la sécurité des réseaux avec cisco

Ce livre sur la scurit des rseaux avec CISCO sadresse aux administrateurs rseaux dsireux damliorer la scurit de leur domaine et aussi aux tudiants dj familiers de la gamme du constructeur. Des clbres Access-lists aux dernires innovations en matire danalyse protocolaire et de VPN SSL, en passant par la scurit des rseaux sans fil, ce livre propose un tour dhorizon de ce quil est possible dentreprendre pour protger efficacement son rseau en exploitant au mieux les possibilits offertes par les quipements couramment utiliss par les entreprises. Le thme de la scurit est dans un premier temps abord en oprant une correspondance avec les couches du modle OSI avant dtre examin dans le dtail avec les configurations propres aux points daccs Wi-Fi, aux routeurs, aux commutateurs Ethernet et aux pare-feux. Les problmatiques de scurit autour de la tlphonie sur IP font quant elles lobjet dun chapitre dans lequel sont galement dveloppes les mesures permettant de prserver la confidentialit des communications grce la cryptographie. Le livre se veut didactique et prsente les rflexions pralables la construction dune infrastructure scurise ainsi que les configurations des quipements, illustres avec les innombrables possibilits de la ligne de commande Cisco.

Ce livre numrique a t conu et est diffus dans le respect des droits dauteur. Toutes les marques cites ont t dposes par leur diteur respectif. La loi du 11 Mars 1957 nautorisant aux termes des alinas 2 et 3 de larticle 41, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destines une utilisation collective, et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale, ou partielle, faite sans le consentement de lauteur ou de ses ayants droit ou ayant cause, est illicite (alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et suivants du Code Pnal. Copyright Editions ENI

CiscoLa scurit des rseaux

VincentREMAZEILLES

Rsum

L'auteur Vincent Remazeilles est Ingnieur Rseau et Scurit, titulaire d'un DESS Scurit des SI. Il effectue diffrentes missions en tant que consultant Senior dans le domaine de la scurit auprs de grands comptes industriels. A travers ce livre, le lecteur bnficie de toute son expertise et exprience dans le domaine de la scurit et des quipements Cisco

- 1 - ENI Editions - All rigths reserved - Moha Anisa

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MWZIvUMVPM2ICwA=-enidentnumber

Introduction

CelivreestdestinunpublicquipossdequelquesnotionssurlaconfigurationdesquipementsdelagammeCiscoenlignedecommandeainsiquenrseauxIP.LobjectifdecelivreestdedonneraulecteurunevuesurlespossibilitsoffertesparCiscosurlesrouteurs,lescommutateursEthernetetlesparefeulespluscommunmentrencontrsdanslesentreprises.Ilestquestionicidetirerlemeilleurpartidecesquipementsdansledomainedelascuritavecdesmanipulationsaismentcomprhensibles.

NousaborderonslascuritdesrseauxdedonnesennousrfrantauxcouchesdumodleOSI.Cetteapprochealavantagedefaciliterlacomprhensiondesdiversestechniquesmisesenuvreetaidegrandementlorsquilsagitdesepencherauchevetdunrseauenpanne.

Lesextraitsdeconfigurationetlesexemplesquiillustrentleschapitresdecelivresontengrandepartieissusdelaligne de commande (CLI (Command Line Interface)), ce choix est motiv par une grande rgularit de cellecicontrairementauxinterfacesgraphiquesquisontenperptuellevolution.

Audel des couchesdumodleOSI, nous avons fait le choix demettre en avant les parefeu et la scurit de latlphoniesurIPenleurconsacrantdeuxchapitres.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MegZ4UsVPM2ICwA=-enidentnumber

Structuredulivre

Lechapitre"Lascuritdescouchesuneetdeux"estconsacrauxdeuxpremirescouchesdumodleOSI.Cesdeuxcouches basses trs proches du mdia physique sont la porte dentre dans le systme dexploitation desquipementsoudeshtesdunrseau.Nousaborderonsdanscechapitrelaprotectiondelacouchephysiquecontreles tentatives daccs. Quant la couche 2, elle est la cible de nombreuses attaques visant sintroduirefrauduleusementsurlesrseauxenusurpantlidentitdunhtequisytrouvedj.Nousaborderonsgalementlesujetdelauthentificationpralabletouteconnexionsurlerseau.

Lechapitre"Lascuritdelacoucherseau"estddiauxcouchesrseauettransportdumodleOSI.CestluniversduprotocoleTCP/IPquiestlemodedecommunicationdurseauInternetetdesrseauxdentreprise.Lesrseaux,siaucunemesurenestprise, communiquentnaturellemententreeuxet lesmesuresdeprotectionabordesdanscechapitre introduisent les listes de filtragedaccs destines limiter les communications lorsque le besoin sen faitsentir.LescommunicationsquiutilisentTCP/IPncessitentparfoisuneprotectioncontrelescoutesafindeprserverunniveaulevdeconfidentialit.NousprsenteronsdanscechapitreunemaniredescuriserlescommunicationsintersitesavecIPSec.

Le chapitre "La scurit des rseaux sans fil" aborde les problmatiques lies au rseaux sans fil communmentdsignsparlenomdeWiFi.Cesrseauxutilisent lesondesradiopourinterconnecter lesclientsaurseaufilaire.ToutcommepourTCP/IP,siriennestentrepris,lespointsdaccssansfilspeuventtoutfaitoffrirleursservicesaupremiervenucequinestpassouhaitable.Nousaborderonslesmthodesdaccsscurisesetlesmesuressimplesquipermettentdelimiterlaportedesondesradiotoutenoffrantunservicedequalit.

Lechapitre"Notionsdarchitecturerseauscurise"traitedesnotionsdarchitecturerseautoujourssousleprismedelascurit.Ciscorecommandeunmodlerseaudcoupenzonesquifavoriselapplicationderglesdescuritenfonctiondelaprotectionncessiteparlazone.Cedcoupagecorrespondaussiceluideszonesfonctionnellesdelentreprisecommenousleverrons.Nousaborderonslesrelationsentrecesdiverseszonesetlesensparticulierdesfluxentreelles.Larchitecturerevtdeparlestudesquellegnreunegrandeimportancepourlaconsistancedunrseau.

Le chapitre "La protection des quipements" introduit labsolue ncessit de porter une grande attention laprotection des quipements qui constituent lossature du rseau. Sans une protection adquate des quipementsceuxci sont exposs aux attaquesmais aussi aux erreurs demanipulation. La protection des journaux est aussivoque.

Lechapitre"ScuritdelatlphoniesurIP"estconsacrlascuritdelatlphoniesurIPquifaitpartiedenotrequotidienprofessionneletpersonnel.Nousconstateronsquecettetechnologieentantquapplicationenrseauhritedes problmes de scurit de toutes les couches du modle OSI. La tlphonie sur IP pour la protection desconversationsetdelasignalisationfaitlargementappellacryptographie.Lesfonctionsdefiltragesurlasignalisationpermettentdentraverlestentativesdefraudes.

Lechapitre"Firewalls"estentirementconsacrauxparefeuettoutparticulirementaumodlepharedeCisco, lemodleASA.CechapitrecomportedesdescriptionsdesfonctionstellesqueleslistesdescuritsouACL,lacrationdeszonesdmilitarises(ouDMZ)etlaTraductiondAdressesRseau.UnepartieestconsacrelatlphoniesurIPainsiquauxVPNSSLquiconstituentunmoyendaccsscurispourlesutilisateursnomades.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MVa5TFEVPM2ICwA=-enidentnumber

Lapolitiquedescuritrseau

Cestuneexpression,unconceptparfoisunpeufloudontonentendparlerlorsquildevientncessairedesorganiser.Questcequunepolitiquedescurit?Enavonsnousbesoin?Larponseestoui.

Une politique de scurit est un document dans lequel se trouvent (sil est bien labor) toutes les rponses auxquestionsquun ingnieurenchargedunetudesepose lorsquilaborde levoletscuritdunprojet informatiquedontlarussitedpendentreautresdelapriseencomptedsledbutdescontraintesdescurit.(Nousparlonsaussidexigences).Unepolitiquedescuritestdoncundocumentconfidentiel (largementdiffus toutefois)quienfaisantabstractiondescontingencesmatriellesettechniquesfournitunecollectiondedirectivesdescuritclassesparthmes.Lamiseenpratiquedelapolitiquedescuritestlapplicationdesdirectivesauxthmescouvertsparleprojet.

Lathmatiquerseaudanslapolitiquedescuritenglobelesrecommandationspourlexploitationdesliensrseauxetdesquipements.Lesdomainesabordsvoluentaveclesintrtsconomiquesdelentrepriseetconcernententreautres:

l lagestiondesaccsaurseauetauxressources(enrelationaveclagestiondesidentitsetdesdroits)

l lacryptographie

l lascuritdesquipementsetdesconfigurations

l lascuritdessystmesterminaux.

Cependant,ilseraitillusoireetcoteuxdevouloirtoutprixprotgerlentiretduneinfrastructureinformatiquelamaniredunFortKnox.Cestpourquoi, lapolitiquedescuritsappliquedesdegrsdiversaux rseauxetauxquipementsenfonctionduniveaudeconfidentialitentrelespopulationsetlesressources.

La conception de la politique de scurit dbute donc avec une classification du niveau de confidentialit desressourcesetdhabilitationdespopulations.Enfonctiondecetteclassification,desrglessontmisesetcritesdansledocument.Cetravailestfastidieuxmaisnerevtpasuncaractreobligatoire.Ilestenvisageabledetoutclassifierunniveauuniqueetainsidesimplifierlapolitiquedescurit.

Leschmasuivantillustrecettenotion.

Considronsunexemplesimple :

Une population reoit une habilitation de niveau confidentiel. Un ensemble de documents est galement classconfidentiel.

Lapolitiquedescuritindique :


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MaIMNFoVPM2ICwA=-enidentnumber

l laccsdesdocumentsclasssconfidentielnestautorisquauxpersonnelsdisposantdunehabilitationceniveauouunniveausuprieur

l laduredutilisationdesdocumentsclasssdetypeconfidentielestenregistre

l lesdocumentsclasssconfidentielsontuniquementaccessiblesenlectureseule

l lesdocumentsclasssconfidentielsontconsultablesdistanceuniquementautraversduncanalchiffrsurlesrseauxdetypeLANouWAN.

