Ch6 

: Sécuriser le réseau local (LAN)

En plus de protéger le réseau, il est également important de sécuriser les périphériques
résidant sur le réseau. La sécurité des terminaux inclut la sécurisation des périphériques
d'infrastructure réseau sur le réseau local (LAN) et les systèmes terminaux, tels que les postes
de travail, les serveurs, les téléphones IP, les points d'accès et les périphériques SAN (Storage
Area Network). Il existe plusieurs applications et périphériques de sécurité de point de
terminaison disponibles pour ce faire, y compris les dispositifs Cisco Advanced Malware
Protection, Email et Web Security, et Network Admission Control (NAC).

Sécuriser les éléments d’un LAN

Voici quelques exemples de telles attaques:
 DoS attaque le réseau d'une organisation pour dégrader ou même empêcher l'accès
public à celui-ci
 Violation du serveur Web d'une organisation pour affaiblir sa présence sur le Web
 Violation des serveurs de données et des hôtes d'une organisation pour dérober des
informations confidentielles
Divers dispositifs de sécurité réseau sont nécessaires pour protéger le périmètre du réseau
contre les accès extérieurs. Comme le montre la figure, ces périphériques peuvent inclure un
ISR renforcé fournissant des services VPN, une appliance de pare-feu ASA, une appliance
IPS et un serveur AAA ACS.

De nombreuses attaques proviennent de l'intérieur du réseau. Par conséquent, la

sécurisation d'un LAN interne est tout aussi importante que la sécurisation du périmètre du
réseau extérieur. Après l'infiltration d'un hôte interne, il peut devenir le point de départ d'un
pirate pour accéder aux périphériques système critiques, tels que les serveurs et les
informations plus sensibles.
Plus précisément, il existe deux éléments LAN internes pour sécuriser:
 Points de terminaison (Equipement finaux) EndPoint - Les hôtes sont
généralement constitués d'ordinateurs portables, de postes de travail, de serveurs et de
téléphones IP susceptibles d'être attaqués par des logiciels malveillants.
 Infrastructure réseau - Les périphériques d'infrastructure LAN interconnectent les
points de terminaison et incluent généralement des commutateurs, des périphériques
sans fil et des périphériques de téléphonie IP.

La plupart de ces périphériques sont vulnérables aux attaques liées au réseau local,
notamment les attaques par débordement de table d'adresses MAC, les attaques de
spoofing, les attaques DHCP, les attaques de tempêtes LAN, les attaques de manipulation
STP et les attaques VLAN.
Cette section se concentre sur la sécurisation des points de terminaison.

La sécurité traditionnelle des points finaux

Historiquement, les points finaux des employés étaient des ordinateurs émis par l'entreprise
qui résidaient dans un périmètre LAN clairement défini. Ces hôtes étaient protégés par des
pare-feu et des périphériques de numérisation IPS qui fonctionnaient bien avec les hôtes
connectés au réseau local et derrière le pare-feu.
Les points de terminaison utilisaient également des fonctions de sécurité traditionnelles basées
sur l'hôte, comme la montre la figure :
Le réseau sans frontières
Le réseau a évolué pour inclure des points de terminaison traditionnels et de nouveaux
terminaux légers, portables et consommés tels que des iPhones, des iPads, des appareils
Android, des tablettes, etc. Ces nouveaux points de terminaison ont brouillé la frontière du
réseau car l'accès aux ressources réseau peut être initié par les utilisateurs à partir de
nombreux emplacements en utilisant diverses méthodes de connectivité.
La méthode traditionnelle de sécurisation des points d'extrémité pose certains problèmes.
Dans de nombreux réseaux, les périphériques réseau sont disparates et ne partagent
généralement pas les informations entre eux. En outre, les nouveaux périphériques d'extrémité
ne sont pas de bons candidats pour les solutions de sécurité de point de terminaison basées sur
l'hôte traditionnelles en raison de la variété des périphériques et de la variété des systèmes
d'exploitation disponibles sur ces périphériques.
Le défi consiste à permettre à ces périphériques hétérogènes de se connecter en toute sécurité
aux ressources de l'entreprise.

Sécuriser les périphériques dans les réseaux sans frontières

Les organisations plus grandes nécessitent désormais une protection avant, pendant et
après une attaque. Les administrateurs informatiques doivent être en mesure de répondre aux
questions illustrées à la figure 1.

Les organisations doivent également protéger leurs points de terminaison contre les nouvelles
menaces et assurer la protection décrite dans la figure 2
Les méthodes de sécurité modernes pour les périphériques
finaux
Les nouvelles architectures de sécurité pour le réseau sans frontières répondent à ces défis en
faisant en sorte que les points de terminaison utilisent des éléments de numérisation réseau.
Ces périphériques fournissent beaucoup plus de couches d'analyse qu'un point de terminaison
unique ne le pourrait. Ils sont également capables de partager des informations entre eux pour
prendre des décisions plus éclairées.
La protection des points de terminaison dans un réseau sans frontières peut être accomplie en
utilisant les solutions de sécurité modernes suivantes:
 Protection antimalware (AMP)
 Appliance de sécurité du courrier électronique (ESA)
 Appliances de sécurité Web (WSA)
 Contrôle d'admission réseau (NAC)
Ces technologies fonctionnent de concert les unes avec les autres pour offrir plus de
protection que les suites basées sur l'hôte.
La section suivante mettra en évidence ces technologies.

Le cryptage hardware et software des données locales

Les points finaux sont également sensibles au vol de données. Par exemple, si un ordinateur
portable d'entreprise est perdu ou volé, un voleur pourrait parcourir le disque dur pour obtenir
des informations sensibles, des informations de contact, des informations personnelles et plus
encore.
La solution consiste à crypter localement le lecteur de disque avec un algorithme de cryptage
fort tel que le cryptage AES 256 bits. Le cryptage protège les données confidentielles contre
tout accès non autorisé. Les volumes de disque cryptés peuvent uniquement être montés pour
un accès en lecture / écriture normal avec le mot de passe autorisé.

Certains systèmes d'exploitation tels que MAC OSX fournissent nativement des options de
chiffrement. Le système d'exploitation Windows prend en charge les logiciels de chiffrement
tels que BitLocker, TrueCrypt, Credant, VeraCrypt et autres.

La protection avancée des malware APM

Les logiciels malveillants ne connaissent pas de frontières et la menace la plus courante et la
plus répandue pour les terminaux est un logiciel malveillant. Pour cette raison, en 2013, Cisco
a acquis Sourcefire, la principale société antimalware. Sourcefire fournit une variété de
ressources liées à la sécurité qui sont maintenant intégrées dans les produits Cisco.
Plus précisément, Cisco a ajouté la technologie Advanced Malware Protection (AMP) de
Sourcefire pour protéger les terminaux et les réseaux plus efficacement que la protection
traditionnelle contre les logiciels malveillants basée sur l'hôte. Comme le montre la figure,
AMP offre aux organisations une visibilité et un contrôle continus pour vaincre les logiciels
malveillants sur le réseau étendu avant, pendant et après une attaque.
La solution AMP peut permettre la détection et le blocage de programmes malveillants,
l'analyse continue et l'alerte rétrospective avec:
Réputation de fichier (avant) - Analyser les fichiers en ligne et bloquer ou appliquer des
politiques
File Sandboxing (pendant)- Analyser les fichiers inconnus pour comprendre le
comportement réel des fichiers
Rétrospection de fichiers (après)- Poursuivre l'analyse des fichiers en fonction de l'évolution
des niveaux de menace

AMP et défense contre les menaces gérées

AMP utilise les vastes réseaux d'intelligence de sécurité cloud de Cisco et de Sourcefire pour
fournir une protection avancée.
Plus précisément, AMP accède à l'intelligence de sécurité collective du groupe de recherche et
d'intelligence de sécurité Cisco Talos (Talos). Talos est le résultat de la fusion de l'équipe
Cisco Security Intelligence Operation (SIO) et de l'équipe de recherche sur la vulnérabilité de
Sourcefire (VRT). Talos détecte et corrèle les menaces en temps réel en utilisant le plus grand
réseau de détection de menaces au monde.
Talos emploie plus de 600 ingénieurs, techniciens et chercheurs travaillant 24 heures sur 24,
365 jours par an, dans plus de 40 langues, pour analyser ces informations, ainsi que les
sources de menaces publiques et privées.
Ces équipes rassemblent des renseignements sur les menaces en temps réel provenant de
diverses sources:
 1,6 million d'équipements de sécurité déployés, y compris les pare-feu, IPS, Web et
les appareils de messagerie
 150 millions de points de terminaison
Ils analysent ensuite ces données:
 100 To de renseignements de sécurité quotidiens
 13 milliards de requêtes web par jour
 35% du trafic de messagerie d'entreprise dans le monde

AMP pour les équipements finaux

AMP protège avant, pendant et après une attaque. AMP est disponible dans une
variété de formats:

AMP for Endpoints - AMP for Endpoints s'intègre à Cisco AMP for Networks pour
fournir une protection complète sur des réseaux étendus et des terminaux.
AMP for Networks - Fournit une solution basée sur le réseau et est intégrée dans les
appliances de sécurité réseau Cisco ASA Firewall et Cisco FirePOWER dédiées.
AMP pour la sécurité du contenu: il s'agit d'une fonctionnalité intégrée dans Cisco
Cloud Web Security ou les appliances de sécurité Web et de messagerie de Cisco
pour se protéger contre les attaques de logiciels malveillants avancées basées sur le
courrier électronique et sur le Web.
Cisco AMP for Endpoints exécute un agent FireAMP et devient un connecteur
FireAMP. AMP for Endpoints s'intègre à Cisco AMP for Networks pour fournir une
protection complète à travers une seule vitre et sur des réseaux étendus et des
terminaux. Il utilise une analyse continue, une sécurité rétrospective et des indications
de compromis multisources. Cela aide un administrateur à identifier les attaques
furtives qui parviennent à passer du point de terminaison à l'intranet au niveau du
réseau, corréler ces événements pour une réponse plus rapide et obtenir une meilleure
visibilité et un meilleur contrôle.
La sécurité des emails et du WEB
Au cours des 25 dernières années, le courrier électronique a évolué d'un outil utilisé
principalement par les professionnels techniques et de recherche pour devenir l'épine
dorsale de la communication d'entreprise. Chaque jour, plus de 100 milliards d'e-mails
professionnels sont échangés. À mesure que le niveau d'utilisation augmente, la
sécurité devient une priorité majeure.
Les campagnes de spam de masse ne sont plus la seule préoccupation. Aujourd'hui, les
spams et les logiciels malveillants ne sont qu'une partie d'une image complexe qui
inclut des menaces entrantes et des risques sortants. Pour cette raison, Cisco a acquis
IronPort Systems en 2007. Les appliances IronPort font désormais partie des
gammes de produits Cisco Email Security Appliance (ESA) et Cisco Web Security
Appliance (WSA).
 Cisco ESA (Email Security Appliance)
Pour défendre les systèmes de messagerie critiques, Cisco propose diverses solutions
de sécurité de messagerie, notamment l'ESA, ainsi que des solutions virtuelles, Cloud
et hybrides. Ces solutions fournissent:

