Techniques des Réseaux Informatiques CCNA Sécurité
PORT SEcurity :
La commutation des trames s’effectue sur la base de la table des adresses MAC (Content
Addressable Memory) qui contient les listes des adresses MAC avec les ports associées.
Commandes Cisco : Afficher les informations de la table CAM
Switch# show mac address-table
Il existe deux types d’attaques exploitants la table CAM :
MAC Spoofing : Consiste à usurper l’identité d’un client légitime dans le réseau :
L’attaquant envoie une trame avec adresse MAC source de client légitime(PC-B) afin de
modifier la table CAM du commutateur. Après tous les trames destinées au PC-B seront
redirigées vers l’attaquant.
MAC Flooding : (CAM Table OverFlows ) : Consiste à surcharger le commutateur
par plusieurs adresses MAC pour que sa table CAM soit complètement remplie [Figure 1].
Ce dernier va se comporter comme un concentrateur et diffusera les trames à tous les
postes du réseau. Ces trames peuvent alors être interceptées par des pirates [Figure 2].
Figure 2
Figure 1
Réalisé par : OUSSAMA NAZIH
Port Security
Port Security permet de limiter l’accès à un port donné en filtrant les adresses MAC
sources : en précisant les adresses MAC autorisées de se connecter au port, si une adresse
se présente et n’est pas explicitement autorisée, la connexion sera refusée.
Il existe trois modes de gestion des adresses MAC :
Mode Static : les adresses MAC autorisées sont configurées manuellement.
Mode Dynamic : Les adresses MAC autorisées sont apprises dynamiquement ,mais elles
ne sont pas enregistrées.
Mode Sticky : Les adresses MAC autorisées sont apprises de façon dynamique et sont
écrites dans la configuration running-config et la table CAM.
Configurer la protection des ports :
o Autoriser une liste d’adresses MAC prédéfinies par port.
o Ajouter l’option “Sticky” pour autoriser seulement une seule adresse MAC.
o Appliquer un filtre sur le nombre de correspondance maximum des adresses MAC
par port. En cas de violation , 3 modes existent :
Protect : bloquer les trames qui dépassent la limite définie sur le port.
Restrict : bloquer les trame avec une alerte SNMP.
o En cas de restrict ou protect , il faut supprimer l’adresse MAC apprise dans le
port pour permettre à son host de l’utiliser à nouveau : clear port-security
Shutdown : bloquer le port en cas d’une violation avec alerte SNMP.
CoMMANDES CIsco :
Activer «port security » :
Switch(config)# switchport port-security
Autoriser une adresses MAC:
Switch(config-if)#switchport port-security mac-adress XXX.XXX.XXXX
Autoriser adresse connectée sur le port (Enregistré même après redémarrage) :
Switch(config-if)# switchport port-security mac-adress sticky
Définir un nombre d’adresse MAC autorisée sur le port :
Switch(config-if)# switchport port-security maximum 5
Définir le mode en cas de violation (par défaut : shutdown) :
Switch(config-if)# switchport port-security violation [ Restrict | Protect | Shutdown ]
Diagnostique
Deux moyens Pour faire fonctionner un port à nouveau placé en état err-disabled :
Soit on remonte le port manuellement :
Switch(config-if)#shut
Switch(config-if)#no shut
Soit avec la commande errdisable recovery , le port remonte en quelques secondes:
Switch(config)#errdisable recovery cause psecure-violation
Switch(config)#interface F0/2
Switch(config-if)#switchport port-security aging time time ( 300s par defaut)
Afficher l’ état de sécurité d’une interface : Afficher l’état de err-diable
S#show port-security interface F0/2 S#show interfaces status err-disables
Afficher l’ état du port ( ports sécurisés,état/nombre de violation…) :
S#show port-security
Les ports suivants ne peuvent pas être configurés en port Security : Trunk – Dynamique –
Dynamique Access -Port-Channel – 802.1X – Span destination
Techniques des Réseaux Informatiques CCNP – Switch Security Réalisé par : OUSSAMA NAZIH

DHCP SNOOPING : DHCP Snooping :