Cet exemple illustre la relation entreunepopulation, une ressource, unniveaude confidentialit et la politiquedescurit. Cette approche est primordiale dans la mesure o les rseaux dentreprise ne sont plus limits leursfrontirestraditionnellesmaisstendentvers lesrseauxdeleurspartenairestoutenrecevant lesconnexionsdesemploysendplacementetcourammentdsignscomme"nomades".

Ces rgles sont audessus de toute contingence technique. Une obligation de chiffrer les communications sur uneliaisonnindiquepasobligatoirementqueltypedechiffrementserautilisdanslamesureolestechniquesvoluentenpermanence.Malgr tout, ilestenvisageablede leprciserconditiondeveiller lamise jourpriodiquedudocument.

Compltonslexempleprcdent:

...autraversduncanalchiffrsurlesrseauxdetypeLANouWAN.ChiffrementenAES256surlesquipementsdurseauavecauthentificationparcertificats.Ilestgalementpossible,encomplmentdecetteprcision,quelamiseenuvre du chiffrement relve dune autre documentation dfinissant les standards en vigueur pour le dploiement.Enfin,ladocumentationtechniqueprciselamaniredontleprotocoleestconfigursurlesquipementsdurseau.

Lardactiondunepolitiquedescuritestuntravailsurmesuredont ledocumentfinalestapplicabletoutes lesressourcesettouteslespopulationsdelentreprise.Cedocumentestobligatoirementvalidauplushautniveaudelahirarchie.Ilestimportantdefairevoluerlapolitiquedescuritenfonctiondesliensquinemanquentpasdesetisser avec les partenaires et les clients. Une politique qui nvolue pas perd tout son sens et devient peu peuinapplicable.LalittratureanglosaxonnereprendlinfinileconceptdudocteurDEMING Plan,Do,Check,Act cequidansnotrelanguesetraduitparplanifier,faire,vrifier,corriger.Cecisappliquetoutfaitlapolitiquedescuritetconstitueunvritablecycledvolutionpermanente.

La rdaction de la politique de scurit nen est pas pour autant une affaire de spcialistes extrieurs. Danslentreprise,ilestrecommanddecrerungroupedetravailautourdelardactiondecedocument.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MaIMNFoVPM2ICwA=-enidentnumber

Terminologie

Nous allons brivement voquer les quelques motscls qui sont largement repris dans la littrature informatiquelorsquelascuritestaborde.

Une vulnrabilit est une faiblesse le plus souvent cache touchant une infrastructure informatique. Ce terme estfrquemmentassociauxlogicielsmaisilregroupeplusgnralementtoutefaiblessequellequensoitlanature.Uneerreurdeconfigurationdunquipementrseauconstitueunevulnrabilittoutcommeunmotdepassevideoutrivial.Lexpressionfailledescuritestgalementemploye.Lesmoyensetlesmthodesvisantliminerlesvulnrabilitssontfacilesmettreenpratiqueetrequirent :

l deseteniraucourantdesvulnrabilitsauprsduconstructeur

l dopreruneveilletechnologiquepartirdesitesInternetddislascuritinformatique

l detestersurunenvironnementdevalidationlescorrectifspublis

l detesteruneprocdurederetourenarrire

l dinstallerlecorrectif

l dobserverlecomportementdelinfrastructuredeproduction.

Un risque est la probabilit quun problme survienne lorsquune vulnrabilit est expose une populationmalveillantequitenteradelexploiter.Ilexistedautresdfinitionsselonlanormelaquelleonserfre.Lobjectifdelascuritinformatiqueestdediminuerlepluspossiblelerisquepartouslesmoyensdisponibles.

Exploiter une vulnrabilit revient utiliser cette faiblesse pour mettre mal le dispositif vis par lattaque.Concrtement,unexploitestunpetitprogrammequiestlancendirectiondeladresserseaudusystmevis.Lesquipements et les architectures informatiques comportent parfois de multiples vulnrabilits qui ne sont jamaisrvles publiquement et ne sont donc jamais corriges, en revanche les individus qui les ont dcouvertes lesexploitentleurguisepourleurproprecompte.

Mettrejourunsystmeouunquipementrseauconsisteappliquerlescorrectifspublisparleconstructeuretfaisantsuitelarvlationdunevulnrabilit.Enlamatire,laprudencesimposeetavecelletouteslessriesdetests ncessaires afin de vrifier le bon fonctionnement de lensemble concern une fois que les correctifs ont tappliqus. Quoi quil en soit, un suivi rgulier des publications, des correctifs et des retours dexprience sontfortementrecommands.

Lapolitiquedescuritestlaboreenfonctiondunevariableconnuesouslenomdenvironnement.Lenvironnementdansledomainedelascuritinformatiqueestladfinitiondeluniversdanslequelvolueunsystmedinformation.Lenvironnement,dansledomainedelascurittablitunecartedesmenacespotentiellesquiplanentsurunsystmedinformation. Il sagit au final de dterminer la porte de la politique de scurit en fonction des menaces dontlentreprisesouhaiteseprmunir.Parexemple,uneentreprisedcidedinstaurerdesmesuresdeprotectioncontrelesmenaceslespluscourantes(etdyconsacreruncertainbudget)maisdcidedenepastraiterlesmenacesmanantdagencesgouvernementales.Lavariabledenvironnementestdoncutilisepourrgler ledegrdeprotectiondelapolitiquedescuritfaceunecatgoriedemenaces.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MSulAmQVPM2ICwA=-enidentnumber

Cycledelapolitiquedescurit

Commenouslavonsvoqu,lapolitiquedescuritsuituncycleconnulenomdecycledeDEMING.Parcouronsenlesphases.

1.Laplanification(Plan...)

La planification commence avec la dcision dorganiser formellement la scurit. Elle consiste en un inventaireexhaustifdesressourcesprotgeretlardactiondedirectivespourchaquedomaineconcern.lafindecettephasedeplanification,lapolitiquedescuritserardigeparlegroupedetravailaveclassistanceventuelledunconsultantayantunevueextrieuresurlentrepriseetsonprojet.Unefoiscriteetrelue,elledoitabsolumenttrevalide par la plus haute autorit afin quaucune contestation ne soit possible quant son cadre dapplication.Ltape suivante est sa publication sous la forme dun document confidentiel mais facilement accessible. Sapublication va de pair avec une large diffusion auprs des quipes en charge des projets et de lexploitationdelinfrastructure informatique. Il est primordial dinclure les contraintes de scurit ds les premires phases quijalonnentledroulementdunprojetafindenepasrisquerdelinterrompresilvenaitprendreunevoiecontrairelapolitiquedescuritenvigueur.

Lapolitiquedescuritestdclineendomainesfonctionnelsquireprsententlemodledusystmedinformationdelentreprise.Sonorganisationprendlaformedechapitresauseindesquelsfigurentlespointsrespecter.Citonsparexemple,lechapitresurlascuritdessystmesdexploitation,lascuritdesbasesdedonnesetlascuritdes communications qui nous intresse au premier chef. Les divers intervenants lors de la phase de planificationdevronttoujoursavoirlespritqueleurtexteserviradebaseauxtravauxdescurisationquinemanquerontpasdesesuccder.Ainsilaclartetlaprcisiondespropossontdemiselorsdellaborationdelapolitiquedescurit.

2.Lamiseenuvre(Do...)

La mise en uvre de la politique de scurit correspond point pour point ce que nous venons de dcrireprcdemment.Ladhsiondetousaurespectdesrglesdcritesestlefondementdunebonnepriseencomptedelascurit.

Lapolitiquedescuritestprincipalementmiseenuvrelorsdespremiresphasesdeprogressiondunprojetquelquilsoit.Celivresecantonnelascuritdesrseaux,maislechampdapplicationdelapolitiquedescuritestvaste. La politique de scurit est une rfrence qui doit tre introduite dans chaque activit en relation avec lesystmedinformation.titredexemple,unprojetpartantdunefeuilleblancheouvisantmodifierunepartiedelarchitecturedoitimprativementserfrerlapolitiquedescurit.Ainsi,lesspcificationstechniquesreprennenttouteslesrfrencesutilesdelapolitiquedescuritafindelesintgrernaturellement.Lexpriencemontrequelascuritsiellenestpaspriseencomptedslesprmicesdunprojetpeineparlasuitesyintgrer.Cestlaraisonpourlaquelleladiffusiondelapolitiquedescuritdoitviserunlargepublicetilestbonquechaqueresponsabledesecteur(basededonnes,dveloppement,rseaux)matriselapartiequileconcerne.

3.Lesuivi(Check...)

Le suivi de la politiquede scurit consiste sassurer que les contraintes imposes par le texte sont prises encompte par les quipes en charge des projets et celles en charge de lexploitation. Cela implique une prsencesystmatiquedunreprsentantouresponsablede lascuritauxrunionsdesuivietuncontrledesprocessusdexploitationenvigueur.Lesmenaceset lestechniquesvoluentperptuellementetunepolitiquedescuritenaucuncasne saurait rester fige. Le risquetantquellenesoit toutsimplementplusapplique.Cetteapprocheconcernedonclesuividelapplicationdelapolitiquedescurit

Lvolutionde lapolitiqueestdoncpriseen compteds sadfinitionpar llaborationdunemthodede rvisionaccompagnedunfacteurtemps.Silentreprisesurveillelvolutiondesmatrielsetdestechnologiesquellemetenuvre, lesuividuprocessusdemise jourde lapolitiquedescuritenseragrandement facilit.Toutefois, lesmenacesetlestechniquesdeprotectionenperptuellevolutioncommandentdetempsautreunevolutiondelapolitiquedescuritavantladatedervisionplanifie.Cecidoitmalgrtoutresterexceptionnelcarlapolitiquedescuritdeparsonmodedlaborationbalayeunlargepaneldemesures.

4.Agir(Act...)

Lorsquelebesoinsenfaitsentiroulorsqueladateplanifiedervisionapproche,ilsagitaprsanalyseetreflexiondemodifierlapolitiquedescuritdanslebutdeladapterauxmenacesquipsentsurlesservicesquellecouvreousurdenouveauxservices.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MeLRGmkVPM2ICwA=-enidentnumber

Prenons par exemple le cas des VPN SSL que nous aborderons lors du chapitre consacr aux parefeu. Cettetechniquepartentiremritedesevoirconsacrerunchapitredelapolitiquedescuritcarellemetenuvredesfonctionnalits rparties sur de trop nombreux chapitres pour tre exploitable en ltat. Sur ce point, il sembleraisonnabledanticiperlvolutiondelapolitiquedescuritpournepasavoirgrerenmmetempslesquestionsinhrentesunprojetencoursaveccellesquinemanquentpasdeseposerlorsdunerefontedunteldocument.Lquipeenchargedusuividelapolitiquedescuritpassedonclamaincelleenchargedesonvolutionetdesarvision.Unefoisceprocessustermin,lapolitiquedescuritrviseestremiseenservicepuisdiffuse.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MeLRGmkVPM2ICwA=-enidentnumber

Miseenapplication

Nousallonsdansce livremettreenpratique laphasedeplanificationducycledeviedunepolitiquedescuritautravers de chapitres qui au dpart suivront les couches qualifies de basses du modle OSI. En la matire, leraisonnementencoucheestparfaitementadaptcarilpermetundcoupageetunenchanementlogiquedestchesqui conduisent unmodle de scurit acceptable et applicable. Audessus de la couche rseau et de la couchetransportnouspntronsdansluniversdesapplicationspourlesquellesnousdisposonsgalementdefonctionsdescuritavances.