Une protection rapide et complète des e-mails qui peut bloquer le spam et les
menaces avant qu'ils n'atteignent votre réseau.
 Flexible Cloud, options de déploiement virtuel et physique pour répondre aux besoins
changeants de l'entreprise.
 Contrôle des messages sortants grâce à la prévention des pertes de données (DLP)
sur le périphérique et au cryptage des e-mails.
Cisco ESA combat les spams, les virus et les menaces mixtes pour les entreprises de
toutes tailles. Elle renforce la conformité et protège les actifs de réputation et de
marque, réduit les temps d'arrêt et simplifie l'administration des systèmes de
messagerie d'entreprise.
Le Cisco ESA est constamment mis à jour par des flux en temps réel de Cisco Talos,
qui détecte et corrèle les menaces en utilisant un système de surveillance de base de
données mondial. La solution transmet ensuite automatiquement les mises à jour de
sécurité aux Cisco Talos. Ces données de renseignement sur les menaces sont tirées
par les ESA de Cisco toutes les trois à cinq minutes.

Cisco ESA défend les systèmes de messagerie critiques avec des solutions Appliance,
virtuelles, cloud et hybrides. Voici quelques-unes des principales caractéristiques et
avantages des solutions Cisco Email Security:

Intelligence globale des menaces - Cisco Talos fournit une vision 24 heures sur 24 de
l'activité du trafic mondial. Il analyse les anomalies, découvre les nouvelles menaces
et surveille les tendances du trafic.
Blocage du spam - Une défense multicouche combine une couche externe de filtrage
basée sur la réputation de l'expéditeur et une couche interne de filtrage qui effectue
une analyse approfondie du message.
Protection avancée contre les logiciels malveillants - Inclut AMP qui tire parti du
vaste réseau d'intelligence de sécurité cloud de Sourcefire. Il fournit une protection à
travers le continuum d'attaque: avant, pendant et après une attaque.
Contrôle des messages sortants: contrôle les messages sortants via le protocole DLP
et le cryptage des e-mails pour garantir que les messages importants sont conformes
aux normes de l'industrie et protégés pendant le transit.

Cisco WSA (Web Security Appliance)

Le Cisco WSA est une technologie d'atténuation pour les menaces Web qui aide les
entreprises à relever les défis croissants liés à la sécurisation et au contrôle du trafic
Web. Le Cisco WSA combine une protection avancée contre les logiciels malveillants,
la visibilité et le contrôle des applications, des contrôles de politique d'utilisation
acceptable, des rapports et une mobilité sécurisée pour fournir une solution tout-en-un
sur une seule plate-forme.

Cisco WSA offre un contrôle complet sur la façon dont les utilisateurs accèdent à
Internet. Certaines fonctionnalités et applications, telles que le chat, la messagerie, la
vidéo et l'audio, peuvent être autorisées, limitées par des limites de temps et de bande
passante, ou bloquées, en fonction des besoins de l'organisation. Le WSA peut
effectuer des listes noires, le filtrage d'URL, l'analyse de logiciels malveillants, la
catégorisation d'URL, le filtrage d'applications Web et le cryptage et le décryptage
TLS / SSL.

Voici quelques-unes des principales caractéristiques et avantages des solutions Cisco

Web Security Appliance:

Talos Security Intelligence - Protection Web rapide et complète soutenue par un

vaste réseau de détection des menaces.
Contrôles d'utilisation Web de Cisco - Combine le filtrage d'URL traditionnel avec
l'analyse de contenu dynamique pour réduire les risques de conformité, de
responsabilité et de productivité.
Advanced Malware Protection (AMP) - AMP est une fonctionnalité sous licence
supplémentaire disponible pour tous les clients Cisco WSA.
Prévention de la perte de données (DLP) - Empêchez les données confidentielles de
quitter le réseau en créant des règles basées sur le contexte pour le DLP de base.
Pour illustrer comment le WSA interagit avec d'autres périphériques, reportez-vous
aux Figures 1 à 3. Sur la Figure 1, l'utilisateur lance une requête Web pour abc.com et
l'envoie au pare-feu ASA. L'ASA redirige la demande vers le WSA pour qu'il vérifie
la demande. Si la demande enfreint la politique de sécurité, le WSA transmet un refus
à l'hôte. Si la requête est acceptable, le WSA initie une requête Web vers le serveur
Web de destination, comme illustré à la Figure 2. Sur la Figure 3, la réponse du
serveur Web est transmise par l'ASA au WSA. Le WSA vérifie à nouveau le contenu
indésirable et si aucun problème n'est rencontré, il transmet le contenu Web à l'hôte.

Figure 1
 Figure 2

Figure 3

Remarque: L'appliance virtuelle Cisco Web Security (WSAV) est une version
logicielle de Cisco WSA qui s'exécute au-dessus d'un hyperviseur VMware ESXi ou
KVM et des serveurs Cisco Unified Computing System (UCS).

Cisco Cloud Web Security (CCWS)

Cisco Cloud Web Security (CWS) est un service de sécurité basé sur le cloud qui
utilise des proxys Web dans l'environnement cloud de Cisco pour analyser le trafic
afin de détecter les logiciels malveillants et l'application des stratégies. CWS offre les
avantages suivants:
 Des règles d'utilisation Web granulaires peuvent être définies et appliquées dans
tout l'environnement pour les applications, les sites Web et le contenu de pages Web
spécifiques.
 Cisco CWS est facile à intégrer dans votre infrastructure existante.
 L'intelligence des menaces en temps réel est continuellement mise à jour pour se
protéger contre les dernières menaces.
 La gestion et les rapports centralisés offrent une visibilité sur l'utilisation du Web et
les informations sur les menaces.
Les clients Cisco peuvent se connecter directement au service Cisco CWS à l'aide d'un
fichier de configuration automatique de proxy (PAC) dans le périphérique final de
l'utilisateur ou via des connecteurs intégrés à quatre produits Cisco:

 Routeurs Cisco ISR G2

  Cisco ASA
 Cisco WSA
 Cisco AnyConnect Secure Mobility Client
Sur la figure, Cisco ASA est activé avec le connecteur Cisco CWS. La section
suivante explique comment Cisco CWS protège les utilisateurs professionnels via un
processus en quatre étapes:

1. Un utilisateur interne envoie une requête HTTP à un site Web externe

(www.example.com).

2. Cisco ASA transmet la requête HTTP à l'infrastructure de cloud globale Cisco

CWS.

3. Cisco CWS remarque que www.example.com contient du contenu Web,

éventuellement une bannière publicitaire, qui redirige l'utilisateur vers un site
malveillant connu (www.malicious.com).

4. Cisco CWS bloque la demande au site malveillant, mais continue d'autoriser l'accès
au reste du contenu sur www.example.com

Cisco Network Admission Control

Le but du contrôle d'admission réseau (NAC) de Cisco est de permettre uniquement aux
systèmes autorisés et conformes, qu'ils soient gérés ou non gérés, d'accéder au réseau. Cisco
NAC est également conçu pour appliquer la stratégie de sécurité réseau. NAC aide à
maintenir la stabilité du réseau en fournissant une authentification, une autorisation et une
évaluation de la posture (en évaluant un périphérique entrant par rapport aux politiques du
réseau). NAC met également en quarantaine les systèmes non conformes et gère la correction
des systèmes non conformes.

Comme indiqué dans le tableau de la figure 1, il existe deux catégories de produits Cisco
NAC:

NAC Framework- Le cadre NAC utilise l'infrastructure réseau Cisco existante et les logiciels
tiers pour appliquer la conformité à la politique de sécurité sur tous les terminaux. Comme le
montre la Figure 2, différents périphériques du réseau, pas nécessairement un périphérique,
peuvent fournir les fonctionnalités de NAC.

Cisco NAC Appliance - Dans le cadre de la solution Cisco TrustSec, l'appliance Cisco NAC
incorpore les fonctions NAC dans une appliance et fournit une solution pour contrôler l'accès
au réseau.

L'appliance Cisco NAC peut être utilisée pour:

 Reconnaître les utilisateurs, leurs appareils et leurs rôles dans le réseau

 Évaluer si les machines sont conformes aux stratégies de sécurité
 Appliquer les stratégies de sécurité en bloquant, isolant et réparant les machines
non conformes
 Fournir un accès invité facile et sécurisé
 Simplifier l'accès aux périphériques non authentifiants
 Auditer et signaler qui est sur le réseau

Cisco NAC Appliance étend NAC à toutes les méthodes d'accès au réseau, y compris l'accès
via les réseaux locaux, les passerelles d'accès distant et les points d'accès sans fil. Il prend
également en charge l'évaluation de la posture pour les utilisateurs invités.

Remarque: Les NAC évoluent de la protection de sécurité de base vers des contrôles de
visibilité, d'accès et de sécurité (EVAS) plus sophistiqués. Contrairement aux anciennes
technologies NAC, EVAS utilise des informations plus détaillées pour appliquer les stratégies
d'accès, telles que les données sur le rôle de l'utilisateur, l'emplacement, les considérations de
processus métier et la gestion des risques. Les contrôles EVAS permettent également
d'accorder un accès au-delà des ordinateurs, ce qui permet aux administrateurs réseau de
fournir un accès via des appareils mobiles et IoT.
Les fonctions de CISCO NAC
L'objectif du NAC Framework et de l'appliance Cisco NAC est de garantir que seuls les hôtes
authentifiés dont la sécurité a été examinée et approuvée sont autorisés sur le réseau. Par
exemple, les ordinateurs portables d'entreprise utilisés hors site pendant une certaine période
peuvent ne pas avoir reçu les mises à jour de sécurité actuelles ou être infectés par d'autres
systèmes. Ces systèmes ne peuvent pas se connecter au réseau tant qu'ils ne sont pas
examinés, mis à jour et approuvés.

