Sécuriser les ports inutilisés
Les ports non utilisés sur un switch, notamment ceux non configurés avec le protocole NTP, peuvent constituer un risque pour la sécurité. Une personne malveillante pourrait se brancher sur un port du switch non utilisé et ainsi accéder au réseau.
Une méthode simple que de nombreux administrateurs utilisent est de désactiver tous les ports non utilisés.
Pour arrêter plusieurs ports, il faut utiliser la commande « interface range + range d’interface » afin de rentrer dans la configuration du range de ces interfaces, pour ensuite faire un « shutdown » cela aura pour effet de désactiver toutes les interfaces de ce range.
La commande « switchport access vlan 999 » ajoute un niveau de sécurité en plaçant ces interfaces dans un vlan qui n’est pas utilisé.
Un « show running-config »
Montre bien que les interfaces sont désactivées, car elles sont marquées : Shutdown.
Si par exemple, on a un switch qui possède 24 ports et que seuls 3 ports Fast Ethernet sont utilisés, eh bien il faudrait désactiver les 21 autres qui ne sont pas inutilisés.
Ce processus d'activation et de désactivation des ports est une tâche pas très intéressante, mais améliore grandement la sécurité.
Port Security
On a vu comment sécuriser des ports qui n’étaient pas utilisés, voyons maintenant comment sécuriser ceux qui le sont.
Avec les Switchs Cisco, il est possible de faire un contrôle sur les ports en limitant l’accès à certaines adresses MAC, cela permet de sécuriser l’accès. Pour cela, il faut utiliser l’option « Port-sécurité ».
Il y a deux méthodes (Statique et dynamique). La première consiste à enregistrer manuellement l’adresse MAC autorisée et la seconde consiste à prendre comme adresse MAC autorisée celle de l’hôte qui va se connecter en premier.
Le « port-sécurité » est sans doute la fonctionnalité la plus connue pour la sécurité sur les switchs Cisco.
Pour rappel, l’adresse MAC correspond à l’adresse physique de la machine, c'est-à-dire de sa carte réseau.
Il existe 3 types de sécurisation de port :
- Apprentissage statique : elle est configurée manuellement par l’administrateur réseau.
- Apprentissage dynamique : Elle est récupérée dynamiquement et stockée uniquement dans la table d’adresses MAC. L’adresse est supprimée au redémarrage du switch.
- et Apprentissage sticky : Elle est apprise dynamiquement, puis enregistrée dans le running-config.
Lorsqu'une trame arrive sur un port configuré en port Security, son adresse MAC source est vérifiée sur la table des adresses MAC sécurisée. Si l'adresse MAC source correspond à une entrée dans le tableau pour ce port, l'appareil transmet la trame. Si elle ne figure pas parmi les MAC autorisés, le périphérique ne renverra pas la trame.
Lorsqu'une violation de sécurité se produit, on peut configurer l'appareil de 3 façons différentes pour qu’il traite le paquet non sécurisé.
- Soit en mode Protect : ce mode supprime tout simplement les paquets avec des adresses source inconnues.
- Soit un mode Restrict : Il est identique à celui de la protection, sauf qu’il inscrit la violation dans le syslog et génère une trappe SNMP. Utile pour la supervision. Il incrémente également un compteur de violation.
- soit un mode Shutdown : Il shutdown l'interface dès qu’une violation intervient. Le port sera entièrement désactivé et ne pourra être remis en service que par un administrateur réseau. Comme pour le mode Restrict, cette action générera une trace dans le journal et également une trappe SNMP. Ce mode est celui par défaut.
Sur la 1ère image, on voit l’interface FastEthernet 0/5 passer en Down, suite à une violation de sécurité paramétrée pour une action de shutdown.
Pour rendre l'interface à nouveau opérationnelle, il faut se connecter sur le switch, aller sur l’interface en question et faire un Shut/noShut, comme sur l’image du dessous.
Port Security : Configuration
Admettons que nous souhaitons configurer une sécurité sur le Port Ethernet Fa0/5 avec 1 seule adresse mac pouvant s’y connecter, un apprentissage dynamique en mode sticky et à la moindre violation, nous souhaitons que le port se désactive tout seul.
- D’abord, faut se connecter sur l’interface en question (ici c’est la Fa0/5)
- Ensuite, avant de pouvoir configurer le port Security, il faut définir le port soit en access ou en trunk. Ici, ce sera en mode access avec la commande « switchport mode access ».
- Après, on peut activer la sécurité du port avec la commande « switchport port-security ».
- La commande « switchport port-security maximum 1 » n'autorise qu’une seule adresse mac à se connecter sur ce port.
- La commande « switchport port-security mac-address sticky » active l’apprentissage dynamique de l’adresse mac. Comme le paramètre précédent est à 1, la première adresse que le port apprendra sera autorisée et inscrite dans le fichier de configuration du switch. Aucune autre adresse ne pourra se connecter à ce port à moins que le switch subisse un redémarrage.
- Et enfin la commande « switchport port-security violation shutdown » désactivera l’interface dès qu’une violation de sécurité interviendra. À la place de shutdown, il est possible de mettre soit « Protect » ou soit « Restrict ».
On aurait pu spécifier une adresse mac statique avec la commande : « switchport port-sécurité mac-address et la mac-address »
L’adresse MAC doit se marquer sous la forme d’une séparation au bout de 4 caractères. Et non comme ceci, séparée tous les 2 caractères.