Pourchacunedecestapesnousposerons,pralablementtoutdveloppement,unelistedexigencesdescuritauregarddelaquellenoustrouveronslessolutionscorrespondantes.Cetteapproche,dslesprmicesdunprojetapouravantagedefaciliterlexpressionordonnedesbesoinsoulardactiondunappeldoffrecohrent.Enrglegnrale,lesexigencessontclassespargrandsthmesgnriquesquisontdclinsparlasuiteenexigencesunitairesellesmmesaccompagnesdunebrvedescriptionetparfoisderfrencesdautresexigences.Cetteclassificationestunfondementdelapolitiquedescurit.Leschmareprsenteunevueclatedunextraitdesexigencesdescuritrseau.Chaqueflchedveloppeunsousdomainejusqudvoilerlexigencequistipulelutilisationdunprotocoledechiffrement.Ilestnoterquaucunproduit(aucunemarque)nesticicit.

LesexigencesdescuritontpourobjectifdansleschapitresquisuiventlintroductiondessolutionstechniquesquisontproposesparCisco.cetitre,ellesrestentpositionnesunniveaulevquelonpourraitqualifierdegnral,chacuntantlibreparlasuitedelesdclinerenfonctiondesesproprescontraintes.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MV7/23EVPM2ICwA=-enidentnumber

Conclusion

Lapolitiquedescuritestunlmentindispensableetpralabletouteentreprise(danslesensdumotprojet).Elleslaborepartirdunerflexionportantsurlaprotectiondesressourcesetleniveaudaccsdesutilisateursquiestluimmefonctiondunniveaudeconfianceetderesponsabilit.Cedocumentest le fruitdun travail itratifetdoitsuivre,voiretreenavance,surlvolutiondelarchitecture.

La politique de scurit estmise disposition des entits qui travaillent notamment la planification ainsi qu laralisationdeprojets.Cesderniresdoiventimprativementsaisirlancessitdelintgrerdslespremiresphasesen drivant ses prconisations sous la forme dexigences destines faciliter la rdaction dappels doffre oullaborationdelarchitecturechoisie.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MQFXnnYVPM2ICwA=-enidentnumber

Introduction

Ce chapitre aborde des notions gnrales et fondamentales sur la protection des rseaux de donnes et sur lescouchesditesbassesdumodleOSI.Lescouchessontinterdpendanteslogiquementparleursinterfacescommunesrespectives.

Lacompromissiondunecoucheentraneunrisquelevdecompromissiondescouchessuprieures

Lesnotionsquenousallonsaborderconcernentlacouchephysiqueetsontapplicablesquelquesoitlefabricantdumatriel utilis. Lobjectif de ce chapitre est de dcrire et de classifier les menaces les plus courantes pour senprotgergrceauxpossibilitsoffertesparlesquipementsdurseau.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MZpPyX4VPM2ICwA=-enidentnumber

Scuritetcouchephysique

La couche physique permet la transmission du signal lectrique ou optique mis par les interfaces rseau. Cettetransmissionseffectuesuruncblepairestorsades,surfibreoptiqueouparradio.Lesmthodesdecodagedelinformationetlescaractristiquestechniquesdechaquemdiasontchoisiesenfonctiondelarchitecturedsire.

Dslespremiresbauchesdunenouvellearchitecturerseauouaucoursdunemigration,lascuritautourdelacouchephysiquedoittreconsidreavecattentioncar,toutcommelaqualitdetransmissiondelinformationrsultedelaqualitdelacouchephysique,lascuritdelinformationdcouleaussiduniveaudeprotectiondecettecouche.Lesexemples,hlas,secomptentpardizaines.Lescoutes,lesinterceptions,hormislevoldirectdelinformationlasource,sonttropsouventlaconsquencedunemauvaiseprotectiondelacouchephysique.

Toutefois,lesmesuresdeprotection,toujoursindpendantesduchoixdunconstructeur,sontrelativementsimplesmettre en uvre. Nous citerons entre autres la protection des locaux dans lesquels rsident les quipementsdinterconnexionetlaslectiondemdiasappropris.Enfinuneattentiontouteparticulireseraportesurlaccsaurseau.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MeBEiYMVPM2ICwA=-enidentnumber

Laprotectiondesaccsaurseau

Lestypesdaccsaurseausontparnaturedpendantdumdiautilis.Quelquesoitcedernier(fibre,cble,radio)ilestprimordialdenlimiterstrictementlaccsauxpersonnelsdmentautoriss.Enlamatire,lesauditsetautrestestsdepntration (etbienentendulespersonnesmalintentionnes)dbutentenrglegnraleleurtravail(ouleursagissements)ensefforantdeconnecter leursquipementssur lerseauciblpartous lesmoyenssoffranteuxsanseffractionnotable.Citons,sansrechercherunequelconqueexhaustivit, lespetitsconcentrateursutilisspourprolongerlerseaudanscertainsbureaux,lespointsdaccssansfildployssansenrfrerauxresponsablesdelinfrastructureouencore,lesconnecteursmurauxderrirelesquelsonpeutesprertrouverunsignal.

1.Lecasduconnecteurmural

Ilsagitdelaccslepluslargementdisponible.Ilfutintroduitaveclavnementdesordinateursindividuelsconnectsenrseauaudbutdesannes90.

LaccsaurseauparconnecteurmuraldetypeRJ45(Ethernet)esttoujourslargementrpandu.Lacarterseaudelordinateurestrelieparuncordonuneprisemurale.Decetteprisepart(danslesol,lefauxplafond,oulemur)uncbleencuivrepaires torsadesquiaboutit surunpanneaude raccordement.Cepanneau (baiedebrassage)regroupelesarrivesquicorrespondentauxbureauxdunouplusieurstages.Enfin,lesconnecteursdecepanneausontrelisnombrepournombreauxportsdelquipementrseaudontlaconfigurationnousintresse.

2.Lecasdupointdaccssansfil(AccessPointWiFi)

Lesaccsaux rseauxsans fil sesontconsidrablementdmocratissdepuis lesannes2000.Lintrtprincipalrside dans la possibilit pour un utilisateur de se dplacer librement tout en restant connect au rseau. Ainsidepuis quelques annes, les accs sans fil soffrent tout un chacun dans divers lieux publics afin daccderaurseauInternet.

Au sein des rseaux dentreprise, la technologie WiFi offre la possibilit avec une infrastructure unique de seconnecter tout le rseau local pour les personnels autoriss ou uniquement Internet pour les personnesextrieures.

LinfrastructuresansfilsecomposeprincipalementdepointsdaccsalliantlatechnologieradiocelleplusclassiquedelEthernetsurcble.Cettedernireconnexionrelielepointdaccsaurseautraditionnel.Dslintroductiondelatechnologie WiFi, les points daccs au rseau ont embarqu des fonctions de scurit visant protger lesinformationsetlesaccs.Lacryptographieestlargementutilisepouryparvenir.

3.Lespremiresmesuresdeprotection

Sans pour linstant aborder la configuration proprement dite dun quipement (mais nous y viendrons) quelquesmesuressimposentdellesmmespourcontribuerlamliorationdelascuritdurseau.

Nousavonsbrivementdcritlesmoyensprincipauxquidonnentaccsaurseau.Certainesprcautionsempchentphysiquementlesconnexionsetparmicellesci,laplussimplemettreenuvreconsisteintroduireunecoupuresur le lien.Dans lecasdunrseaucbl, il suffitsimplementdenepasconnecter laprisemurale lquipementrseau.Cettemthode fort simple nest que rarement utilise et nombreux sont les rseaux accessibles partirduneprisemuralepartirdesendroits lesplusanodins.Uneautremthodeconsiste sur lquipement rseaufermeradministrativement lesportsquinesontpasrelisunordinateur.Toutcecirequiertunebonneorganisation.Dansuncascommedanslautre,lesoprateursdurseaucblentouretirentlecblagelademandeenfonctiondesmouvements internesdesemploys.Demme, ilsprocdent lactivationou ladsactivationdesportssurlquipementderaccordement.

Lesaccssansfilsontparnatureplusdifficilesprotgercontrelestentativesphysiquesdeconnexionparlerseauradio.Ilssontvulnrablesdesattaquessurlesportscblsquisont,rappelonsle,quasidirectementconnectsaureste du rseau. Les ondes radios quant elles ne connaissent pas les frontires. Une approche de protectionconsistepositionnerlespointsdaccssansfilauplusloindeszonespubliques.LeportEthernettantpoursaparthabillementprotgafindinterdire tout accs physique.Cette protection sapparente celle dundistributeurdebilletsdebanqueolcranestvisibleductaccessibleaupublic(lesantennesdanslecasdupointdaccs)alorsquelarservedebillets(leportEthernet)esthorsdatteinte.

Chaqueentreprisedanssonplandescuritestencourageisolerleszonespubliquesdeszonesprivesfaisantpartiedurseauditinterne.LeszonespubliquesmettentdispositiondesvisiteursunaccsInternetfaiblementcontrl grce une borne WiFi au rayonnement rduit. Le passage dune zone lautre ncessite uneauthentification.Malgrtout,lesaccsInternetdetype invits (filaireouWiFi)peuventresterdisponiblesdansdeszonestellesquelessallesderunionsdanslesquellesdespersonnestrangreslentreprisesontautorisespntrer.Danscederniercas,uneisolationlogiqueouphysiqueseramiseenuvreafindegarantirlasparation


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MZ44TIoVPM2ICwA=-enidentnumber

entrelerseau invits etlerseaudeproduction.

