CCNASv2 Chapitre 6-Securisation Du Reseau Local

Chapitre 6:
Sécurisation du réseau local
CCNA Security v2.0

Smail Bacha
Source : Netacad
Introduction
1. Sécurité des terminaux
2. Menaces de sécurité de couche
3. Résumé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
Sécurité des terminaux ( )
Divers dispositifs de sécurité réseau sont
nécessaires pour protéger le périmètre du
réseau des accès extérieurs.
Ces périphériques peuvent inclure :

 Un ISR renforcé qui fournit des
services VPN,
 Une appliance de pare-feu ASA,
 Une appliance IPS
 Un serveur ACA AAA.
Une infiltration au réseau peut être à

partir d’un hôte interne mal sécurisé. Ce
point peut permettre à un attaquant d’
accéder à des périphériques système
critiques, tels que des serveurs et des
informations plus sensibles. ESA: Email Security Appliance
WSA : Web Security Appliance
© 2013 Cisco and/or its affiliates. All rights reserved.

Smail Bacha H2022 Cisco Public 4
HBF: Limite les connexions
entrantes et sortantes à
celles initiées par le hôte »
Exemple: ZoneAlarme, tiny
personal firewall
HB IPS: Logiciel installé sur le hôte pour
surveiller et générer des rapports sur la
configuration du système et fournit une
analyse des journaux,
Exemple: Cisco Security Agent (CSA)
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 5
Le défi actuel consiste à permettre aux appareils hétérogènes de se connecter en toute
sécurité aux ressources de l'entreprise.
Ces nouveaux points de terminaison ont brouillé la frontière du réseau car l'accès aux
ressources réseau peut être initié par les utilisateurs à partir de nombreux emplacements
à l'aide de diverses méthodes de connectivité.
Les grandes organisations doivent protéger leurs points de terminaison contre
les menaces en utilisant une protection basée sur l’hôte
 Antivirus / Antimalware
 Filtrage SPAM
 Filtrage d'URL
 Liste noire
 Prévention de la perte de données (DLP)
Ces organisations ont besoin d'une protection avant, pendant et après une attaque.
Pour réaliser cette protection, ils doivent répondre aux questions suivantes :
 D'où vient-il?
 Quels étaient la méthode de menace et le point d'entrée?
 Quels systèmes ont été touchés?
 Qu'a fait la menace?
 Puis-je arrêter la menace et la cause profonde?
 Comment s'en remet-on?
 Comment l'empêcher de se reproduire?
La protection des points de terminaison dans un réseau sans frontières peut être
réalisée à l'aide des solutions de sécurité modernes suivantes:
Advanced Malware Protection :

Fournit aux points terminaux une
Email Security Appliances :
protection contre les virus, les malwares
Filtrage des SPAM
Network Admission Control:

Permet uniquement aux systèmes
autorisés et conformes de se
connecter au réseau
Web Security Appliances :
Filtrage des sites web et mise
sur liste noire
Le cryptage protège les données confidentielles
contre tout accès non autorisé. Les volumes de
disque chiffrés ne peuvent être montés que pour
un accès normal en lecture / écriture avec le mot
de passe autorisé.
Certains systèmes d'exploitation tels que MAC

OSX offrent nativement des options de
chiffrement. Le système d'exploitation Windows
prend en charge les logiciels de chiffrement tels
que BitLocker, TrueCrypt, Credant, VeraCrypt et
autres
La solution AMP peut
permettre la détection et le
blocage de logiciels
malveillants, l'analyse continue
et les alertes rétrospectives.
Avant: Aide à empêcher les logiciels malveillants connus, les types de

fichiers violant les règles et les communications violant les règles
d'entrer dans le réseau étendu.
Pendant : Analyse en continu les fichiers et le trafic réseau pour détecter
les menaces qui échappent aux premières lignes de défense.
Après : Peut comprendre rapidement et efficacement la portée, contenir
et corriger une attaque active
• AMP for Endpoints : AMP for Endpoints s'intègre à Cisco AMP for Networks
pour offrir une protection complète sur les réseaux étendus et les terminaux.
• AMP for Networks : Fournit une solution basée sur le réseau et est intégré
dans les pare-feu dédiés Cisco ASA Firewall et Cisco FirePOWER.
• AMP for Content Security (sécurité du contenu) : Il s'agit d'une
fonctionnalité intégrée dans Cisco Cloud Web Security ou Cisco Web and
Email Security Appliances pour se protéger contre les attaques avancées de
courrier électronique et de logiciels malveillants basés sur le Web.
À mesure que le niveau d'utilisation du courrier
électronique augmente, la sécurité devient une
priorité accrue. Les campagnes de spam de
masse ne sont plus la seule préoccupation.
Aujourd'hui, le spam et les logiciels malveillants
ne sont qu'une partie d'une image complexe qui
comprend les menaces entrantes et les risques
sortants.
Pour cette raison, Cisco a acquis IronPort Systems en 2007. Les appliances
IronPort font désormais partie des gammes de produits Cisco Email Security
Appliance (ESA) et Cisco Web Security Appliance (WSA)
Caractéristiques et avantages des solutions Cisco Email Security:
 Renseignements sur les menaces mondiales (voir Cisco
Talos)
 Blocage du spam une défense multicouche basée sur la
réputation et une analyse approfondie du message
 Protection avancée contre les logiciels malveillants (AMP)
 Contrôle des messages sortants via la prévention de la perte