DHCP Snooping inspecte le trafic DHCP pour assurer qu’aucun équipement falsifié
introduit dans le réseau : similaire à un par-feu entre les clients et les serveurs DHCP.
DHCP = Dynamic Host Configuration Protocol • DHCP Snooping catégorise les ports du switch : Port de confiance et Port douteux
Le DHCP permet à un client qui arrive sur un réseau de demander une configuration o Tous les ports des clients seront considérés comme douteux ( UNTRUST).
réseau dynamique. elle va contenir : Une adresse IP / Un masque de sous réseau - Une o On peut configurer les ports des serveurs DHCP (confiant) , les ports
passerelle par défaut - Un ou plusieurs serveurs DNS d’interconnexions comme TRUST.
o DHCP snooping sera fonctionnel seulement s’il est appliqué sur un vlan.
Fonctionnement du service DHCP : o On peut limiter les demandes DHCP requests sur les ports douteux pour contrer les
Etape 1 : Le client envoie en broadcast sur le attaques Deni de service.(moins de 100 pps ).
réseau une requête DHCP DISCOVER pour • Base de donnée DHCP snooping ( DHCP Snooping Binding Database)
trouver les serveurs DHCP disponibles (via o Contient les informations de tous les utilisteurs suspects (Untrusted) : Ar.MAC |
l’adresse MAC de destination FF:FF:FF:FF:FF:FF). Adr.IP | vlan-id | Lease Time | Binding Type | id.interface.
Etape 2 : Le serveur DHCP ayant répondu en o On peut enregistrer la base de donnée sur un serveur distant ( ex : TFTP) en cas de
premier renvoie une requête DHCP OFFER pour perte ou bien de redémarrage de switch.
fournir les informations au client .(Adresse ip – • DHCP Option 82 : Permet d’identifier les clients par leurs adresses MAC et les port-ID
passerelle – serveur DNS…) o Activé par défaut sur les switchs DHCP snooping , désactivé par défaut sur les autres.
Etape 3 : Le client renvoie une requête DHCP o Il permet d’informer les Serveur DHCP de l’origine des demandes DHCP .
REQUEST et signale aux autres serveurs DHCP
qu’il a déjà choisi un serveur.
Etape 4 : Le serveur DHCP choisi confirme au
client avec DHCP ACK. Configurer DHCP SNOOPING :
DHCP Snooping : Configuration Générale
DHCP Starvation : C’est une attaque de type « Deni de Service » : le serveur DHCP Activer «DHCP Snooping » : Activer « DHCP Snooping sur VLan 10 :
va réserver une adresse IP par paquet dans son pool et envoie des DHCP Offer. : Si on Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 10
envoie des DHCP Discover de façon massive et continue ( en utilisant Scapy* par Autoriser les requêtes DHCP sur une interface (Serveur DHCP):
exemple) , aucune adresse IP ne restera disponible pour les hôtes légitimes.(Figure 1). Switch(config)#interface range Fa 0/1
Switch(config-if)#ip dhcp snooping trust

DHCP Spoofing : C’est une attaque de type « Man in the Middle » qui consiste à
usurper le serveur DHCP. L’attaquant en se faisant passer pour un DHCP légitime va
fournir ainsi aux clients des informations erronées (ex : serveurs DNS falsifiés, mauvaise
passerelle). C’est une extension de l’attaque DHCP Starvation .(Figure 2).
Limiter le nombre des demandes DHCP sur une interface :
Switch(config)#interface range Fa 0/2
Switch(config-if)#ip dhcp snooping limit rate 100
DHCP Binding Data-Base
Afficher la base de donnée « DHCP Snooping » :
Switch#show ip dhcp snooping binding
Effacer la base de donnée « DHCP Snooping » :
Switch(config)#clear ip dhcp snooping binding
Enregistrer la base de donnée « DHCP Snooping » sur un serveur distant :
S(config)# ip dhcp snooping database tftp://10.1.1.1/backup write-delay [s] timeout [s]
Write-delay : le temps nécessaire pour sauvegarder les données ( 300s par défaut)
Timeout : si la sauvegarde echoue pendant ce temps , elle sera annulée.