Pour conclure, citons le cas des locaux dans lesquels se trouvent les quipements rseau. Il va de soi que leurprotectionrequiertuneattentiontouteparticulire.Danscedomaine,ilestfortementrecommanddefaireappelunprofessionneldelascuritphysiquematrisantlestechniquesdecontrledaccs,deblindage,etdeprotectioncontrelesrayonnementslectromagntiques.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MZ44TIoVPM2ICwA=-enidentnumber

Scuritetcoucheliaisondedonnes

Nous abordons prsent la partie pour laquelle nous allons dcrire puis mettre en uvre matriellement lespossibilitsquinoussontoffertesparlesquipementsCisco.

Cestpartirdelacoucheliaisondedonnesquapparatlanotiondadresserseau.Cettecoucheestresponsabledelacommunicationdentitsparlebiaisdunmdiacommun.Sesfonctionscomprennententreautreslagnrationdestramesetladtectionderreurs.ParmilesprotocolesdeniveaudeuxlesplusconnusnoustrouvonsEthernetetPPP.

Commenous lavons dcrit lors du chapitre prcdent, une politique de scurit est indispensable pour assurer undveloppement et un suivi cohrent de la protection des donnes. Cette politique couvre les aspects affrents aurseau de lentreprise. Il en va demme lors dun projet rseau dont un volet abordera et prendra en compte lascurit.Afindeslectionnerdanslecadredunappeldoffreplusieurscandidats,llaborationduncahierdeschargesprcis savreindispensable.Cestsurcepointquintervient lquipeou leresponsablechargde lascurit.Ildoitfournir ses exigences qui transcrites dans le cahier des charges, sont fournies aux quipementiers. Pour chaqueexigence,undegrdeprioritestprcis.Enfin,enregarddechaqueexigence, lquipementierrenseigneunecaseavecsescommentaires.Voiciunexempledansletableausuivantquenousavonsvolontairementsimplifi,librevousdeltendreenfonctiondevosexigences.

Cetteprsentationstendraventuellementtouteslesfonctionnalitsdelquipement.Cestdecetypedetableauque dcoule le cahier de test et dvaluation dumatriel dans lequel les exigences obligatoires figureront avec lersultatdutestvisantenvrifierlebonfonctionnement.

1.Exigencesetrisquesdescuritpourlacoucheliaisondedonnes

Posons toutdabordnosexigencesdescuritsous la formeduntableauetmettonslesenregarddessolutionstechniques que CISCO nous apporte. Nous partons du principe que toutes les exigences revtent un caractreobligatoire.

Exigencesdescuritdelquipementrseaupourlacouche2

Exigences Degrsdepriorit Rponses

LimiterlaccsauportunelistedadressesMac.

Obligatoire Disponiblesurlesmodles

CrationdeVLAN. Obligatoire Disponibleaudeldumodle

Implmentationdelanorme802.1X.

Souhait Indisponibleavant2ans.

CrationdeVLANprivs. Optionnel Indisponible

Exigencesdescuritdelquipementrseaupourlacouche2

Exigences Technique

LimiterlesadressesMacparport. portsecurity

Authentifierlaccsaurseau. 802.1x

LimiterleschangesdansunVLAN. privateVLAN

InterdirelechangementdeVLAN. Configuration

Prserverlintgritdunecommunication. Stickyarp,dynamicarpinspection,

ProtgerlesattaquesdanslesVLAN. dynamicarpinspection

EmpcherlinstallationdeserveursDHCPnonautoriss.

DHCPSnooping


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2MR44aZcVPM2ICwA=-enidentnumber

Nouspouvonsextrapolerdecetableaulesattaquesdirigesverslacouche2.Cesont(danslordredutableau) :

l lesattaquespar macflooding

l lechangementdeVLANou VLANhopping

l lesattaques ManInTheMiddle

l lesattaquesauseindunVLAN

l lesinterruptionsdeservices(parfoisinvolontaires)parintroductiondunserveurDHCPnonofficiel.

2.Descriptionsdesattaquesetprvention

Nousallonsnousattacherpourchaquetypedattaquedonnerunexemplequicorrespondelaralitdunrseaude production en y associant les risques potentiels. Notons que cette notion de risque peut servir de base ladfinitiondesexigencesdescurit.

a.Lesattaquesparmacflooding

UncommutateurEthernetestcommunmentdsignpar lappellationdeswitch.SiunconcentrateurEthernetouhubestunquipementsansintelligence(parfoiscomparunemultiprise)leswitchquantluipossdeunetableCAM (Content Addressable Memory) dans laquelle sont inscrits des couples port adresse MAC. Les pontspossdaient dj une table de ce typemais en revanchenavaient quunnombredeports trs limits.Voici unaperudelattaquemacflooding.

Floodingsignifiepeudechosesprs inondation.Cetteattaquebienconnueconsistesaturer latableCAMduswitchenluienvoyantplusieursmilliersdentres.Leswitch,pourlescouplesquilneconnaitpasrecopieleurtraficsurtoussesportsaulieudenelenvoyerquauxportsconcerns.Ladescriptiondecetteattaqueest largementdocumente.Toutefois,bienquellesoitsimplemenergrceunpetitoutilnommmacof,leswitchsousattaquevoitsesperformancessedgraderconsidrablementaupointquelesordinateursconnectsontleplusgrandmalplacerleurstramessurlerseau.NousavonsreproduitcetteattaquesurunswitchdumodleCisco2950.Aprsavoirsatur latableCAMavec laidedeloutilmacof(etavoirarrtcedernier)nousavonsrussicapturerdutraficunicastauseindunVLAN,cestdireletraficdirectentredeuxmachines.Cettecaptureestpossiblesi lesdeuxmachinesnesontpasconnuesduswitchaumomentdelasaturation.

VoiciunecapturedcranmontrantmacofenvoyantdestramesdontladresseMACestgnrealatoirement.

Switch# sh mac-address-table count

Mac Entries for Vlan 2: ---------------------------

Dynamic Address Count : 5088 Static Address Count : 0 Total Mac Addresses : 5088



Total Mac Address Space Available: 0

Auboutdequelquessecondes, latableCAMduswitchestsaturecommelindiqueici letotaldesadressesMACdisponible.

Le switchdiffusesur tous lesports le trafic (unping)entredeuxstationsdont il dcouvre lesadressesMACnesachantpasoellessontphysiquementlocalises.

Afin de contrer une telle attaque, Cisco propose une commande switchport port-security dont les optionspermettent :

l delimiterlenombredadressesMACassociesunportduswitch

l deragirencasdedpassementdecenombre

l defixeruneadresseMACsurunport

l deneretenirquelapremireadresseMACquiseprsente.

Dcrivonslesquatretapesncessaireslaconfigurationdecesfonctions :

l Lafonctionport-securityestdansunpremiertempsactiveglobalementauniveaudelinterface :

SW0(config)#int fastEthernet 0/2 SW0(config-if)#switchport port-security

l Puis,ilfautrenseignerlemodedapprentissagedesadressesMACquiserontassociesauport.cestade,ladresseestentremanuellementoubienappriseparleswitchparlebiaisdeloptionsticky.

SW0(config-if)#switchport port-sec mac-address 0018.8B 7E.20E9

ou,

SW0(config-if)# switchport port-security mac-address sticky

l Il faut par la suite indiquer au switch le nombremaximal dadressesquil tolrera sur le port (2 dans lacommandecidessous).

SW0(config-if)#switchport port-security maximum 2

l IlfautfinalementindiquerauswitchlafaondontilragiraencasdedpassementdunombredadressesMACautoris.Troismodessontdisponibles :

Lacommandeportsecurity

Configurationetvrification



l rejetdesadressesendpassementsansnotification,modeprotect

l rejetdesadressesendpassementavecnotification,moderestrict

l fermetureduport,modeshutdown(modepardfaut).

SW0(config-if)#switchport port-security violation shutdown

Voici,quelquesconfigurationscompltesduneinterface :

interface FastEthernet0/2 switchport access vlan 2 switchport mode access switchport port-security switchport port-security maximum 3 switchport port-security violation restrict spanning-tree portfast

interface FastEthernet0/2 switchport access vlan 2 switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security mac-address 0018.abcd.abcd switchport port-security violation restrict spanning-tree portfast

Danscettedernireconfiguration,surla6meligne,nousobservonsladresseMACapprisedynamiquementgrcelutilisationdelacommandesticky.

VrifionslecomportementduswitchlorsduneattaqueparsaturationdelatableCAM.Leswitchestconfigurpourfermerleportencasdedpassementdelavaleurautorise.

*Mar 1 01:15:36 CET: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/2, putting Fa0/2 in err-disable state SW0# *Mar 1 01:15:36 CET: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 66a7.644e.3976 on port FastEthernet0/2. SW0# *Mar 1 01:15:37 CET: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down SW0# *Mar 1 01:15:38 CET: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to down

Linterfaceestbelleetbienferme.Pourlaremettreenservicenousutilisonslasquencesuivante :

SW0(config-if)#shut down SW0(config-if)#no shut down

DanslecasduntlphoneIPsurlequelsetrouveconnectunPC,troisadressesMACsontncessairesaubonfonctionnementdelensemble.Lacommandeseradoncswitchport port-security maximum 3.

UneadresseMACappriseetinscritedanslaconfigurationcourante(optionsticky)nestpassauvegardeencasdextinctionduswitch.

Respecterlasquenceshutpuisno shutafinderemettreenservicelinterface.

Lacommandeshutdownpermetdefermer"administrativement"unport.Celaquivautenquelquesorteunedconnexionvirtuelleducblerseaucarcedernierrestephysiquementconnect.Lacommandeno



shutdownpermetdouvrirleport.

Commetoujours,lescommandesshowpermettentdevrifierlersultatduparamtrage.

LescommandeschezCiscopossdentpourlaplupartdentreellesuneformeabrge.Lacommandeshowsersumeparlecondenssh.

SW0#sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) ------------------------------------------------------------------

-

Fa0/2 3 1 0 Protect ------------------------------------------------------------------

-

Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024

b.Lesaccsillicitesaurseauetleprotocole802.1X

La scuritdunrseaudbutesaportedentre.Nousavonsdcritunemthodesimpleafindempcheruneconnexionaurseauquiconsistedconnecterlecblagedinfrastructure.Cettefaondeprocderesttoutefoistrs contraignante. Heureusement les switchs (et les routeurs) Cisco possdent une commande qui permet ladministrateurdefermerdistanceunportdaccs.Ilsagitdelacommandeshutdown.Cettepratiquenestpasadaptepourunrseaucomprenantplusieurscentainesouplusieursmilliersdutilisateurs.Uneautremthodeestncessairepourdchargerlesquipesdadministrationdunetchesirptitive.