des données (DLP) sur l’appareil et le chiffrement des e-
mails.
Lien: https://www.endpointprotector.fr/
Cisco WSA est une technologie d'atténuation des menaces Web qui aide les
entreprises à relever les défis croissants de sécurisation et de contrôle du trafic
Web. Cisco WSA offre un contrôle complet sur la façon dont les utilisateurs
accèdent à Internet.
Ces principales caractéristiques et avantages des solutions Cisco Web Security Appliance:
Talos Security Intelligence : Protection Web rapide et complète soutenue par un vaste
réseau de détection des menaces.
Contrôles d'utilisation Web de Cisco : Combine le filtrage d'URL traditionnel avec

l'analyse de contenu dynamique pour atténuer les risques
de conformité, de responsabilité et de productivité.
Protection avancée contre les logiciels malveillants (AMP) : AMP est une
fonctionnalité sous licence supplémentaire disponible
pour tous les clients Cisco WSA.
DLP (Data Loss Prevention) : Empêchez les données confidentielles de quitter le

réseau en créant des règles contextuelles pour le DLP de
base.
Lorsque le client Initialise une requête
Web pour le site abc.com.
Lorsque la requêt arrive au pare-feu.

Ce dernier l’envoie au WSA pour
verification.
Si la demande viole la politique de
sécurité, la WSA transmet un refus à l'hôte.
Dans le cas contraire, le WSA lance une
requête au serveur destinataire via le pare-
feu.
La réponse du serveur Web est transmise
par l'ASA au WSA. Le WSA vérifie à
nouveau le contenu. Si aucun problème
n'est rencontré, il transfère ensuite le
contenu Web à l'hôte.
 L'objectif de Cisco Network Admission Control (NAC) est de n'autoriser que les
systèmes autorisés et conformes, qu'ils soient gérés ou non, à accéder au réseau en
appliquant la politique de sécurité du réseau.
 Le NAC aide à maintenir la stabilité du réseau en fournissant une authentification,
une autorisation et une évaluation de la posture (évaluation d'un périphérique entrant
par rapport aux politiques du réseau).
 Le NAC met également en quarantaine les systèmes non conformes et gère la
correction des systèmes non conformes.
 Il existe deux catégories de produits Cisco NAC:
Infrastructure NAC : L'infrastructure NAC utilise l'infrastructure réseau Cisco existante et

des logiciels tiers pour appliquer la conformité aux politiques de
sécurité sur tous les points de terminaison.
Appliance Cisco NAC : Dans le cadre de la solution Cisco Volksec, l'appliance Cisco
NAC intègre des fonctions NAC dans une appliance et fournit
une solution pour contrôler l'accès au réseau.
L'appliance Cisco NAC peut être utilisée pour:
 Reconnaître les utilisateurs, leurs appareils et leurs rôles dans le
réseau
 Évaluer si les machines sont conformes aux politiques de sécurité
 Appliquer les politiques de sécurité en bloquant, isolant et réparant
les machines non conformes
 Fournir un accès invité simple et sécurisé
 Simplifiez l'accès aux appareils sans authentification
 Auditer et signaler qui est sur le réseau
L'appliance Cisco NAC étend le NAC à toutes les méthodes d'accès

