Académique Documents
Professionnel Documents
Culture Documents
3. Résumé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
Sécurité des terminaux ( )
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
Divers dispositifs de sécurité réseau sont
nécessaires pour protéger le périmètre du
réseau des accès extérieurs.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 5
Le défi actuel consiste à permettre aux appareils hétérogènes de se connecter en toute
sécurité aux ressources de l'entreprise.
Ces nouveaux points de terminaison ont brouillé la frontière du réseau car l'accès aux
ressources réseau peut être initié par les utilisateurs à partir de nombreux emplacements
à l'aide de diverses méthodes de connectivité.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 6
Les grandes organisations doivent protéger leurs points de terminaison contre
les menaces en utilisant une protection basée sur l’hôte
Antivirus / Antimalware
Filtrage SPAM
Filtrage d'URL
Liste noire
Prévention de la perte de données (DLP)
Ces organisations ont besoin d'une protection avant, pendant et après une attaque.
Pour réaliser cette protection, ils doivent répondre aux questions suivantes :
D'où vient-il?
Quels étaient la méthode de menace et le point d'entrée?
Quels systèmes ont été touchés?
Qu'a fait la menace?
Puis-je arrêter la menace et la cause profonde?
Comment s'en remet-on?
Comment l'empêcher de se reproduire?
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 7
La protection des points de terminaison dans un réseau sans frontières peut être
réalisée à l'aide des solutions de sécurité modernes suivantes:
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 8
Le cryptage protège les données confidentielles
contre tout accès non autorisé. Les volumes de
disque chiffrés ne peuvent être montés que pour
un accès normal en lecture / écriture avec le mot
de passe autorisé.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 9
Sécurité des terminaux ( )
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
La solution AMP peut
permettre la détection et le
blocage de logiciels
malveillants, l'analyse continue
et les alertes rétrospectives.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 11
• AMP for Endpoints : AMP for Endpoints s'intègre à Cisco AMP for Networks
pour offrir une protection complète sur les réseaux étendus et les terminaux.
• AMP for Networks : Fournit une solution basée sur le réseau et est intégré
dans les pare-feu dédiés Cisco ASA Firewall et Cisco FirePOWER.
• AMP for Content Security (sécurité du contenu) : Il s'agit d'une
fonctionnalité intégrée dans Cisco Cloud Web Security ou Cisco Web and
Email Security Appliances pour se protéger contre les attaques avancées de
courrier électronique et de logiciels malveillants basés sur le Web.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 12
Sécurité des terminaux ( )
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
À mesure que le niveau d'utilisation du courrier
électronique augmente, la sécurité devient une
priorité accrue. Les campagnes de spam de
masse ne sont plus la seule préoccupation.
Aujourd'hui, le spam et les logiciels malveillants
ne sont qu'une partie d'une image complexe qui
comprend les menaces entrantes et les risques
sortants.
Pour cette raison, Cisco a acquis IronPort Systems en 2007. Les appliances
IronPort font désormais partie des gammes de produits Cisco Email Security
Appliance (ESA) et Cisco Web Security Appliance (WSA)
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 14
Caractéristiques et avantages des solutions Cisco Email Security:
Renseignements sur les menaces mondiales (voir Cisco
Talos)
Blocage du spam une défense multicouche basée sur la
réputation et une analyse approfondie du message
Protection avancée contre les logiciels malveillants (AMP)
Lien: https://www.endpointprotector.fr/
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 15
Cisco WSA est une technologie d'atténuation des menaces Web qui aide les
entreprises à relever les défis croissants de sécurisation et de contrôle du trafic
Web. Cisco WSA offre un contrôle complet sur la façon dont les utilisateurs
accèdent à Internet.
Ces principales caractéristiques et avantages des solutions Cisco Web Security Appliance:
Talos Security Intelligence : Protection Web rapide et complète soutenue par un vaste
réseau de détection des menaces.
Protection avancée contre les logiciels malveillants (AMP) : AMP est une
fonctionnalité sous licence supplémentaire disponible
pour tous les clients Cisco WSA.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 16
Lorsque le client Initialise une requête
Web pour le site abc.com.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 17
Sécurité des terminaux ( )
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
L'objectif de Cisco Network Admission Control (NAC) est de n'autoriser que les
systèmes autorisés et conformes, qu'ils soient gérés ou non, à accéder au réseau en
appliquant la politique de sécurité du réseau.
Le NAC aide à maintenir la stabilité du réseau en fournissant une authentification,
une autorisation et une évaluation de la posture (évaluation d'un périphérique entrant
par rapport aux politiques du réseau).
