Académique Documents
Professionnel Documents
Culture Documents
La plupart de ces périphériques sont vulnérables aux attaques liées au réseau local,
notamment les attaques par débordement de table d'adresses MAC, les attaques de
spoofing, les attaques DHCP, les attaques de tempêtes LAN, les attaques de manipulation
STP et les attaques VLAN.
Cette section se concentre sur la sécurisation des points de terminaison.
Les organisations doivent également protéger leurs points de terminaison contre les nouvelles
menaces et assurer la protection décrite dans la figure 2
Les méthodes de sécurité modernes pour les périphériques
finaux
Les nouvelles architectures de sécurité pour le réseau sans frontières répondent à ces défis en
faisant en sorte que les points de terminaison utilisent des éléments de numérisation réseau.
Ces périphériques fournissent beaucoup plus de couches d'analyse qu'un point de terminaison
unique ne le pourrait. Ils sont également capables de partager des informations entre eux pour
prendre des décisions plus éclairées.
La protection des points de terminaison dans un réseau sans frontières peut être accomplie en
utilisant les solutions de sécurité modernes suivantes:
Protection antimalware (AMP)
Appliance de sécurité du courrier électronique (ESA)
Appliances de sécurité Web (WSA)
Contrôle d'admission réseau (NAC)
Ces technologies fonctionnent de concert les unes avec les autres pour offrir plus de
protection que les suites basées sur l'hôte.
La section suivante mettra en évidence ces technologies.
Certains systèmes d'exploitation tels que MAC OSX fournissent nativement des options de
chiffrement. Le système d'exploitation Windows prend en charge les logiciels de chiffrement
tels que BitLocker, TrueCrypt, Credant, VeraCrypt et autres.
AMP for Endpoints - AMP for Endpoints s'intègre à Cisco AMP for Networks pour
fournir une protection complète sur des réseaux étendus et des terminaux.
AMP for Networks - Fournit une solution basée sur le réseau et est intégrée dans les
appliances de sécurité réseau Cisco ASA Firewall et Cisco FirePOWER dédiées.
AMP pour la sécurité du contenu: il s'agit d'une fonctionnalité intégrée dans Cisco
Cloud Web Security ou les appliances de sécurité Web et de messagerie de Cisco
pour se protéger contre les attaques de logiciels malveillants avancées basées sur le
courrier électronique et sur le Web.
Cisco AMP for Endpoints exécute un agent FireAMP et devient un connecteur
FireAMP. AMP for Endpoints s'intègre à Cisco AMP for Networks pour fournir une
protection complète à travers une seule vitre et sur des réseaux étendus et des
terminaux. Il utilise une analyse continue, une sécurité rétrospective et des indications
de compromis multisources. Cela aide un administrateur à identifier les attaques
furtives qui parviennent à passer du point de terminaison à l'intranet au niveau du
réseau, corréler ces événements pour une réponse plus rapide et obtenir une meilleure
visibilité et un meilleur contrôle.
La sécurité des emails et du WEB
Au cours des 25 dernières années, le courrier électronique a évolué d'un outil utilisé
principalement par les professionnels techniques et de recherche pour devenir l'épine
dorsale de la communication d'entreprise. Chaque jour, plus de 100 milliards d'e-mails
professionnels sont échangés. À mesure que le niveau d'utilisation augmente, la
sécurité devient une priorité majeure.
Les campagnes de spam de masse ne sont plus la seule préoccupation. Aujourd'hui, les
spams et les logiciels malveillants ne sont qu'une partie d'une image complexe qui
inclut des menaces entrantes et des risques sortants. Pour cette raison, Cisco a acquis
IronPort Systems en 2007. Les appliances IronPort font désormais partie des
gammes de produits Cisco Email Security Appliance (ESA) et Cisco Web Security
Appliance (WSA).
Cisco ESA (Email Security Appliance)
Pour défendre les systèmes de messagerie critiques, Cisco propose diverses solutions
de sécurité de messagerie, notamment l'ESA, ainsi que des solutions virtuelles, Cloud
et hybrides. Ces solutions fournissent:
Une protection rapide et complète des e-mails qui peut bloquer le spam et les
menaces avant qu'ils n'atteignent votre réseau.
Flexible Cloud, options de déploiement virtuel et physique pour répondre aux besoins
changeants de l'entreprise.
Contrôle des messages sortants grâce à la prévention des pertes de données (DLP)
sur le périphérique et au cryptage des e-mails.
Cisco ESA combat les spams, les virus et les menaces mixtes pour les entreprises de
toutes tailles. Elle renforce la conformité et protège les actifs de réputation et de
marque, réduit les temps d'arrêt et simplifie l'administration des systèmes de
messagerie d'entreprise.
Le Cisco ESA est constamment mis à jour par des flux en temps réel de Cisco Talos,
qui détecte et corrèle les menaces en utilisant un système de surveillance de base de
données mondial. La solution transmet ensuite automatiquement les mises à jour de
sécurité aux Cisco Talos. Ces données de renseignement sur les menaces sont tirées
par les ESA de Cisco toutes les trois à cinq minutes.