au réseau, y compris l'accès via des réseaux locaux, des passerelles
d'accès à distance et des points d'accès sans fil. Il prend également
en charge l'évaluation de la posture pour les utilisateurs invités.
Les administrateurs réseau mettent régulièrement en œuvre des solutions de
sécurité pour protéger les éléments de la couche 3 à la couche 7 à l’aide de
VPN, de pare-feu et de périphériques IPS. Toutefois, comme le montre la figure
2, si la couche 2 est compromise, toutes les couches situées au-dessus sont
également affectées.
Exemple:
Si un utilisateur peut capturer
des trames de couche 2, toute
la sécurité des autres couches
sera compromise.
 MAC Address Spoofing Attacks
 MAC Address Table Overflow Attacks
 STP Manipulation Attacks
 Storm Attacks
 VLAN Attacks
 Toutes les tables CAM ont une taille fixe et par conséquent, un
commutateur peut manquer de ressources dans lesquelles stocker les
adresses MAC.
 Les attaques de dépassement de table CAM (également appelées attaques
de dépassement d'adresse MAC) profitent de cette limitation en bombardant
le commutateur avec de fausses adresses MAC source jusqu'à ce que la
table d'adresses MAC du commutateur soit pleine.
 L'attaque par inondation de table d'adresses MAC est l'une des attaques de
commutateur LAN les plus basiques et les plus courantes. Elle est également
appelée « attaque par saturation de la table d'adresses MAC ».
 Les attaques par inondation de table d'adresses MAC exploitent la limite de
la taille de la table MAC en générant de fausses adresses MAC source
jusqu'à ce que la table d'adresses du commutateur soit pleine et que le
commutateur arrive à saturation.
 À la saturation, le commutateur fonctionne comme un concentrateur
Macof est un outil d'attaque réseau capable de générer très rapidement un
grand nombre d'adresses MAC et IP de source et de destination aléatoires.
Toutes les tables CAM ont une taille fixe et par conséquent, un commutateur peut
manquer de ressources dans lesquelles stocker les adresses MAC.
L’attaquant exécute un outil

d’attaque comme Macof
Remplir la table CAM
Switch Floods All Traffic
Attacker Captures Traffic
Enabling Port Security
Verifying Port
Security
Port Security Options
Setting the Maximum Number of Mac Addresses
Manually Configuring Mac Addresses
Learning Connected Mac Addresses Dynamically
Security Violation Modes:
• Protect
• Restrict
• Shutdown
Le vieillissement de la sécurité des ports peut être utilisé pour définir le temps de
vieillissement des adresses sécurisées statiques et dynamiques sur un port.
Deux types de vieillissement sont pris en charge par port:
Absolue : Les adresses sécurisées sur le port sont supprimées après le temps de
vieillissement spécifié.
Inactivité : Les adresses sécurisées sur le port sont supprimées uniquement si elles sont
inactives pendant la durée de vieillissement spécifiée.
La fonction de notification d'adresse MAC envoie des interruptions SNMP à la station de
gestion de réseau (NMS) chaque fois qu'une nouvelle adresse MAC est ajoutée ou
qu'une ancienne adresse est supprimée des tables de transfert.
La notification d'adresse MAC permet à l'administrateur réseau de surveiller les adresses

MAC apprises, ainsi que les adresses MAC qui expirent et sont supprimées du
commutateur.
Une attaque par saut de VLAN permet au trafic d'un VLAN d'être vu par un autre VLAN
sans l'aide d'un routeur. l'attaquant tire parti de la fonction de port de jonction automatique
activée par défaut sur la plupart des ports de commutateur.
l'attaquant peut accéder à tous les VLAN sur le commutateur et hop (c'est-à-dire envoyer
et recevoir) le trafic sur tous les VLAN.
Étape 1 – Double Tagging Attack
La plupart des commutateurs n'effectuent qu'un niveau
de désencapsulation 802.1Q.
la trame arrive sur le premier commutateur, qui

