Académique Documents
Professionnel Documents
Culture Documents
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
Introduction
La sécurité des points d'extrémité englobe également la
sécurisation de la couche 2 de l'infrastructure réseau afin de
se protéger contre les attaques de la couche 2, telles que
l'usurpation d'adresses MAC et les attaques de manipulation
STP.
Les configurations de sécurité de couche 2 incluent
l'activation de la sécurité des ports, la protection de BPDU, la
protection de racine et PVLAN Edge.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
6.0 Introduction
6.1 Sécurité de point final
Sommaire 6.2 Menaces de sécurité de
couche 2
6.3 Résumé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
Section 6.1:
Sécurité de point final
À la fin de cette section, vous devriez pouvoir:
• Décrire la sécurité des points d'extrémité et les technologies habilitantes.
• Expliquer comment Cisco AMP est utilisé pour assurer la sécurité des terminaux.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
Sujet 6.1.1:
Présentation du sécurité Endpoint
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Sécurisation des éléments LAN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Sécurité de point final traditionnel
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Le réseau sans bordure
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
Sécurisation des points d'extrémité dans le
réseau sans bordure
Poste les questions d'attaque sur Protection par hôte:
les logiciels malveillants:
• Antivirus / Antimalware
• D'où vient-il?
• Filtrage SPAM
• Quelle était la méthode de
menace et le point d'entrée? • Filtrage d'URL
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
Sécurisation des points d'extrémité dans le
réseau sans bordure
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
Modernes solutions de sécurité de point final
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
Cryptage matériel et logiciel des données
locales
chiffrer localement le lecteur de disque
avec un algorithme de chiffrement fort
tel que le chiffrement AES 256 bits. Le
cryptage protège les données
confidentielles des accès non
autorisés. Les volumes de disque
chiffrés ne peuvent être montés que
pour un accès en lecture / écriture
normal avec le mot de passe autorisé.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
Sujet 6.1.2:
Protection antimalware
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
Protection avancée contre les logiciels
malveillants
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
AMP pour les points finaux
• AMP for Endpoints - AMP for Endpoints s'intègre avec Cisco AMP pour les
réseaux pour offrir une protection complète sur les réseaux étendus et les
points d'extrémité.
• AMP for Networks - Fournit une solution basée sur le réseau et est intégrée
dans les appliances de sécurité Cisco ASA Firewall et Cisco FirePOWER
dédiées.
• AMP pour la sécurité du contenu - Ceci est une fonctionnalité intégrée
dans Cisco Cloud Web Security ou Cisco Web et Email Security Appliances
pour protéger contre les courriels et les attaques de logiciels malveillants
avancées basées sur le Web.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Sujet 6.1.3:
Email et sécurité Web
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
Sécurisation du courrier électronique et du
Web
le courrier électronique est devenu un outil
utilisé principalement par les
professionnels de la technique et de la
recherche
• Blocage de spam
Cisco ESA est constamment mis à jour grâce aux flux en temps réel de Cisco
Talos, qui détecte et corrèle les menaces à l'aide d'un système de surveillance de
base de données mondial. La solution transmet ensuite automatiquement les mises à
jour de sécurité à Cisco Talos. Ces informations sur les menaces sont extraites par
les ESA de Cisco toutes les trois à cinq minutes.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
Appareil Cisco de la sécurité Web
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
Cisco Cloud Web Security
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
Sujet 6.1.4:
Contrôle du réseau d'accès
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
Contrôle d'admission au réseau Cisco
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
Fonctions Cisco NAC
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
Composants Cisco NAC
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
Accès réseau aux invités
Trois façons d'accorder des autorisations de parrainage:
• À seulement les comptes créés par le parrain
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
Cisco NAC Profiler
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
Section 6.2:
Considérations relatives à la
sécurité de couche 2
Une fois la section terminée, vous devriez pouvoir:
• Décrivez les vulnérabilités de la couche 2.