Cisco ESA défend les systèmes de messagerie critiques avec des solutions Appliance,
virtuelles, cloud et hybrides. Voici quelques-unes des principales caractéristiques et
avantages des solutions Cisco Email Security:
Intelligence globale des menaces - Cisco Talos fournit une vision 24 heures sur 24 de
l'activité du trafic mondial. Il analyse les anomalies, découvre les nouvelles menaces
et surveille les tendances du trafic.
Blocage du spam - Une défense multicouche combine une couche externe de filtrage
basée sur la réputation de l'expéditeur et une couche interne de filtrage qui effectue
une analyse approfondie du message.
Protection avancée contre les logiciels malveillants - Inclut AMP qui tire parti du
vaste réseau d'intelligence de sécurité cloud de Sourcefire. Il fournit une protection à
travers le continuum d'attaque: avant, pendant et après une attaque.
Contrôle des messages sortants: contrôle les messages sortants via le protocole DLP
et le cryptage des e-mails pour garantir que les messages importants sont conformes
aux normes de l'industrie et protégés pendant le transit.
Cisco WSA offre un contrôle complet sur la façon dont les utilisateurs accèdent à
Internet. Certaines fonctionnalités et applications, telles que le chat, la messagerie, la
vidéo et l'audio, peuvent être autorisées, limitées par des limites de temps et de bande
passante, ou bloquées, en fonction des besoins de l'organisation. Le WSA peut
effectuer des listes noires, le filtrage d'URL, l'analyse de logiciels malveillants, la
catégorisation d'URL, le filtrage d'applications Web et le cryptage et le décryptage
TLS / SSL.
Figure 1
Figure 2
Figure 3
Remarque: L'appliance virtuelle Cisco Web Security (WSAV) est une version
logicielle de Cisco WSA qui s'exécute au-dessus d'un hyperviseur VMware ESXi ou
KVM et des serveurs Cisco Unified Computing System (UCS).
4. Cisco CWS bloque la demande au site malveillant, mais continue d'autoriser l'accès
au reste du contenu sur www.example.com
Comme indiqué dans le tableau de la figure 1, il existe deux catégories de produits Cisco
NAC:
NAC Framework- Le cadre NAC utilise l'infrastructure réseau Cisco existante et les logiciels
tiers pour appliquer la conformité à la politique de sécurité sur tous les terminaux. Comme le
montre la Figure 2, différents périphériques du réseau, pas nécessairement un périphérique,
peuvent fournir les fonctionnalités de NAC.
Cisco NAC Appliance - Dans le cadre de la solution Cisco TrustSec, l'appliance Cisco NAC
incorpore les fonctions NAC dans une appliance et fournit une solution pour contrôler l'accès
au réseau.
Cisco NAC Appliance étend NAC à toutes les méthodes d'accès au réseau, y compris l'accès
via les réseaux locaux, les passerelles d'accès distant et les points d'accès sans fil. Il prend
également en charge l'évaluation de la posture pour les utilisateurs invités.
Remarque: Les NAC évoluent de la protection de sécurité de base vers des contrôles de
visibilité, d'accès et de sécurité (EVAS) plus sophistiqués. Contrairement aux anciennes
technologies NAC, EVAS utilise des informations plus détaillées pour appliquer les stratégies
d'accès, telles que les données sur le rôle de l'utilisateur, l'emplacement, les considérations de
processus métier et la gestion des risques. Les contrôles EVAS permettent également
d'accorder un accès au-delà des ordinateurs, ce qui permet aux administrateurs réseau de
fournir un accès via des appareils mobiles et IoT.
Les fonctions de CISCO NAC
L'objectif du NAC Framework et de l'appliance Cisco NAC est de garantir que seuls les hôtes
authentifiés dont la sécurité a été examinée et approuvée sont autorisés sur le réseau. Par
exemple, les ordinateurs portables d'entreprise utilisés hors site pendant une certaine période
peuvent ne pas avoir reçu les mises à jour de sécurité actuelles ou être infectés par d'autres
systèmes. Ces systèmes ne peuvent pas se connecter au réseau tant qu'ils ne sont pas
examinés, mis à jour et approuvés.
Les périphériques d'accès au réseau fonctionnent en tant que couche d'application, comme le
montre la figure. Ils forcent les clients à interroger un serveur RADIUS pour l'authentification
et l'autorisation. Le serveur RADIUS peut interroger d'autres périphériques, tels qu'un serveur
antivirus Trend Micro, et répondre aux responsables de l'application réseau.
Les composants de Cisco NAC
Les produits Cisco Secure Access Control font partie de la solution Cisco TrustSec basée sur
NAC Appliance. TrustSec est un composant essentiel de l'architecture Secure Borderless
Networks. Dans l'approche TrustSec basée sur NAC Appliance, Cisco NAC Manager (NAM)
est un serveur de règles fonctionnant avec le serveur Cisco NAC (NAS) pour authentifier les
utilisateurs et évaluer leurs périphériques via des connexions LAN, sans fil ou VPN, comme
indiqué dans la figure. L'accès au réseau et aux ressources est basé sur les informations
d'identification de l'utilisateur et leurs rôles dans l'organisation, ainsi que sur la conformité de
la stratégie des périphériques de point de terminaison:
Serveur Cisco NAC (NAS): évalue et applique la conformité aux règles de sécurité dans un
environnement de déploiement NAC basé sur un appareil.