Les périphériques d'accès au réseau fonctionnent en tant que couche d'application, comme le
montre la figure. Ils forcent les clients à interroger un serveur RADIUS pour l'authentification
et l'autorisation. Le serveur RADIUS peut interroger d'autres périphériques, tels qu'un serveur
antivirus Trend Micro, et répondre aux responsables de l'application réseau.
Les composants de Cisco NAC
Les produits Cisco Secure Access Control font partie de la solution Cisco TrustSec basée sur
NAC Appliance. TrustSec est un composant essentiel de l'architecture Secure Borderless
Networks. Dans l'approche TrustSec basée sur NAC Appliance, Cisco NAC Manager (NAM)
est un serveur de règles fonctionnant avec le serveur Cisco NAC (NAS) pour authentifier les
utilisateurs et évaluer leurs périphériques via des connexions LAN, sans fil ou VPN, comme
indiqué dans la figure. L'accès au réseau et aux ressources est basé sur les informations
d'identification de l'utilisateur et leurs rôles dans l'organisation, ainsi que sur la conformité de
la stratégie des périphériques de point de terminaison:

Cisco NAC Manager (NAM) - Centre de règles et de gestion pour un environnement de

déploiement NAC basé sur des appliances, Cisco NAC Manager définit des stratégies d'accès
utilisateur et de sécurité des points de terminaison basées sur les rôles.

Serveur Cisco NAC (NAS): évalue et applique la conformité aux règles de sécurité dans un
environnement de déploiement NAC basé sur un appareil.

Cisco NAC Agent (NAA) - Un agent léger facultatif s'exécutant sur un périphérique de point
de terminaison. Il effectue une inspection approfondie du profil de sécurité du périphérique en
analysant les paramètres de registre, les services et les fichiers.

Voici deux outils supplémentaires d'application de la police de TrustSec:

Serveur invité Cisco NAC - Gère l'accès au réseau invité, y compris l'approvisionnement, la
notification, la gestion et la création de rapports sur tous les comptes d'utilisateurs invités et
les activités réseau.

Profileur Cisco NAC: aide à déployer le contrôle d'accès basé sur des règles en fournissant
des fonctionnalités de découverte, de profilage, de placement basé sur des règles et de
surveillance post-connexion de tous les périphériques de point de terminaison.

Network Access pour les invités

Le serveur invité Cisco NAC fournit l'application de stratégie d'invité à l'appliance Cisco
NAC ou au contrôleur de réseau local sans fil Cisco, où les stratégies d'invité sont appliquées.
Cisco NAC Guest Server, un composant de la solution Cisco TrustSec, fournit une prise en
charge complète du cycle de vie de l'accès invité, y compris le provisionnement, la
notification, la gestion et la création de rapports.

Cisco NAC Guest Server permet aux sponsors, tels que les employés de l'entreprise, de créer
des comptes invités. Les sponsors sont authentifiés sur le serveur invité et reçoivent des
autorisations en fonction de leurs rôles. Les sponsors peuvent disposer d'autorisations basées
sur des rôles pour créer des comptes, modifier des comptes, suspendre des comptes et
exécuter des rapports.

Il existe trois façons d'accorder des autorisations de parrainage à:

 Seuls les comptes créés par le sponsor

 Tous les comptes
 Aucun compte (c'est-à-dire, ils ne peuvent pas modifier les autorisations)

Après la création d'un compte invité, les invités peuvent se connecter au réseau avec les
informations fournies par le sponsor.

CISCO NAC Profiler

Cisco NAC Profiler permet la détection dynamique, l'identification et la surveillance de tous
les points de terminaison connectés au réseau au sein d'un réseau d'entreprise. Il gère
intelligemment ces périphériques, en fonction de règles de sécurité définies par l'utilisateur.

Lorsqu'il est déployé dans le cadre d'une implémentation NAC plus large, Cisco NAC Profiler
facilite le déploiement et la gestion des systèmes Cisco NAC. Il détecte et suit l'emplacement
et le type de tous les points de terminaison connectés au LAN, y compris ceux qui ne peuvent
pas s'authentifier.

Cisco NAC Profiler permet aux administrateurs de sécurité de:

Simplifiez le déploiement de Cisco NAC en automatisant l'identification et l'authentification

des périphériques et en facilitant les tâches administratives.

Facilitez le déploiement et la gestion de l'infrastructure Cisco ACS 802.1X ou des solutions de

superposition Cisco NAC.

Rassemblez les informations de profilage des périphériques de point de terminaison et

maintenez un inventaire contextuel en temps réel des périphériques en réseau.
Surveillez et gérez les anomalies de comportement des périphériques, telles que l'échange de
ports, l'usurpation d'adresse MAC et les changements de profil.

Sécurisez tous les points de terminaison appartenant à la société, y compris les périphériques
non authentifiants tels que les imprimantes et les téléphones IP.

Cisco NAC Profiler a deux composants: le collecteur de profils NAC, illustré dans les figures
1 et 4, et l'application NAC Profiler Server, illustrés aux figures 2 et 3. Les figures 1 à 4
illustrent séquentiellement la manière dont Cisco NAC Profiler recueille, regroupe, filtre, et
met à jour les données de l'appareil.
Décrire les vulnérabilités de couche 2
Le modèle de référence OSI est divisé en sept couches qui fonctionnent indépendamment les
unes des autres. Comme le montre la figure 1, chaque couche remplit une fonction spécifique
et possède des éléments de base qui peuvent être exploités.

Les administrateurs réseau mettent régulièrement en œuvre des solutions de sécurité pour
protéger les éléments de la couche 3 jusqu'à la couche 7 en utilisant des VPN, des pare-feu et
des périphériques IPS. Toutefois, comme le montre la figure 2, si le niveau 2 est compromis,
toutes les couches au-dessus sont également affectées. Par exemple, si un employé ou un
visiteur ayant accès au réseau interne peut capturer des trames de couche 2, alors toute la
sécurité implémentée sur les couches ci-dessus serait inutile. L'employé pourrait également
faire des ravages sur l'infrastructure de réseau LAN Layer 2.

Les catégories d’attaques des switches

La sécurité est seulement aussi forte que le maillon le plus faible du système, et la couche 2
est considéré comme le maillon le plus faible. En effet, traditionnellement, les réseaux locaux
étaient sous le contrôle administratif d'une seule organisation. Nous avons intrinsèquement
fait confiance à toutes les personnes et appareils connectés à notre réseau local. Aujourd'hui,
avec BYOD et des attaques plus sophistiquées, nos réseaux locaux sont devenus plus
vulnérables à la pénétration. Par conséquent, en plus de protéger les couches 3 à 7, les
professionnels de la sécurité réseau doivent également limiter les attaques sur l'infrastructure
LAN de couche 2.

La première étape de l'atténuation des attaques sur l'infrastructure de couche 2 consiste à

comprendre le fonctionnement sous-jacent de la couche 2 et les menaces posées par
l'infrastructure de couche 2.

Les attaques contre l'infrastructure LAN de couche 2 sont mises en évidence dans la Figure 1.
Remarque: L'objectif de cette section concerne les attaques de couche 2 courantes.

La figure 2 fournit un aperçu des solutions Cisco pour aider à atténuer les attaques de couche
2.

Ces solutions de couche 2 ne seront pas efficaces si les protocoles de gestion ne sont pas
sécurisés. Un exemple serait si les attaquants peuvent facilement se connecter à telnet dans un
commutateur. Syslog, SNMP, TFTP, telnet, FTP et la plupart des autres protocoles de gestion
de réseau courants ne sont pas sécurisés. Par conséquent, les stratégies suivantes sont
recommandées:

 Utilisez toujours des variantes sécurisées de ces protocoles, telles que SSH, SCP et
SSL.
 Envisagez d'utiliser la gestion hors bande (OOB).
 Utilisez un VLAN de gestion dédié où rien d'autre que le trafic de gestion réside.
 Utilisez les ACL pour filtrer les accès indésirables
Fonctionnement de base du commutateur
Pour prendre des décisions de transfert, un commutateur LAN de couche 2 construit
une table d'adresses MAC qui est stockée dans sa mémoire adressable de contenu
(CAM). Une table CAM est la même chose qu'une table d'adresses MAC. Dans ce
cours, nous utiliserons le terme de table CAM. Une exception importante à cela est
que la syntaxe pour montrer quelles adresses sont stockées dans un commutateur
utilise "table d'adresses mac", comme le montre la figure.

La table CAM lie et stocke les adresses MAC et les paramètres VLAN associés qui
sont connectés aux ports du commutateur physique. Les commutateurs comparent
ensuite les adresses de monodiffusion MAC de destination des trames entrantes aux
entrées de la table CAM pour prendre des décisions de transfert de port. Si l'adresse
MAC de destination se trouve dans la table CAM, le commutateur transmet la trame
en conséquence. Toutefois, si l'adresse MAC de destination ne figure pas dans la table
CAM, le commutateur inonde la trame de tous les ports sauf le port d'entrée du cadre.
C'est ce qu'on appelle un flot unicast inconnu.

La sortie de la figure affiche le contenu d'un exemple de table CAM

Exemple d'opération de table CAM

Reportez-vous à l'exemple de topologie de la figure 1, constitué d'un commutateur de
couche 2 interconnectant quatre hôtes. La table CAM est actuellement vide car le
commutateur S1 a été redémarré et est maintenant opérationnel. Pour afficher le
contenu d'une table CAM, utilisez la commande EXEC privilégiée show mac-address-
table, comme indiqué dans la figure 2.

Dans ce scénario, l'utilisateur sur PC-A envoie une requête ping à l'adresse IP de PC-
B. Par conséquent, PC-A référencera d'abord son cache ARP (Address Resolution
Protocol) stocké localement pour découvrir l'adresse MAC de PC-B. Si cette entrée
n'est pas mise en cache, PC-A doit découvrir l'adresse MAC de PC-B en utilisant
ARP.

Le PC-A envoie une requête ARP à S1 contenant l'adresse MAC de diffusion de

destination, l'adresse MAC PC-A, l'adresse IP PC-A et l'adresse IP PC-B, comme
illustré à la Figure 3. Lorsque S1 reçoit la trame sur le port F0 / 1 , il enregistre
immédiatement l'adresse MAC source de PC-A sur le port F0 / 1 dans sa table CAM.
Étant donné que l'adresse MAC de destination est une diffusion, S1 inonde la trame de
demande ARP de tous les ports sauf le port d'entrée de la trame (F0 / 1).