Pour supprimer cette option de port security, il faut simplement utiliser le « no » devant la commande. Par exemple la commande « no switchport port-security » désactive la fonctionnalité
Port Security : Vérification
Après avoir configuré le port Security sur le switch, il est toujours bon de vérifier le fonctionnement.
La commande « show port-security interface FastEthernet 0/5 » affiche la configuration de sécurité du port 0/5
Sur cette image, on voit que la sécurité du port est active. Le statut en Secure-up informe que le port fonctionne convenablement. Le mode de violation est réglé sur « shutdown ». Le nombre de mac adresses qui peut être appris est de 1, ce qui correspond également au nombre total de mac adresse enregistrée, et on voit le compteur de violation qui est à 0. Seuls les modes shutdown et Restrict incrémentent ce compteur.
Si une violation du port Fa0/5 intervient, voici à quoi ressemblerait la sortie de cette même commande :
On voit bien que le statut du port est passé à Secure-shutdown, et le compteur de violation a été incrémenté de 1. Actuellement, le port est inactif et seul un administrateur réseau pourra le remonter en faisant un shut/no shut
La commande « show interface status » affiche une vue détaillée des statues de l’ensemble des ports du switch :
La commande « show port-security address » affiche les mac adresse sécurisée de l’ensemble des ports du switch.
Et la commande « show port-sécurité » affiche les paramètres de sécurité du switch.
Désactivation des services non utilisés
Pour faciliter le déploiement, les routeurs et switchs Cisco démarrent avec une liste de services activés par défaut et qui est considérée utile pour la plupart des environnements. Cependant, comme tous les réseaux n'ont pas les mêmes exigences, certains de ces services ne sont pas forcément nécessaires. Désactiver les services considérés inutiles dans un environnement réseau permet de préserver des ressources système et d’éliminer une éventuelle faille de sécurité sur l’exploitation de ces services inutiles.
La commande « show control-plane host open-ports » permet d’afficher les ports que le routeur écoute.
1°) Une bonne pratique consiste à identifier les ports ouverts. Cette commande permet de contrôler les ports UDP ou TCP, sur lesquels le routeur est en train d'écouter afin de pouvoir déterminer quels services doivent être désactivés.
Sur l’image, les services activés du routeur sont SSH, Telnet, TACACS et DHCP.
TACACS, qui signifie Terminal Access Controller Access-Control System, est un protocole d'authentification utilisé pour communiquer avec un serveur d'authentification généralement utilisé dans des réseaux UNIX. TACACS permet à un serveur d'accès distant de communiquer avec un serveur d'authentification dans l'objectif de déterminer si l'utilisateur a le droit d'accéder au réseau.
2°) Une seconde pratique serait de désactiver le protocole (CDP) sur les interfaces où le service pourrait représenter un risque. Par exemple, sur les interfaces externes qui sont connectées directement à internet. Ce protocole est activé par défaut depuis la version 15 de l’IOS.
La commande « no cdp run » permet de désactiver CDP sur toutes les interfaces de l’équipement.
Pour désactiver CDP, seulement sur une interface, il faut se connecter dessus et entrer la commande « no cdp enable ».
Le protocole Cisco Discovery n'est pas activé par défaut sur les interfaces Frame Relay.
Dernière pratique fortement recommandée serait de désactiver le service HTTP qui est activé par défaut sur le routeur, car si activé, il est possible d’accéder aux routeurs via une page web. Quant à HTTPS, lui il peut rester activé.
La commande « no ip HTTP server » désactive le HTTP. Pour le réactiver, il faut simplement faire un « ip HTTP server ».
NTP Network Time Protocol
NTP permet de synchroniser les horloges de plusieurs périphériques sur un réseau. Cela est essentiel pour l’utilisation de certificats numériques et aussi pour pouvoir interpréter correctement les évènements dans les journaux de log.
NTP fournit une synchronisation temporelle entre les périphériques réseau. Il peut se raccrocher à une horloge locale, internet ou à l’aide d’un système GPS.
Il est possible de configurer un routeur en tant que serveur NTP, pour que les autres périphériques, configurés eux en client, synchronisent leurs horloges.
NTP : Configuration
La commande « ntp server + l’ip » permet de configurer l’équipement en tant que client NTP en lui indiquant l’adresse du serveur NTP.
Ici, on configure le NTP sur SW1 pour qu’il se raccroche au routeur « branch ».
Et sur le routeur Branch, on lui configure NTP en tant que serveur.
Cela permet d’optimiser au mieux le trafic, on aurait très bien pu aussi rattacher le switch directement avec un serveur NTP externe, par exemple le 209.165.201.15 comme pour le routeur.
Les périphériques Cisco peuvent servir de serveurs NTP. Pour cela il faut utiliser la commande « ntp master ».
Cette commande est à utiliser avec précaution, car si plusieurs périphériques dans le même réseau sont configurés en maître, cela pourrait provoquer une instabilité sur l’ensemble des périphériques.
NTP : Vérification
Les commandes « show ntp associations » et « show ntp status » permettent de vérifier les paramètres NTP.
Un client NTP peut mettre plus ou moins de temps avant de se synchroniser avec le serveur NTP.
Suivez le parcours CCNA sur le site Formip et retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.