NTP et Port Sécurity : Sécurisation Port Ethernet

Sécurisation Port Ethernet et NTP

Sécuriser les ports inutilisés

Port Sécurity : Sécurisation Port Ethernet et NTP :

Les ports non utilisés sur un switch peuvent constituer un risque pour la sécurité. Une personne malveillante pourrait se brancher sur un port du switch non utilisé et ainsi accéder au réseau.

Une méthode simple que de nombreux administrateurs utilisent est de désactiver tous les ports non utilisés.

 

Pour arrêter plusieurs ports, il faut utilisez la commande « interface range + range d’interface » afin de rentrer dans la configuration du range de ces interfaces, pour ensuite faire un « shutdown » cela aura pour effet de désactiver toute les interfaces de ce range.

interface range

La commande « switchport access vlan 999 » ajoute un niveau de sécurité en plaçant ces interfaces dans un vlan qui n’est pas utilisé.

Un « show running-config »

montre bien que les interfaces sont désactivées, car elles sont marquées : Shutdown

Si, par exemple, on a un switch qui possède 24 ports et que seuls 3 ports Fast Ethernet sont utilisés, et bien, il faudrait désactivez les 21 autres qui ne sont pas inutilisés.

Ce processus d’activation et de désactivation des ports est une tache pas très intéressante, mais améliore grandement la sécurité.

Port Sécurity

On a vu comment sécurisé des ports qui n’était pas utilisé, voyons maintenant comment sécurisé ceux qu’ils le sont.

Avec les Switchs Cisco, il est possible de faire un contrôle sur les ports en limitant l’accès à certaines adresses MAC, cela permet de sécuriser l’accès. Pour cela, il faut utiliser l’option « Port-sécurité ».

 

Il y a deux méthodes (Statique et dynamique), la première consiste à enregistrer manuellement l’adresse MAC autorisée et la seconde consiste à prendre comme adresse MAC autorisée celle de l’hôte qui va se connecter en premier.

Le « port-sécurité » est sans doute la fonctionnalité la plus connue pour la sécurité sur les switchs Cisco.

Pour rappel, l’adresse MAC correspond à l’adresse physique de la machine c’est-à-dire de sa carte réseau.

 

Port Sécurity

Il existe 3 types de sécurisation de port :

-L’Appentissage statique : elle est configurée manuellement par l’administrateur réseau.
-L’Appentissage dynamique : Elle est récupérée dynamiquement et stockée uniquement dans la table d’adresses MAC. L’adresse est supprimée au redémarrage du switch.
-et l’Appentissage sticky : Elle est apprise dynamiquement, puis enregistrée dans le running-config.

Lorsqu’une trame arrive sur un port configuré en port sécurity, son adresse MAC source est vérifiée sur la table des adresses MAC sécurisée. Si l’adresse MAC source correspond à une entrée dans le tableau pour ce port, l’appareil transmet la trame. Si elle ne figure pas parmi les MAC autorisés, le périphérique ne renverra pas la trame.

Lorsqu’une violation de sécurité se produit, on peut configurer l’appareil de 3 façons différentes pour qu’il traite le paquet non sécurisé.

  • soit en mode Protect:ce mode supprime tout simplement les paquets avec des adresses source inconnues.
  • soit un mode Restrict:Il est identique à celui de la protection, sauf qu’il inscrit la violation dans le syslog et génère une trappe SNMP. Utile pour la supervision. Il incrémente également un compteur de violation.
  • ou soit un mode Shutdown:Il  shutdown l’interface dès qu’une violation intervient. Le port sera entièrement désactivé et ne pourra être remis en service que par un administrateur réseau. Comme pour le mode Restrict, cette action génèrera une trace dans le journal et également une trappe SNMP. Ce mode est celui par défaut.

Sur la 1 Er image, on voit l’interface FastEthernet 0/5 passés en Down suite à une violation de sécurité paramétrée pour une action de shutdown.

Shutdown

pour rendre l’interface à nouveau opérationnelle, il faut se connecter sur le switch, aller sur l’interface en question et faire un Shut/noShut , comme sur l’image du dessous.

Shut noShut

Port sécurity : Configuration

Admettons que nous souhaitons configurer une sécurité sur le Port Ethernet Fa0/5 avec 1 seule adresse mac pouvant s’y connecter, un apprentissage dynamique en mode sticky et à la moindre violation, nous souhaitons que le port de désactive tout seul.

switchport mode access

  1. d’abord, faut se connecter sur l’interface en question (ici c’est la Fa0/5)
  2. ensuite,avant de pouvoir configurer le port sécurity, il faut définir le port soit en access ou en trunk. Ici ce sera en mode access avec la commande « switchport mode access »
  3. après on peut activer la sécurité du port avec la commande « switchport port-security »
  4. la commande « switchport port-security maximum 1 » autorise qu’une seul adresse mac à se connecter sur ce port.
  5. la commande « switchport port-security mac-address sticky » active l’apprentissage dynamique de l’adresse mac. Comme le paramètre précédent est à 1, la première adresse que le port apprendra sera autorisée et inscrite dans le fichier de configuration du switch. Aucune autre adresse ne pourra se connecter à ce port. À moins que le switch subisse un redémarrage.
  6. et enfin la commande « switchport port-security violation shutdown » désactivera l’interface dès qu’une violation de sécurité interviendra. À la place de shutdown, il est possible de mettre soit « Protect » ou soit « Restrict »

On aurait pu spécifier une adresse mac statique avec la commande :  « switchport port-sécurité mac-address et la mac-address »
l’adresse MAC doit se marquer sous la forme d’une séparation au bout de 4 caractères. Et non comme ceci, séparé tous les 2 caractères.