802.1x est un standard qui dfinit un mcanisme dauthentification pour laccs au rseau. 802.1x peut trecomparauprotocolePPPlargementdiffuslpoque(passilointaine)olaccsInternetncessitaitlutilisationdunmodem.LeprotocolePPPsappuyaitsurunmcanismeembarquchargdelauthentificationpourlequeldeuxsousprotocolestaientpropossauchoix :PAPetCHAP.Schmatiquement,nouspourrionscrire :accsInternet=modem+PPP+(PAPouCHAP)+TCP/IP.

802.1Xsilestutilissurunquipement telquunswitchoblige lutilisateurconnectantsonordinateuraurseau(filaireousansfil)sauthentifieravantdentamertouteactivit.lissueduprocessusdauthentification(etencasdesuccs)leclientreoitunprofilrseau(TCP/IPetVLAN)ainsiquunassortimentderglesdescurit.

802.1X sappuie sur EAP (Extensible Authentication Protocol). EAP est un moyen de transporter un protocoledauthentification.Cestpourquoi il existeautantdappellationsautourdEAPquedeprotocolesdauthentificationembarqus.EAPtransportsurunlienEthernetestdnommEAPOLpourEAPOverLan.Citonstitredexemple :

l LEAP(protocolepropritaireCisco)

l EAPMD5(quitransportedesmessages hachs parMD5)

l EAPTLS(authentificationbasesurlchangedecertificats)

l PEAP(quitransporteuneauthentificationMicrosoftCHAPVersion2)

l EAPFAST(proposparCISCOpourremplacerLEAP).

Nousallonsdtaillerlefonctionnementde802.1XaveclutilisationdePEAPdanslecadreduneconnexionEthernet.PEAPestpropossurlessystmesdexploitationMicrosoftXPetVista.

802.1Xfaitintervenir3entits :

l leclient(ousupplicantenterminologieanglaise)esttypiquementunPC

l leswitch(ouauthenticator)

Descriptionetfonctionnement



l leserveurdauthentification(ouauthenticationserver)quiestunserveurRADIUS.

LesmessagesEAP transportent leschangesdauthentificationentre leclientet leserveurdauthentification. Leswitchnefaitquelesrelayer,toutefoisdepartetdautreduswitch,lesmessagesEAPnesontpastransportsdelammefaon.

l Entreleclientetleswitch,EAPestdirectementdanslachargeutiledestramesEthernet.

l EntreleswitchetleserveurRADIUS,EAPesttransportdanslesmessagesRADIUS.

LeschangesEAPentreleclientetleserveurRADIUSpassentpardeuxphases :

l UnesriedchangescomportantlidentitduclientetlesparamtresdemiseenplaceduntunnelTLS.

l LtablissementdutunnelTLSdanslequeltransiteraleprotocoledauthentificationMSCHAPV2.

lissuedeceschangesetsi lauthentificationestcorrecte, leserveurRADIUSordonneauswitchdeconnecterpleinement le client au rseau. Pour terminer, le client et le switch reoivent ventuellement desparamtres enprovenance du serveurRADIUS commeun numro deVLAN, une adresse IP ou encore une liste de filtrageACL(AccessControlList).

Silauthentificationnaboutitpas,leclientvoitsademandedeconnexionrejete.IlestventuellementdirigversunVLANdattentelaconnectivitlimite.Tantqueleclientnestpasauthentifi,seuleslestramesEAPtransitententreleclientetleswitchlexclusiondetoutautreprotocolesuprieurtelqueTCP/IP.

Nousutiliseronsunclient802.1XetlimplmentationduprotocoleRADIUSfournisparMicrosoft.CeserviceRADIUSestgalementdisponibleavecunserveurACSdechezCiscoousurunserveurLinux(FreeRADIUS).DenombreusesimplmentationsdeRADIUSsontdisponiblesparailleurs.

Nousnedcrironspasdans ledtail linstallationdescomposantsde lapartieMicrosoft.Nousprsenteronsuneliste des fonctions activer. Linstallation dun serveur RADIUS afin dauthentifier des utilisateurs avec 802.1Xrequiert :

l uneinstallationfonctionnelledeMicrosoftWindows2000ou2003ServerentantquecontrleurdedomaineActiveDirectory(ycomprislesservicesDNS)

l lacrationdesutilisateursavecautorisationdaccsdistant

l leregroupementdesutilisateursdansdesgroupesglobauxquiserontutilissparlespolitiquesdaccs

l leservicedecertificatsenayantprissoindegnreruncertificatautosignpourleserveur

l leservicedauthentificationInternetquiseraenregistrdanslActiveDirectory.

l Leswitchfournissantleservice802.1Xseradclarentantqueclient.

l Uneouplusieurspolitiquesdaccsenfonction :

l desadressesIPdespointsdaccs(NAS)

l dugroupedutilisateurauthentifier

l desattributsRADIUSdfinissantleVLANdanslequeldirigerlutilisateurunefoisauthentifi :

l TunnelType[64]=VLAN

l TunnelMediumType[65]=802

l TunnelPrivateGroupId[81]=NomduVLAN

Variantededploiement



l LecertificatprcdemmentmisseradclardanslespropritsEAP(propritsdauthentificationduprofildelapolitique).

l Surlespostesdetravail :

l activationde lauthentificationdans lespropritsde la connexion rseau (pourVistadpendduserviceConfigurationautomatiquederseaucblquiestdsactivpardfaut)

l paramtragedePEAP(enchoisissantounondevrifierlecertificatduserveurRADIUS).

Voiciprsentlaconfigurationduswitch2950 :

SW0#sh run Building configuration... ! aaa new-model ! aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting dot1x default start-stop group radius

dot1x system-auth-control dot1x guest-vlan supplicant ! ! interface FastEthernet0/11 switchport mode access switchport port-security maximum 3 dot1x port-control auto spanning-tree portfast ! radius-server host 10.xxx.xxx.42 key 7 030752180500

Dcrivonscetteconfiguration:

l La commande aaa new-model active les fonctions dauthentification, dautorisation et de comptabilit duswitch. Les trois commandes suivantesdfinissent les servicesdu serveurRADIUS (dclarplusbas)quiauralachargedauthentifierlesutilisateurs,deleuraffecterventuellementunVLANdaccueiletdegarderunetracedeleurduredeconnexion.

l Lacommandeglobaledot1x system-auth-controlactive802.1Xpourtoutleswitch.

l Lacommandeglobaledot1x guest-vlan supplicantdirigelesclientsquinesupportentpas802.1XoudontlauthentificationachouversunVLANprvuceteffet.

l Lacommande(enmodeinterface)dot1x port-control autoactive802.1xsurlinterfaceetdemandeauportdesuivre les instructionsduprotocole luiordonnantdesouvrir (encasdesuccs)oudenepasdonneraccsaurseau.

l La commanderadius-serverdclare leserveurRADIUSquifournit lesservicesdemandsainsiquune cldauthentification.

c.ScuritetVLANs

Surunswitch,unVLANestungroupedeports.Lesmachinesconnectescesportspeuventcommuniquerentreelles librement. En revanche, toute communication est impossible avec un port tranger au VLAN. On imagineaismentdeux rseauxcbls isols lunde lautre et qui de fait ne communiquentpas.Rpartis surun rseauEthernetcommut,lesVLANoffrentparexempleunesolutionpratiquepourisolerlesunesdesautresdessocitspartageantune infrastructurecommune.Aprsavoirt largementpromueetrecommande,cettetechniqueestmaintenantremplaceparledploiementderseauxroutsauplusprsdelutilisateurfinal.Toutefois,lesVLANnontpastotalementdisparus.Onlesrencontretoujourssurlesquipementsdextrmit,lolesutilisateurs(oulesserveurs)sontphysiquementconnects.

DenouvellesexigencesdescuritdcoulentdelutilisationdesVLAN.Eneffet,ilestindispensabledegarantirque



deuxpopulationscensestreisoleslunedelautrelesonteffectivement.

Les attaques virales qui ont branl les rseauxdentreprises ces dernires annes ont prouv la ncessit depossder un niveau disolation supplmentaire au sein des VLAN. Les vers ayant caus le plus de dgtsembarquaient un dispositif permettant lexpansion rapide de lattaque auxmachines les plus proches. Ainsi, lesrseauxdirectementconnectsunefoisconnusparlevers,furentinondsdemessagesjusquleffondrement.

lintrieurdunVLANdutilisateurs,lapolitiquedescuritimposeparfoisuneisolationdespostesdetravailentreeuxafinquaucunedonnenesoitpartagedirectement.UneexigenceidentiqueestenvisageabledansunVLANosetrouventdesserveurs.

Les communications directes entre lesmembres dunmme VLAN si elles sont autorises doivent toutefois treprotges contre toute tentative dintrusion visant lusurpation didentit ou de donnes, cest pourquoi descontrlesavancssurlacoucheliaisondedonnesviennentrenforcerceuxquenousavonsprcdemmentdcrits.

Les VLAN ACL (pour VLAN Access Control Lists) sapparentent aux ACL de niveau trois cestdire aux ACL quisappliquent sur les interfaces routes.Mais comme leur nom lindique, elles sapposent dans des VLAN ou plusexactementtouslespaquetsquiyentrent.IlestainsipossibledelimiterletraficauseinmmedunVLAN.

Les VLAN ACL (ou VACL) sont dfinies dans la configuration par une suite de squences numrotes. Chaquesquencecomprenduneidentificationdutrafictraiteretuneactionluiadministrer,letoutestensuiteappliquauVLANprotger.

Parmilesactionsfigureauctdesoptionsdropetforwardloptioncapture.Ellepermetdecapturerletraficetdelecopierversunportsurlequelunesondededtectiondintrusionestconnecte.

LestapespourlamiseenuvredesVACLsont :

l LaprogrammationduneouplusieursACLclassiquesquisontexamines luneaprslautreensquence.CesACLsontbasessurdesadressesIPouMAC.

l LacrationdelaVACLquiappellelACLprcdemmentdfinieetdcideduneaction.

l LapplicationdelaVACLauVLANdanslequelonsouhaitefiltrerletrafic.

LescransquisuiventmontrentuncassimplepermettantauxstationsdunVLANdesortirversInternet(viaunproxy)enayantaupralableinterrogunserveurDNS.