DHCP Option 82 :
Insérer l’option 82 dans les paquets DHCP (DHCP relay ) :
S(confi)#ip dhcp snooping information option (activé par défaut seulement DHCP Snooping)
Techniques des Réseaux Informatiques CCNA Sécurité
DYNAMIC ARP insPection :
Le protocole ARP (Address Resolution Protocol) permet de faire la liaison entre la couche
2 (adresse MAC) et la couche 3 (adresse IP) du modèle OSI.
Commandes Cisco : Afficher les informations de la table ARP
Switch# show arp
Principe de fonctionnement :
• PC-A veut joindre PC-B, mais elle ne possède pas son adresse MAC dans son cache ARP.
Elle émet alors une requête en broadcast …
• PC-B effectue deux actions :
o Met à jour sa propre cache ARP avec l’adresse MAC et l’IP de PC-A.
o Envoie une réponse ARP avec son adresse IP et son adresse MAC au PC-A.
• PC-A reçoit la réponse et met à jour sa cache avec la nouvelle association reçue.
Le protocole ARP est sans état (stateless) : Une machine mettra à jour toujours sa cache
ARP lorsqu’elle reçoit une réponse ARP même si elle n’a pas initié de requête. La mise à
jour écrase systématiquement l’entrée précédente. Il existe deux types d’attaques ARP :
Man in the Middle : l’attaquant envoie une Réponse ARP avec son propre adresse MAC
et l’adresse IP de client légitime, ainsi tous les trames destinées au client légitime seront
redirigées vers l’attaquant [Figure 1].
DOS : L’attaquant envoie plusieurs Réponses ARP avec l’adresse MAC de serveur
légitime, tous les périphériques vont mettre à jours leurs tables ARP ainsi les paquets IP
dans le réseau seront redirigés tous vers le serveur [Figure 2].
Figure 1 Figure 2
Réalisé par : OUSSAMA NAZIH
Dynamic ARP Inspection
• Le DAI ( Dynamique ARP Inspection ) utilise la base DHCP Snooping (pour vérifier
qu’une adresse MAC à bien obtenu son IP via le serveur DHCP de confiance.)
• Cette Technique utilise la base du DHCP Snooping pour vérifier la conformité des
réponses ARP envoyées : Permet au switch disposant la base d’associations [Adresse
IP / Adresse MAC / Port] d’inspecter tous les paquets ARP qui lui sont adressés.
• Les réponses ARP reçues sur les ports non-confiants seront vérifiées à l’aide de la base
de donnée DHCP Snooping, ou manuellement configuré.
o DAI peut être configuré sur les ports : access , trunks ,PVLAN ,Port-channel.
o L’inspection est appliquée seulement sur les port untrusted (non-confiants).
o DAI utilise la base de DHCP Snooping (par défaut) , on peut ajouter les
correspondances légitimes [MAC – IP] manuellement.(Access-list). [les entrés d’ACL
sont vérifiés en premier ].
o Si une réponse ARP n’appartient pas à la base de donnée , DAI rejette les réponses
ARP interceptés non valides et génère un message log.
o On peut configurer la fréquence limite des requêtes ARP , s’elle est dépassée ,le port
passe en err-disabled.( Contre les attaques Déni de Service).
Configurer Dynamic ARP INSPECTION
Activer «Dynamique arp inspection » pour vlan 10 :
Switch(config)#ip arp inspection vlan 10
Configurer un port de confiance :
Switch(config-if)#ip arp inspection validate trust
Ajouter d’autre critéres de validation :
Switch(config)#ip arp inspection validate [src-mac|dst-mac|ip]
