2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs

CONFIGURATION DE LA SECURITE DES COMMUTATEURS

I- configuration des options de mot de passe
Sécurisation de la console
Comm1(config)# line con 0 Remarque : Même lorsqu’un mot de passe est défini,
Comm1(config-line)# password mot_de-passe sa saisie n’est pas obligatoire tant que la commande
Comm1(config-line)# login login n’a pas été émise.
Suppression du mot de passe de la console
Comm1(config)# line con 0
Comm1(config-line)# no password mot_de-passe
Comm1(config-line)# no login
Protection des ports vty
Plusieurs ports vty peuvent être disponibles sur un Pour sécuriser toutes les lignes vty :
commutateur Cisco. Le recours à plusieurs ports Comm1(config)# line vty 0 4
permet à plusieurs administrateurs de se connecter au Comm1(config-line)# password mot_de-passe
commutateur et de le gérer. Comm1(config-line)# login
Suppression du mot de passe vty
Comm1(config)# line vty 0 4
Comm1(config-line)# no password
Comm1(config-line)# no login
Configuration du mot de passe du mode d’exécution
Comm1(config)# enable password mot_de-passe (non crypté)
ou
Comm1(config)# enable secret mot_de-passe (crypté)
Suppression du mot de passe du mode d’exécution
Comm1(config)# no enable password ou no enable secret
Configuration des mots de passe chiffrés
Pour autoriser le chiffrement des mots de passe de service :
Comm1(config)# service password-encryption
Dès que vous entrez la commande, tous les mots de passe actuellement définis sont convertis en mots de passe
chiffrés.
Pour annuler le chiffrement :
Comm1(config)# no service password-encryption
Remarque : la norme de chiffrement adoptée par la commande service password-encryption est désignée par
l’expression « type 7 ». Cette norme de chiffrement est très simple et de nombreux outils aisément accessibles sur
Internet permettent de déchiffrer les mots de passe. Le type 5 est plus sécurisé, mais vous devez l’utiliser
manuellement pour chaque mot de passe que vous configurez.
Désactivation des interfaces d'administration web
Les commandes suivantes activent puis désactivent l'administration web non sécurisée et sécurisée.
Router(config)# ip http server
Router(config)# ip http secure-server
Router(config)# no ip http server
Router(config)# no ip http secure-server

II- Configuration Telnet et SSH

Il existe deux choix pour l’accès distant à un terminal virtuel (vty) sur un commutateur Cisco.
Telnet SSH (Secure Shell)
ƒ Méthode d'accès la plus courante ƒ Devrait être la méthode d'accès la plus
ƒ Envoie des flux de messages en texte clair fréquemment employée
ƒ Méthode non sécurisée ƒ Envoie des flux de messages chiffrés
ƒ Méthode sécurisée
Configuration du protocole ssh pour le switch
Il est possible que des commutateurs plus anciens ne prennent en charge aucune communication sécurisée avec SS).
9 Vérification de la prise en compte du protocole ssh par l'IOS
Tout d'abord, il faut vérifier que l'IOS du switch supporte ssh. La mention k9 (crypto) doit figurer dans le nom de
l'IOS.
Pour vérifier la version de l'IOS :
2960-RG# show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE, RELEASE SOFTWARE (fc2)
Configuration du nom d'hote et du nom de domaine.
Le nom du switch ainsi que le nom de domaine (ex : mondomaine.fr) doivent avoir été configurés.
1 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs
9 Création de la clé
Router2960(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: Router2960.mondomaine.fr
*Mar 1 00:42:43.625: %SSH-5-ENABLED: SSH 1.99 has been enabled
9 Activation de ssh
Router2960(config)# ip ssh version 2
9 Options ajoutées au service ssh
- les évènements associés aux connexions ssh sont enregistrés.
- Un timeout de 60 secondes est ajouté pour les sessions ssh en cas d’inactivité.
- Nous laissons trois essais pour la connexion au switch.
Router2960(config)# ip ssh logging events
Router2960(config)# ip ssh time-out 60
Router2960(config)# ip ssh authentication-retries 3
9 Ajout d'un compte administrateur
Router2960(config)# username admin secret P@55w0rd
9 Désactivation de telnet pour l'accès au switch
Router2960(config)# line vty 0 15
Router2960(config-line)# login local
Router2960(config-line)# transport input ssh
9 Vérification de la configuration
Router2960# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 3
SSH est maintenant activé. Nous pouvons accéder au switch avec un client ssh (par exemple putty pour windows).
9 Suppression de ssh
La suppression de la clé entraine la désactivation de ssh.
Router2960(config)# crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
Vérification :
Router2960# sh ip ssh
SSH Disabled - version 2.0