Le PC-B reconnaît que la destination de trame contient son adresse IP et répond en

envoyant une réponse ARP contenant l'adresse MAC de destination du PC-A, sa
propre adresse MAC, son adresse IP PC-B et l'adresse IP de destination du PC-A dans
la figure 4. Lorsque S1 reçoit la trame, il enregistre immédiatement l'adresse MAC
source de PC-B sur le port F0 / 2. La figure 5 affiche le contenu résultant de la table
CAM sur S1.

S1 référence ensuite l'adresse MAC de destination ARP Reply dans sa table CAM et
découvre qu'elle est connectée au port F0 / 1. S1 transmet la réponse ARP uniquement
à PC-A. PC-A a maintenant toutes les informations et peut envoyer une requête ping à
PC-B.

Si PC-C pings PC-D, alors le scénario précédent est répété, et la table CAM résultante
est affichée dans la figure 6.

Attaque de table CAM

Toutes les tables CAM ont une taille fixe et par conséquent, un commutateur peut
manquer de ressources dans lesquelles stocker les adresses MAC. Les attaques par
débordement de table CAM (également appelées attaques par débordement d'adresse
MAC) profitent de cette limitation en bombardant le commutateur avec de fausses
adresses MAC source jusqu'à ce que la table d'adresses MAC du commutateur soit
pleine.

Si suffisamment d'entrées sont entrées dans la table CAM avant l'expiration des
anciennes entrées, la table se remplit au point qu'aucune nouvelle entrée ne peut être
acceptée. Lorsque cela se produit, le commutateur traite la trame comme une
monodiffusion inconnue et commence à inonder tout le trafic entrant vers tous les
ports sans faire référence à la table CAM. Le commutateur, en substance, agit comme
un hub. En conséquence, l'attaquant peut capturer toutes les trames envoyées d'un hôte
à un autre.

Remarque: Le trafic est inondé uniquement dans le VLAN local, de sorte que l'intrus
ne voit que le trafic dans le VLAN local auquel l'intrus est connecté. Dans la page
précédente, l'attaquant ne pourrait capturer que le trafic par défaut (VLAN 1).

Par exemple, macof est un outil d'attaque réseau capable de générer très rapidement
un grand nombre d'adresses MAC et IP aléatoires source et destination, comme le
montre la Figure 1. Sur une courte période, la table CAM se remplit (Figure 2), et
lorsqu'il est plein, le commutateur commence à inonder toutes les trames qu'il reçoit
(Figure 3). Tant que l'outil d'attaque poursuit l'attaque, la table CAM reste pleine et le
commutateur continue d'inonder toutes les trames entrantes de chaque port. Cela
permet à l'attaquant de capturer diverses images et d'envoyer des paquets à des
appareils qui seraient autrement inaccessibles (Figure 4).

Si l'intrus ne gère pas le flot d'adresses MAC source invalides, le commutateur finit
par éliminer les anciennes entrées d'adresse MAC de la table et commence à agir à
nouveau comme un commutateur. Si l'attaque n'est pas détectée rapidement avant que
les entrées ne prennent fin, la cause du problème peut être difficile à déterminer et
l'attaquant restera anonyme.

Note: Un autre outil d'attaque réseau est Yersinia qui a été conçu pour exploiter les
faiblesses des protocoles tels que Spanning Tree Protocol (protocole STP), protocole
de découverte Cisco (CDP), protocole DTP (Dynamic Trunking Protocol), protocole
DHCP (Hot Host Configuration Protocol) (HSRP), IEEE 802.1Q, IEEE 802.1X et
VLAN Trunking Protocol (VTP)

Outils d'attaque de table CAM

Ce qui rend ces outils si dangereux, c'est qu'un attaquant peut créer une attaque de
débordement de table CAM en quelques secondes. Par exemple, un commutateur
Catalyst 6500 peut stocker 132 000 adresses MAC dans sa table CAM. Un outil tel
que macof peut inonder un commutateur avec jusqu'à 8 000 images fausses par
seconde; créer une attaque de débordement de la table CAM en quelques secondes. La
figure affiche un exemple de sortie de la commande macof sur un hôte Linux.

Une autre raison pour laquelle ces outils d'attaque sont dangereux est qu'ils affectent
non seulement le commutateur local, mais aussi les autres commutateurs de couche 2
connectés. Lorsque la table CAM d'un commutateur est pleine, il commence à diffuser
tous les ports, y compris ceux qui se connectent à d'autres commutateurs de couche 2.

Pour réduire les attaques de débordement de table CAM, les administrateurs réseau
doivent mettre en œuvre la sécurité des ports
Contre-mesure pour les attaques de la table CAM
La méthode la plus simple et la plus efficace pour empêcher les attaques par
débordement de table CAM consiste à activer la sécurité des ports. La sécurité des
ports permet à un administrateur de spécifier de manière statique des adresses MAC
pour un port ou de permettre au commutateur d'apprendre dynamiquement un nombre
limité d'adresses MAC. En limitant à un le nombre d'adresses MAC autorisées sur un
port, la sécurité des ports peut être utilisée pour contrôler l'expansion non autorisée du
réseau, comme le montre la figure.

Lorsque les adresses MAC sont affectées à un port sécurisé, le port ne transfère pas les
trames avec des adresses MAC source en dehors du groupe d'adresses définies.
Lorsqu'un port configuré avec la sécurité de port reçoit une trame, l'adresse MAC
source de la trame est comparée à la liste des adresses de source sécurisée qui ont été
configurées manuellement ou autoconfigurées (apprises) sur le port.

La Sécurité des ports

Pour activer la sécurité des ports, utilisez la commande switchport port-security
interface configuration sur un port d'accès, comme indiqué dans l'exemple de la Figure
1. Notez que le port doit être configuré comme port d'accès avant que la sécurité des
ports puisse être activée. En effet, la sécurité des ports ne peut être configurée que sur
les ports d'accès et, par défaut, les ports des commutateurs de couche 2 sont définis sur
Auto dynamique (Trunking activé). Par conséquent, le port doit initialement être
configuré avec la commande de configuration de l'interface d'accès en mode
commutateur.

La figure 2 affiche les paramètres de sécurité du port par défaut de l'interface

FastEthernet 0/1. Notez comment la sécurité du port est activée, le mode de violation
est arrêté et le nombre maximal d'adresses MAC est 1.

Une fois la sécurité des ports activée, d'autres spécificités de sécurité des ports peuvent
être configurées comme indiqué dans la sortie de la figure 3.

Remarque: Les paramètres de configuration disponibles dépendent du modèle de

commutateur et de la version IOS.

Activation des options de sécurité du port

Pour définir le nombre maximal d'adresses MAC autorisées sur un port, utilisez la
commande switchport - valeur maximale de sécurité du port illustrée dans la Figure 1.
La valeur de sécurité du port par défaut est 1.

Remarque: Le nombre maximum réel d'adresses MAC sécurisées pouvant être

configurées est défini par le nombre maximal d'adresses MAC disponibles autorisé par
le modèle Switch Switch Management (SDM) actif. Utilisez la commande show sdm
prefer pour afficher les paramètres du modèle en cours.

La figure 2 affiche un exemple de configuration modifiant les adresses MAC

maximales par défaut à quatre.

Le commutateur peut être configuré pour connaître les adresses MAC sur un port
sécurisé de l'une des deux manières suivantes:

Configuré manuellement - L'administrateur configure manuellement la ou les adresses

MAC à l'aide de la commande de configuration switchport port-security mac-address
interface présentée à la figure 3.
Apprendre dynamiquement - L'administrateur permet au commutateur d'apprendre
dynamiquement l'adresse MAC à l'aide de la commande de configuration switchport
port-security-mac-address sticky de switchport illustrée à la figure 4.
La figure 5 montre un exemple de configuration de la configuration manuelle d'une
adresse MAC et de l'activation de l'apprentissage dynamique pour le reste du total
autorisé configuré par la valeur maximale.

La figure 6 illustre l'utilisation de la commande show port-security [interface-

interface-id] pour afficher toutes les adresses MAC sécurisées configurées sur toutes
les interfaces de commutation ou sur une interface spécifiée avec des informations de
vieillissement pour chaque adresse.
Violations de la sécurité des ports
Si une adresse MAC d'un périphérique connecté au port diffère de la liste des adresses
sécurisées, une violation de port se produit et le port passe à l'état désactivé par erreur.
Une violation de sécurité est créée lorsqu'une station avec une adresse MAC qui n'est
pas dans la table d'adresses tente d'accéder à l'interface lorsque la table est pleine. Un
autre exemple d'une situation qui crée une violation de sécurité est lorsqu'une adresse
est utilisée sur deux interfaces sécurisées dans le même VLAN.

Le comportement d'un commutateur dépend de la violation configurée. Il existe trois

modes de violation de sécurité, comme illustré à la Figure 1. Le tableau de la Figure 2
différencie ces trois modes.

Pour définir le mode de violation de la sécurité des ports, utilisez la violation de port-
security de switchport {protect | restreindre | arrêt | shutdown vlan} commande de
configuration de l'interface.

La figure 3 affiche un exemple de configuration de modification de la violation de

sécurité pour «restreindre». La sortie de la commande show port-security interface
confirme que la modification a été effectuée.

Pour réactiver un port de désactivation d'erreur, réactivez manuellement le port

désactivé en entrant les commandes de configuration d'arrêt et de fermeture de
l'interface.

Remarque: Le commutateur peut également être configuré pour réactiver

automatiquement un port désactivé par erreur à l'aide de la commande de mode de
récupération errdisable recovery cause psecure-violation global configuration.

Utilisez le vérificateur de syntaxe de la figure 4 pour configurer la sécurité des ports

sur l'interface S1 FastEthernet 0/19.

Le plus soft : Protect une fois le nombre d’adresses autorisé est dépassé le port
supprime le trafic des sources inconnues en attendant que le nombre de ports utilisés
augmenté par commande ou la suppression des adresses MAC déjà autorisés sur le
port ; Sans aucune notification

Puis : Restrict même comportement que Protect mais avec une notification
Puis : Shutdown

Vieillissement de la sécurité des ports

Le vieillissement de la sécurité des ports peut être utilisé pour définir le temps de
vieillissement des adresses sécurisées statiques et dynamiques sur un port. Deux types
de vieillissement sont pris en charge par port:
Absolute - Les adresses sécurisées sur le port sont supprimées après l'heure de
vieillissement spécifiée.
Inactivité - Les adresses sécurisées sur le port sont supprimées uniquement si elles
sont inactives pour l'heure de vieillissement spécifié.
Utilisez le vieillissement pour supprimer les adresses MAC sécurisées sur un port
sécurisé sans supprimer manuellement les adresses MAC sécurisées existantes. Les
limites de temps de vieillissement peuvent également être augmentées pour garantir
que les anciennes adresses MAC sécurisées demeurent, même lorsque de nouvelles
adresses MAC sont ajoutées. Gardez à l'esprit le nombre maximal d'adresses
sécurisées par port peut être configuré. Le vieillissement des adresses sécurisées
configurées statiquement peut être activé ou désactivé par port.