Cisco NAC Agent (NAA) - Un agent léger facultatif s'exécutant sur un périphérique de point
de terminaison. Il effectue une inspection approfondie du profil de sécurité du périphérique en
analysant les paramètres de registre, les services et les fichiers.
Serveur invité Cisco NAC - Gère l'accès au réseau invité, y compris l'approvisionnement, la
notification, la gestion et la création de rapports sur tous les comptes d'utilisateurs invités et
les activités réseau.
Profileur Cisco NAC: aide à déployer le contrôle d'accès basé sur des règles en fournissant
des fonctionnalités de découverte, de profilage, de placement basé sur des règles et de
surveillance post-connexion de tous les périphériques de point de terminaison.
Cisco NAC Guest Server permet aux sponsors, tels que les employés de l'entreprise, de créer
des comptes invités. Les sponsors sont authentifiés sur le serveur invité et reçoivent des
autorisations en fonction de leurs rôles. Les sponsors peuvent disposer d'autorisations basées
sur des rôles pour créer des comptes, modifier des comptes, suspendre des comptes et
exécuter des rapports.
Après la création d'un compte invité, les invités peuvent se connecter au réseau avec les
informations fournies par le sponsor.
Lorsqu'il est déployé dans le cadre d'une implémentation NAC plus large, Cisco NAC Profiler
facilite le déploiement et la gestion des systèmes Cisco NAC. Il détecte et suit l'emplacement
et le type de tous les points de terminaison connectés au LAN, y compris ceux qui ne peuvent
pas s'authentifier.
Sécurisez tous les points de terminaison appartenant à la société, y compris les périphériques
non authentifiants tels que les imprimantes et les téléphones IP.
Cisco NAC Profiler a deux composants: le collecteur de profils NAC, illustré dans les figures
1 et 4, et l'application NAC Profiler Server, illustrés aux figures 2 et 3. Les figures 1 à 4
illustrent séquentiellement la manière dont Cisco NAC Profiler recueille, regroupe, filtre, et
met à jour les données de l'appareil.
Décrire les vulnérabilités de couche 2
Le modèle de référence OSI est divisé en sept couches qui fonctionnent indépendamment les
unes des autres. Comme le montre la figure 1, chaque couche remplit une fonction spécifique
et possède des éléments de base qui peuvent être exploités.
Les administrateurs réseau mettent régulièrement en œuvre des solutions de sécurité pour
protéger les éléments de la couche 3 jusqu'à la couche 7 en utilisant des VPN, des pare-feu et
des périphériques IPS. Toutefois, comme le montre la figure 2, si le niveau 2 est compromis,
toutes les couches au-dessus sont également affectées. Par exemple, si un employé ou un
visiteur ayant accès au réseau interne peut capturer des trames de couche 2, alors toute la
sécurité implémentée sur les couches ci-dessus serait inutile. L'employé pourrait également
faire des ravages sur l'infrastructure de réseau LAN Layer 2.
Les attaques contre l'infrastructure LAN de couche 2 sont mises en évidence dans la Figure 1.
Remarque: L'objectif de cette section concerne les attaques de couche 2 courantes.
La figure 2 fournit un aperçu des solutions Cisco pour aider à atténuer les attaques de couche
2.
Ces solutions de couche 2 ne seront pas efficaces si les protocoles de gestion ne sont pas
sécurisés. Un exemple serait si les attaquants peuvent facilement se connecter à telnet dans un
commutateur. Syslog, SNMP, TFTP, telnet, FTP et la plupart des autres protocoles de gestion
de réseau courants ne sont pas sécurisés. Par conséquent, les stratégies suivantes sont
recommandées:
Utilisez toujours des variantes sécurisées de ces protocoles, telles que SSH, SCP et
SSL.
Envisagez d'utiliser la gestion hors bande (OOB).
Utilisez un VLAN de gestion dédié où rien d'autre que le trafic de gestion réside.
Utilisez les ACL pour filtrer les accès indésirables
Fonctionnement de base du commutateur
Pour prendre des décisions de transfert, un commutateur LAN de couche 2 construit
une table d'adresses MAC qui est stockée dans sa mémoire adressable de contenu
(CAM). Une table CAM est la même chose qu'une table d'adresses MAC. Dans ce
cours, nous utiliserons le terme de table CAM. Une exception importante à cela est
que la syntaxe pour montrer quelles adresses sont stockées dans un commutateur
utilise "table d'adresses mac", comme le montre la figure.
La table CAM lie et stocke les adresses MAC et les paramètres VLAN associés qui
sont connectés aux ports du commutateur physique. Les commutateurs comparent
ensuite les adresses de monodiffusion MAC de destination des trames entrantes aux
entrées de la table CAM pour prendre des décisions de transfert de port. Si l'adresse
MAC de destination se trouve dans la table CAM, le commutateur transmet la trame
en conséquence. Toutefois, si l'adresse MAC de destination ne figure pas dans la table
CAM, le commutateur inonde la trame de tous les ports sauf le port d'entrée du cadre.
C'est ce qu'on appelle un flot unicast inconnu.
