SlideShare une entreprise Scribd logo

3 switchport securité

Télécharger en tant que PPT, PDF
M
medalaa

Sécurisé les switch Cisco

Technologie
1  sur  16
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 1 Free Powerpoint Templates Sécurité des ports « Switch » Présenter par : Djediden Med Fiad Alaa
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 2 Introduction  La sécurité des réseaux informatiques est un sujet essentiel pour favoriser le développement des échanges dans tous les domaines.  la sécurité recouvre à la fois l'accès aux informations sur les postes de travail, sur les serveurs ainsi que le réseau de transport des données.  Il peut s'agir :  d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante  d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système  de sécuriser les données en prévoyant les pannes  de garantir la non-interruption d'un service
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 3 Introduction  On distingue généralement deux types d'insécurité :  l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du système  l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose  Comment se protéger ? • se tenir au courant • connaître le système d'exploitation • réduire l'accès au réseau (firewall) • réduire le nombre de points d'entrée (ports) • définir une politique de sécurité interne (mots de passe, lancement d'exécutables) • déployer des utilitaires de sécurité (journalisation)
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 4 Les types de menaces Les attaques les plus fréquentes sur les commutateurs sont : • inondation d’adresses MAC • attaques par mystification • attaques CDP • attaques Telnet • attaque de mot de passe en force
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 5 Inondation d@ MAC submerge la table d’adresses MAC avec de fausses adresses. Lorsque celle-ci est saturée, le commutateur fonctionne comme un hub et diffuse toutes les trames sur tous les ports. Une personne malveillante peut voir alors les trames transmises vers l’hote qu’il souhaite attaquer.
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 6 Attaque par mystification  On active le DHCP snooping dans la configuration générale : switch(config)#ip dhcp snooping  A partir de ce moment là tous les ports du switch sont considérés en tant que ports « untrust ».  Pour configurer un port en tant que port de confiance, faire comme suit : switch(config)#interface fa0/1 switch(config-if)#ip dhcp snooping trust switch(config-if)#ip dhcp snooping limit rate 100 (on limite à 100 requêtes/seconde)
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 7 Attaque CDP / Telnet  CDP est un protocole propriétaire cisco qui détecte tous les périphériques voisins ; il est activée par défaut. Il donne des informations sur le périphériques tels que l’ad. IP, l’IOS, la plateforme etc. Il est donc préférable de désactiver le protocole CDP. no cdp run,no cdp enable  Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH.  L’attaque de mot de passe en force : un pirate commence par utiliser des mots de passe courants, puis des combinaisons de caractères pour tenter de deviner un mot de passe et effectuer une connexion sur le commutateur. Il est donc important d’avoir un mot de passe fort et de le modifier régulièrement.
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 8 Mode du port Quand on branche un équipement sur un switch il est soit en accès (il est dans un vlan) ou en trunk (il est dans plusieurs vlans). Qu’est-ce qu’un port en mode accès ? Quand on a un équipement en mode accès c’est le switch qui gère pour lui le vlan avec lequel il communique. On l’utilise principalement pour les machines. Comment mettre un port en mode accès sur un switch : Switch(conf)# interface f0/10 Switch(conf-if)# switchport mode acces Switch(conf-if)# switchport acces vlan 10  Qu’est-ce qu’un port en mode trunk ? Quand on a un équipement en mode trunk c’est ce dit équipement qui gère le/les vlan(s). Ce mode est principalement utilisé pour les interconnexions entre switchs ou vers un routeur, vers un firewall ou même vers une machine de supervision. Comment mettre un port en mode trunk : Switch(conf)# interface f0/10 Switch(conf-if)# switchport mode trunk Une étiquette est placée dans l’en-téte de chaque trame au moment où celle-ci rejoint le trunk. Lorsque la trame quitte le trunk, le switch retire l’étiquette avant de transmettre la trame à l’hote destinataire.