Switch#conf t Switch(config)# Switch(config)#ip access-list extended juste-internet Switch(config-ext-nacl)#10 permit udp any host DNS1 eq domain Switch(config-ext-nacl)#15 permit udp any host DNS2 eq domain Switch(config-ext-nacl)#20 permit udp host DNS1 eq domain any Switch(config-ext-nacl)#25 permit udp any host DNS2 eq domain Switch(config-ext-nacl)#30 permit tcp any host PROXY eq 8080 Switch(config-ext-nacl)#35 permit tcp host PROXY eq 8080 any Switch(config-ext-nacl)#end Switch#

Labrviation conf t condense la commande configuration Terminal qui donne accs au mode deconfigurationdelquipementviauneconsoleouunterminal.

La commandeendpermetdesortirdumodedeconfiguration(etdetouscessousmodes)pourrevenirdirectementlinvitedecommande(enanglais"prompt").

LACLdetypetenduenommejusteinternetcomporte6squencespermettantautraficissuduVLANdesortir(etderevenir)pourlactivitDNS(domain)etWEBsurleportTCP8080.DeuxserveursDNSetunserveurproxyHTTPsontdclars.

Switch#conf t Switch(config)#vlan access-map limitation 10 Switch(config-access-map)#match ip address juste-internet

ScuritlintrieurdunVLAN(VLANACL,PrivateVLAN,DynamicArpinspection)

LesVLANACL



Switch(config-access-map)#action forward Switch(config-access-map)#end Switch#

Ici,laVACLestcre.Ellesenommelimitationetportelenumrodesquence10.Elleappelle(pourlasquence10) lACL justeinternet prcdemment cre et permet au trafic autoris par lACL de quitter le VLAN (actionforward).

Switch# conf t Switch(config)# vlan filter limitation vlan-list 2 Switch(config)#^Z Switch#

Pourterminer,laVACLlimitationestappliqueauVLANfiltrer,icileVLAN2.

Switch#sh ip access-lists Extended IP access list juste-internet 10 permit udp any host DNS1 eq domain 15 permit udp any host DNS2 eq domain 20 permit udp host DNS1 eq domain any 25 permit udp host DNS2 eq domain any 30 permit tcp any host PROXY eq 8080 35 permit tcp host PROXY eq 8080 any

Switch#sh vlan filter VLAN Map limitation is filtering VLANs: 2

Switch#sh vlan access-map Vlan access-map "limitation" 10 Match clauses: ip address: juste-internet Action: forward

Lescommandesshownousfournissentdesinformationsquipermettentdevrifierlaconfiguration.Lescommandesutilessontsh ip access-lists,sh vlan filteretsh vlan access-map.Cetexempleestrelativementsimplecarilprsente uneunique squence tant pour lACLquepour laccessmap. Il est tout fait possible de rallonger lessquencespourplusdegranularit.

Lobjectif desPrivateVLANestdefourniruneisolationauniveau2entredesportsconnectsaummeVLAN.UnexempletypiqueauseindunVLANestdinterdireauxstationsdecommuniquerentreellesdirectementetdeneleurlaisser que le routeur par dfaut comme porte de sortie. Avant cette technique, une solution consistait crerautantdesousrseauxIPquedegroupesisoler.

Ilest importantdeserenseignerafindedterminersi leswitchet laversiondu logiciel IOSvouspermettentdedployercettefonctionnalit.Siellenestpasdisponible,unecommandealternativeoffresurcertainsmodlesunefonctionquivalente.LescontraintesetlimitationslemploidesPrivateVLANsontnombreuses.NousvousinvitonsvousrfrerladocumentationcorrespondantvotremodledeswitchetcelledesonsystmedexploitationIOSouCATOS.

Entreautrescontraintes :

l LeswitchdoittreconfigurmodeVTPtransparent.

l UnseulVLANsecondairedetypeisolatedpeuttrerattachauVLANprimaire.

LesPrivateVLAN



Ici,lesportsde15nepeuventcommuniquerquavecleport6.

Avantdaborderlaconfiguration,unebonnecomprhensiondelaterminologiesimpose.

LatechnologiePrivateVLANfaitappeltroistypesdeVLANettroistypesdeports.OntrouvepourlesVLAN :

l LeVLANdetypeprimarysurlequelseregroupentlesVLANsecondaires.

l LesVLANsecondairesdetype :

l isolated(lesportsmembressontisolsentreeux)

l community(seulslesportsdunemmecommunautpeuventcommuniquerentreeux).

Quantauxportslestroistypessont :

l promiscuous.CetypedeportappartientauVLANprimaireetpeutcommuniqueravectouslesautrestypesde ports desVLAN secondaires associs auVLANprimaire. Il est utilis pour acheminer le trafic hors duVLAN.

l isolated.CetypedeportmembredunVLANisolatedestisoldesautresports(danssonVLAN)etnepeutcommuniquerquavecleportpromiscuous.

l community.Ce typedeportmembredunVLANcommunitynepeutcommuniquerquavec lesportsdesacommunautetleportpromiscuous.

Laconfigurationcomprendplusieurstapes :

l LadclarationdesVLANetdeleurtype.CettetapecomprendlacrationdunVLANprimaireetdetouslesVLANsecondaires(isolated,communityoulesdeux).

l LassociationdesVLANsecondairesauVLANprimaire.

l LassociationdesVLANsecondaireslinterfacedeniveau3duVLANprimary(interfacevlan).

l Laconfigurationdesinterfacesdeniveau2puisleurrattachementleurVLANsecondaireetprimaire.

l LaconfigurationduportpromiscuousetsonrattachementauVLANprimaryainsiquauxVLANsecondaires.



Afindillustrercettedescription,nousprsentonsunexempledeconfigurationralissurunswitchCiscoCatalyst2980Gutilisant le systmedexploitationCatOS.Dans les capturesdcranqui suivent,nousavons conserv lesrponsesdusystmeetquelquesretoursdelaideenligne.

sw1> (enable) set vtp mode transparent VTP domain modified

switch> (enable) set vlan 10 pvlan-type primary name VLAN_PRIMAIRE VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 10 configuration successful

switch> (enable) set vlan 11 pvlan-type ? primary Set private vlan as primary vlan isolated Set private vlan as isolated vlan community Set private vlan as community vlan none Set vlan to be a normal vlan twoway-community Set private vlan as twoway community vlan switch> (enable) set vlan 11 pvlan-type isolated name ISOLATED_1 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 11 configuration successful

l LeswitchesttoutdabordmisenmodeVTPtransparentquilaissepasserlesinformationsdeceprotocolesansentenircompte.

l LeVLANprimaryestcr.Ilportelenumro10etlenom VLAN_PRIMAIRE .

l UnVLANsecondairedetypeisolatedestsontourcr.Ilportelenumro11etlenomISOLATED_1

switch> (enable) set vlan 12 pvlan-type isolated name ISOLATED_2 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 12 configuration successful switch> (enable) set vlan 13 pvlan-type isolated name ISOLATED_3 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 13 configuration successful switch> (enable) set vlan 14 pvlan-type community name COMMUNAUTE_1 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 14 configuration successful switch> (enable) set vlan 15 pvlan-type community name COMMUNAUTE_2 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 15 configuration successful

QuelquesautresVLANsecondairessontcrs.

switch> (enable) set pvlan 10 11 Vlan 11 configuration successful Successfully set association between 10 and 11.

switch> (enable) set pvlan 10 12 Primary private vlan already has an isolated vlan associated. Failed to set association between 10 and 12.

switch> (enable) set pvlan 10 13 Primary private vlan already has an isolated vlan associated. Failed to set association between 10 and 13.

switch> (enable) set pvlan 10 14 Vlan 14 configuration successful Successfully set association between 10 and 14.



LesVLANsecondairessontassocisauVLANprimary.NotonsquelesVLAN12et13nepeuventpastreassocisauVLANprimarycarcedernierestdjassociauVLAN11.

switch> (enable) show pvlan Primary Secondary Secondary-Type Ports ------- --------- ---------------- ------------

10 11 isolated 10 14 community 10 15 community - 12 isolated - 13 isolated

Lacommandeshow pvlannousmontrelestroisVLANrattachsauVLANprimary.

switch> (enable) set pvlan 10 11 2/22-32 Successfully set the following ports to Private Vlan 10,11: 2/22-32

switch> (enable) sh pvlan Primary Secondary Secondary-Type Ports ------- --------- ---------------- ------------

10 11 isolated 2/22-32

QuelquesportssontassocisauVLANisolated(etdoncauVLANprimary).

switch> (enable) set pvlan mapping 10 11 2/17 Successfully set mapping between 10 and 11 on 2/17

CettedernirecommandedeconfigurationdclareleportpromiscuousetlassocieauVLANprimary.

switch> (enable) sh pvlan isolated Primary Secondary Secondary-Type Ports ------- --------- ---------------- ------------

10 11 isolated 2/22-32

switch> (enable) sh pvlan mapping Port Primary Secondary ---- ------- ---------

2/17 10 11

Lesdeuxcommandessh pvlan isolatedetsh pvlan mappingnousmontrentlesportsdansleVLANisolatedetleportpromiscuous.

LeportpromiscuousestdansnotretypedeconfigurationconnectunrouteurafindetransmettreletraficduVLANverslerestedurseau.Avecunswitchfournissantdesservicesdeniveau3,leportpromiscuousauraittaffectuneinterfaceVLAN.

Afindatteindre cet objectif disolation entre les ports sur unmodle de switch ne disposant pas de la fonctionprivate VLAN, nous avons sur un switch modle 2950 utilis la commande switchport protected en mode deconfigurationduneinterface.

SW0#conf t Enter configuration commands, one per line. End with CNTL/Z. SW0(config)#int f0/3 SW0(config-if)#switchport protected SW0(config-if)#end SW0#

Notezaupassagequelacommandeendpermetdepasserdirectementdumodedeconfigurationaumodeexec.

Ilexiste,commesouvent,unemthodepermettantdecontourner lisolementdans lecasouneportedesortieexisteraitviaunrouteurouuneinterfaceVLAN.UneinterfaceVLANestuneinterfacevirtuellerecevantuneadresseIP,elleestmembrepartentireduVLANetpermetdeleconnecteraurestedurseau.Toutenrespectantlesprincipesdecette technologie,quesepassetilsinousadressonsdespaquetsIP(destinsunautrerseau)verslinterfaceVLAN?

Le routeur accomplira sa tche et adressera le paquet vers ladresse IP de destination rduisant nant laprotectionprcdemmentmiseenplace.Afindertablirnosexigencesinitiales,ilfautconfigurerlerouteuravecuneACLdeniveau3pourrejeterletraficenprovenanceetdestinationdurseauIPduprivateVLAN.