Dans ce scénario, l'utilisateur sur PC-A envoie une requête ping à l'adresse IP de PC-
B. Par conséquent, PC-A référencera d'abord son cache ARP (Address Resolution
Protocol) stocké localement pour découvrir l'adresse MAC de PC-B. Si cette entrée
n'est pas mise en cache, PC-A doit découvrir l'adresse MAC de PC-B en utilisant
ARP.
S1 référence ensuite l'adresse MAC de destination ARP Reply dans sa table CAM et
découvre qu'elle est connectée au port F0 / 1. S1 transmet la réponse ARP uniquement
à PC-A. PC-A a maintenant toutes les informations et peut envoyer une requête ping à
PC-B.
Si PC-C pings PC-D, alors le scénario précédent est répété, et la table CAM résultante
est affichée dans la figure 6.
Si suffisamment d'entrées sont entrées dans la table CAM avant l'expiration des
anciennes entrées, la table se remplit au point qu'aucune nouvelle entrée ne peut être
acceptée. Lorsque cela se produit, le commutateur traite la trame comme une
monodiffusion inconnue et commence à inonder tout le trafic entrant vers tous les
ports sans faire référence à la table CAM. Le commutateur, en substance, agit comme
un hub. En conséquence, l'attaquant peut capturer toutes les trames envoyées d'un hôte
à un autre.
Remarque: Le trafic est inondé uniquement dans le VLAN local, de sorte que l'intrus
ne voit que le trafic dans le VLAN local auquel l'intrus est connecté. Dans la page
précédente, l'attaquant ne pourrait capturer que le trafic par défaut (VLAN 1).
Par exemple, macof est un outil d'attaque réseau capable de générer très rapidement
un grand nombre d'adresses MAC et IP aléatoires source et destination, comme le
montre la Figure 1. Sur une courte période, la table CAM se remplit (Figure 2), et
lorsqu'il est plein, le commutateur commence à inonder toutes les trames qu'il reçoit
(Figure 3). Tant que l'outil d'attaque poursuit l'attaque, la table CAM reste pleine et le
commutateur continue d'inonder toutes les trames entrantes de chaque port. Cela
permet à l'attaquant de capturer diverses images et d'envoyer des paquets à des
appareils qui seraient autrement inaccessibles (Figure 4).
Si l'intrus ne gère pas le flot d'adresses MAC source invalides, le commutateur finit
par éliminer les anciennes entrées d'adresse MAC de la table et commence à agir à
nouveau comme un commutateur. Si l'attaque n'est pas détectée rapidement avant que
les entrées ne prennent fin, la cause du problème peut être difficile à déterminer et
l'attaquant restera anonyme.
Note: Un autre outil d'attaque réseau est Yersinia qui a été conçu pour exploiter les
faiblesses des protocoles tels que Spanning Tree Protocol (protocole STP), protocole
de découverte Cisco (CDP), protocole DTP (Dynamic Trunking Protocol), protocole
DHCP (Hot Host Configuration Protocol) (HSRP), IEEE 802.1Q, IEEE 802.1X et
VLAN Trunking Protocol (VTP)
Une autre raison pour laquelle ces outils d'attaque sont dangereux est qu'ils affectent
non seulement le commutateur local, mais aussi les autres commutateurs de couche 2
connectés. Lorsque la table CAM d'un commutateur est pleine, il commence à diffuser
tous les ports, y compris ceux qui se connectent à d'autres commutateurs de couche 2.
Pour réduire les attaques de débordement de table CAM, les administrateurs réseau
doivent mettre en œuvre la sécurité des ports
Contre-mesure pour les attaques de la table CAM
La méthode la plus simple et la plus efficace pour empêcher les attaques par
débordement de table CAM consiste à activer la sécurité des ports. La sécurité des
ports permet à un administrateur de spécifier de manière statique des adresses MAC
pour un port ou de permettre au commutateur d'apprendre dynamiquement un nombre
limité d'adresses MAC. En limitant à un le nombre d'adresses MAC autorisées sur un
port, la sécurité des ports peut être utilisée pour contrôler l'expansion non autorisée du
réseau, comme le montre la figure.
Lorsque les adresses MAC sont affectées à un port sécurisé, le port ne transfère pas les
trames avec des adresses MAC source en dehors du groupe d'adresses définies.
Lorsqu'un port configuré avec la sécurité de port reçoit une trame, l'adresse MAC
source de la trame est comparée à la liste des adresses de source sécurisée qui ont été
configurées manuellement ou autoconfigurées (apprises) sur le port.
Une fois la sécurité des ports activée, d'autres spécificités de sécurité des ports peuvent
être configurées comme indiqué dans la sortie de la figure 3.
Le commutateur peut être configuré pour connaître les adresses MAC sur un port
sécurisé de l'une des deux manières suivantes:
Pour définir le mode de violation de la sécurité des ports, utilisez la violation de port-
security de switchport {protect | restreindre | arrêt | shutdown vlan} commande de
configuration de l'interface.
Le plus soft : Protect une fois le nombre d’adresses autorisé est dépassé le port
supprime le trafic des sources inconnues en attendant que le nombre de ports utilisés
augmenté par commande ou la suppression des adresses MAC déjà autorisés sur le
port ; Sans aucune notification
Puis : Restrict même comportement que Protect mais avec une notification
Puis : Shutdown
Usurpation des messages DTP de l'hôte attaquant pour que le commutateur passe en
mode de jonction. À partir de là, l'attaquant peut envoyer un trafic étiqueté avec le
VLAN cible, et le commutateur livre alors les paquets à la destination.