Le NAC met également en quarantaine les systèmes non conformes et gère la
correction des systèmes non conformes.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 19
L'appliance Cisco NAC peut être utilisée pour:
Reconnaître les utilisateurs, leurs appareils et leurs rôles dans le
réseau
Évaluer si les machines sont conformes aux politiques de sécurité
Appliquer les politiques de sécurité en bloquant, isolant et réparant
les machines non conformes
Fournir un accès invité simple et sécurisé
Simplifiez l'accès aux appareils sans authentification
Auditer et signaler qui est sur le réseau
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 20
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
Les administrateurs réseau mettent régulièrement en œuvre des solutions de
sécurité pour protéger les éléments de la couche 3 à la couche 7 à l’aide de
VPN, de pare-feu et de périphériques IPS. Toutefois, comme le montre la figure
2, si la couche 2 est compromise, toutes les couches situées au-dessus sont
également affectées.
Exemple:
Si un utilisateur peut capturer
des trames de couche 2, toute
la sécurité des autres couches
sera compromise.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 22
MAC Address Spoofing Attacks
MAC Address Table Overflow Attacks
STP Manipulation Attacks
Storm Attacks
VLAN Attacks
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 23
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
Toutes les tables CAM ont une taille fixe et par conséquent, un
commutateur peut manquer de ressources dans lesquelles stocker les
adresses MAC.
Les attaques de dépassement de table CAM (également appelées attaques
de dépassement d'adresse MAC) profitent de cette limitation en bombardant
le commutateur avec de fausses adresses MAC source jusqu'à ce que la
table d'adresses MAC du commutateur soit pleine.
L'attaque par inondation de table d'adresses MAC est l'une des attaques de
commutateur LAN les plus basiques et les plus courantes. Elle est également
appelée « attaque par saturation de la table d'adresses MAC ».
Les attaques par inondation de table d'adresses MAC exploitent la limite de
la taille de la table MAC en générant de fausses adresses MAC source
jusqu'à ce que la table d'adresses du commutateur soit pleine et que le
commutateur arrive à saturation.
À la saturation, le commutateur fonctionne comme un concentrateur
Macof est un outil d'attaque réseau capable de générer très rapidement un
grand nombre d'adresses MAC et IP de source et de destination aléatoires.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 25
Toutes les tables CAM ont une taille fixe et par conséquent, un commutateur peut
manquer de ressources dans lesquelles stocker les adresses MAC.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 26
Switch Floods All Traffic
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 27
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 29
Enabling Port Security
Verifying Port
Security
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 30
Setting the Maximum Number of Mac Addresses
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 31
Security Violation Modes:
• Protect
• Restrict
• Shutdown
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 32
Le vieillissement de la sécurité des ports peut être utilisé pour définir le temps de
vieillissement des adresses sécurisées statiques et dynamiques sur un port.
Deux types de vieillissement sont pris en charge par port:
Absolue : Les adresses sécurisées sur le port sont supprimées après le temps de
vieillissement spécifié.
Inactivité : Les adresses sécurisées sur le port sont supprimées uniquement si elles sont
inactives pendant la durée de vieillissement spécifiée.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 33
La fonction de notification d'adresse MAC envoie des interruptions SNMP à la station de
gestion de réseau (NMS) chaque fois qu'une nouvelle adresse MAC est ajoutée ou
qu'une ancienne adresse est supprimée des tables de transfert.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2020 Cisco Public 34
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
Une attaque par saut de VLAN permet au trafic d'un VLAN d'être vu par un autre VLAN
sans l'aide d'un routeur. l'attaquant tire parti de la fonction de port de jonction automatique
activée par défaut sur la plupart des ports de commutateur.