Configurer la base manuellement :
Créer une ARP access list :
Switch(config)#arp access-list DAI_LIST
Permit/Deny ip host 10.1.1.5 mac host 000a.1111.2222
Appliquer l’access-list :
Switch(config)# ip arp inspection filter DI_LIST vlan 10 [Static]
Static : vérifier seulement les entrés de l’ACL sans vérifier la base de donnée DHCP Snooping.
Limiter la fréquence des réponses ARP sur une interface :
Switch(config)#ip arp inspection limit rate pps burst interval secondes
Switch(config)#ip arp inspection limit none
Rate : Max des réponses ARP à traités [0-2048] (par défaut = 15)
Burst interval : l’interval dans lequel le port sera superviser à chaque fois.
None : 2048 paquets à traités.
Afficher les informations DAI :
Switch(config)# show ip arp inspection (int fX/X) (statistics) (vlan)
Techniques des Réseaux Informatiques CCNA Sécurité
ATTAQUES VLAN HOPPING : (saut de vlan)
• Port d’agregation (Trunk Port) :
Le mode trunk est utilisé dans le cas ou plusieurs vlans doivent circuler sur un même lien.
C’est le cas d’une liaison entre deux switchs ou un switch -- un routeur.
Commandes Cisco : Configurer un port Trunk
- Configurer le port en mode Trunk :
Switch(config)#interface range Fa 0/1
Switch(config-if)#switchport mode trunk
La fonction principale du trunk port est de permettre une communication
entre les vlans d’un commutateur.
• DTP (Dynamique Trunking Protocol ) :
C’est un protocole propriétaire Cisco qui gère la négociation d’agrégation (mode trunk
d'un port) uniquement si le port de l’autre commutateur est configuré dans un mode
d’agrégation qui prend en charge ce protocole.
Lorsqu’un port monte, des annonces DTP sont envoyées :
• Si le port est connecté à un switch voisin, Lorsqu’il reçoit l’annonce DTP ,il répond des
deux côtés et l’activation du Trunk s’effectue.
• Si le port est connecté à un pc, ce dernier ne répondra pas à l’annonce car il ne
comprend pas le protocole DTP. Le port reste en mode Access.
• L’ auto- négociation se fait si le port est dans le mode : Dynamic auto/Désirable.
On peut distinguer deux types d’attaque « saut de vlan » :
Réalisé par : OUSSAMA NAZIH
Double tagged 802.1q (Double encapsulation 802.1q)
C’est attaque exploit une faiblesse du protocole IEEE 802.1Q : il autorise la double
encapsulation des trames.
Principe : Consiste à envoyer des trames vers une machine située dans un autre VLAN,
l’intrus envoie un paquet avec deux en-tête 802.1q : le premier en-tête est ôté au
premier commutateur rencontré. Le paquet est ensuite véhiculé jusqu’au dernier
commutateur qui retire alors l’en-tête restant pour envoyer les donnés vers la machine
cible. Cette technique d’attaque est unidirectionnelle.
Pour que cette attaque fonctionne il faut les conditions suivantes :
• L’attaquant doit être connecté sur un port en mode accès.
• Le commutateur doit avoir l’encapsulation 802.1q dans la liaison trunk.
• L’attaquant doit savoir l’ID de vlan natif ( Vlan 1 par défaut).
Quelques mesures de sécurité :
Contre Switch Spoofing :
• Désactiver le protocole DTP dans les ports clients en les configurant en mode accès.
• Désactiver la négociation automatique du protocole DTP dans les ports trunk.