Présentation d'un commutateur non autorisé et activation de l'agrégation. L'attaquant
peut alors accéder à tous les VLAN du commutateur victime à partir du commutateur
non autorisé.
Les ports FastEthernet 0/1 à 0/16 sont des ports d'accès et par conséquent, le trunking est
désactivé en leur donnant explicitement accès aux ports.
Les ports FastEthernet 0/17 à 0/20 sont des ports inutilisés et sont désactivés et affectés à un
VLAN inutilisé.
Les ports FastEthernet 0/21 à 0/24 sont des liens interurbains et sont activés manuellement en
tant que lignes réseau avec le DTP désactivé. Le VLAN natif est également changé du VLAN
1 par défaut à un VLAN 999 inutilisé.
Utilisez le Vérificateur de syntaxe de la Figure 3 pour configurer les liaisons
interurbaines afin d'atténuer les attaques VLAN.
Fonction PVLAN Edge
Certaines applications exigent qu'aucun trafic ne soit transféré au niveau de la couche
2 entre les ports du même commutateur afin qu'un voisin ne voie pas le trafic généré
par un autre voisin.
PVLAN Edge
Pour configurer la fonction PVLAN Edge, entrez la commande switchport protected
interface configuration mode.
La fonction PVLAN Edge peut être configurée sur une interface physique ou un
groupe EtherChannel. Lorsque la fonction PVLAN Edge est activée pour un canal de
port, elle est activée pour tous les ports du groupe de canaux de port. Pour désactiver
le port protégé, utilisez la commande no switchport protected interface configuration
mode.
Les PVLAN fournissent une isolation de couche 2 entre les ports du même domaine
de diffusion. Il existe trois types de ports PVLAN:
Remarque: Les PVLAN sont principalement utilisés dans les sites de co-localisation
des fournisseurs de services. Une autre application typique peut être trouvée dans les
hôtels où chaque pièce serait connectée sur son propre port isolé
Les attaques DHCP
DHCP Spoofing
Les serveurs DHCP fournissent dynamiquement des informations de configuration IP,
y compris l'adresse IP, le masque de sous-réseau, la passerelle par défaut, les serveurs
DNS et plus encore aux clients. La séquence d'échange de messages DHCP entre le
client et le serveur est affichée à la Figure 1.
Une attaque de spoofing DHCP se produit lorsqu'un serveur DHCP non autorisé est
connecté au réseau et fournit de faux paramètres de configuration IP aux clients
légitimes. Un serveur malveillant peut fournir une variété d'informations trompeuses:
Dans la figure 2, un attaquant connecte avec succès un serveur DHCP non autorisé à
un port de commutateur sur le même sous-réseau que les clients. Le but du serveur
escroc est de fournir aux clients de fausses informations de configuration IP.
Dans la figure 3, un client légitime se connecte au réseau et nécessite des paramètres
de configuration IP. Par conséquent, le client diffuse une requête DHCP Discovery
recherchant une réponse d'un serveur DHCP. Les deux serveurs recevront le message
et répondront.
Dans la figure 4, le serveur DHCP légitime répond avec des paramètres de
configuration IP valides. Cependant, le serveur malveillant répond également avec des
offres DHCP contenant des paramètres de configuration IP définis par l'attaquant. Le
client répondra à la première offre reçue.
Dans la figure 5, l'offre frauduleuse a été reçue en premier et, par conséquent, le client
diffuse une requête DHCP acceptant les paramètres définis par l'attaquant à partir du
serveur non autorisé. Le serveur légitime et escroc recevra la demande.
Dans la figure 6, le serveur non autorisé envoie une réponse au client pour accuser
réception de sa demande. Le serveur légitime cessera de communiquer avec le client.
Une attaque de famine DHCP est expliquée dans les figures suivantes:
Dans la figure 1, un attaquant lance l'outil Gobbler. Gobbler identifie la taille de la
portée DHCP et envoie un message de découverte DHCP pour chaque adresse IP de
location dans la portée.
Dans la figure 2, le DHCP fournit des offres pour chaque message de découverte reçu.
Dans la figure 3, Gobbler demande toutes les offres DHCP.
Dans la figure 4, le serveur accuse réception de chaque requête.
Atténuation des attaques DHCP
Il est facile d'atténuer les attaques de famine DHCP en utilisant la sécurité des ports.
Cependant, l'atténuation des attaques d'usurpation de DHCP nécessite plus de
protection.
Par exemple, Gobbler utilise une adresse MAC unique pour chaque requête DHCP et
chaque sécurité de port. La sécurité du port peut être configurée pour atténuer cela.
Cependant, Gobbler peut également être configuré pour utiliser la même adresse MAC
d'interface avec une adresse matérielle différente pour chaque requête. Cela rendrait la
sécurité portuaire inefficace.
Remarque: Dans un grand réseau, la création de la table de liaison DHCP peut prendre
un certain temps après son activation. Par exemple, cela peut prendre 2 jours pour que
la surveillance DHCP permette de terminer la table si la durée du bail DHCP est de 4
jours.