 

pour supprimer cette option de port sécurity, il faut simplement utiliser le « no » devant la commande. Par exemple la commande « no switchport port-security » désactive la fonctionnalité

Port sécurity : Vérification

 

Après avoir configuré le port Security sur le switch, il est toujours bon de vérifier le fonctionnement.

La commande « show port-sécurité interface FastEthernet 0/5 » affiche la configuration de sécurité du port 0/5

show port-sécurité interface

Sur cette image, on voit que la sécurité du port est active. Le statut en Secure-up informe que le port fonctionne convenablement. Le mode de violation est réglé sur « shutdown ». Le nombre de mac adresses qui peut être apprise est de 1, ce qui correspond également au nombre total de mac adresse enregistrée, et on voit le compteur de violation qui est à 0. Seuls les modes shutdown et Restrict incrémentent ce compteur.

si une violation du port Fa0/5 intervient, voici à quoi ressemblerais la sortit de cette même commande :

violation du port

On voit bien que le statut du port est passé à Secure-shutdown, et le compteur de violation a été incrémenté de 1. Actuellement le port est inactif, et seul un administrateur réseau pourra le remonté en faisant un shut/no shut

la commande « show interface status » affiche une vue détaillé des statues de l’ensemble des ports du switch :

show interface status

la commande « show port-security address » affiche les mac adresse sécurisée de l’ensemble des ports du switch

show port-security address

et la commande « show port-sécurité » affiche les paramètres de sécurité du switch

show port-sécurité

Désactivation des services non utilisés

Pour faciliter le déploiement, les routeurs et switchs Cisco démarrent avec une liste de services  activés par défaut et qui est considérée utile pour la plupart des environnements. Cependant, comme tous les réseaux n’ont pas les mêmes exigences, certains de ces services ne sont pas forcement nécessaire. Désactiver les services considérés inutiles dans un environnement réseau permet de préserver des ressources système et d’élimine une éventuelle faille de sécurité sur l’exploitation des ces services inutiles.

La commande « show control-plane host open-ports » permet d’afficher les ports que le routeur écoute.

show control-plane host open-ports

1°) Une bonne pratique consiste à identifier les ports ouverts. Cette commande permet de contrôler les ports UDP ou TCP sur lesquels le routeur est en train d’écouter afin de pouvoir déterminer quels services doivent être désactivés.

Sur l’image, les services activés du routeur sont SSH , Telnet, TACACS et DHCP.
TACACS, qui signifie Terminal Access Controller Access-Control System est un protocole d’authentification, utilisé pour communiquer avec un serveur d’authentification, généralement utilisé dans des réseaux UNIX. TACACS permet à un serveur d’accès distant de communiquer avec un serveur d’authentification dans l’objectif de déterminer si l’utilisateur a le droit d’accéder au réseau.

2°)Une seconde pratique

serait de désactiver le protocole (CDP) sur les interfaces où le service pourrait représenter un risque, par exemple, sur les interfaces externes qui sont connectées directement à internet. Ce protocole est activé par défaut depuis la version 15 de l’IOS.

la commande « no cdp run » , permet de désactiver CDP sur toutes les interfaces de l’équipement

no cdp run

pour désactiver CDP, seulement sur une interface, il faut se connecter dessus et entrée la commande « no cdp enable »

no cdp enable

Le protocole Cisco Discovery n’est pas activé par défaut sur les interfaces Frame Relay

 

dernière pratique fortement recommandée, serait de  désactivé le service HTTP qui est activé par défaut sur le routeur, car si activé, il est possible d’accéder aux routeurs via une page web.Quant à HTTPS, lui peut rester activé).
La commande « no ip HTTP server », désactive le HTTP. Pour le réactiver, il faut simplement faire un « ip HTTP server »

no ip HTTP server

NTP  Network Time Protocol

NTP permet de synchroniser les horloges de plusieurs périphériques sur un réseau. Cela est essentiel pour l’utilisation de certificats numériques et aussi pour pouvoir interpréter correctement les évènements dans les journaux de log.

NTP fournit une synchronisation temporelle entre les périphériques réseau. Il peut se raccrocher à une horloge locale, internet ou à l’aide d’un système GPS.

Il est possible de configurer un routeur en tant que serveur NTP, pour que les autres périphériques, configurés eux en client, synchronisent leurs horloges.

 

 

NTP : Configuration

La commande « ntp server + l’ip » permet de configurer l’équipement en tant que client NTP en lui indiquant l’adresse du serveur NTP.

ntp ntp server

Ici, on configure le NTP sur SW1 pour qu’il se raccroche au routeur « branch ».
Et sur le routeur Branch, on lui configure NTP en tant que serveur.
Cela permet d’optimiser au mieux le trafic, on aurait très bien pu aussi rattacher le switch directement avec un serveur NTP externe par exemple le 209.165.201.15 comme pour le routeur.

Les périphériques Cisco peuvent servir de serveurs NTP. Pour cela il faut utiliser la commande « ntp master ».

Cette commande est à utiliser avec précaution, car si plusieurs périphériques dans le même réseau sont configurés en maitre, cela pourrait provoquer une instabilité sur l’ensemble des périphériques.

NTP : Vérification

Les commandes « show ntp associations » et « show ntp status » permet de vérifier les paramètres NTP

show ntp associations show ntp status

Un client NTP peut mettre plus ou moins de temps avant de se synchroniser avec le serveur NTP

wikipedia

Sécurisation IOS Cisco – Line VTY – Putty – SSH – Telnet

Syslog

Laisser un commentaire