Switch Spoofing ( DTP Spoofing) : (usurpation de commutateur) Contre Double Tagging :

• Changer l’ID de native vlan par défaut en utilisant un ID d’un vlan inutilisable.
• Forcer l’étiquetage (tagging) de tous les VLANs, y compris VLAN natif .
Principe : Consiste à envoyer des paquets 802.1q ou ISL sur un port du switch afin de • Désactiver les ports non utilisés.
l’utiliser comme un port trunk.
Commandes Cisco :
• Lorsque le mode DTP est en « Dynamic -auto » ou « Dynamic -désirable » ; L’attaquant Configurer le port en mode accès : Changer l’ID de vlan natif :
peut envoyer des paquets DTP en essayant de négocier un lien d’agrégation (trunk) S(config)#interface Fa 0/1 Sconfig)#interface Fa 0/1
avec le switch de manière automatique. S(config-if)#switchport mode access S(config-if)#switchport trunk native vlan 999

Désactiver l’auto-négociation DTP ( Port trunk) : Désactiver un port :

Conséquences : Une fois le lien est S(config)#interface Fa 0/1 S(config)#interface Fa 0/1
établie , il devient possible pour S(config-if)#switchport mode trunk S(config-if)# shut
S(config-if)#switchport nonegociate
l’intrus d’écouter le trafic passant
sur le commutateur et non pas Forcer l’étiquetage sur tous les vlans :
seulement celui du VLAN associé au S(config)# vlan dot1q tag native
port attaqué, puisqu’un port trunk
est membre de tous les VLAN.
Quelques utilitaires pour réaliser l’attaque Vlan Hopping : Frogger , Yersinia (Kali
Linux) , Scapy…
Techniques des Réseaux Informatiques CCNA Sécurité
SPANNING-TREE PROTECTION : (PART 1)
BPDUGuard
• Le PVST+ est activé par défaut, tous les switchs ont la valeur de pont-ID par défaut, Le
SwitchA a l’adresse MAC la plus basse, il devient donc le Pont-Racine.
• Un pirate va se connecter aux SwitchA et SwitchB et génére des trames BPDU avec une
priorité faible → La topologie est recalculé par PVST+ : le PC pirate devient le Pont-
Racine de la topologie → Tout les flux transitent par le Pirate :
o Il peut se comporter comme un Switch pour intercepter le trafic grâce à un sniffer
pour une attaque type Man-in-the-Middle (MITM).
o Il peut rendre les services indisponibles grâce à un déni de service (Dos Attaque).
BPDUGuard :
• Permet de renforcer la sécurité de couche 2 : Désactiver
une interface qui recevrait un BPDU alors qu’elle
n’aurait pas dû : dans ce cas, elle sera placée à l’ état
Errdisabled (down/down).(1)
o BPDUGuard (mode globale ) : activé sur un port si et
seulement si PORTFast est activé aussi (opérationnel).
o BPDUGuard (mode interface) : il ‘est activé sans
condition ( même sans PORTFast).
• Pour que l’interface soit à nouveau fonctionnelle, elle
devra être manuellement remise à zéro (shut/no shut)
ou bien utiliser la fonctionnalité errdisable recovery.
Commandes Cisco : Activer BPDUGuard
- Mode interface :
Switch(config)#interface range Fa 0/1
Switch(config-if)#spanning-tree bpduguard enable
- Mode Globale :
Switch(config)#spanning-tree portfast bpduguard default
Réalisé par : OUSSAMA NAZIH
BPDUFilter
Les trames BPDU sont des trames générées par le protocole Spanning-Tree.
Elles permettent de :
• S’annoncer aux autres switchs.
• Recevoir des informations Spanning-Tree de ses voisins.
Il n'est pas nécessaire d'envoyer ou de recevoir des messages BPDU sur les ports
configurés en tant que (PORTFast) car ils sont souvent des ports en mode accès (hosts).
BPDUFilter :
- Il est possible d’utiliser la fonctionnalité BPDUFilter afin d’empêcher un équipement
d’envoyer et même de recevoir des BPDU sur un port spécifié.
- BPDUFilter peut être configuré en mode globale ou en mode interface :
• Mode Interface(2) : dans ce mode, le port ne va ni envoyer ni recevoir une trame
BPDU , c’est équivalent à désactive le STP dans ce port.
o BPDUFilter bloque les BPDU à l’entrée et à la sortie du port.
o il ‘est activé sans condition ( même sans PORTFast).
• Mode Globale : Si un port (en PORTFast) reçoit une trame BPDU , il perd sa
configuration (PORTFast et BPDUFilter) et repasse en normal STP.
o BPDUFilter bloque les BPDU seulement à l’entrée du port.
o Activé sur un port si et seulement si PORTFast est activé aussi (opérationnel).
o Pendant le temps de Hello time , le port envoi encore 11 BPDU lorsque qu’il est
mise en ligne afin d'éviter les erreurs de la configuration.
Commandes Cisco : Activer BPDUFilter
- Mode interface :
Switch(config)#interface range Fa 0/1
Switch(config-if)#spanning-tree bpdufilter enable
- Mode Globale :
Switch(config)#spanning-tree portfast bpdufilter default
PortFast, BPDUFilter and BPDUGuard : Priorité.
Si on applique les trois fonctionnalités sur un port du commutateur , il faut bien savoir
l’ordre d’application considéré par le commutateur :
En mode globale : BPDUGuard (1st)  Port Fast (2nd)  BPDUFilter(3rd)
En mode interface : BPDUFilter (1st)  BPDUGuard(2nd)  PortFast.(3rd)
• (1) Pour configurer la récupération automatique d’un port placé à l’ état ( errdisabld) :
Switch(config)#errdisable recovery cause bpduguard
Switch(config)#errdisable recovery interval 30 (recuperation après 30s)
• (2) Il faut faire attention lorsqu’on active BPDUFilter ou BPDUGuard en mode interface :
On les active sur une interface en mode accès et non pas Trunk ,sinon ça risque de créer des
boucles puisque STP sera désactivé dans ce cas.
• il est recommandé d’utiliser BPDUGuard au lieu de BPDUFilter , car la fonctionnalité
errdisabled permet d’envoyer une notification à l’administrateur réseau pour traiter la source
du problème tout en gardant la topologie spanning-tree opérationnelle
 Techniques des Réseaux Informatiques CCNA Sécurité Réalisé par : OUSSAMA NAZIH

• SPANNING-TREE PROTECTION : (PART 2)

ROOTGuard :
Par défaut, tous les ports d’un commutateur sont capables de recevoir et de traiter des
trames BPDU.

Les protocoles Spanning-Tree ne sont pas sécurisés : il suffit simplement qu’un

équipement envoi une trame BPDU avec un pont-ID plus petit que le pont-Racine pour
qu’il prend sa place comme pont-Racine.