Lorsque la surveillance DHCP est activée sur une interface ou un VLAN et qu'un
commutateur reçoit un paquet sur un port non approuvé, le commutateur compare les
informations de paquet source avec celles contenues dans la table de liaison de
surveillance DHCP. Le commutateur refusera les paquets contenant des informations
spécifiques:
Messages de serveur DHCP non autorisés provenant d'un port non approuvé
Messages de client DHCP non autorisés ne respectant pas la table de liaison de
surveillance ou les limites de débit
Les paquets d'agent relais DHCP qui incluent des informations option 82 sur un port
non approuvé
Remarque: Pour contrer Gobbler en utilisant la même adresse MAC, la surveillance
DHCP permet également au commutateur de vérifier le champ Adresse du matériel
client (CHADDR) dans la requête DHCP. Cela garantit qu'il correspond à l'adresse
MAC matérielle dans la table de liaison de surveillance DHCP et à l'adresse MAC
dans la table CAM. S'il n'y a pas de correspondance, la requête est supprimée.
Remarque: Des techniques d'atténuation similaires sont disponibles pour les clients
DHCPv6 et IPv6. Étant donné que les périphériques IPv6 peuvent également recevoir
leurs informations d'adressage à partir du message Router Advertisement (RA) du
routeur, il existe également
Ports DHCP approuvés (Trusted DHCP ports) - Seuls les ports se connectant aux
serveurs DHCP en amont doivent être approuvés. Ces ports sont censés répondre avec
l'offre DHCP et les messages DHCP Ack. Les ports approuvés doivent être identifiés
explicitement dans la configuration.
Ports non approuvés - Ces ports se connectent à des hôtes qui ne doivent pas fournir
de messages de serveur DHCP. Par défaut, tous les ports de commutateur ne sont pas
approuvés.
La règle générale lors de la configuration de la surveillance DHCP est de "faire
confiance au port et activer la surveillance DHCP par VLAN". Par conséquent, les
étapes suivantes doivent être utilisées pour activer la surveillance DHCP:
Le problème est qu'un attaquant peut envoyer un message ARP gratuit contenant une
adresse MAC falsifiée à un commutateur, et le commutateur mettrait à jour sa table
CAM en conséquence. Par conséquent, tout hôte peut prétendre être le propriétaire de
tout IP / MAC de son choix. Dans une attaque typique, un utilisateur malveillant peut
envoyer des réponses ARP non sollicitées à d'autres hôtes du sous-réseau avec
l'adresse MAC de l'attaquant et l'adresse IP de la passerelle par défaut.
Par exemple, dans la Figure 1, PC-A requiert l'adresse MAC de sa passerelle par
défaut (R1) et, par conséquent, il envoie une requête ARP pour l'adresse MAC de
192.168.10.1.
Comme le montre la figure 2, R1 met à jour son cache ARP avec les adresses IP et
MAC de PC-A et envoie une réponse ARP à PC-A, qui met ensuite à jour son cache
ARP avec les adresses IP et MAC de R1.
Dans la Figure 3, l'attaquant envoie deux réponses ARP gratuites usurpées en utilisant
sa propre adresse MAC pour les adresses IP de destination indiquées. PC-A met à jour
son cache ARP avec sa passerelle par défaut pointant désormais vers le MAC hôte de
l'attaquant. R1 met également à jour son cache ARP avec l'adresse IP du PC-A
pointant vers l'adresse MAC de l'attaquant.
Remarque: Il existe de nombreux outils disponibles sur Internet pour créer des
attaques d'intrus, telles que dsniff, Cain & Abel, ettercap, Yersinia et d'autres.
Dans une attaque typique, un utilisateur malveillant peut envoyer des réponses ARP
non sollicitées à d'autres hôtes du sous-réseau avec l'adresse MAC de l'attaquant et
l'adresse IP de la passerelle par défaut.
L'inspection ARP dynamique aide à prévenir de telles attaques en ne relayant pas les
réponses ARP non valides ou gratuites aux autres ports du même VLAN. L'inspection
ARP dynamique intercepte toutes les demandes ARP et toutes les réponses sur les
ports non approuvés. Chaque paquet intercepté est vérifié pour une liaison IP-MAC
valide. Les réponses ARP provenant de périphériques non valides sont soit
supprimées, soit enregistrées par le commutateur pour l'audit afin d'empêcher les
attaques d'empoisonnement ARP. DAI peut également être limité par le débit pour
limiter le nombre de paquets ARP, et l'interface peut être désactivée par erreur si le
débit est dépassé.
DAI nécessite une surveillance DHCP. DAI détermine la validité d'un paquet ARP
basé sur une base de données de liaison d'adresse MAC-adresse-IP valide qui est
construite par l'espionnage DHCP. En outre, pour gérer les hôtes qui utilisent des
adresses IP configurées statiquement, DAI peut valider les paquets ARP par rapport
aux listes de contrôle d'accès ARP configurées par l'utilisateur.
Comme le montre la Figure 2, la surveillance DHCP est activée car DAI nécessite que
la table de surveillance DHCP fonctionne. Ensuite, la surveillance DHCP et
l'inspection ARP sont activées pour les PC sur le VLAN10. Le port de liaison
montante vers le routeur est approuvé et, par conséquent, est configuré comme
approuvé pour la surveillance DHCP et l'inspection ARP.