EnvoyerverslinterfaceVLANsignifieenvoyerletraficversladressedeniveau2delinterfaceVLAN.

Un rseau commutpeuthbergerdenombreuxVLAN. Ils sont locaux (valides surun seul switch)oupropagsentre plusieurs switch. Dans le premier cas (VLAN local) un PC dans le VLAN 2 du switch A ne pourra pascommuniqueravecunPCmembreduVLAN2surleswitchB.Danslesecondcas,leVLAN2estdisponibledesdeuxcts.

LorsquelesVLANsontpropagsdeswitchenswitch,lepassagedunVLANunautreconstitueuneatteintelascurit.Examinonsleschmasuivant:

Les trois brins entre les deux switchportent le nomde trunk. Il sagitdun lien logique sur lequel transitent lespaquetsmarquscommeappartenantauxdiversVLAN.Untrunkestphysiquementcontenusurunmdiaunique(cble,fibre).

Deuxtypesdattaquesexistent.

Lapremireconsistepourunestationprendrelaplacedunswitchetdeseformeruntrunk.LastationobtientainsisesentresdanslesVLAN.CetteattaqueestconnuesouslenomdattaqueDTP(DynamicTrunkProtocol).

PrvenirleschangementsdeVLAN



La seconde, plus labore consiste forger un paquet qui sera marqu avec deux identifiants de VLAN enloccurrenceleVLANnatifdutrunketleVLANdanslequelonsouhaitepntrer.LetraficquitransitedansleVLANnatif nest pasmarqu, le second switch reoit le paquet et ne voit que lamarque2 car lamarque1nestpasprservelorsdupassagedansletrunk.IlmetdonccepaquetdansleVLANnumro2.UnsautdeVLANestainsiralis. Il fautpourmenerbien cetteattaqueque lamachine loriginede celleci soit connecte sur leVLANcorrespondantauVLANnatifduswitch.DesoutilscommeScapyouYersiniasontidauxpourcegenredattaque.

Lesparadesdisponiblessonttrssimplesmettreenuvre.Ilsuffitdeplanifieravecprcaution :

l LaconfigurationdesVLANsur lesportsenprenantsoindene jamaisaffecterunport leVLANnatifdutrunk.

l Laconfigurationdesportsdestinsrecevoirdesmachines.Ilsserontforcsnejamaisdevenirdesportsdetypetrunkaveclacommande :switchport mode access.

l DenejamaisplacerdeportsdansleVLAN1.

d.LuttercontrelesserveursDHCPindsirables

La dcouverte dun serveurDHCP (DynamicHost Configuration Protocol) non dclar va de pair avec la soudainedconnexiondurseaudeplusieursmachines.UnepremireenqutesurleterrainrvlequelesadressesIPdesmachinesisolesnesontpasissuesdestendueshabituelles.Uneinspectionplusapprofondie(aveclacommandeipconfig /all)montrequeleserveurDHCPayantdlivrcesadressesdpenddudomainemshome.netlequelestinconnu.LenqutesepoursuitparuneinspectiondestablesCAMlarechercheduportocetindsirableserveursetrouveconnect.Aprsuneremontedecblagesansdoutefastidieuse, lintrusestenfindmasqu.IlsagitdunordinateurportablevoyageantrguliremententrelerseaudelentrepriseetledomiciledesonpropritaireoilestconnectuneligneADSLquilpartageloisiravectoutelamaisonetpourquoipaslevoisinage.

CecasconstitueundnideserviceinvolontaireetunepersonnemalintentionnerussissantinstallerunserveurDHCPpiratesurlerseauetdclarantunestationsoussoncontrlecommetantlapasserellepardfautpourravoirpasserletraficdesstationsleurres.Cetteattaqueparinterpositiondanslefluxporteenanglaislenomdemaninthemiddle.UneautreattaqueconsisteviderlarservedadressesIPduserveurDHCPpardesdemandesincessantesprovenantduneouplusieursmachinessouslecontrledelapersonnemalintentionne.

Lepremierincidentestassezfrquentsurunrseauquinemetpasenuvrelesprotectionsadquates.Enoutre,laconnexionsurlerseaudunemachineitinrantesoulvebiendautresquestions.Commetoujours,lessolutionsexistent et sont une fois de plus fort simples. Quelques commandes permettent sur les ports rservs auxutilisateurs de filtrer ce qui de prs ou de loin ressemble desmessages provenant dun serveurDHCP. CettetechniqueportelenomdeDHCPSnooping.

LeprincipedebaseduDHCPSnoopingestdeconsidrerquesurunportquelconqueaucunmessagedutypedeceux mis par un serveur DHCP ne doit transiter. En revanche, lesmessages DHCP normalement mis par unestationsontautorisstransiter.AvecDHCPSnooping, leswitchconstruitunetabledecorrespondanceentre les



adresses MAC, les adresses IP dlivres et les ports physiques. Cette table est galement exploite par latechnologieDynamicArpInspectiondans lecadrede ladtectiondetentativesdusurpationdadressesMAC(macspoofing).

UnportestconfigurcommetantdutypetrustsilestconnectdirectementouindirectementunserveurDHCP.Ilestdoncprimordialdtudierlachanedesswitchetlespositionsdesports trustafindassurerlaprennitdelaconfiguration.Signalonsenfinquelesportssontpardfautdetypeuntrust.

Voicilaconfiguration.

SW0#conf t Enter configuration commands, one per line. End with CNTL/Z.

SW0(config)#ip dhcp snooping SW0(config)#ip dhcp snooping vlan 2 SW0(config)# SW0(config)#^Z

LafonctionnalitsactiveunefoisenmodeglobalpuispourchacundesVLANprotger.

SW0#sh ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 2 Insertion of option 82 is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ----------------

Unecommandeshowdonneunpremieraperu.

SW0#conf t Enter configuration commands, one per line. End with CNTL/Z. SW0(config)#int f0/1 SW0(config-if)#ip dhcp snooping trust SW0(config-if)#ip dhcp snooping limit rate 100

Leportf0/1estconfigur(trust)afinqueDHCPsnoopinglaissepasserlesmessagesissusdunserveurdirectementou indirectement connect, la commandelimit rate autorise seulement 100messages du protocole DHCP parseconde.Attentionbientudieraupralablelaquantitdemessagesdevanttransitersurlelienafindenepaslasousvalueretentranerundnideservice.

SW0# sh ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 2 Insertion of option 82 is enabled Interface Trusted Rate limit (pps)



------------------------ ------- ----------------

FastEthernet0/1 yes 100

SW0# sh ip dhcp snooping binding Option 82 on untrusted port is not allowed MacAddress IpAddress Lease(sec) Type VLAN Interface ---------- --------------- ---------- ------- ---- ----------

x:x:x:19:03 10.xxx.xxx.x60 172724 dynamic 2 FastEthernet0/12

Lacommandesh ip dhcp snoopingmontrequelinterfacef0/1estlaseuleautorisefairetransiterlesmessagesDHCPissusdunserveur.Quantlacommandesh ip dhcp snooping binding,ellemontreleportf0/12etladresseMACdelastationconnecte.CettetableestexploitepouranalyserlesmessagesDHCPvenir.

e.Luttercontrelesinterceptions

Ici, le protocole ARP (Address Resolution Protocol) est directement mis en cause ou plus exactement sonimplmentationsurlessystmesdexploitation.ARPestchargdersoudreetdemaintenirunetabledescouplesadresseIPetadresseMAC.LesmessagesduprotocoleARPcherchentquelleadressedeniveau2corresponduneadresse de niveau 3, le but est de trouver la carte rseau vers laquelle envoyer les trames de niveau 2 quicontiennentlinformationtransmettre.UndialoguetypiquedeschangesARPestlesuivant :

l quelleadresseMACdoisjeenvoyerletraficdestinladresseIP192.168.0.1 ?(cemessageestrecopisurtouslesportsduswich)

l Jesuis ladresseIP192.168.0.1etmonadresseMACest lasuivante :00.18.ab.cd.ab.cd(cemessageesttransmisdirectement).

LadministrateurdunsystmepeutgalementrenseignermanuellementlatableARP.

C:\Users\RZS>arp -a

Interface: 10.xxx.xxx.x66 --- 0xb Internet Address Physical Address Type 10.xxx.xxx.x 00-02-b3-95-e4-4e dynamic 10.xxx.xxx.x 00-b0-d0-ec-8d-a4 dynamic 10.xxx.xxx.x 00-0c-29-48-bd-64 dynamic 10.xxx.xxx.x 00-0e-7f-3e-57-83 dynamic 10.xxx.xxx.x 00-0d-02-d1-64-65 dynamic 10.xxx.xxx.x 00-16-d4-ee-df-4d dynamic 10.xxx.xxx.x 00-0f-fe-77-2d-3f dynamic 10.xxx.xxx.x ff-ff-ff-ff-ff-ff static 224.0.0.22 01-00-5e-00-00-16 static 224.0.0.252 01-00-5e-00-00-fc static

VoicilatableARPdunemachineWindows.

UnmessageARPimportantestlemessageARPgratuit(gratuitousARP).CemessageestmisaudmarrageparunhtequicherchesavoirsiuneadresseIPidentiquelasienneexistedj.Cetterequteestreuepartousleshteslcoutequimettentjour(aveclinformationreue)leurpropretableARP.LeprotocoleARPnepossdantpasdemcanismedauthentification,leshtesdun sousrseauprennentencomptelesmessagesqui leursontadresssmmesilsnontriendemand.

LeprincipedesattaquesARPconsisteenvoyerrgulirementverslamachinetrompersoitdesmessagesARPgratuits,soitdesmessagesrpondantunedemandequinajamaisteffectue.Lhtevictime,larceptiondes messages provenant de la machine de lattaquant met jour sa table ARP sans autre forme de procs.Lattaquantfaitainsicroiresesvictimesquilestparexemplelapasserellepardfautetsilattaqueaboutit,lescommunicationsdesvictimesdestinationdelextrieurdusousrseaupasserontparlui.

LesswitchsontvulnrablescegenredattaquescarlestablesdtatsnetiennentpascompteducoupleadresseMACadresseIP,maisducoupleadresseMACport.