ROOTGuard :
Elle va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus On suppose maintenant le brin « Réception » entre B et C est endommagé, le switch
faible que le Root-Bridge Actuel. C ne reçoit pas des trames de la part de SwitchB , par contre il peut encore envoyer
le trafic à lui. [Figure 2]. dans ce cas :
Commandes Cisco: Activer ROOTGuard
- Mode interface:
Switch(config)#interface range Fa 0/1 – 2 Le Switch C :
Switch(config-range-if)#spanning-tree guard root - Reçoit une trame BPDU sur son port « Root-Port »
- Ne reçoit plus de trames BPDU sur son port Alternate !!!!!
LOOPGuard : Le protocole Spanning-tree vas se dire :
Pour qu’une liaison fibre entre deux switchs puisse « Si je ne reçois plus de trame BPDU sur ce port, c’est que cette liaison ne vas pas faire
fonctionner, elle a besoin de deux brins : de boucle dans ma topologie STP, je repasse donc en mode Forwarding et ce port aura le
Un Brin « Emission » et un Brin « Réception » rôle de « Designated-port » Conséquence → Tempête de broadcast.

Le port ne se met pas en DOWN si un des deux brins ne LOOPGuard :

fonctionne plus. Ceci va nous poser des problèmes pour
une sécurité supplémentaire pour éviter les boucles STP : il va surveiller les ports qui ne
notre topologie Spanning-Tree qui se veut sans boucle.
sont pas des « Designated Port » (Les Root-Ports, les Alternates , les Back-up et les
Blocking)
Le Switch A : Si ces ports ne reçoivent plus de trames BPDU, ils sont automatiquement mis en
- A été élu « Pont-Racine» mode « Loop-Inconsistent State ».
- Crée et envoie une trame BPDU sur tout ces ports.
Ils vont donc être en mode « Blocking ».
Le Switch B : S’ils reçoivent une nouvelle trame BPDU, ils regagnent le statut qu’ils avaient avant.
- Reçoit une trame BPDU sur son port « Root-Port »
- Modifie la trame BPDU et le renvoie sur ces ports Commandes Cisco : Activer ROOTGuard
« Designated-port » - Mode interface :
Switch(config)#interface range Fa 0/1 – 2
Switch(config-range-if)#spanning-tree loopguard enable
Le Switch C : - Mode Globale :
- Reçoit une trame BPDU sur son port « Root-Port ». Switch(config)#spanning-tree guard loop
- Reçoit une trame BPDU sur son port « Alternate » (Qui est en mode Blocking)
- Compare les deux trames BPDU et conclue que la trame reçue par son port « Root-Port »
présente le cout administratif le plus faible. [Figure1]
Techniques des Réseaux Informatiques CCNA Sécurité
Attaques VTP :
Présentation :
La gestion des vlans devient plus difficile avec
plusieurs réseaux : le fait de configurer les vlans sur
plusieurs switchs nécessite beaucoup de
manipulations surtout dans les grandes topologies.
VTP est un protocole de Cisco(1) utilisé pour
synchroniser la base de donnée des vlans à travers
les différents switchs : au lieu de configurer les vlans
sur chaque switchs, il suffit de les configurer sur un
seul qui va diffuser la configuration aux autres.
Numéro de Révision :
Lorsque VTP synchronise La base de donnée des switchs
appartenant au même domaine ,la base reste à jour
grâce à un numéro qu’on l’appel : N° de révision.
Ce numéro codé sur 32 bits , commence par la valeur 0 ,
est incrémenté de 1 à chaque nouvelle mise à jour. Il est stocké dans la NVRAM.
Attaque VTP : il existe 2 types d’attaques qui peuvent exploiter le protocole VTP :
- L’attaquant essaie de faire un Déni de service sur le commutateur en mode VTP
serveur, ce qui causera la perte de la base de donnée.
- L’attaquant envoie des messages VTP via le réseau, en annonçant qu'il n'y a pas de
VLAN sur le réseau avec un n° de révision supérieure. Ainsi, tout les switchs écrasent
leurs bases de données(vlan.dat) par d’autres qui sont vides.
Quelques mesures de sécurité :
o Désactiver le protocole VTP ( ou bien utiliser le mode Transparent ).
o VTP utilise l'authentification MD5 pour hasher toute la base de donnée Vlan et non
pas seulement le mot de passe configuré. Cela permet de protéger le switch contre une
attaque VTP ou bien l’empêcher d’être synchronisé : même s’il appartient au même
domaine, il a besoin de mot de passe pour synchroniser sa base de donnée.
VTP version 3 : l’authentification avancée :
