Ports de commutation de sécurité Cisco

Sécurisation des ports de commutateurs Cisco

Dans cet article, nous allons voir comment vous pouvez définir certaines normes de sécurité dans les ports de commutateurs Cisco.

Comme dans les autres articles de cette série que nous publions, est nécessaire pour les appareils de simulation Cisco certaine de gestion des connaissances et des réseaux ont Packet Tracer.

Les interrupteurs de sécurité commence avec le système d'accès lui-même, via la console ou via les lignes virtuelles (vty), Ya mer por Telnet SSH o, ou encore par Http. Vous pouvez définir un mot de passe pour accéder au mode privilégié et aussi, l'authentification peut être mode local, configuré par les utilisateurs sur le système lui-même, avec différents niveaux de privilèges, ou par l'intermédiaire d'un serveur externe (en tant que serveur RADIUS par exemple).

Exemple

Pour définir un mot de passe pour accéder à la console, de sorte qu'ils ne demandent rien de plus connecté à travers une session de terminal:

sw(config)#console de ligne 0
sw(config-line)#mot de passe micontraseña

Avec ce suffisant il suffit.
Dans certains systèmes, en particulier les routeurs, Il ya une connexion auxiliaire (AUX) que, pour l'utiliser, vous devez définir un mot de passe; Il est conçu pour une connexion par modem.

Pour la sécurité du point de vue du réseau, un nivel de commutateur (couverture 2) LAN virtuels sont souvent utilisés (VLAN) pour séparer les domaines de diffusion.
Il existe également une sécurité des ports de niveau, qui va au-delà de l'accès à l'interrupteur du système, avec lequel vous essayez de contrôler les ordinateurs qui se connectent au réseau. Il est là où l'accent article.

Attribution d'adresse statique

Il est à attribuer manuellement une adresse MAC à un port spécifique. Vous pouvez vérifier que l'ordinateur ne peut pas se connecter à un autre port. Sinon, si vous le pouvez.
La syntaxe de commande:

sw(config)#mac-address-table statique MAC_address interface Non.  vlan nombre_vlan

Pour supprimer le mappage doit être utilisé aucune forme de la commande.

sw(config)#pas de mac-address-table statique MAC_address interface Non.  vlan nombre_vlan

Il convient de noter que la syntaxe illustré peut varier légèrement en fonction du modèle de commutateur ou version de l'IOS.
La vérification de la configuration peut être fait simplement en consultant la table d'adresses MAC du commutateur:

sw # show mac-address-table
          Table d'adresses MAC
-------------------------------------------

Vlan Mac Type d'adresse Ports
----    -----------       --------    -----

   1    0001.6429.C999 STATIC Fa0 / 7
   1    0002.4aea.d2c1 STATIC Fa0 / 4
   1    0006.2a85.3b41 STATIC Fa0 / 3
   1    0010.111ré.078d STATIC Fa0 / 2
   1    0040.0b95.0844 STATIC Fa0 / 8
   1    0060.7074.1915    STATIC Fa0 / 5
   1    0090.0c2b.8c7a STATIC Fa0 / 6

La sécurité des ports

Il est connu comme un port sûr qui est configuré de telle sorte qu'il puisse établir une adresse MAC comme sûr, et de prévenir d'autres ordinateurs de se connecter au même port.
Il ya plusieurs façons de traiter la sphère de sécurité. La configuration de base:

  • Pour appliquer la sécurité exige le port d'être en accès. Remarque puis les problèmes dans le cas d'un tronc (traitement vlan et en particulier le VLAN natif)
sw(config-si)#accès en mode switchport
  • Pour établir la sécurité.
sw(config-si)#port-security switchport

Avec le port et configuré, par défaut, le premier MAC pour apprendre (de la première trame qui passe par) Il est le seul à utiliser, jusqu'à ce que vous déconnectez, puis apprendre plus tard devenu sécuritaire. Vous pouvez passer à apprendre plus d'une aussi sûr (seulement il est logique dans un port connecté à un hub ou un autre commutateur).
Pour en apprendre davantage sur une direction, ne permettent pas le changement.

sw(config-si)#port-security switchport mac-address collante

Indique l'AMC a aussi la main. Off interface par défaut si elle détecte un changement. Pour récupérer l'interface après un verrou de sécurité doit être activée et désactivée à nouveau (fonctionnement Fermer dans ce port, et no shutdown puis).
Autres options Port-secuity fils violation et maximum.
Pour indiquer le nombre d'adresses sécurisées:

sw(config-si)#maximale port-security switchport Non.