IlesttoujourspossibledefixerlescouplesMACIPdemanirestatique,maissurunrseaudegrandedimensionla tche savre quasi impossible. Un dispositif automatique doit donc prendre en charge la vrification de laprennit des couples adresseMAC adresse IP et surveiller tout changement anormal. Un programme commeArpwatchdisponiblesousLinuxsechargedecettetcheetrenseigneunfichieraveclescouplesdcouvertsetleschangementsventuels.Leprogrammedisposeduneoptionpouravertirparcourrielladministrateur.

ethernet vendor: Compaq (HP) timestamp: Friday, April 18, 2008 11:28:23 +0200



From: arpwatch (Arpwatch TestStation) To: root Subject: new station (xx.xxx.xxxxxxx.xxxxx.net) eth0

hostname: xx.xxx.xxxxxxx.xxxxx.net ip address: 10.yyy.yyy.yyy interface: eth0 ethernet address: 0:b0:d0:xx:xx:xx ethernet vendor: Dell Computer Corp. timestamp: Friday, April 18, 2008 11:28:40 +0200

Voiciunbrefextraitdufichierdanslequelleprogrammecritlescouplesquildcouvreencoutantlesousrseau.Pourmmoire,lechampethernetvendorestdduitpartirdelapremiremoitideladresseMAC.

Apr 18 15:20:16 TestStation arpwatch: changed ethernet address 10.xxx.xxx.xxx 0:17:42:xx:xx:xx (0:b:5d:xx:xx:xx) eth0

CemessagemontreunchangementdadresseMACpouruneadresseIPprcdemmentconnue.

Installer un dispositif comme Arpwatch pour chaque sousrseau ncessite la mise disposition de machinesddies.Deplus,lesnombreuxmessagesdoiventtreexploitslarecherchedeschangementssuspects.Enfin,Arpwatchneprendaucunedcisionlorsquilconstateunchangement.

CiscooffreunesolutiondesurveillancedescouplesadresseMACadresseIPbaptiseDAI(DynamicArpInspection).Cette fonctionnalit sappuie sur les services que nous avons utilis pour protger les serveurs DHCP. Plusprcisment,DAIlorsquilestactivrecherchedanslatableduDHCPsnoopinglescouplesvalides.SilenvironnementrseaunestpasconfigurenDHCP,DAIserfreuneACLARP(filtragesurlesadressesMAC).

LesACLARPsontprioritairessurlatableduDHCPsnooping.SiuneACLestplacedanslaconfigurationetassocieunVLAN,lerejetimplicite(deny)lafindelACLbloqueraletraficnonautorismmesicedernierestinscritdanslatableduDHCPsnooping.

LestapesdelaconfigurationdeDAIsontsimples.QuelquesprcautionssontprendresilapolitiquedescuritimposeunelimitationdunombredemessagesARPsuruntempsdonn,silesinterfacessontenportchannelouentrunk.Undpassementdelalimiteentranantalorsunrejetdutrafic.

ExaminonslaconfigurationdeDAI.

Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 2 Switch(config)#ip arp inspection vlan 2

Nous activons les fonctions DHCP snooping et DAI dans le VLAN2 en prenant bien soin dactiver DHCP snoopingglobalement.

Switch(config)#int f0/1 Switch(config-if)#ip arp inspection trust Switch(config-if)#ip dhcp snooping trust Switch(config-if)#end

Commenous lavions fait pourDHCPsnooping, nousdclaronsune interfacederrire laquelle nous savonsquunserveurDHCPliciteestconnectdirectementouindirectement.

00:23:13: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/2, vlan 2.([0018.8b7e.20e9/10.xxx.xxx.212/0000.0000.0000/10.xxx.xxx.153/00:23:12 UTC Mon Apr 12 2008])

Considrons le casonotre switch (unmodle3550) regroupedesmachinesnon configuresavec leprotocoleDHCP.LeswitchdtectesurlinterfaceFastEthernet0/2unemachinequinefigurenidanslatableduDHCPsnoopingnidansuneACLARP.Cemessageestaffichgrcelacommandelogging consoleenmodeglobal.AfinquesontraficpuissetraverserleVLAN,ilfautconfigureruneACLdeniveau2commesuit :

Switch(config)#arp access-list ARP-ACL-TEST Switch(config-arp-nacl)#? Extended ARP Access List configuration commands: default Set a command to its defaults deny Specify packets to reject exit Exit ACL configuration mode no Negate a command or set its defaults



permit Specify packets to forward

Onentredanslemodedeconfigurationetondonneunnomlaccesslist.

Switch(config-arp-nacl)#permit ip host 10.xxx.xxx.212 mac 0018.8Bxx.xxxx 0.0.0

Cette commande (sans le retour la ligne) associe ladresse IP10.xxx.xxx.212 ladresseMAC0018.8Bxx.xxxx.0.0.0estunmasquepourladresseMACquisignifie : cetteadresseprcisment .

Switch(config)#ip arp inspection filter ARP-ACL-TEST vlan 2

Pourterminer,lACLARPACLTESTestappliqueauVLAN(leVLAN2dansnotrecas).

Commenouslavonssoulign,cetteACLestprioritaire.CestpourquoiilestrecommanddenepasmlangersurunmmesousrseaudesmachinesutilisantetnutilisantpasleprotocoleDHCP.

SinousconsidronsunrseauentirementconfiguravecDHCP,unestationrequiertuneadresseIPetlareoitdunserveur.Aupassage,DHCPsnoopingrenseignesatable.Rappelonsqueceserveurestauboutdelachanedesportsdclarstrust.

Switch#sh ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ----

--------------------

00:0B:5D:xx:xx:xx 10.xxx.xxx.152 172769 dhcp-snooping 2 FastEthernet0/3 Total number of bindings: 1

Lacommandesh ip dhcp snooping bindingmontrelatabledanslaquellesetrouventlescouplessurveills.Encasdechangement,DAIrejetteletraficissudelamachineincrimine.

f.Rsum

Nous avons au cours de ce chapitre pass en revue les principalesmesures de protection des deux premirescouchesdumodleOSI.

l Laprotectionphysiquedesquipementsetdelaccsaurseauestunpointcrucialcaraucuneattaquenesauraittremenesansconnexion.

l Leraccordementauportphysiquedunswitchestscuristantauniveauphysiquequelogique.ceteffet,lestechniques802.1XainsiquelalimitationdesadressesMACparportsontconsidrer.

l LesVLANnesontpluslapanace,ilconvientdereleverleurniveaudescuritavecdestechniquescommelesPrivateVLAN,lesVLANACL(VACL).Deplus,danslecasduntrunkentredeuxswitch,ilestindispensabledeseprmunircontretoutepossibilitdechangementintempestifdeVLAN.

l Les switch offrent une isolation du trafic port port (comparativement un concentrateur) mais sontvulnrablessilatabledescouplesadressesMACportestsatureoucorrompue.chaqueportcorrespondunnombreminimaldadressesMACncessaireaubonfonctionnementdudispositifconnect(PCseulouPCetTlphoneIP).

l Les serveurs DHCP installs sans autorisation sur un sousrseau entrainent des dnis de services. LatechnologieDHCPsnoopingpermetdeseprmunircontrecegenredaccident.

l LesswitchdansleurconfigurationpardfautneprotgentnullementlessystmesdexploitationcontrelacorruptiondeleursproprescachesARP.Cependant,latechnologieDynamicArpInspectionpalliecettatdefaiteninspectantetensurveillantlescouplesadresseMACadresseIP(aveclaidedeDHCPsnooping).

Pour clore ce chapitre, nous ajoutons une mesure de scurit reprise sur le chapitre traitant des protectionsglobalesdunquipementCisco. LeprotocoleCDP (CiscoDiscoveryProtocol) se situeauniveaudeuxetprsentequelquesrisquessilestactiv.Silnestpasncessaireaubonfonctionnementdurseau,ilestfortementconseilldeledsactiver.



Conclusion

Nousvenonsdexaminer lesmenaceset lesmesuresdeprotectionquipermettentdegarantir lascuritdesdeuxpremirescouchesdemodleOSI.Lascuritcommenceiciavecunstrictcontrledelaccsauxmdiasquesontlesrseauxcbls(filaireouoptique).Nousaborderonsdansunprochainchapitrecemmethmeappliqucettefoisauxrseaux sans fils qui utilisent les ondes radiolectriques comme mdia. La seconde couche du modle OSI a laresponsabilitdacheminerlescommunicationsentredeshtespartageantunmmemdia,cetitreelleestlacibledenombreusesattaquesvisantdtournerletraficversdestiersayantaupralableusurpdesadressesphysiques.Cettecoucheestgalementvictimedattaquesayantpourobjectiflasaturationdesmmoiresrservesaustockagedecesmmesadresses.

Aveclextensiondesrseauxdentreprise,lebesoinsestfaitsentirdisolerlessegmentslesunsdesautresafinderestreindrelesdomainesdecollisionauniveaudelacouche2.CetteexigenceestaccomplieparlesVLANqui,nouslavonsvu,negarantissentpasuneisolationsuffisante.Demme,lintrieurdesVLAN,unautreniveaudisolationestparfoisrequisafinquelesmembresdunsegmentnepuissentpascommuniquerentreeux.

Lascuritdelacouche2estprimordialecarlesmesuresdeprotectionappliquesauxcouchessuprieurespeuventdpendretroitementdescouchesinfrieures.

LechapitresuivantnouspropulsedeuxcouchesplushautverslesniveauxtroisetquatredansluniversdeTCP/IP.


enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDM5OTc2IC0gTW9oYSBBbmlzYSAtIDg0NTU5YjA4LTM0M2EtNDY4Mi05OThkLWMxMzJjOGNmNDE2Md3xEZ4VPM2ICwA=-enidentnumber

Notionssurlacouche3

Au niveau de la couche 3 dumodle OSI, les quipements terminaux reoivent en plus de leur adresse physique(propre la couche 2) une adresse dite logique. Les machines qui sont connectes un rseau et qui doiventchangerdesdonnesnesontpastoutesobligatoirementsurlemmesegmentphysiqueetnontdoncpasunevuedirectelesunesdesautreslorsdelamiseenuvredesprotocolesdeniveau2(commeARP)quenousavonsvoquau chapitre prcdent. Il est donc ncessaire dutiliser un autre niveau pour communiquer en saffranchissantdesbarrires.AinsinaquitInternetquioffredenosjourslapossibilittoutunchacundchangerdesinformationsavecdescorrespondantslointains.Uneanalogietrssouventemployeetfortproposestcelledutlphone.Ilesteneffetaisdaborderlesconceptsdadressageetdesegmentationenlescomparantaveclamaniredontlesnumrosde tlphone sont organiss par pays, par rgion, par central tlphoniqueurbain et par rpartiteur dans chaquequartier.Cettechanehirarchiqueestutilisepourlocaliserlescorres

la sécurité des réseaux avec cisco

Documents