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 9 Configuration par défaut d’un port
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 10 Sécurisé les ports  Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de rassembler des informations ou de mener des attaques sur le réseau.  La sécurisation passe par la limitation du nombre d’adresses MAC utilisées sur un port.  on peut spécifier un nombre maximum d'adresse: 1 (par défaut) à 132. SW1(config-if)#switchport port-security maximum 2  Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, une violation de sécurité se produit.  Il existe plusieurs façons de configurer la sécurité des ports sur un commutateur : • adresses MAC sécurisées statiques • adresses MAC sécurisées dynamiques • adresses MAC sécurisées rémanentes
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 11 @ mac sécurisé statique  Le mode statique : les adresses mac autorisées sont configurées manuellement à l’aide de la commande de configuration d’interface : S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security mac-address ad. MAC S1(config-if)# end  L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée dans le running-config.
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 12 @ mac sécurisé dynamique  Une adresse MAC sécurisée dynamique est récupérée dynamiquement et stockée uniquement dans la table d’adresses MAC.  c’est le premier hôte qui va se connecter et envoyer une trame qui va en être en quelque sorte le propriétaire.  L’adresse est supprimée au redémarrage du Switch. S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# end
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 13 @ mac sécurisé rémanente  Une adresse MAC sécurisée rémanente est apprise dynamiquement, puis enregistrée dans le running-config. S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security maximum 10 S1(config-if)# switchport port-security sticky S1(config-if)# end  De plus les adresses MAC sécurisées rémanentes présentes les caractéristiques suivantes : • l’utilisation de la commande switchport port-security sticky convertit toutes les adresses MAC utilisées sur le port et les ajoute toute dans le running-config. • l’utilisation de la commande no switchport port-security sticky efface les adresses MAC sécurisées rémanentes du running-config mais les garde dans la table d’adresses MAC.
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 14 Mode de violation  On considère qu’il y a violation de sécurité lorsque l’une des situations suivantes se présente : • le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelle adresse MAC tente d’accéder à l’interface. • une adresse MAC statique ou dynamique associée à une interface tente d’accéder à une autre interface dans le même réseau.  il existe trois modes de violation configurable sur une interface : 1. Protect : les trames sont ignorées. Aucun message de notification n’est envoyé. 2. restrict : les trames sont ignorées. Un message syslog est envoyé. 3. shutdown : Le port est immédiatement désactivé et un message syslog est envoyé. Le port peut être réactivé manuellement avec la commande no shutdown.
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 15 Vérification de la sécurité  Pour vérifier les paramètres de sécurité des ports : S1# show port-security [interface fa0/15 ] Par défaut, les paramètres de la sécurité des ports sont les suivants :  Pour vérifier les adresses MAC sécurisées : S1# show port-security address [interface fa0/15 ] Désactivation des ports inutilisés Une méthode simple pour sécuriser un commutateur est de désactiver les ports inutilisés avec la commande shutdown. Il est possible de désactiver plusieurs ports en même temps avec la commande : S1(config) # interface range fa 0/2 - 8 S1(config-if)# shutdown
Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 16