DAI peut également être configuré pour vérifier les adresses MAC et IP de destination
ou de source:
Destination MAC - Vérifie l'adresse MAC de destination dans l'en-tête Ethernet par
rapport à l'adresse MAC cible dans le corps ARP.
Source MAC - Vérifie l'adresse MAC source dans l'en-tête Ethernet par rapport à
l'adresse MAC de l'expéditeur dans le corps ARP.
Adresse IP - Vérifie le corps ARP pour les adresses IP non valides et inattendues, y
compris les adresses 0.0.0.0, 255.255.255.255 et toutes les adresses de multidiffusion
IP.
Comme le montre la Figure 3, la commande de configuration globale {arac-mac] [dst-
mac] [ip]} de validation ip arp valid est utilisée pour configurer DAI pour abandonner
les paquets ARP lorsque les adresses IP ne sont pas valides. Il peut être utilisé lorsque
les adresses MAC dans le corps des paquets ARP ne correspondent pas aux adresses
spécifiées dans l'en-tête Ethernet. Notez comment une seule commande peut être
configurée. Par conséquent, la saisie de plusieurs commandes de validation
d'inspection ip arp écrase la commande précédente. Pour inclure plusieurs méthodes
de validation, entrez-les sur la même ligne de commande que celle affichée dans la
sortie.
Attaque de spoofing des adresses
Les adresses MAC et les adresses IP peuvent être usurpées pour diverses raisons. Les
attaques par usurpation d'identité se produisent lorsqu'un hôte se pose comme un autre
pour recevoir des données autrement inaccessibles, ou pour contourner les
configurations de sécurité.
La méthode utilisée par les commutateurs pour remplir la table d'adresses MAC
conduit à une vulnérabilité connue sous le nom d'usurpation d'adresse MAC. Les
attaques d'usurpation d'adresse MAC se produisent lorsque les attaquants modifient
l'adresse MAC de leur hôte pour correspondre à une autre adresse MAC connue d'un
hôte cible, comme illustré à la Figure 1. L'hôte attaquant envoie alors une trame sur le
réseau avec l'adresse MAC nouvellement configurée. Lorsque le commutateur reçoit
la trame, il examine l'adresse MAC source. Le commutateur écrase l'entrée de la table
CAM en cours et affecte l'adresse MAC au nouveau port, comme illustré à la figure 2.
Il transmet ensuite par inadvertance les trames destinées à l'hôte cible à l'hôte
attaquant.
Lorsque le commutateur modifie la table CAM, l'hôte cible ne reçoit aucun trafic
jusqu'à ce qu'il envoie du trafic. Lorsque l'hôte cible envoie du trafic, le commutateur
reçoit et examine la trame, ce qui entraîne la réécriture de la table CAM, réalignant
l'adresse MAC sur le port d'origine. Pour empêcher le commutateur de renvoyer les
affectations de port d'adresses MAC falsifiées à leur état correct, l'hôte attaquant peut
créer un programme ou un script qui enverra constamment des trames au commutateur
afin que le commutateur conserve les informations incorrectes ou falsifiées. Il n'y a
pas de mécanisme de sécurité au niveau de la couche 2 qui permette à un commutateur
de vérifier la source des adresses MAC, ce qui le rend si vulnérable à l'usurpation
d'identité.
L'usurpation d'adresse IP est lorsqu'un ordinateur non autorisé détourne une adresse IP
valide d'un voisin, ou utilise une adresse IP aléatoire. L'usurpation d'adresse IP est
difficile à atténuer, en particulier lorsqu'elle est utilisée dans un sous-réseau dans
lequel l'adresse IP
Plus précisément, IPSG est déployé sur des ports d'accès et de trunk de couche 2 non
approuvés. IPSG maintient dynamiquement les ACL VLAN par port (PVACL) en
fonction des liaisons IP-à-MAC-à-commutateur-port. Initialement, tout le trafic IP sur
le port est bloqué, à l'exception des paquets DHCP qui sont capturés par le processus
de surveillance DHCP. Une PVACL est installée sur le port lorsqu'un client reçoit une
adresse IP valide du serveur DHCP ou lorsqu'une liaison de source IP statique est
configurée par l'utilisateur.
Pour chaque port non approuvé, il existe deux niveaux possibles de filtrage de la
sécurité du trafic IP:
Filtre d'adresse IP source - Le trafic IP est filtré en fonction de son adresse IP source
et seul le trafic IP avec une adresse IP source correspondant à l'entrée de liaison de
source IP est autorisé. Lorsqu'une nouvelle liaison d'entrée de source IP est créée ou
supprimée sur le port, PVACL s'ajuste automatiquement pour refléter le changement
de liaison de source IP.
Filtre d'adresse IP et MAC source - Le trafic IP est filtré en fonction de son adresse
IP source en plus de son adresse MAC. Seul le trafic IP avec des adresses IP et MAC
source qui correspondent à l'entrée de liaison de source IP est autorisé.
Examinez la topologie de référence IP Source Guard
dans la figure 1.
Comme le montre la Figure 2, IP Source Guard est activé sur les ports non approuvés
à l'aide de la commande ip verify source. Souvenez-vous que la fonctionnalité ne peut
être configurée que sur un port d'accès ou de trunk de couche 2 et que la surveillance
DHCP est requise pour apprendre des paires d'adresses IP et d'adresses MAC valides.