Utilisez la commande switchport port-security aging illustrée à la Figure 1 pour

activer ou désactiver le vieillissement statique pour le port sécurisé ou pour définir
l'heure ou le type de vieillissement.

La figure 2 montre un exemple de configuration de changement du type de

vieillissement à 10 minutes d'inactivité

La Sécurité des ports avec les téléphones IP

Un port d'accès reliant un téléphone IP et un ordinateur, comme indiqué sur la figure
1, nécessite généralement deux adresses MAC sécurisées. Cependant, sur certains
commutateurs, ce nombre doit être réglé sur trois, car lorsque le port est connecté à un
téléphone IP Cisco, le téléphone IP nécessite jusqu'à deux adresses MAC. L'adresse du
téléphone IP est apprise sur le VLAN vocal et peut également être apprise sur le
VLAN d'accès. La connexion d'un PC au téléphone IP nécessite une adresse MAC
supplémentaire.

Les adresses sont généralement apprises dynamiquement. Cependant, lors de la

configuration de la sécurité des ports avec un téléphone IP, les adresses vocales ne
peuvent pas être collantes.

Comme le montre la figure 2, un maximum de 3 adresses MAC peuvent être apprises

sur ce port. Les violations de cette politique entraînent la fermeture du port. Le délai
d'expiration pour les adresses MAC apprises est fixé à deux heures.

Notification d'adresse MAC SNMP

Les gestionnaires de réseau ont besoin d'un moyen de surveiller qui utilise le réseau et
quelle est leur localisation. Par exemple, si le port F0 / 1 est sécurisé sur un
commutateur, un déroutement SNMP est généré lorsqu'une entrée d'adresse MAC
pour ce port disparaît de la table CAM.

La fonction de notification d'adresse MAC envoie des interruptions SNMP à la station

de gestion de réseau (NMS) chaque fois qu'une nouvelle adresse MAC est ajoutée ou
qu'une ancienne adresse est supprimée des tables de transfert. Les notifications
d'adresse MAC sont générées uniquement pour les adresses MAC dynamiques et
sécurisées.

La notification d'adresse MAC permet à l'administrateur réseau de surveiller les

adresses MAC apprises, ainsi que les adresses MAC dont l'âge a expiré et qui sont
supprimées du commutateur. Par exemple, dans la figure, l'ordinateur portable avec
MAC C s'est déconnecté du réseau. Le commutateur finira par temporiser le port F0 /
3 et enverra une notification d'interruption SNMP au serveur NMS.

Utilisez la commande de configuration globale mac address-table notification pour

activer la fonction de notification d'adresse MAC sur un commutateur
 Atténuer les attaques des VLAN
Attacks des sauts de vlans VLAN HOPPING
L'architecture VLAN simplifie la maintenance du réseau et améliore les performances,
mais ouvre également la porte à des abus.
Un type spécifique de menace de VLAN est une attaque de saut de VLAN. Une
attaque de saut de VLAN permet au trafic d'un VLAN d'être vu par un autre VLAN
sans l'aide d'un routeur. Dans une attaque de saut de VLAN basique, l'attaquant tire
parti de la fonctionnalité de port de jonction automatique activée par défaut sur la
plupart des ports de commutateur. L'attaquant du réseau configure un hôte pour
usurper un commutateur afin d'utiliser la signalisation 802.1Q et la signalisation DTP
(Dynamic Trunking Protocol) propre à Cisco à la jonction avec le commutateur de
connexion. S'il réussit et que le commutateur établit une liaison interurbaine avec
l'hôte, alors l'attaquant peut accéder à tous les VLAN sur le commutateur et effectuer
un saut (c'est-à-dire, envoyer et recevoir) du trafic sur tous les VLAN.
Une attaque de saut de VLAN peut être lancée de l'une des deux manières suivantes:

 Usurpation des messages DTP de l'hôte attaquant pour que le commutateur passe en
mode de jonction. À partir de là, l'attaquant peut envoyer un trafic étiqueté avec le
VLAN cible, et le commutateur livre alors les paquets à la destination.
 Présentation d'un commutateur non autorisé et activation de l'agrégation. L'attaquant
peut alors accéder à tous les VLAN du commutateur victime à partir du commutateur
non autorisé.

VLAN Double-Tagging Attack

Un autre type d'attaque de saut de VLAN est une attaque à double étiquetage (ou à double
encapsulation). Cette attaque tire parti du fonctionnement du matériel sur la plupart des
commutateurs.
La plupart des commutateurs n'effectuent qu'un seul niveau de désencapsulation 802.1Q. Cela
peut permettre à un attaquant dans des situations spécifiques d'intégrer une balise 802.1Q
cachée dans le cadre. Cette balise permet à la trame d'accéder à un réseau local virtuel que la
balise 802.1Q d'origine n'a pas spécifiée. Une caractéristique importante de l'attaque de saut
de VLAN à double encapsulation est qu'elle fonctionne même si les ports de TRUNK sont
désactivés, car un hôte envoie généralement une trame sur un segment qui n'est pas un lien de
TRUNK.
Une attaque à double marquage suit trois étapes:
Dans la Figure 1, l'attaquant envoie une trame 802.1Q à double étiquette au commutateur.
L'en-tête externe a la balise VLAN de l'attaquant, qui est identique au VLAN natif du port de
TRUNK. Pour les besoins de cet exemple, supposons qu'il s'agit du VLAN 10. La balise
interne est le VLAN victime, dans cet exemple, VLAN 20.
Sur la figure 2, la trame arrive sur le premier commutateur, qui regarde la première étiquette
802.1Q de 4 octets. Le commutateur voit que le cadre est destiné au VLAN 10, qui est le
VLAN natif. Le commutateur transfère le paquet sur tous les ports VLAN 10 après avoir
supprimé la balise VLAN 10. Sur le port de jonction, la balise VLAN 10 est supprimée et le
paquet n'est pas marqué de nouveau, car il fait partie du VLAN natif. À ce stade, l'étiquette
VLAN 20 est toujours intacte et n'a pas été inspectée par le premier commutateur.
Sur la figure 3, la trame arrive au second commutateur mais ne sait pas qu'elle était censée
être pour le VLAN 10. Le trafic VLAN natif n'est pas étiqueté par le commutateur d'envoi
comme spécifié dans la spécification 802.1Q.
Le second commutateur ne regarde que la balise interne 802.1Q que l'attaquant a envoyée et
voit que la trame est destinée au VLAN 20, le VLAN cible. Le second commutateur envoie le
cadre au port victime ou l'inonde, selon qu'il existe une entrée de table d'adresses MAC
existante pour l'hôte victime.
Ce type d'attaque est unidirectionnel et ne fonctionne que lorsque l'attaquant est connecté à un
port résidant dans le même VLAN que le VLAN natif du port de jonction. L'idée est que le
double marquage permet à l'attaquant d'envoyer des données à des hôtes ou à des serveurs sur
un VLAN qui serait autrement bloqué par un certain type de configuration de contrôle
d'accès. On peut supposer que le trafic de retour sera également autorisé, donnant ainsi à
l'attaquant la possibilité de communiquer avec des dispositifs sur le VLAN normalement
bloqué.
Atténuation des attaques de saut de VLAN
La figure 1 montre la meilleure façon d'empêcher les attaques de saut de VLAN de base:
 Désactivez les négociations DTP (trunking automatique) sur les ports non-trunking en
utilisant la commande de configuration switchport mode access interface.
 Activez manuellement le lien trunk sur un port de jonction à l'aide de la commande de
configuration de l'interface de jonction de mode de transfert. switchport mode trunk 
 Désactivez les négociations DTP (trunking automatique) sur les ports de trunk à l'aide
de la commande de configuration d'interface Switchport nonegotiate.
 Définissez le VLAN natif comme autre chose que le VLAN 1 et définissez-le sur un
VLAN inutilisé à l'aide de la commande de mode de configuration de l'interface
switchport trunk native vlan  numéro
 Désactivez les ports inutilisés et placez-les dans un réseau local virtuel inutilisé.
Par exemple, dans la configuration représentée sur la figure 2:

Les ports FastEthernet 0/1 à 0/16 sont des ports d'accès et par conséquent, le trunking est
désactivé en leur donnant explicitement accès aux ports.
Les ports FastEthernet 0/17 à 0/20 sont des ports inutilisés et sont désactivés et affectés à un
VLAN inutilisé.
Les ports FastEthernet 0/21 à 0/24 sont des liens interurbains et sont activés manuellement en
tant que lignes réseau avec le DTP désactivé. Le VLAN natif est également changé du VLAN
1 par défaut à un VLAN 999 inutilisé.
 Utilisez le Vérificateur de syntaxe de la Figure 3 pour configurer les liaisons
interurbaines afin d'atténuer les attaques VLAN.
Fonction PVLAN Edge
Certaines applications exigent qu'aucun trafic ne soit transféré au niveau de la couche
2 entre les ports du même commutateur afin qu'un voisin ne voie pas le trafic généré
par un autre voisin.

Dans un tel environnement, l'utilisation de la fonction Edge PVLAN (Private VLAN)

garantit qu'il n'y a pas d'échange de trafic monodiffusion, diffusion ou multidiffusion
entre les ports Edge PVLAN sur le commutateur, comme le montre la figure. La
fonctionnalité PLVAN Edge est également appelée Ports protégés.

La fonction PVLAN Edge présente les caractéristiques suivantes:

Un port protégé ne transfère aucun trafic, tel que monodiffusion, multidiffusion ou

diffusion, vers un autre port qui est également un port protégé. Le trafic de données ne
peut pas être transférés entre les ports protégés de la couche 2; seul le trafic de
contrôle est transmis car ces paquets sont traités par le CPU et transmis dans le
logiciel. Tout le trafic de données passant entre les ports protégés doit être transmis via
un périphérique de couche 3.
Le comportement de transfert entre un port protégé et un port non protégé se poursuit
normalement.
La valeur par défaut est qu'aucun port protégé n'est défini

PVLAN Edge
Pour configurer la fonction PVLAN Edge, entrez la commande switchport protected
interface configuration mode.