Recommandé

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
Présentation PowerPoint.pptx
Présentation PowerPoint.pptxPrésentation PowerPoint.pptx
Présentation PowerPoint.pptx
radiagana1
 
Introduction_Reseau.ppt
Introduction_Reseau.pptIntroduction_Reseau.ppt
Introduction_Reseau.ppt
AmalHadri2
 
Virtuals LAN
Virtuals LANVirtuals LAN
Virtuals LAN
Thomas Moegli
 
Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco
DJENNA AMIR
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANMise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Ghassen Chaieb
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
DENAGNON FRANCK ✔
 

Recommandé

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
Présentation PowerPoint.pptx
Présentation PowerPoint.pptxPrésentation PowerPoint.pptx
Présentation PowerPoint.pptx
radiagana1
 
Introduction_Reseau.ppt
Introduction_Reseau.pptIntroduction_Reseau.ppt
Introduction_Reseau.ppt
AmalHadri2
 
Virtuals LAN
Virtuals LANVirtuals LAN
Virtuals LAN
Thomas Moegli
 
Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco
DJENNA AMIR
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANMise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Ghassen Chaieb
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
DENAGNON FRANCK ✔
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Tactika inc.
 
mémoire la légitimité des ONGs vue à travers la question de l'eau
mémoire la légitimité des ONGs vue à travers la question de l'eaumémoire la légitimité des ONGs vue à travers la question de l'eau
mémoire la légitimité des ONGs vue à travers la question de l'eau
Robin Abric
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
Med Amine El Abed
 
Concepts et configuration de base de la commutation
Concepts et configuration de base de la commutationConcepts et configuration de base de la commutation
Concepts et configuration de base de la commutation
EL AMRI El Hassan
 
Tp voip
Tp voipTp voip
Tp voip
amalouwarda
 
cours ospf
cours ospf cours ospf
cours ospf
EL AMRI El Hassan
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6
EL AMRI El Hassan
 
Réseau lora
Réseau loraRéseau lora
Réseau lora
IoT Tunisia
 
IPv6
IPv6IPv6
IPv6
Thomas Moegli
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
sara ousaoud
 
IPv6
IPv6IPv6
IPv6
medalaa
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
Mouad Lousimi
 
Cours Bus de communication et réseaux industriels. Chapitre 1 : introduction.
Cours Bus de communication et réseaux industriels. Chapitre 1 : introduction.Cours Bus de communication et réseaux industriels. Chapitre 1 : introduction.
Cours Bus de communication et réseaux industriels. Chapitre 1 : introduction.
Tarik Zakaria Benmerar
 
Equipements d'interconnexion
Equipements d'interconnexionEquipements d'interconnexion
Equipements d'interconnexion
Ines Kechiche
 
Présentation etherchannel
Présentation etherchannelPrésentation etherchannel
Présentation etherchannel
Lechoco Kado
 
Securité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngnSecurité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngn
Intissar Dguechi
 
Concept et réalisation d’un système de communication unifiée multi-sites
Concept et réalisation d’un système de communication unifiée multi-sitesConcept et réalisation d’un système de communication unifiée multi-sites
Concept et réalisation d’un système de communication unifiée multi-sites
Amadou Dia
 
Vpn
VpnVpn
Vpn
kwabo
 
Système de câblage
Système de câblageSystème de câblage
Système de câblage
DJENNA AMIR
 
Les vlans
Les vlansLes vlans
Les vlans
Lhoussain Ait Benmouh
 

Contenu connexe

Tendances

mémoire la légitimité des ONGs vue à travers la question de l'eau
mémoire la légitimité des ONGs vue à travers la question de l'eaumémoire la légitimité des ONGs vue à travers la question de l'eau
mémoire la légitimité des ONGs vue à travers la question de l'eau
Robin Abric
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm
 

Tendances (20)

Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
mémoire la légitimité des ONGs vue à travers la question de l'eau
mémoire la légitimité des ONGs vue à travers la question de l'eaumémoire la légitimité des ONGs vue à travers la question de l'eau
mémoire la légitimité des ONGs vue à travers la question de l'eau
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Concepts et configuration de base de la commutation
Concepts et configuration de base de la commutationConcepts et configuration de base de la commutation
Concepts et configuration de base de la commutation
 
Tp voip
Tp voipTp voip
Tp voip
 
cours ospf
cours ospf cours ospf
cours ospf
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6
 
Réseau lora
Réseau loraRéseau lora
Réseau lora
 
IPv6
IPv6IPv6
IPv6
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
IPv6
IPv6IPv6
IPv6
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Cours Bus de communication et réseaux industriels. Chapitre 1 : introduction.
Cours Bus de communication et réseaux industriels. Chapitre 1 : introduction.Cours Bus de communication et réseaux industriels. Chapitre 1 : introduction.
Cours Bus de communication et réseaux industriels. Chapitre 1 : introduction.
 
