Académique Documents
Professionnel Documents
Culture Documents
LSI2
2
Plan
2. S€curit€ du commutateur
3
Introduction
4
Introduction
• La couche d'acc„s est l'une des zones les plus vuln‚rables du r€seau.
• Les commutateurs doivent ƒtre configur€s pour ƒtre r€silients aux attaques
de tous types.
• La s‚curit‚ des ports est l'une des fonctions de s€curit€ propos€es par
les commutateurs g€r€s Cisco.
5
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.1 S€quence de d€marrage du commutateur
2. ex€cute ensuite le bootloader. (Le bootloader est un petit programme stock‚ dans la
m‚moire morte et ex‚cut‚ apr•s la r‚ussite du POST).
3. effectue l'initialisation de bas niveau du processeur: les registres du
processeur , la quantit€ de m€moire et sa vitesse.
4. Le bootloader initialise le syst„me de fichiers flash sur la carte syst„me.
5. localise et charge une image de logiciel du syst€me d'exploitation IOS
par d€faut dans la m€moire et transf„re le contr‡le du commutateur …
l'IOS.
6
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.1 S€quence de d€marrage du commutateur
• IOS initialise ensuite les interfaces … l'aide des commandes Cisco IOS
• Startup est stock€ dans la m€moire NVRAM.
• La variable d'environnement BOOT est d€finie via la commande de mode
de configuration globale boot system.
7
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.2 R€cup€ration apr„s une panne syst„me
8
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.3 LED du commutateur
9
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.3 LED du commutateur
10
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.3 LED du commutateur
11
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.4 Pr€paration … la gestion de commutateur de base
12
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.4 Pr€paration … la gestion de commutateur de base
• Le commutateur est configur€ de telle sorte que sa gestion est r€gie par le
VLAN 1.
13
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.5 Configurer l'acc„s … la gestion du commutateur de base … l'aide d'IPv4
14
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.5 Configurer l'acc„s … la gestion du commutateur de base … l'aide d'IPv4
15
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.5 Configurer l'acc„s … la gestion du commutateur de base … l'aide d'IPv4
16
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.1 Communications bidirectionnelles simultan€es (full duplex)
17
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.2 Configurer des ports de commutateur au niveau de la couche physique
18
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.2 Configurer des ports de commutateur au niveau de la couche physique
19
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.3 Auto-MDIX
20
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.3 Auto-MDIX
21
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.3 Auto-MDIX
22
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.4 V€rification de la configuration des ports de commutateur
23
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.4 V€rification de la configuration des ports de commutateur
24
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.4 V€rification de la configuration des ports de commutateur
25
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.5 Probl„mes de couche d'acc„s au r€seau
• La commande show interfaces peut ƒtre utilis€ pour d€tecter les probl„mes
de support courants €tat de la ligne et du protocole de liaison de
donn€es.
27
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.5 Probl„mes de couche d'acc„s au r€seau
28
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.5 Probl„mes de couche d'acc„s au r€seau
29
1. Configuration de base d'un commutateur
1.2 Configuration des ports de commutateur
1.2.6 D€pannage des probl„mes de couche d'acc„s au r€seau
30
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.1 Acc€s „ distance s‚curis‚
2.1.1 Fonctionnement des SSH
• Secure Shell (SSH) est un protocole qui permet d'€tablir une connexion
s€curis€e (chiffr€e) pour la gestion des p€riph€riques distants.
31
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.1 Acc€s „ distance s‚curis‚
2.1.1 Fonctionnement des SSH
32
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.1 Acc€s „ distance s‚curis‚
2.1.2 Configuration de SSH
34
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.1 Acc€s „ distance s‚curis‚
2.1.3 V€rification de SSH
• Sur un PC, un client SSH, par exemple PuTTY, est utilis€ pour €tablir une
connexion … un serveur SSH.
• Voici les configurations :
– SSH activ€ sur le commutateur S1
– Interface VLAN 99 avec IP 172.17.99.11 sur S1
– PC1 avec l'adresse IP 172.17.99.21
35
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.1 Acc€s „ distance s‚curis‚
2.1.3 V€rification de SSH
36
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.1 Acc€s „ distance s‚curis‚
2.1.3 V€rification de SSH
37
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.1 Attaques de s€curit€ courantes : inondation d'adresse MAC
• Si une adresse de destination n’est pas enregistr€e dans la table MAC alors
le commutateur diffuse la trame vers tous les port … l'exception du port sur
lequel la trame a €t€ re‹ue.
• Cette action est dite inondation d’adresses MAC
• Cette action peut ƒtre utilis€e comme une attaque.
• On l’appelle attaque par d€bondement de la table d'adresses MAC
• On parle d’attaques par inondation d’adresse MAC
38
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.1 Attaques de s€curit€ courantes : inondation d'adresse MAC
• Toutes les trames transmises par l'h‡te A (ou un autre) vers l'h‡te B sont
envoy€es au port 2 du commutateur et ne sont pas diffus€es sur les ports.
• La taille des tables d'adresses MAC est limit€e.
• L'inondation d'adresses MAC profite de cette limite pour submerger le
commutateur de fausses adresses MAC source jusqu'… ce que la table
d'adresses MAC de ce dernier soit satur€e.
41
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.1 Attaques de s€curit€ courantes : inondation d'adresse MAC
42
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.1 Attaques de s€curit€ courantes : inondation d'adresse MAC
43
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.2 Attaques de s€curit€ courantes : usurpation de DHCP
44
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.2 Attaques de s€curit€ courantes : usurpation de DHCP
45
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.2 Attaques de s€curit€ courantes : usurpation de DHCP
46
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.3 Attaques de s€curit€ courantes : utiliser le protocole CDP
47
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.3 Attaques de s€curit€ courantes : utiliser le protocole CDP
Attaques Telnet
• Le protocole Telnet n'est pas s€curis€, un pirate peut ainsi l'utiliser pour
acc€der … distance … un p€riph€rique r€seau Cisco.
Attaque de mot de passe en force
• Une attaque en force permet de d€coder quasiment tous les mots de passe
employ€s.
• Pour vous pr€munir contre les attaques en force, utiliser des mots de passe
forts et changez-les r€guli„rement.
Attaque DoS Telnet
• Telnet peut €galement ƒtre utilis€ pour lancer une attaque de d€ni de
service (DoS).
• Dans une attaque DoS Telnet, le pirate exploite une faille d'un logiciel
serveur Telnet ex€cut€ sur le commutateur qui rend le service Telnet
indisponible.
• Ce type d'attaque empƒche l'administrateur d'acc€der … distance aux
48 fonctions de gestion du commutateur.
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 Probl€mes de s‚curit‚ dans les LAN
2.3.1 Meilleures pratiques
49
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.1 S€curisation des ports inutilis€s
50
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.2 Surveillance DHCP
51
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.3 S€curit€ des ports : fonctionnement
52
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.3 S€curit€ des ports : fonctionnement
53
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.3 S€curit€ des ports : fonctionnement
54
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.3 S€curit€ des ports : fonctionnement
55
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.3 S€curit€ des ports : fonctionnement
R‚sum‚
56
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.4 S€curit€ des ports : modes de violation
57
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.5 S€curit€ des ports : configuration
58
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.6 S€curit€ des ports : v€rification
59
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.7 Ports en €tat Error Disabled
60
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.7 Ports en €tat Error Disabled
61
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.8 Protocole NTP
62
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.8 Protocole NTP
63
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.2 S‚curit‚ des ports de commutateur
2.4.8 Protocole NTP
64