o Hidden(caché) : le mot de passe est sauvegardé dans vlan.dat
o Secret : le mot de passe est sauvegardé en Hexadécimal dans running-config.
VTP version 3 : la Redondance (Serveur Primaire/Secondaire)
o En cas d’empanne de SW primaire , les serveurs secondaires
continuent à propager vlan.dat (du serveur primaire).
Commandes Cisco :
- Activer VTP version 3 : Configurer un serveur VTP Primaire :
S(config)# vtp version 3 S(config)#vtp primary vlan
Configurer l’authentification normale / l’authentification avancée :
Switch(config)#vtp password NAZIH ( Normale )
Switch(config)#vtp password NAZIH hidden/secret (Avancée)
Réalisé par : OUSSAMA NAZIH
vulnérabilités du CDP/LLDP :
Présentation :
Cisco Discovery Protocol (CDP) est un protocole de
découverte de réseau de la couche 2 développé par
Cisco qui permet de trouver d'autres périphériques
voisins Cisco directement connectés.
Comment il fonctionne ?
- CDP doit être activé dans les deux équipements , chaque équipement envoie
périodiquement un message (annonce) ( Hello Time) à l’adresse multicast
01:00:0C:CC:CC:CC,et met ses informations à la disposition du nœud voisin.
- Les périphériques voisins peut utiliser cette information ,stockée sur une MIB local
pendant une période (Hold Time) = Durée de vie de l’information envoyée.
LLDP : Link Layer Discovery Protocol (LLDP) est un protocole standard (basé sur IEEE
802.1ab) de découverte de réseau de la couche 2 similaire au CDP.
CDP/LLDP permet de connaître la topologie d’un réseau : Il décrit quels sont les
équipements voisins ( exemple : versions d’ IOS, les adresses , Device ID , Port ID,
Modèle d’équipement , le VLAN natif ) parmi ces avantages :
o Vérifier l’état de fonctionnement d’une liaison : Si CDP passe, c’est que la
couche 1 et 2 sont opérationnelles : l’interface sera en état «up/up».
o Peut envoyer les erreurs de la configuration de ( vlan id,port duplex ) à un
serveur de journalisation.
o Découvrir et tracer la topologie du réseau.
Vulnérabilité du protocoles CDP/LLDP :
l’attaquant peut se contenter de collecter ces informations grâce à un sniffer , Il peut
ainsi perturber le fonctionnement du réseau en envoyant des trames CDP forgées , ou
bien exploiter ces informations afin d’effectuer des attaques. ( ex : vlan hopping) .
Quelques mesures de sécurité :
Il est recommandé de ne pas utiliser ni CDP ni LLDP, ou d’en restreindre l’utilisation aux
interfaces où il est indispensable.
Commandes Cisco : DESACTIVER CDP/LLDP
Désactiver CDP : Désativer LLDP :
Mode Globale : S(config)# no cdp run S(config)# no lldp run
Mode Interface : S(config-if)# no cdp enable S(config-if)# no lldp enable
Techniques des Réseaux Informatiques CCNA Sécurité
Meilleurs pratiques : sécuriser la couche 2 – cisco
Configurer des Mots de passes Sécurisés
o Utiliser la commande enable secret pour crypter le mot de passe au niveau
privilégié sur un commutateur.
o Utiliser un serveur externe AAA ( avec TACACS+ ou Radius) pour authentifier les
utilisateurs. ( Gestion centralisée)
o Utiliser la commande service password-encryption pour crypter le mot de passe,
elle peut empêcher les observateurs occasionnels de les voir en clair.
Utiliser les bannières :
o Utiliser la commande : banner motd pour avertir les utilisateurs non autorisés
que leurs actions pourraient justifier des poursuites.
o N’indiquer aucune information concernant le commutateur ,cela pourrait être
utilisé par un utilisateur malveillant.
Sécuriser l’interface WEB et Les lines ( Console ,VTY..) :
o Le service http permet d’accéder au switch à partir d’une interface web : soit le
désactiver , soit permet seulement l’accès à l’administrateur ( access-list).
o Verrouiller les switchs dans les armoires ( sécurité physique).
o Configurer l’authentification sur n’importe quelle console.il est approprié
d’utiliser la même configuration d’authentification sur la console ou sur VTY.
Utiliser SSH :
o Telnet est facile à utiliser ,mais il n’est pas sécurisé : chaque caractère que vous
tapez sera envoyé en clair.SSH utilise un cryptage fort pour sécuriser la session.
o Filtrer les connexion ssh : Utiliser les access -list pour autoriser seulement l’adresse