l'attaquant peut accéder à tous les VLAN sur le commutateur et hop (c'est-à-dire envoyer
et recevoir) le trafic sur tous les VLAN.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 36
Étape 1 – Double Tagging Attack
La plupart des commutateurs n'effectuent qu'un niveau
de désencapsulation 802.1Q.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 37
Le deuxième commutateur ne regarde que la
balise 802.1Q interne que l'attaquant a envoyée
et voit que la trame est destinée au VLAN 20
Ce type d'attaque est unidirectionnel et ne fonctionne que lorsque l'attaquant est connecté
à un port résidant dans le même VLAN que le VLAN natif du port de jonction. L'idée est
que le double marquage permet à l'attaquant d'envoyer des données à des hôtes ou des
serveurs sur un VLAN qui autrement seraient bloqués par un certain type de configuration
de contrôle d'accès.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 38
Désactivez les négociations DTP (auto trunking) sur les ports non-
trunking à l'aide de la commande switcport mode access;
Définissez le VLAN natif sur autre chose que le VLAN 1;
Désactivez les ports inutilisés et placez-les dans un VLAN inutilisé.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 39
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 40
Une attaque d'usurpation DHCP se produit lorsqu'un serveur DHCP non autorisé
est connecté au réseau et fournit de faux paramètres de configuration IP aux clients
légitimes.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 41
Attacker Initiates a Starvation Attack
Une autre attaque DHCP est l'attaque de famine DHCP. Le but de cette
attaque est de créer un DoS pour connecter les clients. Les attaques de famine
DHCP nécessitent un outil d'attaque tel que Gobbler ou yersinia.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 42
Le commutateur refusera les paquets
contenant des informations
spécifiques:
Messages du serveur DHCP non
autorisés provenant d'un port non
approuvé;
Messages client DHCP non
autorisés ne respectant pas la
table de liaison d'espionnage ou
les limites de débit;
Paquets d'agent de relais DHCP
qui incluent des informations sur
l'option 82 sur un port non
approuvé
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 43
Ports DHCP approuvés : seuls les ports
se connectant aux serveurs DHCP en
amont doivent être approuvés.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 44
DHCP Snooping Reference Topology
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 45
Verification DHCP Snooping
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 46
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 47
Dans une attaque typique, un utilisateur malveillant peut envoyer des réponses
ARP non sollicitées à d'autres hôtes du sous-réseau avec l'adresse MAC de
l'attaquant et l'adresse IP de la passerelle par défaut.
Il existe de nombreux outils disponibles sur Internet pour créer des attaques
ARP man-in-the-middle, notamment dsniff, Cain & Abel, ettercap, Yersinia et
autres.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 48
L'inspection ARP dynamique
(Dynamique ARP Inspection) intercepte
toutes les demandes ARP invalides et toutes
les réponses sur les ports non approuvés.
Chaque paquet intercepté est vérifié pour
une liaison IP-MAC valide.
Les réponses ARP provenant de
périphériques non valides sont soit
abandonnées, soit enregistrées par le
commutateur pour l'audit afin d'éviter les
attaques d'empoisonnement ARP.
Le débit DAI peut également être limité pour limiter le nombre de paquets ARP, et
l'interface peut être désactivée si le débit est dépassé.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 49
Il est généralement conseillé de configurer tous les ports de commutateur d'accès
comme non approuvés et de configurer tous les ports de liaison montante qui sont
connectés à d'autres commutateurs comme approuvés.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 50
Topology de réeférence ARP
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 51
Vérifiez la Source, La destination et l’IP
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 52
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 53
Les attaques d'usurpation d'adresse MAC se
produisent lorsque les attaquants modifient
l'adresse MAC de leur hôte pour correspondre à
une autre adresse MAC connue d'un hôte cible,
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 55
Topologie de référence IP Source Guard
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 56
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
STP garantit que les liaisons physiques redondantes
sont sans boucle.
Il garantit qu'il n'y a qu'un seul chemin logique entre
toutes les destinations sur le réseau en bloquant
intentionnellement les chemins redondants qui
pourraient provoquer une boucle.
Un port est considéré comme bloqué lorsque les
données utilisateur ne peuvent pas entrer ou sortir de
ce port.
Les trames BPDU qui sont utilisées par STP, à permettre aux instances STP
de communiquer entre elles, de déterminer les boucles, de bloquer les
ports et de débloquer les ports.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 58
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 59
Usurpation du pont racine
Les attaquants du réseau peuvent manipuler
STP pour mener une attaque en usurpant le
pont racine en attribuant la priorité la plus basse
à leurs commutateur.
De ce fait tout le flux de couche 2 passe par son
commutateur.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 60
Pour atténuer ce type d’attaque, il est
recommandé d'utiliser des mécanismes de
stabilité STP:
BPDU Guard - Une erreur BPDU Guard
désactive immédiatement un port qui
reçoit un BPDU.
Root Guard - Root Guard empêche un
commutateur inapproprié de devenir le
pont racine.
PortFast - PortFast amène immédiatement
une interface configurée en tant que port
d'accès ou de jonction à l'état de transfert
à partir d'un état de blocage, en
contournant les états d'écoute et
d'apprentissage.
Loop Guard - Loop Guard empêche les ports alternatifs ou racine de devenir des ports
désignés en raison d'une défaillance entraînant une liaison unidirectionnelle.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 61
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 62
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 63
La figure est une topologie qui montre qu'avec root guard, si un hôte
attaquant envoie des BPDU usurpés dans le but de devenir le pont
racine, le commutateur, à la réception d'un BPDU, ignore le BPDU et
place le port dans un root- état incohérent.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2020 Cisco Public 64
La fonction STP Loop Guard offre une protection
supplémentaire contre les boucles de couche 2.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2022 Cisco Public 65
© 2012 Cisco and/or its affiliates. All rights reserved. 66