Pour effectuer une attaque de manipulation STP, l'hôte attaquant diffuse des BPDU de
configuration STP et de topologie pour forcer les recalculs de spanning-tree, comme
illustré dans la Figure 1. Les BPDU envoyées par l'hôte attaquant annoncent une
priorité de pont inférieure dans une tentative d'être élu pont racine. En cas de réussite,
comme illustré à la figure 2, l'hôte attaquant devient le pont racine et voit une variété
de trames qui ne seraient pas accessibles autrement.
Cette attaque peut être utilisée pour vaincre les trois objectifs de sécurité:
confidentialité, intégrité et disponibilité.
Atténuation des attaques STP
Pour atténuer les attaques de manipulation STP, utilisez les mécanismes de stabilité
Cisco STP pour améliorer les performances globales des commutateurs et réduire le
temps perdu lors des changements de topologie.
PortFast - PortFast amène immédiatement une interface configurée en tant que port
d'accès ou de TRUNK à l'état de transfert à partir d'un état de blocage, en contournant
les états d'écoute et d'apprentissage. Appliquer à tous les ports de l'utilisateur final.
PortFast ne doit être configuré que lorsqu'un hôte est connecté au port et pas un autre.
BPDU Guard - Une erreur de protection BPDU immédiatement désactive un port qui
reçoit une BPDU. Généralement utilisé sur les ports compatibles PortFast. Appliquer à
tous les ports de l'utilisateur final.
Root Guard - Root guard empêche un interrupteur inapproprié de devenir le pont
racine. La protection de la racine limite les ports de commutation à partir desquels le
pont racine peut être négocié. Appliquer à tous les ports qui ne doivent pas devenir des
ports racine.
Bouclage de boucle: la protection de boucle empêche les ports alternatifs ou racine de
devenir des ports désignés en raison d'une défaillance entraînant un lien
unidirectionnel. Appliquer à tous les ports qui sont ou peuvent devenir non désignés.
Ces fonctions imposent le placement du pont racine dans le réseau et appliquent les
limites de domaine STP.
La figure met en évidence sur quels ports ces fonctionnalités doivent être
implémentées
Configuration de PortFast
La fonction PortFast de Spanning-tree fait passer une interface configurée en tant que
port d'accès de couche 2 de l'état de blocage à l'état de transfert immédiatement, en
contournant les états d'écoute et d'apprentissage. PortFast peut être utilisé sur les ports
d'accès de couche 2 qui se connectent à un seul poste de travail ou serveur, comme
indiqué dans la figure. Cela permet à ces périphériques de se connecter au réseau
immédiatement, au lieu d'attendre que STP converge.
Parce que le but de PortFast est de minimiser le temps que les ports d'accès doivent
attendre pour que STP converge, il doit être utilisé uniquement sur les ports d'accès. Si
PortFast est activé sur un port se connectant à un autre commutateur, il existe un
risque de créer une boucle Spanning Tree.
Portfast peut être configuré globalement sur tous les ports non agrégés à l'aide de la
commande de configuration globale spanning-tree portfast default. Il est également
possible d'activer PortFast sur une interface à l'aide de la commande de configuration
de l'interface spanning-tree portfast.
Pour vérifier si PortFast a été activé, utilisez la commande show running-config
interface type slot / port.
Remarque: Activez toujours BPDU Guard sur tous les ports compatibles avec
PortFast.
Comme le montre la Figure 1, la protection du BPDU est mieux déployée vers les
ports orientés utilisateur pour empêcher les extensions de réseau de commutateurs
indésirables par un hôte attaquant. Dans cet exemple, un attaquant tente d'envoyer un
BPDU sur un switch avec PortFast et BPDU guard activé globalement. Notez le
message de notification CLI qui a été généré indiquant que le port FastEthernet 0/1 est
arrêté.
Pour afficher des informations sur l'état de Spanning Tree, utilisez la commande show
spanning-tree summary. Dans l'exemple de la figure 2, la protection BPDU est
activée.
Une autre commande utile pour vérifier la configuration de la protection BPDU est la
commande show spanning-tree summary totals présentée à la figure 3. La
commande affiche un résumé des états des ports ou des lignes totales de la section
d'état spanning-tree.
Pour afficher les ports Root Guard ayant reçu des unités BPDU supérieures et qui sont
dans un état incohérent, utilisez la commande show spanning-tree inconsistent ports.
La fonction STP Loop Guard offre une protection supplémentaire contre les boucles
de couche 2. Si les BPDU ne sont pas reçues sur un port non désigné Loop Guard, le
port passe à un état de blocage incohérent en boucle, au lieu de l'état écoute /
apprentissage / transfert. Sans la fonction Loop Guard, le port assumerait un rôle de
port désigné et créerait une boucle.
Comme le montre la Figure 1, Loop Guard est activé sur tous les ports de protection
non Root à l'aide de la commande de configuration de l'interface de boucle de garde
spanning-tree.
Remarque: Loop Guard peut également être activé globalement à l'aide de la
commande de configuration globale spanning-tree loopguard default. Cela active
Loop guard sur tous les liens point à point.