Equipements d'interconnexion
Equipements d'interconnexionEquipements d'interconnexion
Equipements d'interconnexion
 
Présentation etherchannel
Présentation etherchannelPrésentation etherchannel
Présentation etherchannel
 
Securité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngnSecurité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngn
 
Concept et réalisation d’un système de communication unifiée multi-sites
Concept et réalisation d’un système de communication unifiée multi-sitesConcept et réalisation d’un système de communication unifiée multi-sites
Concept et réalisation d’un système de communication unifiée multi-sites
 
Vpn
VpnVpn
Vpn
 

En vedette

Etude de la mise en place des protocoles de la redondance des routeurs hsrp &...
Etude de la mise en place des protocoles de la redondance des routeurs hsrp &...Etude de la mise en place des protocoles de la redondance des routeurs hsrp &...
Etude de la mise en place des protocoles de la redondance des routeurs hsrp &...
Aziz Rgd
 

En vedette (20)

Système de câblage
Système de câblageSystème de câblage
Système de câblage
 
Les vlans
Les vlansLes vlans
Les vlans
 
Vlans
VlansVlans
Vlans
 
Etude de la mise en place des protocoles de la redondance des routeurs hsrp &...
Etude de la mise en place des protocoles de la redondance des routeurs hsrp &...Etude de la mise en place des protocoles de la redondance des routeurs hsrp &...
Etude de la mise en place des protocoles de la redondance des routeurs hsrp &...
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
Eléments d'interconnexion pour les réseaux informatiques
Eléments d'interconnexion pour les réseaux informatiquesEléments d'interconnexion pour les réseaux informatiques
Eléments d'interconnexion pour les réseaux informatiques
 
Cours routage inter-vlan
Cours routage inter-vlanCours routage inter-vlan
Cours routage inter-vlan
 
4 protocole de redondance(hsrp-vrrp-glbp)
4 protocole de redondance(hsrp-vrrp-glbp)4 protocole de redondance(hsrp-vrrp-glbp)
4 protocole de redondance(hsrp-vrrp-glbp)
 
Composants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur CiscoComposants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur Cisco
 
Montage d'un petit réseau
Montage d'un petit réseauMontage d'un petit réseau
Montage d'un petit réseau
 
cours le routage statique (ipv4 et ipv6)
cours le routage statique (ipv4 et ipv6)cours le routage statique (ipv4 et ipv6)
cours le routage statique (ipv4 et ipv6)
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
Cours Vlan
Cours VlanCours Vlan
Cours Vlan
 
Chapter 05 - Inter-VLAN Routing
Chapter 05 - Inter-VLAN RoutingChapter 05 - Inter-VLAN Routing
Chapter 05 - Inter-VLAN Routing
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
 
Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance
 
Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques
 
VLAN
VLANVLAN
VLAN
 
Cours VTP
Cours VTPCours VTP
Cours VTP
 
Cours eigrp i pv4 et ipv6
Cours eigrp i pv4 et ipv6Cours eigrp i pv4 et ipv6
Cours eigrp i pv4 et ipv6
 

Similaire à 3 switchport securité

cours_sockets_chap3 patie_I_22_03_2020.pdf
cours_sockets_chap3 patie_I_22_03_2020.pdfcours_sockets_chap3 patie_I_22_03_2020.pdf
cours_sockets_chap3 patie_I_22_03_2020.pdf
Sophie569778
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
Crouzet Automation - em4 Ethernet Brochure, version française
Crouzet Automation - em4 Ethernet Brochure, version françaiseCrouzet Automation - em4 Ethernet Brochure, version française
Crouzet Automation - em4 Ethernet Brochure, version française
Crouzet
 

Similaire à 3 switchport securité (20)