IP de l’administrateur.
o Utiliser la Commande : exec-timeout XX (minute) pour se déconnecter
automatiquement de session vty si vous l’ avez laissé ouverte après XX minutes.
o logging synchronous : synchroniser la sortie terminal et la ligne de commande.
Désactiver les services inutiles : Par exemple :
o no ip domain-lookup : désactiver le service DNS s’il n’est pas utilisé.
o no service password recorvery : empêcher la récupération de mot de passe de
console à partir de mode ROMMON.
Utiliser NTP pour la synchronisation :
o Synchroniser le switch avec un serveur NTP : une meilleure gestion des évènements.
o Activer l’authentification NTP afin d’éviter que n’importe qui puisse se synchroniser
avec votre serveur.
Sécuriser les serveurs DHCP :
Sécuriser les serveurs DHCP contre les attaques DHCP Spoofing / Starvation :
• Configurer la protection du port : (Port Security) :
o Autoriser une liste d’adresse MAC prédéfinie par port.
o Ajouter l’option “Sticky” pour autoriser seulement une seule adresse MAC.
o Appliquer un filtre sur le nombre de correspondances maximums des adresses
MAC par port. En cas de violation , 3 modes existent :
Réalisé par : OUSSAMA NAZIH
Protect : bloquer les trames qui dépassent la limite définie sur le port.
Restrict : bloquer les trame avec une alerte SNMP.
Shutdown : bloquer le port en cas de violation avec alerte SNMP et Syslog.
• Configurer DAI ( Dynamique ARP inspection ) en parallèle avec DHCP Snooping
pour protéger les clients contre les attaques ARP Spoofing.
• Configurer IP Source Guard en parallèle avec DHCP Snooping contre les attaques
MAC Spoofing ou IP Spoofing.
• Configurer les Vlan Access list.(VACL) :
o On peut définir des vlan access list pour créer des politiques de sécurité afin
d’empêcher les requêtes non légitimes.
Sécuriser Les Protocoles CDP/LLDP , DTP , VTP et STP :
Pour VTP :
• Désactiver le protocole VTP ( ou bien utiliser le mode Transparent ).
• Utiliser l'authentification MD5 pour hasher toute la base de donnée Vlan et non pas
seulement le mot de passe configuré ainsi la sécuriser contre une modification.
o VTP Version 3 : Utiliser l’authentification avancée.(Hidden / Secret)
• VTP version 3 : Utiliser la redondance (Serveur Primaire/Secondaire) pour une haute
disponibilité de la base de donnée vlan.
Pour CDP /LLDP: CDP (Cisco) et LLDP (IEEE 802.1AB) sont des protocoles pratiques
pour découvrir des périphériques réseau voisins : il faut les désactiver pour empêcher
l’annonce des informations inutiles qui peuvent être exploités pour effectuer des
attaques ( ex : VLAN Hopping )
Pour STP :
BPDUGuard : Désactiver une interface qui recevrait un BPDU alors qu’elle n’aurait pas dû.
BPDUFilter : Empêcher les switchs d’envoyer/ recevoir des BPDU sur un port spécifié.
RootGuard : Elle va refuser qu’un équipement se présente sur ce port avec un Bridge ID
plus faible que le Root-Bridge Actuel.
LoopGuard : une sécurité supplémentaire pour éviter les boucles STP.
UDLD : Détecter les liaison unidirectionnel avant la création des boucles.
Pour DTP / Sécuriser les ports Trunk/Access :
• Contre Switch Spoofing :
o Désactiver le protocole DTP dans les ports clients en les configurant en mode accès.
o Désactiver la négociation automatique du protocole DTP dans les ports trunk.
• Contre Double Tagging :
o Changer l’ID de native vlan par défaut en utilisant un ID d’un vlan inutilisable.
o Forcer l’étiquetage (tagging) de tous les VLANs, y compris VLAN natif .
• Associer les port inutilisés avec un vlan isolé ( Private-vlan) : si un utilisateur inattendu
accède à un port, il a l’accès uniquement à un vlan isolé de toutes les autres ressources
et services de votre réseau.
• Chaque port inutilisé doit être désactivé avec la commande : shutdown
Superviser votre réseau :
Superviser votre réseau pour détecter les anomalies ( avec Syslog,Netflow ou SNMP )
o Utiliser SNMP v3 , régler la base en mode ro , et utiliser les ACL pour limiter les
Adresses IP sources.
o La commande service timestamps debug datetime msec localtime show-
timezone permet de marquer la date/Heurs sur les rapports log.