examine la première balise 802.1Q à 4 octets. Le
commutateur voit que la trame est destinée au VLAN
10, qui est le VLAN natif. Le commutateur transfère le
paquet sur tous les ports VLAN 10 après avoir
supprimé la balise VLAN 10. Sur le port de jonction, la
balise VLAN 10 est supprimée et le paquet n'est pas
redéfini car il fait partie du VLAN natif. À ce stade, la
balise VLAN 20 est toujours intacte et n'a pas été
inspectée par le premier commutateur.
Le deuxième commutateur ne regarde que la
balise 802.1Q interne que l'attaquant a envoyée
et voit que la trame est destinée au VLAN 20
Ce type d'attaque est unidirectionnel et ne fonctionne que lorsque l'attaquant est connecté
à un port résidant dans le même VLAN que le VLAN natif du port de jonction. L'idée est
que le double marquage permet à l'attaquant d'envoyer des données à des hôtes ou des
serveurs sur un VLAN qui autrement seraient bloqués par un certain type de configuration
de contrôle d'accès.
 Désactivez les négociations DTP (auto trunking) sur les ports non-
trunking à l'aide de la commande switcport mode access;
 Définissez le VLAN natif sur autre chose que le VLAN 1;
 Désactivez les ports inutilisés et placez-les dans un VLAN inutilisé.
Une attaque d'usurpation DHCP se produit lorsqu'un serveur DHCP non autorisé
est connecté au réseau et fournit de faux paramètres de configuration IP aux clients
légitimes.
Attacker Initiates a Starvation Attack
Une autre attaque DHCP est l'attaque de famine DHCP. Le but de cette
attaque est de créer un DoS pour connecter les clients. Les attaques de famine
DHCP nécessitent un outil d'attaque tel que Gobbler ou yersinia.
Le commutateur refusera les paquets
contenant des informations
spécifiques:
 Messages du serveur DHCP non
autorisés provenant d'un port non
approuvé;
 Messages client DHCP non
autorisés ne respectant pas la
table de liaison d'espionnage ou
les limites de débit;
 Paquets d'agent de relais DHCP
qui incluent des informations sur
l'option 82 sur un port non
approuvé
Ports DHCP approuvés : seuls les ports
se connectant aux serveurs DHCP en
amont doivent être approuvés.
Ports non approuvés : ces ports se

connectent à des hôtes qui ne doivent
pas fournir de messages de serveur
DHCP. Par défaut, tous les ports du
commutateur ne sont pas approuvés.
DHCP Snooping Reference Topology
Configuring a Maximum Number of MAC Addresses

Étape 1. Activez snooping DHCP à l’aide
de la commande de configuration
globale ip dhcp snooping.
Étape 2. Sur les ports approuvés, utilisez
la commande de configuration de
l’interface ip dhcp snooping trust.
Étape 3. Activez snooping DHCP par
VLAN ou par une plage de VLAN.
Verification DHCP Snooping
Configuration du nombre maximum d’adresses MAC
Dans une attaque typique, un utilisateur malveillant peut envoyer des réponses
ARP non sollicitées à d'autres hôtes du sous-réseau avec l'adresse MAC de
l'attaquant et l'adresse IP de la passerelle par défaut.
Il existe de nombreux outils disponibles sur Internet pour créer des attaques
ARP man-in-the-middle, notamment dsniff, Cain & Abel, ettercap, Yersinia et
autres.
L'inspection ARP dynamique
(Dynamique ARP Inspection) intercepte
toutes les demandes ARP invalides et toutes
les réponses sur les ports non approuvés.
Chaque paquet intercepté est vérifié pour
une liaison IP-MAC valide.
Les réponses ARP provenant de
périphériques non valides sont soit
abandonnées, soit enregistrées par le
commutateur pour l'audit afin d'éviter les
attaques d'empoisonnement ARP.
Le débit DAI peut également être limité pour limiter le nombre de paquets ARP, et
l'interface peut être désactivée si le débit est dépassé.
Il est généralement conseillé de configurer tous les ports de commutateur d'accès
comme non approuvés et de configurer tous les ports de liaison montante qui sont
connectés à d'autres commutateurs comme approuvés.
Pour atténuer les risques d'usurpation ARP,

il recommandé:
 Implémentez la protection contre

l'usurpation DHCP en activant
l'espionnage DHCP à l'échelle mondiale.
 Activez l'espionnage DHCP sur les VLAN

sélectionnés.
 Activez DAI sur les VLAN sélectionnés.
 Configurez les interfaces approuvées

pour l'espionnage DHCP et l'inspection
ARP (non approuvé par défaut).
Topology de réeférence ARP
Configuration de l’inspection ARP dynamique
Vérifiez la Source, La destination et l’IP
Les attaques d'usurpation d'adresse MAC se
produisent lorsque les attaquants modifient
l'adresse MAC de leur hôte pour correspondre à
une autre adresse MAC connue d'un hôte cible,
 Le commutateur reçoit la trame, il examine

l'adresse MAC source. Le commutateur écrase
l'entrée de table CAM actuelle et attribue
l'adresse MAC au nouveau port.
 Il transfère ensuite par inadvertance les trames
destinées à l'hôte cible à l'hôte attaquant.
 l'hôte attaquant peut utiliser un script qui
enverra constamment des trames au
commutateur afin que le commutateur
conserve les informations incorrectes ou
usurpées.
Pour chaque port non approuvé, il existe deux
niveaux possibles de filtrage de sécurité du
trafic IP:
 Filtre d'adresse IP source
 Filtre d'adresse IP et MAC source
Pour vous protéger contre l'usurpation