La fonction PVLAN Edge peut être configurée sur une interface physique ou un
groupe EtherChannel. Lorsque la fonction PVLAN Edge est activée pour un canal de
port, elle est activée pour tous les ports du groupe de canaux de port. Pour désactiver
le port protégé, utilisez la commande no switchport protected interface configuration
mode.

Pour vérifier la configuration de la fonction PVLAN Edge, utilisez la commande show

interfaces interface-id switchport
Le bord PVLAN est une caractéristique qui n'a qu'une signification locale pour le
commutateur, et il n'y a pas d'isolation fournie entre deux ports protégés situés sur des
commutateurs différents. Un port protégé ne transfère aucun trafic (monodiffusion,
multidiffusion ou diffusion) vers un autre port qui est également un port protégé sur le
même commutateur. Le trafic ne peut pas être transféré entre les ports protégés à
la couche 2 (L2); tout le trafic passant entre les ports protégés doit être transmis
via un périphérique de couche 3 (L3).

Les vlans privés

Les VLAN sont des domaines de diffusion. Cependant, dans certaines situations, il
peut être utile de rompre cette règle et de n'autoriser que la connectivité L2 minimale
requise dans le VLAN.

Les PVLAN fournissent une isolation de couche 2 entre les ports du même domaine
de diffusion. Il existe trois types de ports PVLAN:

Promiscuous - Un port de promiscuité peut parler à tout le monde. Il peut

communiquer avec toutes les interfaces, y compris les ports isolés et communautaires
dans un PVLAN.
Isolé - Un port isolé ne peut parler qu'à des ports proches. Un port isolé est
entièrement séparé de la couche 2 des autres ports du même PVLAN, mais pas des
ports proches. Les PVLAN bloquent tout le trafic vers des ports isolés à l'exception du
trafic provenant des ports proches. Le trafic d'un port isolé est transmis uniquement
aux ports proches.
Communauté - Les ports communautaires peuvent communiquer avec d'autres ports
communautaires et de proximité. Ces interfaces sont séparées au niveau de la couche 2
de toutes les autres interfaces des autres communautés ou des ports isolés de leur
PVLAN.
L'exemple de la figure 1 illustre quels ports peuvent être interconnectés. La sécurité
fournie par un PVLAN peut être contournée en utilisant le routeur comme proxy. Par
exemple, sur la figure 2, PC-A et PC-B sont isolés les uns des autres. Cependant, PC-
A peut lancer une attaque contre PC-B en envoyant des paquets qui ont l'adresse IP
source et l'adresse MAC du PC-A, l'adresse IP de destination de PC-B, mais l'adresse
MAC de destination de R1. S1 transmettra la trame à R1 parce que F0 / 5 est configuré
comme un port de proximité. R1 reconstruit le cadre avec l'adresse MAC du PC-B et
le transmet à S1. S1 transmet ensuite le cadre à PC-B. Pour atténuer ce type d'attaque,
configurez une liste de contrôle d'accès qui refusera le trafic avec une adresse IP
source et de destination appartenant au même sous-réseau, comme illustré à la figure
2.

Remarque: Les PVLAN sont principalement utilisés dans les sites de co-localisation
des fournisseurs de services. Une autre application typique peut être trouvée dans les
hôtels où chaque pièce serait connectée sur son propre port isolé
Les attaques DHCP
DHCP Spoofing
Les serveurs DHCP fournissent dynamiquement des informations de configuration IP,
y compris l'adresse IP, le masque de sous-réseau, la passerelle par défaut, les serveurs
DNS et plus encore aux clients. La séquence d'échange de messages DHCP entre le
client et le serveur est affichée à la Figure 1.

Une attaque de spoofing DHCP se produit lorsqu'un serveur DHCP non autorisé est
connecté au réseau et fournit de faux paramètres de configuration IP aux clients
légitimes. Un serveur malveillant peut fournir une variété d'informations trompeuses:

Mauvaise passerelle par défaut - L'attaquant fournit une passerelle invalide ou

l'adresse IP de son hôte pour créer une attaque de type man-in-the-middle. Cela peut
ne pas être détecté car l'intrus intercepte le flux de données à travers le réseau.
Mauvais serveur DNS - L'attaquant fournit une adresse de serveur DNS incorrecte
indiquant à l'utilisateur un site Web infâme.
Adresse IP incorrecte - L'attaquant fournit une adresse IP de passerelle par défaut non
valide et crée une attaque DoS sur le client DHCP.
Une attaque de spoofing DHCP est expliquée dans les figures suivantes:

Dans la figure 2, un attaquant connecte avec succès un serveur DHCP non autorisé à
un port de commutateur sur le même sous-réseau que les clients. Le but du serveur
escroc est de fournir aux clients de fausses informations de configuration IP.
Dans la figure 3, un client légitime se connecte au réseau et nécessite des paramètres
de configuration IP. Par conséquent, le client diffuse une requête DHCP Discovery
recherchant une réponse d'un serveur DHCP. Les deux serveurs recevront le message
et répondront.
Dans la figure 4, le serveur DHCP légitime répond avec des paramètres de
configuration IP valides. Cependant, le serveur malveillant répond également avec des
offres DHCP contenant des paramètres de configuration IP définis par l'attaquant. Le
client répondra à la première offre reçue.
Dans la figure 5, l'offre frauduleuse a été reçue en premier et, par conséquent, le client
diffuse une requête DHCP acceptant les paramètres définis par l'attaquant à partir du
serveur non autorisé. Le serveur légitime et escroc recevra la demande.
Dans la figure 6, le serveur non autorisé envoie une réponse au client pour accuser
réception de sa demande. Le serveur légitime cessera de communiquer avec le client.

DHCP Attaque d'insomnie (Epuisement DHCP)

(DHCP Starvation Attack)
Une autre attaque DHCP est l'attaque de famine DHCP. Le but de cette attaque est de
créer un DoS pour connecter les clients. Les attaques de famine DHCP requièrent un
outil d'attaque tel que Gobbler.

Gobbler a la capacité de regarder toute la portée des adresses IP de location et essaie

de les louer tous. Plus précisément, il crée des messages de découverte DHCP avec
des adresses MAC bidon.

Une attaque de famine DHCP est expliquée dans les figures suivantes:
Dans la figure 1, un attaquant lance l'outil Gobbler. Gobbler identifie la taille de la
portée DHCP et envoie un message de découverte DHCP pour chaque adresse IP de
location dans la portée.
Dans la figure 2, le DHCP fournit des offres pour chaque message de découverte reçu.
Dans la figure 3, Gobbler demande toutes les offres DHCP.
Dans la figure 4, le serveur accuse réception de chaque requête.
Atténuation des attaques DHCP
Il est facile d'atténuer les attaques de famine DHCP en utilisant la sécurité des ports.
Cependant, l'atténuation des attaques d'usurpation de DHCP nécessite plus de
protection.

Par exemple, Gobbler utilise une adresse MAC unique pour chaque requête DHCP et
chaque sécurité de port. La sécurité du port peut être configurée pour atténuer cela.
Cependant, Gobbler peut également être configuré pour utiliser la même adresse MAC
d'interface avec une adresse matérielle différente pour chaque requête. Cela rendrait la
sécurité portuaire inefficace.

Les attaques de spoofing DHCP peuvent être atténuées à l'aide de la surveillance

DHCP sur les ports approuvés. La surveillance DHCP permet également de réduire les
attaques de famine DHCP en limitant le nombre de messages de découverte DHCP
qu'un port non approuvé peut recevoir. La surveillance DHCP crée et maintient une
base de données de liaison de surveillance DHCP que le commutateur peut utiliser
pour filtrer les messages DHCP provenant de sources non fiables. La table de liaison
de surveillance DHCP inclut l'adresse MAC du client, l'adresse IP, l'heure de bail
DHCP, le type de liaison, le numéro VLAN et les informations d'interface sur chaque
commutateur ou interface non fiable.

Remarque: Dans un grand réseau, la création de la table de liaison DHCP peut prendre
un certain temps après son activation. Par exemple, cela peut prendre 2 jours pour que
la surveillance DHCP permette de terminer la table si la durée du bail DHCP est de 4
jours.

Lorsque la surveillance DHCP est activée sur une interface ou un VLAN et qu'un
commutateur reçoit un paquet sur un port non approuvé, le commutateur compare les
informations de paquet source avec celles contenues dans la table de liaison de
surveillance DHCP. Le commutateur refusera les paquets contenant des informations
spécifiques:

Messages de serveur DHCP non autorisés provenant d'un port non approuvé
Messages de client DHCP non autorisés ne respectant pas la table de liaison de
surveillance ou les limites de débit
Les paquets d'agent relais DHCP qui incluent des informations option 82 sur un port
non approuvé
Remarque: Pour contrer Gobbler en utilisant la même adresse MAC, la surveillance
DHCP permet également au commutateur de vérifier le champ Adresse du matériel
client (CHADDR) dans la requête DHCP. Cela garantit qu'il correspond à l'adresse
MAC matérielle dans la table de liaison de surveillance DHCP et à l'adresse MAC
dans la table CAM. S'il n'y a pas de correspondance, la requête est supprimée.

Remarque: Des techniques d'atténuation similaires sont disponibles pour les clients
DHCPv6 et IPv6. Étant donné que les périphériques IPv6 peuvent également recevoir
leurs informations d'adressage à partir du message Router Advertisement (RA) du
routeur, il existe également

Configuration de la surveillance DHCP

Comme illustré dans la figure, la surveillance DHCP reconnaît deux types de ports:

Ports DHCP approuvés (Trusted DHCP ports) - Seuls les ports se connectant aux
serveurs DHCP en amont doivent être approuvés. Ces ports sont censés répondre avec
l'offre DHCP et les messages DHCP Ack. Les ports approuvés doivent être identifiés
explicitement dans la configuration.
Ports non approuvés - Ces ports se connectent à des hôtes qui ne doivent pas fournir
de messages de serveur DHCP. Par défaut, tous les ports de commutateur ne sont pas
approuvés.
La règle générale lors de la configuration de la surveillance DHCP est de "faire
confiance au port et activer la surveillance DHCP par VLAN". Par conséquent, les
étapes suivantes doivent être utilisées pour activer la surveillance DHCP:

Étape 1. Activez la surveillance DHCP à l'aide de la commande de configuration

globale ip dhcp snooping.
Étape 2. Sur les ports approuvés, utilisez la commande ip dhcp snooping trust Étape
3. Activez la surveillance DHCP par VLAN ou par une plage de VLAN.
Les ports non approuvés doivent également limiter le nombre de messages de
découverte DHCP qu'ils peuvent recevoir par seconde à l'aide de la commande ip
dhcp snooping limit rate

Remarque: La limitation de débit réduit encore le risque d'attaques de famine DHCP.