Pour indiquer le mode de viol:

sw(config-si)#violation port-security switchport {Fermer | protéger | restreindre}

Options violation Ils indiquent le comportement avant une violation de la sécurité, ces options sont:

      • Fermer, par défaut, bloquant le port et incrémente le compteur de violations.
      • protéger, empêche l'envoi de cadres sans bloquer le port, ne pas augmenter le nombre de viols.
      • restreindre, empêche l'envoi de cadres sans bloquer le port, incrémente le compteur et envoie des avis de violations par SNMP.

Notez que l'envoi de cadres à être produit qui peut être causé à une violation de la sécurité dans le port. Pour ce faire, assurez-vous d'un ping par exemple.
La valeur par défaut, Fermer, Notez qu'il peut être préjudiciable dans un port connecté à un autre commutateur ou concentrateur, il pourrait bloquer et annuler l'équipement de service “légitime”.
switch cisco photo puerto de switch bloqueado_zpsfxkg07fl.png
Exemple d'un port verrouillé (rouge) partager. Sinon, ce serait meilleure option violation.

Contrôles de fonctionnement:

Pour vérifier l'état de la sécurité portuaire.

sw # show port-security

Pour afficher la configuration détaillée d'un port.

l'interface port-de sécurité SW # show interface
Exemple
Switch # sh port-security
Fixez action Port MaxSecureAddr CurrentAddr securityViolation sécurité
          (Compter)     (Compter)          (Compter)
--------------------------------------------------------------------
Fa0 / 2        1          1                 0             Protéger
Fa0 / 3        1          1                 0             Protéger
Fa0 / 4        1          1                 3            Restreindre
Fa0 / 5        1          1                 0            Restreindre
Fa0 / 6        3          0                 0            Fermer
Fa0 / 7        1          1                 1            Fermer
Fa0 / 8        3          2                 0            Fermer
----------------------------------------------------------------------

Ils peuvent voir les colonnes montrent le nombre d'adresses sécurisées et celles qui ont été appris et retenu, et contre les violations. Dans protéger que le compteur sera remis à zéro tous les.
Pour supprimer mac sécurité:

tous sw # port-security clair
sw # port-security clair configuré -> para las estáticas
sw # clair dynamique port-security -> para las Dinámicas
sw # port-security clair collante -> pour collant

Vous pouvez également définir le temps qu'il préserve la MAC a appris:

SW # switchport port-security temps de vieillissement procès-verbal --> après quoi elle est effacée.

Télécharger Ici un exemple de fichier de prouver ces choses (créé avec Packet Tracer 6)

Pour la sécurité portuaire DHCP:

Un important moyen de défense que nous pouvons appliquer dans les ports est confronté à des attaques de service DHCP.

DHCP fonctionne émissions fondées, non authentifié, il est donc susceptible d'être attaqué par le serveur DHCP “pirates” qui donnent de fausses configurations de clients légitimes. Ces, normalement, Vous ne serez pas obtenir les paramètres nécessaires pour accéder à des ressources externes.
La espionnage Il consiste à identifier les ports fiables, ceux qui seront autorisés à envoyer et recevoir des messages DHCP.

Avec l'option confiance, le port devient fiable, permettant le passage de serveur DHCP offre aux clients.

sw(config)# IP DHCP Snooping -> pour activer le service.
sw(config)#Interface f0 / 1
sw(config-si)#IP DHCP Snooping confiance

Untrusted ne peut envoyer des demandes, de sorte qu'ils puissent être connectés les clients DHCP, mais pas de serveurs.
DHCP est également très sensible aux attaques par déni de service (Déni de service) de lancer plusieurs applications basées sur la configuration de l'adresse IP MAC inventés, afin d'épuiser toutes les IP disponibles sur le serveur.
Pour ce dernier cas,, Il convient de limiter le nombre de demandes qui peuvent être faites par le biais d'un port, avec la commande:

sw(config-si)#IP DHCP taux limite d'espionnage rapport --> nombre de demandes valides.

Ces commandes ne sont pas disponibles dans le simulateur Packet Tracer, tendremos que comprobarlos en switches reales 🙂

Je espère que ce nouvel article aura été intéressant, si oui pouvez-vous donner +1 ou je l'aime dans vos réseaux sociaux préférés et aidez-nous partager ce contenu, merci.


Au sujet de Ange Calvo

Passionné par la science et de la technologie. Professeur, auteur de manuels et de systèmes de communications et gestionnaire.

Laisser un commentaire