III- Menaces fréquents en termes de sécurités

Inondation d’adresses MAC
Malheureusement, une protection de base ne met pas les commutateurs à l’abri d’attaques malveillantes.
Dans la figure, l’hôte A envoie le trafic à l’hôte B. Le
commutateur reçoit les trames et recherche
l’adresse MAC de destination dans sa table
d’adresses MAC. Si l’adresse MAC de destination
est introuvable dans la table, le commutateur copie
la trame et la diffuse sur chaque port.
L’hôte B reçoit la trame et renvoie une réponse à
l’hôte A. Le commutateur sait alors que
l’adresse MAC de l’hôte B se trouve sur le port 2 et
inscrit ces informations dans la table
d’adresses MAC.
L’hôte C reçoit également la trame de l’hôte A à
l’hôte B mais l’adresse MAC de destination de la
trame en question étant l’hôte B, l’hôte C ignore
cette trame.
Désormais, toutes les trames transmises par l’hôte A (ou un autre) vers l’hôte B sont envoyées au port 2 du
commutateur et ne sont pas transmises à chaque port.
Important : Le MAC de B est enregistré dans la table des MACs du commutateur si la table n'est pas pleine.
Si la table est déjà pleine le MAC de B ne sera pas enregistré et toute communication de A avec B sera en diffusion
sur tous les ports. C'est ce phénomène qui sera exploité par les pirates pour annuler la fonction de commutation du
commutateur et le rendre comme un concentrateur (hub) et ceci pour pouvoir capter toutes les communications qui
transitent dans le réseau.
2 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs

L’inondation MAC est réalisable au moyen d’un outil d’attaque réseau. Le pirate utilise l’outil d’attaque sur le réseau
pour inonder le commutateur d’un nombre important d’adresses MAC jusqu’à ce que la table d’adresses MAC se
remplisse. Une fois la table d’adresses MAC remplie, le commutateur diffuse le trafic entrant sur tous les ports parce
qu’il ne parvient pas à identifier le numéro de port d’une adresse MAC en particulier dans la table d’adresses MAC. De
par sa conception, le commutateur agit en tant que concentrateur.
Attaques par insuffisance de ressources DHCP
Un autre type est l’attaque par insuffisance de ressources DHCP. Le PC pirate demande en permanence des
adresses IP auprès d’un véritable serveur DHCP en modifiant leurs adresses MAC source. Si ce type d’attaque DHCP
réussit, tous les baux stockés sur le véritable serveur DHCP sont alloués, et le PC pirate prend place comme serveur
DHCP pour répondre aux requêtes DHCP des véritables utilisateurs (clients DHCP).

Fonctions de sécurité des ports et de surveillance DHCP de Cisco Catalyst

La surveillance DHCP est une fonction de Cisco Catalyst qui détermine quels ports du commutateur sont en mesure de
répondre aux requêtes DHCP.