Port security
Port securityPort security
Port security
 
Switching
SwitchingSwitching
Switching
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk web
 
serveur kanne passerelle-sms
serveur kanne passerelle-smsserveur kanne passerelle-sms
serveur kanne passerelle-sms
 
Cours couche application
Cours couche applicationCours couche application
Cours couche application
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITM
 
cours_sockets_chap3 patie_I_22_03_2020.pdf
cours_sockets_chap3 patie_I_22_03_2020.pdfcours_sockets_chap3 patie_I_22_03_2020.pdf
cours_sockets_chap3 patie_I_22_03_2020.pdf
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
EtherChannel
EtherChannelEtherChannel
EtherChannel
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
 
Crouzet Automation - em4 Ethernet Brochure, version française
Crouzet Automation - em4 Ethernet Brochure, version françaiseCrouzet Automation - em4 Ethernet Brochure, version française
Crouzet Automation - em4 Ethernet Brochure, version française
 

3 switchport securité

  • 1. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 1 Free Powerpoint Templates Sécurité des ports « Switch » Présenter par : Djediden Med Fiad Alaa
  • 2. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 2 Introduction  La sécurité des réseaux informatiques est un sujet essentiel pour favoriser le développement des échanges dans tous les domaines.  la sécurité recouvre à la fois l'accès aux informations sur les postes de travail, sur les serveurs ainsi que le réseau de transport des données.  Il peut s'agir :  d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante  d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système  de sécuriser les données en prévoyant les pannes  de garantir la non-interruption d'un service
  • 3. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 3 Introduction  On distingue généralement deux types d'insécurité :  l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du système  l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose  Comment se protéger ? • se tenir au courant • connaître le système d'exploitation • réduire l'accès au réseau (firewall) • réduire le nombre de points d'entrée (ports) • définir une politique de sécurité interne (mots de passe, lancement d'exécutables) • déployer des utilitaires de sécurité (journalisation)
  • 4. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 4 Les types de menaces Les attaques les plus fréquentes sur les commutateurs sont : • inondation d’adresses MAC • attaques par mystification • attaques CDP • attaques Telnet • attaque de mot de passe en force
  • 5. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 5 Inondation d@ MAC submerge la table d’adresses MAC avec de fausses adresses. Lorsque celle-ci est saturée, le commutateur fonctionne comme un hub et diffuse toutes les trames sur tous les ports. Une personne malveillante peut voir alors les trames transmises vers l’hote qu’il souhaite attaquer.
  • 6. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 6 Attaque par mystification  On active le DHCP snooping dans la configuration générale : switch(config)#ip dhcp snooping  A partir de ce moment là tous les ports du switch sont considérés en tant que ports « untrust ».  Pour configurer un port en tant que port de confiance, faire comme suit : switch(config)#interface fa0/1 switch(config-if)#ip dhcp snooping trust switch(config-if)#ip dhcp snooping limit rate 100 (on limite à 100 requêtes/seconde)
  • 7. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 7 Attaque CDP / Telnet  CDP est un protocole propriétaire cisco qui détecte tous les périphériques voisins ; il est activée par défaut. Il donne des informations sur le périphériques tels que l’ad. IP, l’IOS, la plateforme etc. Il est donc préférable de désactiver le protocole CDP. no cdp run,no cdp enable  Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH.  L’attaque de mot de passe en force : un pirate commence par utiliser des mots de passe courants, puis des combinaisons de caractères pour tenter de deviner un mot de passe et effectuer une connexion sur le commutateur. Il est donc important d’avoir un mot de passe fort et de le modifier régulièrement.
