Chapitre 

5 : sécurité et
surveillance du réseau

Connecting Networks

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 1
Chapitre 5 - Sections et objectifs
 5.1 Sécurité du réseau local
• Expliquer comment éviter les attaques de sécurité LAN courantes.
 5.2 SNMP
• Configurer SNMP de manière à surveiller les opérations réseau sur un
réseau de PME.
 5.3 Analyseur de port de commutateur Cisco (SPAN)
• Dépanner un problème réseau à l'aide de la fonction SPAN.

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 2
 5.1 Sécurité du réseau local

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 3
Sécurité du LAN
Attaques de sécurité LAN
 Les attaques courantes de l'infrastructure LAN de couche 2
sont les suivantes :
• Attaques de reconnaissance de CDP
• Attaques Telnet
• Attaques par inondation (flooding) de la table d'adresses MAC
• Attaques de VLAN
• Attaques DHCP

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 4
Sécurité du réseau local
Bonnes pratiques en matière de sécurité du réseau local
 Cette rubrique couvre plusieurs solutions de sécurité de
couche 2 :
• Limitation des attaques par inondation de la table d'adresse MAC à
l'aide de la sécurité des ports
• Limitation des attaques du VLAN
• Limitation des attaques de DHCP à l'aide de la surveillance DHCP
• Sécurisation de l'accès administratif à l'aide d'AAA
• Sécurisation de l'accès au réseau des appareils à l'aide de
l'authentification de port 802.1X

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 5
Sécurité du réseau local
Bonnes pratiques en matière de sécurité du réseau local
 Plusieurs stratégies permettent de sécuriser la couche 2 d'un
réseau :
• Utilisez toujours les variantes sécurisées de ces protocoles, comme
SSH, SCP, SSL, SNMPv3 et SFTP.
• Utilisez toujours des mots de passe forts et modifiez-les souvent.
• Activez CDP sur certains ports seulement.
• Sécurisez l'accès Telnet.
• Utilisez un VLAN de gestion dédié sur lequel seul circule le trafic de
gestion.
• Utilisez des listes de contrôle d'accès pour filtrer tout accès non
souhaité.

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 6
 5.2 SNMP

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 7
SNMP
Fonctionnement de SNMP
 SNMP permet aux
administrateurs de gérer et
de surveiller les appareils
sur un réseau IP.
 Éléments SNMP
• Gestionnaire SNMP
• Agent SNMP
• Base de données MIB
 Fonctionnement de SNMP
• Trap (Déroutement)
• Get (Obtenir)
• Set (Définir)

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 8
SNMP
Fonctionnement de SNMP
 Modèle et niveaux de sécurité SNMP

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 9
SNMP
Configuration de SNMP
 Étapes de configuration
• Configurer la chaîne de
communauté
• Documenter la localisation de
l'appareil
• Documenter le nom du contact
système
• Limiter l'accès SNMP
• Spécifier le destinataire des
Traps SNMP
• Activer les Traps sur l'agent
SNMP

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 10
SNMP
Configuration de SNMP
 Sécurisation de SNMPv3

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 11
5.3 Analyseur de port de
commutateur Cisco (SPAN)

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 12
Analyseur de ports de commutateur Cisco
Présentation de SPAN
 Mise en miroir des ports
• Avec cette fonctionnalité, un commutateur peut copier et envoyer des
trames Ethernet depuis des ports spécifiques vers un port de
destination sur lequel est connecté un analyseur de paquets. La
trame d'origine est toujours transmise de la manière habituelle.

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 13
Analyseur de ports de commutateur Cisco
Présentation de SPAN
 Terminologie SPAN

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 14
Analyseur de ports de commutateur Cisco
Présentation de SPAN
 Terminologie de RSPAN

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 15
Analyseur de ports de commutateur Cisco
Configuration du SPAN
 Utilisez la commande de configuration globale monitor
session

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 16
Analyseur de ports de commutateur Cisco
SPAN en tant qu'outil de dépannage
 SPAN permet aux
administrateurs de résoudre les
problèmes réseau
 L'administrateur peut utiliser
SPAN pour dupliquer le trafic et
le rediriger vers un analyseur de
paquets
 L'administrateur peut analyser le
trafic provenant de tous les
périphériques afin de dépanner
un éventuel dysfonctionnement
des applications réseau

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 17
5.4 Synthèse du chapitre

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 18
Synthèse du chapitre
Synthèse
 La couche 2 comporte un certain nombre de vulnérabilités qui
impliquent l'emploi de techniques d'atténuation spécialisées :
• Les attaques par saturation de la table d'adresses MAC sont traitées grâce
à la sécurité des ports.
• Les attaques de VLAN sont contrôlées en désactivant DTP et en suivant les
consignes de base pour la configuration des ports de trunk.
• Les attaques DHCP sont traitées par la surveillance DHCP (DHCP
Snooping).
 Le protocole SNMP comporte trois éléments : le gestionnaire,
l'agent et la MIB. Le gestionnaire SNMP réside sur le NMS,
tandis que l'agent et la MIB se trouvent sur les appareils clients.
• Le gestionnaire SNMP peut interroger les appareils clients pour obtenir des
informations et le client peut envoyer un message TRAP pour signaler
immédiatement qu'il atteint un seuil particulier. SNMP peut également servir
à modifier la configuration d'un appareil.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 19
Suite du résumé
 SNMPv3 est la version recommandée, car elle assure la sécurité.
 SNMP est un outil de gestion à distance complet et puissant. Presque tous les
éléments disponibles via une commande show est accessible via SNMP.
 SPAN (Switched Port Analyzer) sert à mettre en miroir le trafic destiné à l'hôte
ou provenant de celui-ci. Il est souvent mis en œuvre pour prendre en charge
les analyseurs de trafic ou les appareils IPS.

ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 20
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 21
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 22