Le Principe du DHCP Snooping

Afin d'empêcher le DHCP Spoofing, l'idée est de préciser où trouver les bons serveurs DHCP. Pour cela, nous allons
travailler sur le switch(= commutateur) et préciser sur quelles interfaces trouver les serveurs DHCP authentiques. Sur
l'exemple vu un peu plus haut on peut voir que le serveur DHCP est raccordé au port fa 0/24 du switch. L'idée est de
spécifier que cette interface est un port dit "trusted" (= port de confiance). Ainsi, les ports "trusted" pourront emmètre
des requêtes DHCP Offer et DHCP Ack alors que l'équipement du pirate informatique ne sera pas sur une interface de
confiance (= unstrusted). Ses requêtes seront alors ignorées.
Ce procédé est appelé DHCP Snooping (= surveillance DHCP).

Mise en place sur des équipements CISCO

Le DHCP Snooping peut fonctionner de manière globale sur l'ensemble du switch (et donc sur l'ensemble de ses
ports) mais aussi dans unVLAN particulier.
Voici la démarche à suivre pour la mise en place sur des équipements de type CISCO :
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/24
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate x
3 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs
1. Mise en place du DHCP Snooping sur le switch (de façon globale)
2. Mise en place du DHCP Snooping sur un VLAN en particulier
3. Activation de l'option 82 (fournir des informations supplémentaires sur le client attaché au port)
4. On sélectionne l'interface fa 0/24 pour la configurer
5. On déclare le port en tant qu'interface de confiance
6. Permet de définir le maximum de requêtes que l'interface traitera (en seconde)

Attaques CDP
CDP (Cisco Discovery Protocol) est un protocole propriétaire que tous les périphériques Cisco peuvent utiliser. CDP
détecte tous les autres périphériques Cisco qui bénéficient d’une connexion directe, ce qui leur permet de configurer
automatiquement cette connexion dans certains cas, tout en simplifiant la configuration et la connectivité. Les
messages CDP ne sont pas chiffrés.
Pour résoudre ce problème de vulnérabilité, il est préférable de désactiver CDP sur les périphériques sur lesquels ce
protocole est inutile. ( commande : no cdp run )
Attaques Telnet
Attaque de mot de passe en force
Le pirate fait appel à un programme chargé de créer des combinaisons de caractères séquentielles pour tenter de
deviner le mot de passe. Lorsque le pirate dispose de suffisamment de temps, une attaque en force permet de décoder
quasiment tous les mots de passe employés.
La chose la plus simple à faire de votre côté pour limiter votre vulnérabilité face aux attaques en force est de modifier
fréquemment vos mots de passe et d’utiliser des mots de passe forts combinant au hasard des lettres en majuscules et
minuscules et des chiffres. Des configurations plus avancées vous permettent de limiter les personnes autorisées à
communiquer avec les lignes vty grâce à des listes d’accès.
Attaque par déni de service (DoS)
Dans une attaque DoS, le pirate exploite une faille d’un logiciel serveur Telnet exécuté sur le commutateur qui rend le
service Telnet indisponible. Ce type d’attaque constitue surtout une nuisance puisqu’il empêche un administrateur
d’exécuter les fonctions de gestion du commutateur.
Les vulnérabilités du service Telnet qui autorisent les attaques DoS sont généralement traitées au moyen de correctifs
de sécurité inclus dans les nouvelles versions révisées du logiciel Cisco IOS. Si votre service Telnet, ou tout autre
service installé sur un périphérique Cisco, est la cible d’une attaque DoS, vérifiez si une nouvelle version du logiciel
Cisco IOS est disponible.