  • 8. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 8 Mode du port Quand on branche un équipement sur un switch il est soit en accès (il est dans un vlan) ou en trunk (il est dans plusieurs vlans). Qu’est-ce qu’un port en mode accès ? Quand on a un équipement en mode accès c’est le switch qui gère pour lui le vlan avec lequel il communique. On l’utilise principalement pour les machines. Comment mettre un port en mode accès sur un switch : Switch(conf)# interface f0/10 Switch(conf-if)# switchport mode acces Switch(conf-if)# switchport acces vlan 10  Qu’est-ce qu’un port en mode trunk ? Quand on a un équipement en mode trunk c’est ce dit équipement qui gère le/les vlan(s). Ce mode est principalement utilisé pour les interconnexions entre switchs ou vers un routeur, vers un firewall ou même vers une machine de supervision. Comment mettre un port en mode trunk : Switch(conf)# interface f0/10 Switch(conf-if)# switchport mode trunk Une étiquette est placée dans l’en-téte de chaque trame au moment où celle-ci rejoint le trunk. Lorsque la trame quitte le trunk, le switch retire l’étiquette avant de transmettre la trame à l’hote destinataire.
  • 9. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 9 Configuration par défaut d’un port
  • 10. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 10 Sécurisé les ports  Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de rassembler des informations ou de mener des attaques sur le réseau.  La sécurisation passe par la limitation du nombre d’adresses MAC utilisées sur un port.  on peut spécifier un nombre maximum d'adresse: 1 (par défaut) à 132. SW1(config-if)#switchport port-security maximum 2  Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, une violation de sécurité se produit.  Il existe plusieurs façons de configurer la sécurité des ports sur un commutateur : • adresses MAC sécurisées statiques • adresses MAC sécurisées dynamiques • adresses MAC sécurisées rémanentes
  • 11. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 11 @ mac sécurisé statique  Le mode statique : les adresses mac autorisées sont configurées manuellement à l’aide de la commande de configuration d’interface : S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security mac-address ad. MAC S1(config-if)# end  L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée dans le running-config.
  • 12. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 12 @ mac sécurisé dynamique  Une adresse MAC sécurisée dynamique est récupérée dynamiquement et stockée uniquement dans la table d’adresses MAC.  c’est le premier hôte qui va se connecter et envoyer une trame qui va en être en quelque sorte le propriétaire.  L’adresse est supprimée au redémarrage du Switch. S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# end
  • 13. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 13 @ mac sécurisé rémanente  Une adresse MAC sécurisée rémanente est apprise dynamiquement, puis enregistrée dans le running-config. S1(config)# interface fa0/15 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security maximum 10 S1(config-if)# switchport port-security sticky S1(config-if)# end  De plus les adresses MAC sécurisées rémanentes présentes les caractéristiques suivantes : • l’utilisation de la commande switchport port-security sticky convertit toutes les adresses MAC utilisées sur le port et les ajoute toute dans le running-config. • l’utilisation de la commande no switchport port-security sticky efface les adresses MAC sécurisées rémanentes du running-config mais les garde dans la table d’adresses MAC.
  • 14. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 14 Mode de violation  On considère qu’il y a violation de sécurité lorsque l’une des situations suivantes se présente : • le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelle adresse MAC tente d’accéder à l’interface. • une adresse MAC statique ou dynamique associée à une interface tente d’accéder à une autre interface dans le même réseau.  il existe trois modes de violation configurable sur une interface : 1. Protect : les trames sont ignorées. Aucun message de notification n’est envoyé. 2. restrict : les trames sont ignorées. Un message syslog est envoyé. 3. shutdown : Le port est immédiatement désactivé et un message syslog est envoyé. Le port peut être réactivé manuellement avec la commande no shutdown.
  • 15. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 15 Vérification de la sécurité  Pour vérifier les paramètres de sécurité des ports : S1# show port-security [interface fa0/15 ] Par défaut, les paramètres de la sécurité des ports sont les suivants :  Pour vérifier les adresses MAC sécurisées : S1# show port-security address [interface fa0/15 ] Désactivation des ports inutilisés Une méthode simple pour sécuriser un commutateur est de désactiver les ports inutilisés avec la commande shutdown. Il est possible de désactiver plusieurs ports en même temps avec la commande : S1(config) # interface range fa 0/2 - 8 S1(config-if)# shutdown
  • 16. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 16