Le poisonnement et le spoofing du cache ARP
ARP Spoofing et attaque d'empoisonnement ARP
Habituellement, un hôte diffuse une requête ARP à d'autres hôtes pour déterminer
l'adresse MAC d'un hôte avec une adresse IP particulière. Tous les hôtes du sous-
réseau reçoivent et traitent la demande ARP. L'hôte avec l'adresse IP correspondante
dans la demande ARP envoie une réponse ARP.
Selon la RFC ARP, un client est autorisé à envoyer une réponse ARP non sollicitée
appelée «ARP gratuit». Lorsqu'un hôte envoie un ARP gratuit, les autres hôtes du
sous-réseau stockent l'adresse MAC et l'adresse IP contenues dans l'ARP gratuit dans
leur Tables ARP

Le problème est qu'un attaquant peut envoyer un message ARP gratuit contenant une
adresse MAC falsifiée à un commutateur, et le commutateur mettrait à jour sa table
CAM en conséquence. Par conséquent, tout hôte peut prétendre être le propriétaire de
tout IP / MAC de son choix. Dans une attaque typique, un utilisateur malveillant peut
envoyer des réponses ARP non sollicitées à d'autres hôtes du sous-réseau avec
l'adresse MAC de l'attaquant et l'adresse IP de la passerelle par défaut.
Par exemple, dans la Figure 1, PC-A requiert l'adresse MAC de sa passerelle par
défaut (R1) et, par conséquent, il envoie une requête ARP pour l'adresse MAC de
192.168.10.1.

Comme le montre la figure 2, R1 met à jour son cache ARP avec les adresses IP et
MAC de PC-A et envoie une réponse ARP à PC-A, qui met ensuite à jour son cache
ARP avec les adresses IP et MAC de R1.

Dans la Figure 3, l'attaquant envoie deux réponses ARP gratuites usurpées en utilisant
sa propre adresse MAC pour les adresses IP de destination indiquées. PC-A met à jour
son cache ARP avec sa passerelle par défaut pointant désormais vers le MAC hôte de
l'attaquant. R1 met également à jour son cache ARP avec l'adresse IP du PC-A
pointant vers l'adresse MAC de l'attaquant.

L'hôte attaquant effectue maintenant une attaque d'empoisonnement ARP. C'est

lorsqu'un attaquant utilise l'usurpation ARP pour rediriger le trafic. L'empoisonnement
ARP mène à diverses attaques de l'homme dans le milieu, ce qui constitue une grave
menace pour la sécurité du réseau.

Remarque: Il existe de nombreux outils disponibles sur Internet pour créer des
attaques d'intrus, telles que dsniff, Cain & Abel, ettercap, Yersinia et d'autres.

Remarque: IPv6 utilise le protocole de découverte de voisin ICMPv6 pour la

résolution d'adresse de couche 2. IPv6 inclut des stratégies pour atténuer l'usurpation
d'identité de voisin, similaire à la façon dont IPv6 empêche une réponse ARP usurpée.
Atténuation des attaques ARP
Pour éviter l'usurpation ou l'empoisonnement ARP, un commutateur doit s'assurer que
seules les requêtes ARP valides et les réponses sont relayées.

Dans une attaque typique, un utilisateur malveillant peut envoyer des réponses ARP
non sollicitées à d'autres hôtes du sous-réseau avec l'adresse MAC de l'attaquant et
l'adresse IP de la passerelle par défaut.

L'inspection ARP dynamique aide à prévenir de telles attaques en ne relayant pas les
réponses ARP non valides ou gratuites aux autres ports du même VLAN. L'inspection
ARP dynamique intercepte toutes les demandes ARP et toutes les réponses sur les
ports non approuvés. Chaque paquet intercepté est vérifié pour une liaison IP-MAC
valide. Les réponses ARP provenant de périphériques non valides sont soit
supprimées, soit enregistrées par le commutateur pour l'audit afin d'empêcher les
attaques d'empoisonnement ARP. DAI peut également être limité par le débit pour
limiter le nombre de paquets ARP, et l'interface peut être désactivée par erreur si le
débit est dépassé.

DAI nécessite une surveillance DHCP. DAI détermine la validité d'un paquet ARP
basé sur une base de données de liaison d'adresse MAC-adresse-IP valide qui est
construite par l'espionnage DHCP. En outre, pour gérer les hôtes qui utilisent des
adresses IP configurées statiquement, DAI peut valider les paquets ARP par rapport
aux listes de contrôle d'accès ARP configurées par l'utilisateur.

Configuration de l'inspection ARP dynamique

Il est généralement recommandé de configurer tous les ports de commutateur d'accès
comme non approuvés et de configurer tous les ports de liaison montante qui sont
connectés à d'autres commutateurs comme fiables.
Pour atténuer les risques d'usurpation d'ARP, ces procédures sont recommandées:
Implémentez la protection contre l'usurpation de DHCP en activant le snooping DHCP
globalement.
Activer la surveillance DHCP sur les VLAN sélectionnés.
Activer DAI sur les VLAN sélectionnés.
Configurez les interfaces approuvées pour la surveillance DHCP et l'inspection ARP
(non sécurisé par défaut).
L'exemple de topologie de la figure identifie les ports approuvés et non approuvés.
Exemple de Configuration d'inspection ARP
dynamique
Examinez la topologie de référence dans la figure 1. Dans l'exemple, S1 connecte
deux utilisateurs sur VLAN 10. DAI sera configuré pour atténuer les attaques
d'usurpation d'ARP et d'empoisonnement ARP.

Comme le montre la Figure 2, la surveillance DHCP est activée car DAI nécessite que
la table de surveillance DHCP fonctionne. Ensuite, la surveillance DHCP et
l'inspection ARP sont activées pour les PC sur le VLAN10. Le port de liaison
montante vers le routeur est approuvé et, par conséquent, est configuré comme
approuvé pour la surveillance DHCP et l'inspection ARP.

DAI peut également être configuré pour vérifier les adresses MAC et IP de destination
ou de source:

Destination MAC - Vérifie l'adresse MAC de destination dans l'en-tête Ethernet par
rapport à l'adresse MAC cible dans le corps ARP.
Source MAC - Vérifie l'adresse MAC source dans l'en-tête Ethernet par rapport à
l'adresse MAC de l'expéditeur dans le corps ARP.
Adresse IP - Vérifie le corps ARP pour les adresses IP non valides et inattendues, y
compris les adresses 0.0.0.0, 255.255.255.255 et toutes les adresses de multidiffusion
IP.
Comme le montre la Figure 3, la commande de configuration globale {arac-mac] [dst-
mac] [ip]} de validation ip arp valid est utilisée pour configurer DAI pour abandonner
les paquets ARP lorsque les adresses IP ne sont pas valides. Il peut être utilisé lorsque
les adresses MAC dans le corps des paquets ARP ne correspondent pas aux adresses
spécifiées dans l'en-tête Ethernet. Notez comment une seule commande peut être
configurée. Par conséquent, la saisie de plusieurs commandes de validation
d'inspection ip arp écrase la commande précédente. Pour inclure plusieurs méthodes
de validation, entrez-les sur la même ligne de commande que celle affichée dans la
sortie.
Attaque de spoofing des adresses
Les adresses MAC et les adresses IP peuvent être usurpées pour diverses raisons. Les
attaques par usurpation d'identité se produisent lorsqu'un hôte se pose comme un autre
pour recevoir des données autrement inaccessibles, ou pour contourner les
configurations de sécurité.

La méthode utilisée par les commutateurs pour remplir la table d'adresses MAC
conduit à une vulnérabilité connue sous le nom d'usurpation d'adresse MAC. Les
attaques d'usurpation d'adresse MAC se produisent lorsque les attaquants modifient
l'adresse MAC de leur hôte pour correspondre à une autre adresse MAC connue d'un
hôte cible, comme illustré à la Figure 1. L'hôte attaquant envoie alors une trame sur le
réseau avec l'adresse MAC nouvellement configurée. Lorsque le commutateur reçoit
la trame, il examine l'adresse MAC source. Le commutateur écrase l'entrée de la table
CAM en cours et affecte l'adresse MAC au nouveau port, comme illustré à la figure 2.
Il transmet ensuite par inadvertance les trames destinées à l'hôte cible à l'hôte
attaquant.

Lorsque le commutateur modifie la table CAM, l'hôte cible ne reçoit aucun trafic
jusqu'à ce qu'il envoie du trafic. Lorsque l'hôte cible envoie du trafic, le commutateur
reçoit et examine la trame, ce qui entraîne la réécriture de la table CAM, réalignant
l'adresse MAC sur le port d'origine. Pour empêcher le commutateur de renvoyer les
affectations de port d'adresses MAC falsifiées à leur état correct, l'hôte attaquant peut
créer un programme ou un script qui enverra constamment des trames au commutateur
afin que le commutateur conserve les informations incorrectes ou falsifiées. Il n'y a
pas de mécanisme de sécurité au niveau de la couche 2 qui permette à un commutateur
de vérifier la source des adresses MAC, ce qui le rend si vulnérable à l'usurpation
d'identité.

L'usurpation d'adresse IP est lorsqu'un ordinateur non autorisé détourne une adresse IP
valide d'un voisin, ou utilise une adresse IP aléatoire. L'usurpation d'adresse IP est
difficile à atténuer, en particulier lorsqu'elle est utilisée dans un sous-réseau dans
lequel l'adresse IP

Atténuation des attaques d'usurpation d'adresse

Pour vous protéger contre l'usurpation d'adresses MAC et IP, configurez la fonction de
sécurité IP Source Guard (IPSG). IPSG fonctionne exactement comme DAI, mais il
regarde chaque paquet, pas seulement les paquets ARP. Comme DAI, IPSG exige
également que la surveillance DHCP soit activée.

Plus précisément, IPSG est déployé sur des ports d'accès et de trunk de couche 2 non
approuvés. IPSG maintient dynamiquement les ACL VLAN par port (PVACL) en
fonction des liaisons IP-à-MAC-à-commutateur-port. Initialement, tout le trafic IP sur
le port est bloqué, à l'exception des paquets DHCP qui sont capturés par le processus
de surveillance DHCP. Une PVACL est installée sur le port lorsqu'un client reçoit une
adresse IP valide du serveur DHCP ou lorsqu'une liaison de source IP statique est
configurée par l'utilisateur.

