC avec de
fausses adresses. Lorsque celle-ci est saturée, le commutateur fonctionne comme
• Renommez alors le fichier de configuration : un hub et diffuse toutes les trames sur tous les ports. Une personne malveillante
peut voir alors les trames transmises vers l’hôte qu’il souhaite attaquer.
rename flash:config.text flash:config.text.old
L’attaque par mystification :
• Amorcez le système : boot
Première méthode :
• A la question : ”Continue with the configuration dialog ? ”, répondez
négativement. Un périphérique pirate se fait passer pour un serveur DHCP et fournit dans sa
réponse à une requête DHCP sa prore adresse comme adresse de passerelle. Il
• Entrez en mode enable (sans mot de passe). transmet à son tour les trames à destination voulue et de ce fait peut passer
complètement inaperçu.
• Renommez le fichier de configuration d’après son nom d’origine :
rename flash:config.text.old flash:config.text Seconde méthode :

• Copiez le fichier de configuration dans la mémoire : Un périphérique pirate demande en permanence des adresses IP auprès d’un
véritable serveur DHCP. Tous les baux sont alors alloués et les véritables clients
copy flash:config.text system:running-config ne peuvent plus obtenir une adresse DHCP.

• Changez le mot de passe. Pour parer à de telles attaques, on utilise la surveillance DHCP qui détermine
les ports du commutateur qui sont en mesure de répondre à des requêtes DHCP
• Sauvegardez le fichier de configuration : avec la commande ip dhcp snooping.
copy running-config startup-config
L’attaque CDP : CDP est un protocole propriétaire cisco qui détecte tous les
• Rechargez le commutateur : reload périphériques voisins ; il est activé par défaut. Il donne des informations sur le
périphériques tels que l’ad. IP, l’IOS, la plateforme etc. Il est donc préférable de
désactiver le protocole CDP.

Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH.

L’attaque de mot de passe en force : un pirate commence par utiliser


des mots de passe courants, puis des combinaisons de caractères pour tenter
de deviner un mot de passe et effectuer une connexion sur le commutateur.
Il est donc important d’avoir un mot de passe fort et de le modifier régulièrement.

9 10
Configuration de la sécurité des ports Adresse MAC sécurisée rémanente

Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de Une adresse MAC sécurisée rémanente est apprise dynamiquement, puis
rassembler des informations ou de mener des attaques sur le réseau. enregistrée dans le running-config.

La sécurisation passe par la limitation du nombre d’adresses MAC utilisées sur S1(config)# interface fa0/15
un port. Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, une S1(config-if)# switchport mode access
violation de sécurité se produit. S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 10
Il existe plusieurs façons de configurer la sécurité des ports sur un commutateur : S1(config-if)# switchport port-security sticky
S1(config-if)# end
• adresses MAC sécurisées statiques
• adresses MAC sécurisées dynamiques De plus les adresses MAC sécurisées rémanentes présentes les caractéristiques
• adresses MAC sécurisées rémanentes suivantes :

• l’utilisation de la commande switchport port-security sticky convertit


Une adresse MAC sécurisée statique est configurée manuellement à l’aide toutes les adresses MAC utilisées sur le port, y compris rétroactivement et les
de la commande de configuration d’interface : ajoute toute dans le running-config.

S1(config)# interface fa0/15 • l’utilisation de la commande no switchport port-security sticky efface les
S1(config-if)# switchport mode access adresses MAC sécurisées rémanentes du running-config mais les garde dans la
S1(config-if)# switchport port-security table d’adresses MAC.
S1(config-if)# switchport port-security mac-addressad. MAC
S1(config-if)# end

L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée
dans le running-config.

Une adresse MAC sécurisée dynamique est récupérée dynamiquement et


stockée uniquement dans la table d’adresses MAC. L’adresse est supprimée au
redémarrage du switch.

S1(config)# interface fa0/15


S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end

11 12
Modes de violation de sécurité Vérification de la sécurité des ports

On considère qu’il y a violation de sécurité lorsque l’une des situations Pour vérifier les paramètres de sécurité des ports :
suivantes se présente :
S1# show port-security [interface fa0/15 ]
• le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelle
adresse MAC tente d’accéder à l’interface. Pour vérifier les adresses MAC sécurisées :

• une adresse MAC statique ou dynamique associée à une interface tente S1# show port-security address [interface fa0/15 ]
d’accéder à une autre interface dans le même réseau.

Il existe trois modes de violation configurable sur une interface : Désactivation des ports inutilisés

Une méthode simple pour sécuriser un commutateur est de désactiver les ports
• protect
inutilisés avec la commande shudown.
• restrict
• violation
Pour les IOS plus récents, il est possible de désactiver plusieurs ports en même
temps avec la commande :
protect : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur
le port et une nouvelle adresse MAC tente d’envoyer des trames : celles-ci sont S1(config) # interface range fa 0/2 - 8
ignorées. Aucun message de notification n’est envoyé. S1(config-if)# shutdown

restrict : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur


le port et une nouvelle adresse MAC tente d’envoyer des trames : celles-ci sont
ignorées. Un message syslog est envoyé.

shutdown : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur


le port et une nouvelle adresse MAC tente d’envoyer des trames. Le port est
immédiatement désactivé et un message syslog est envoyé. Le port peut être
réactivé manuellement avec la commande no shutdown.
Par défaut, les paramètres de la sécurité des ports sont les suivants :

• sécurité des ports : désactivée


• nombre maximal d’adresses MAC sécurisées : 1
• mode de violation : shutdown
• apprentissage des adresses rémanentes : désactivé

13 14

Vous aimerez peut-être aussi