IV- Réduction des attaques via la configuration de la sécurité des ports

Sécurité des ports
Tous les ports ou les interfaces de commutateur doivent être sécurisés avant le déploiement du commutateur. La
sécurité des ports restreint le nombre d’adresses MAC autorisées sur un port. Lorsque vous affectez des
adresses MAC sécurisées à un port tout aussi sécurisé, ce dernier ne transmet aucun paquet avec adresse source en
dehors du groupe des adresses définies.
Si vous limitez le nombre des adresses MAC sécurisées à une adresse et affectez une adresse MAC sécurisée unique
sur ce port, la station de travail reliée au port bénéficie de la bande passante intégrale de ce dernier et seule cette
station de travail dotée de cette adresse MAC sécurisée en particulier peut se connecter avec succès à ce port du
commutateur.
Adresses MAC sécurisées
Il existe plusieurs façons de configurer la sécurité des ports. Les sections suivantes décrivent les moyens de configurer
la sécurité des ports sur un commutateur Cisco :
9 Pour activer la sécurité sur un port:
Comm1(config)# interface fastEthernet 0/18
Comm1(config-if)# switchport access vlan 1
Comm1(config-if)# switchport mode access
Comm1(config-if)# switchport port-security
9 Adresses MAC sécurisées statiques :
switchport port-security mac-address adresse_mac
Les adresses MAC configurées de cette manière sont stockées dans la table d’adresses et sont ajoutées à la
configuration en cours sur le commutateur.
9 Adresses MAC sécurisées dynamiques :
Les adresses MAC sont assimilées de manière dynamique et stockées uniquement dans la table d’adresses. Les
adresses MAC configurées ainsi sont supprimées au redémarrage du commutateur.
Vous pouvez configurer un port pour assimiler dynamiquement des adresses MAC, puis enregistrer ces dernières
dans la configuration en cours.
switchport port-security mac-address sticky
4 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs
Exemple :
Comm1(config-if)# switchport port-security maximum 50
Comm1(config-if)# switchport port-security mac-address sticky
Cet exemple présente la syntaxe de commande Cisco IOS utilisée pour fixer le nombre maximal d’adresses MAC
à 50. Par défaut, le mode de violation est shutdown.
9 Modes de violation de sécurité
Lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d’adresses
source inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou
augmentiez le nombre maximal d’adresses à autoriser .
En fonction de l’action à entreprendre en cas de violation, vous pouvez configurer l’interface pour l’un des trois
modes de violation
protect : Aucun message de notification ne vous est adressé en cas de violation de la sécurité.
restrict : Vous permet d’être informé si une violation de la sécurité constatée. Un message syslog est consigné
et le compteur de violation est incrémenté.
shutdown : Toute violation de sécurité entraîne immédiatement la désactivation de l’enregistrement des erreurs
dans l’interface et celle de la LED du port. Une interruption SNMP est également transmise, un
message syslog est consigné et le compteur de violation est incrémenté. Il s’agit du mode par défaut.
Comm1(config-if)#switchport port-security violation protect|restrict|shutdown
Vérification de la sécurité des ports
Une fois la sécurité des ports de votre commutateur configurée, vous chercherez à vérifier qu’elle a été configurée
comme il se doit. Vous devez inspecter chaque interface pour vérifier que vous avez correctement défini le port. Vous
devez également vous assurer que les adresses MAC statiques ont elles aussi été configurées comme il se doit.
9 Vérifier les paramètres de sécurité des ports
Pour afficher les paramètres de sécurité des ports du commutateur ou de l’interface spécifiée:
show port-security [interface id_interface].
S1# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 00E0.F7B0.086E:99
Security Violation Count : 1
9 Vérifier les adresses MAC sécurisées
Pour afficher toutes les adresses MAC sécurisées configurées dans toutes les interfaces de commutation ou sur
une interface définie avec informations d’obsolescence pour chacune:
show port-security address
S1# show port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age (mins)
99 0060.5C5B.CD23 SecureSticky FastEthernet0/18 -
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
Désactivation des ports inutilisés
Accédez à chaque port inutilisé et taper la commande : shutdown
On peut utiliser la commande interface range pour sélectionner plusieurs interfaces inutilisées puis les désactiver.
Exemple :
Comm1(config)# interface range FastEthernet 0/6 - FastEthernet 0/10
Comm1(config-if-range)# shutdown
Remarque : La commande précédente peut être abrégée en « in r f0/6-10 »

5 Source : Cours CISCO