Ce processus restreint le trafic IP du client aux adresses IP source configurées dans la

liaison. Tout trafic IP avec une adresse IP source autre que celle de la liaison de source
IP sera filtré. Ce filtrage limite la capacité d'un hôte à attaquer le réseau en réclamant
l'adresse IP d'un hôte voisin.

Pour chaque port non approuvé, il existe deux niveaux possibles de filtrage de la
sécurité du trafic IP:

Filtre d'adresse IP source - Le trafic IP est filtré en fonction de son adresse IP source
et seul le trafic IP avec une adresse IP source correspondant à l'entrée de liaison de
source IP est autorisé. Lorsqu'une nouvelle liaison d'entrée de source IP est créée ou
supprimée sur le port, PVACL s'ajuste automatiquement pour refléter le changement
de liaison de source IP.
Filtre d'adresse IP et MAC source - Le trafic IP est filtré en fonction de son adresse
IP source en plus de son adresse MAC. Seul le trafic IP avec des adresses IP et MAC
source qui correspondent à l'entrée de liaison de source IP est autorisé.
Examinez la topologie de référence IP Source Guard
dans la figure 1.
Comme le montre la Figure 2, IP Source Guard est activé sur les ports non approuvés
à l'aide de la commande ip verify source. Souvenez-vous que la fonctionnalité ne peut
être configurée que sur un port d'accès ou de trunk de couche 2 et que la surveillance
DHCP est requise pour apprendre des paires d'adresses IP et d'adresses MAC valides.

Utilisez la commande show ip verify source pour vérifier la configuration de IP

Source Guard, comme illustré à la Figure 3. Dans l'exemple, les FastEthernet F0 / 1 et
F0 / 2 sont configurés avec IP Source Guard. Chaque interface a une liaison DHCP
valide.
Atténuer les attaques STP
Les attaquants de réseau peuvent manipuler STP pour mener une attaque en usurpant
le pont racine et en changeant la topologie d'un réseau. Les attaquants peuvent faire
apparaître leurs hôtes comme des ponts racine; et donc, capturer tout le trafic pour le
domaine commuté immédiat.

Pour effectuer une attaque de manipulation STP, l'hôte attaquant diffuse des BPDU de
configuration STP et de topologie pour forcer les recalculs de spanning-tree, comme
illustré dans la Figure 1. Les BPDU envoyées par l'hôte attaquant annoncent une
priorité de pont inférieure dans une tentative d'être élu pont racine. En cas de réussite,
comme illustré à la figure 2, l'hôte attaquant devient le pont racine et voit une variété
de trames qui ne seraient pas accessibles autrement.

Cette attaque peut être utilisée pour vaincre les trois objectifs de sécurité:
confidentialité, intégrité et disponibilité.
Atténuation des attaques STP
Pour atténuer les attaques de manipulation STP, utilisez les mécanismes de stabilité
Cisco STP pour améliorer les performances globales des commutateurs et réduire le
temps perdu lors des changements de topologie.

Ce sont des pratiques recommandées pour l'utilisation des mécanismes de stabilité

STP:

PortFast - PortFast amène immédiatement une interface configurée en tant que port
d'accès ou de TRUNK à l'état de transfert à partir d'un état de blocage, en contournant
les états d'écoute et d'apprentissage. Appliquer à tous les ports de l'utilisateur final.
PortFast ne doit être configuré que lorsqu'un hôte est connecté au port et pas un autre.
BPDU Guard - Une erreur de protection BPDU immédiatement désactive un port qui
reçoit une BPDU. Généralement utilisé sur les ports compatibles PortFast. Appliquer à
tous les ports de l'utilisateur final.
Root Guard - Root guard empêche un interrupteur inapproprié de devenir le pont
racine. La protection de la racine limite les ports de commutation à partir desquels le
pont racine peut être négocié. Appliquer à tous les ports qui ne doivent pas devenir des
ports racine.
Bouclage de boucle: la protection de boucle empêche les ports alternatifs ou racine de
devenir des ports désignés en raison d'une défaillance entraînant un lien
unidirectionnel. Appliquer à tous les ports qui sont ou peuvent devenir non désignés.
Ces fonctions imposent le placement du pont racine dans le réseau et appliquent les
limites de domaine STP.

La figure met en évidence sur quels ports ces fonctionnalités doivent être
implémentées

Configuration de PortFast
La fonction PortFast de Spanning-tree fait passer une interface configurée en tant que
port d'accès de couche 2 de l'état de blocage à l'état de transfert immédiatement, en
contournant les états d'écoute et d'apprentissage. PortFast peut être utilisé sur les ports
d'accès de couche 2 qui se connectent à un seul poste de travail ou serveur, comme
indiqué dans la figure. Cela permet à ces périphériques de se connecter au réseau
immédiatement, au lieu d'attendre que STP converge.
Parce que le but de PortFast est de minimiser le temps que les ports d'accès doivent
attendre pour que STP converge, il doit être utilisé uniquement sur les ports d'accès. Si
PortFast est activé sur un port se connectant à un autre commutateur, il existe un
risque de créer une boucle Spanning Tree.
Portfast peut être configuré globalement sur tous les ports non agrégés à l'aide de la
commande de configuration globale spanning-tree portfast default. Il est également
possible d'activer PortFast sur une interface à l'aide de la commande de configuration
de l'interface spanning-tree portfast.
Pour vérifier si PortFast a été activé, utilisez la commande show running-config
interface type slot / port.

Configuration de BPDU Guard

Même si PortFast est activé, l'interface écoutera les BPDU. La réception de BPDU
inattendues peut être accidentelle ou faire partie d'une tentative non autorisée d'ajout
d'un commutateur au réseau.
BPDU Guard protège l'intégrité des ports compatibles avec PortFast. BPDU protège
également contre les commutateurs supplémentaires ajoutés à la topologie, ce qui peut
violer le nombre de commutateurs de bout en bout autorisés dans la topologie STP. Si
un BPDU est reçu sur un port BPDU Guard activé, ce port est mis dans l'état désactivé
par erreur. Cela signifie que le port est arrêté et doit être réactivé manuellement ou
automatiquement récupéré via la fonction de délai d'inactivité.

Utilisez la commande de configuration globale par défaut portfast bpduguard

default de spanning-tree pour activer globalement la protection BPDU sur tous les
ports compatibles avec PortFast. Si PortFast n'est pas configuré, BPDU Guard
n'est pas activé. Sinon, BPDU Guard peut être activé sur un port compatible PortFast
à l'aide de la commande de configuration de l'interface bpduguard enable spanning-
tree.

Remarque: Activez toujours BPDU Guard sur tous les ports compatibles avec
PortFast.

Comme le montre la Figure 1, la protection du BPDU est mieux déployée vers les
ports orientés utilisateur pour empêcher les extensions de réseau de commutateurs
indésirables par un hôte attaquant. Dans cet exemple, un attaquant tente d'envoyer un
BPDU sur un switch avec PortFast et BPDU guard activé globalement. Notez le
message de notification CLI qui a été généré indiquant que le port FastEthernet 0/1 est
arrêté.
Pour afficher des informations sur l'état de Spanning Tree, utilisez la commande show
spanning-tree summary. Dans l'exemple de la figure 2, la protection BPDU est
activée.
Une autre commande utile pour vérifier la configuration de la protection BPDU est la
commande show spanning-tree summary totals présentée à la figure 3. La
commande affiche un résumé des états des ports ou des lignes totales de la section
d'état spanning-tree.

Configuration de Root Guard

Sur un réseau, certains commutateurs ne devraient en aucun cas devenir le pont racine
STP. Root Guard fournit un moyen d'imposer le placement des ponts racine sur le
réseau en limitant le commutateur qui peut devenir le pont racine.
La protection de la racine est mieux déployée vers les ports qui se connectent aux
commutateurs qui ne doivent pas être le pont racine. Si un port activé par root-root
reçoit des BPDU supérieures à celles que le pont racine actuel envoie, ce port est
déplacé vers un état incohérent à la racine. Ceci est effectivement égal à un état
d'écoute STP, et aucun trafic de données n'est transmis sur ce port. La récupération a
lieu dès que le dispositif incriminé cesse d'envoyer des BPDU supérieures.

Utilisez la commande spanning-tree guard root interface configuration pour

configurer root guard sur une interface.

Dans la figure, D1 est le pont racine. Si D1 échoue, seul le commutateur D2 devrait

devenir le pont racine. Pour garantir que S1 ne devienne jamais un pont racine, les
interfaces F0 / 1 de D1 et D2 doivent être activées pour Root guard.

Pour afficher les ports Root Guard ayant reçu des unités BPDU supérieures et qui sont
dans un état incohérent, utilisez la commande show spanning-tree inconsistent ports.

Remarque: La protection de la racine peut sembler inutile, car un administrateur peut

définir manuellement la priorité de pont d'un commutateur sur zéro. Cependant, cela
ne garantit pas que ce commutateur sera élu comme le pont racine. Un autre
commutateur peut toujours devenir la racine s'il a également une priorité de zéro et
une adresse MAC inférieure

Configuration de Loop Guard

Le trafic sur les liaisons bidirectionnelles circule dans les deux sens. Si, pour une
raison quelconque, le flux de trafic dans un sens échoue, cela crée un lien
unidirectionnel qui peut entraîner une boucle de couche 2. STP repose sur la réception
ou la transmission continue de BPDU en fonction du rôle du port. Le port désigné
transmet les BPDU et le port non désigné reçoit les BPDU. Une boucle de couche 2
est généralement créée lorsqu'un port STP dans une topologie redondante arrête de
recevoir des BPDU et des transitions erronées vers l'état de transfert.

La fonction STP Loop Guard offre une protection supplémentaire contre les boucles
de couche 2. Si les BPDU ne sont pas reçues sur un port non désigné Loop Guard, le
port passe à un état de blocage incohérent en boucle, au lieu de l'état écoute /
apprentissage / transfert. Sans la fonction Loop Guard, le port assumerait un rôle de
port désigné et créerait une boucle.
Comme le montre la Figure 1, Loop Guard est activé sur tous les ports de protection
non Root à l'aide de la commande de configuration de l'interface de boucle de garde
spanning-tree.
Remarque: Loop Guard peut également être activé globalement à l'aide de la
commande de configuration globale spanning-tree loopguard default. Cela active
Loop guard sur tous les liens point à point.