d'adresse MAC et IP, configurez la fonction de
sécurité IP Source Guard (IPSG)
Topologie de référence IP Source Guard
Configuration IP Source Guard
Vérification de IP Source Guard
 STP garantit que les liaisons physiques redondantes
sont sans boucle.
 Il garantit qu'il n'y a qu'un seul chemin logique entre
toutes les destinations sur le réseau en bloquant
intentionnellement les chemins redondants qui
pourraient provoquer une boucle.
 Un port est considéré comme bloqué lorsque les
données utilisateur ne peuvent pas entrer ou sortir de
ce port.
Les trames BPDU qui sont utilisées par STP, à permettre aux instances STP
de communiquer entre elles, de déterminer les boucles, de bloquer les
ports et de débloquer les ports.
Usurpation du pont racine
Les attaquants du réseau peuvent manipuler
STP pour mener une attaque en usurpant le
pont racine en attribuant la priorité la plus basse
à leurs commutateur.
De ce fait tout le flux de couche 2 passe par son
commutateur.
Attaque de manipulation STP réussie
Pour atténuer ce type d’attaque, il est
recommandé d'utiliser des mécanismes de
stabilité STP:
 BPDU Guard - Une erreur BPDU Guard
désactive immédiatement un port qui
reçoit un BPDU.
 Root Guard - Root Guard empêche un
commutateur inapproprié de devenir le
pont racine.
 PortFast - PortFast amène immédiatement
une interface configurée en tant que port
d'accès ou de jonction à l'état de transfert
à partir d'un état de blocage, en
contournant les états d'écoute et
d'apprentissage.
 Loop Guard - Loop Guard empêche les ports alternatifs ou racine de devenir des ports
désignés en raison d'une défaillance entraînant une liaison unidirectionnelle.
La figure est une topologie qui montre qu'avec root guard, si un hôte
attaquant envoie des BPDU usurpés dans le but de devenir le pont
racine, le commutateur, à la réception d'un BPDU, ignore le BPDU et
place le port dans un root- état incohérent.
La fonction STP Loop Guard offre une protection
supplémentaire contre les boucles de couche 2.
Une boucle de couche 2 est généralement créée

lorsqu'un port STP dans une topologie
redondante cesse de recevoir des BPDU et
passe par erreur à l'état de transmission.
© 2012 Cisco and/or its affiliates. All rights reserved. 66

CCNASv2 Chapitre 6-Securisation Du Reseau Local

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CCNASv2 Chapitre 6-Securisation Du Reseau Local

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 6:

Sécurisation du réseau local

CCNA Security v2.0

Ces périphériques peuvent inclure :

Une infiltration au réseau peut être à

© 2013 Cisco and/or its affiliates. All rights reserved.

Advanced Malware Protection :

Network Admission Control:

Certains systèmes d'exploitation tels que MAC

Avant: Aide à empêcher les logiciels malveillants connus, les types de

 Contrôle des messages sortants via la prévention de la perte

Contrôles d'utilisation Web de Cisco : Combine le filtrage d'URL traditionnel avec

DLP (Data Loss Prevention) : Empêchez les données confidentielles de quitter le

Lorsque la requêt arrive au pare-feu.

 Il existe deux catégories de produits Cisco NAC:

Infrastructure NAC : L'infrastructure NAC utilise l'infrastructure réseau Cisco existante et

L'appliance Cisco NAC étend le NAC à toutes les méthodes d'accès

L’attaquant exécute un outil

Remplir la table CAM

Attacker Captures Traffic

Port Security Options

Manually Configuring Mac Addresses

Learning Connected Mac Addresses Dynamically

La notification d'adresse MAC permet à l'administrateur réseau de surveiller les adresses

la trame arrive sur le premier commutateur, qui

Ports non approuvés : ces ports se

Configuring a Maximum Number of MAC Addresses

Configuration du nombre maximum d’adresses MAC

Pour atténuer les risques d'usurpation ARP,

 Implémentez la protection contre

 Activez l'espionnage DHCP sur les VLAN

 Activez DAI sur les VLAN sélectionnés.

 Configurez les interfaces approuvées

Configuration de l’inspection ARP dynamique

 Le commutateur reçoit la trame, il examine

 Filtre d'adresse IP et MAC source

Pour vous protéger contre l'usurpation

Configuration IP Source Guard

Vérification de IP Source Guard

Attaque de manipulation STP réussie

Une boucle de couche 2 est généralement créée

Vous aimerez peut-être aussi