• Mettre en place une inspection Arp dynamique pour atténuer les attaques ARP.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
Sujet 6.2.1:
Menaces de sécurité de couche 2
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
Décrivez les vulnérabilités de la couche 2
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
Catégories d'attaque par commutateur
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
Catégories d'attaque par commutateur
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
Sujet 6.2.2:
Attaques de table CAM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
Fonctionnement de commutation de base
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
Exemple d'opération de la table CAM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
Attaque de la table CAM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37
Attaque de la table CAM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
Outils d'attaque de table CAM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 39
Sujet 6.2.3:
Mitigation (réduction) des attaques de la CAM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 40
Contre-mesure pour les attaques de table CAM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
Port de Sécurité
Activation de la sécurité
des ports
Vérification
de la sécurité
des ports
Options de sécurité
du port
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 42
Activation des options de sécurité du port
Définition du nombre maximal d'adresses Mac
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43
Activation des options de sécurité du port
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44
Violations de sécurité des ports
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 45
Violations de sécurité des ports
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 46
Vieillissement de la Sécurité du port
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 47
Vieillissement de la Sécurité du port
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 48
Sécurité du port avec téléphones IP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
SNMP MAC Adresse de Notification
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 50
Sujet 6.2.4:
Atténuer les attaques VLAN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 51
Attaques de VLAN Hopping
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 52
Les attaques VLAN Double-Tagging
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 53
Atténuer les attaques de VLAN Hopping
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
Caractéristique de bord PVLAN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 55
Vérification des ports protégés
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 56
VLAN privés
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
Sujet 6.2.5:
Atténuer les attaques DHCP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 58
Les attaques de DHCP Spoofing
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 59
Les attaques de DHCP Spoofing
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
Attaque DHCP Starvation
L'attaquant lance une attaque de famine
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 61
Attaque DHCP Starvation
Le client demande toutes les offres
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 62
Atténuer les attaques VLAN
Le commutateur refuse les paquets
contenant des informations
spécifiques:
• Messages du serveur DHCP non
autorisés à partir d'un port non
approuvé
• Les messages client DHCP non
autorisés ne respectent pas la
table de liaison de snooping ou
les limites de taux
• Paquets de relais-agent DHCP
qui incluent des informations
d'option-82 sur un port non
approuvé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 63
Configuration du snooping DHCP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 64
Configuration de l'exemple de Snooping
DHCP
La topologie de reference du DHCP Snooping
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 65
Configuration de l'exemple de Snooping
DHCP
Vérification du snooping DHCP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 66
Sujet 6.2.6:
Atténuer les attaques ARP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 67
ARP Spoofing et ARP Intoxication Attaque
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 68
Atténuer les attaques ARP
Inspection Dynamique
ARP:
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 69
Configuration de l'inspection Dynamique ARP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 70
Configuration de l'exemple de Snooping
DHCP
Configuration de
l'inspection Dynamique
ARP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 71
Configuration de l'exemple de Snooping
DHCP
Vérification de la source, de la destination et de l'IP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 72
Sujet 6.2.7:
Attaques d'atténuation des attaques d'adresse
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 73
Attaque Spoofing d'adresse
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 74
Attaques d'atténuation des attaques d'adresse
Pour chaque port non approuvé, il existe deux niveaux possibles de filtrage de
sécurité de trafic IP:
• Filtre d'adresse IP source
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 75
Configurer IP Source Guard
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 76
Sujet 6.2.8:
Spanning Tree Protocol
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 77
Introduction au protocole Spanning Tree
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 78
Diverses implémentations de STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 79
Rôles de port STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 80
Port racine STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 81
Coût du chemin STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 82
Coût du chemin STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 83
Coût du chemin STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 84
Format du trame BPDU 802.1D
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 85
Format du trame BPDU 802.1D
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 86
Propagation et processus de BPDU
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 87
Propagation et processus de BPDU
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 88
ID de système étendu
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 89
ID de système étendu
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 90
Sélectionnez le pont racine
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 91
Sélectionnez le pont racine
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 92
Sujet 6.2.9:
Atténuer les attaques STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 93
Attaques de manipulation STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 94
Atténuer les attaques STP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 95
Configuration de PortFast
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 96
Configuration de BPDU Guard
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 97
Configuration de BPDU Guard
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 98
Configuration de Root Guard
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 99
Configuration de Loop Guard
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 100
Configuration de Loop Guard
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 101
Section 6.3:
Résumé
Objectifs du chapitre:
• Expliquez la sécurité des points d'extrémité.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 102
Thank you.
Ressources de l'instructeur
• Rappelez-vous, il existe
des tutoriels utiles et des
guides d'utilisation
disponibles via votre page 1
d'accueil NetSpace. 2
(Https://www.netacad.com)
• Ces ressources couvrent
une variété de sujets, y
compris la navigation, les
évaluations et les
affectations.
• Une capture d'écran a été
fournie ici en soulignant les
tutoriels liés à l'activation
des examens, à la gestion
des évaluations et à la
création de quiz.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 104