Port-security

 

Port-security

 

 

Introduction


Afin de sécuriser l’accès physique à notre réseau, nous pouvons utiliser deux méthodes :

– Port-security (Sécurisation de nos ports via adresse MAC)

– Port-based authentication (Combinaison entre l’autentification AAA et le port-security)

 

Port-security


 

Principe de fonctionnement


 

Une adresse MAC est une adresse qui permet d’identifier une carte réseau.

Cette adresse est UNIQUE au monde.

On va donc utiliser ces adresses pour autoriser ou non un client

Situation :

– Deux postes clients se connecte sur notre réseau.

– Tout les ports clients de nos équipements actif utilise le port-security

Le poste client 1 possède l’adresse MAC 0000.0000.0001

Il se connecte au port FastEthernet 0/1

Il est configuré comme ceci :

 

Interface FastEthernet 0/1
 description CLIENT_01
 switchport access vlan 10
 switchport mode access
 switchport port-security      <<< Activation du port-security
 switchport port-security mac-address 0000.0000.0001     <<< @MAC autorisé
 switchport port-security violation restrict     <<< Si l'@MAC est refusé

 Lorsque que le port va s’allumer , il va se poser les questions suivantes :

L’adresse MAC renseigné sur le port est identique au client. Le port se comporte donc normalement pour ce client.

Le poste client 2 possède l’adresse MAC 0000.0000.0003

Il se connecte au port FastEthernet 0/2

Il est configuré comme ceci :

 

Interface FastEthernet 0/2
 description CLIENT_02
 switchport access vlan 10
 switchport mode access
 switchport port-security      <<< Activation du port-security
 switchport port-security mac-address 0000.0000.0002     <<< @MAC autorisé
 switchport port-security violation restrict     <<< Si l'@MAC est refusé

Lorsque que le port va s’allumer , il va se poser les questions suivantes :

L’adresse MAC n’est pas autorisé par le « port-security ». La commande « switchport port-security violation » va donc indiquer au port quoi faire.

 

 switchport port-security violation [ shutdown | restrict | protect ]

Il existe trois type de réaction :

 

Shutdown

Si une adresse MAC non autorisé se présente, le port va se mettre en mode ERR-DISABLE. Il doit y avoir une action humaine pour remettre ce port en état de fonctionner (« shutdown » / « no shutdown » sur l’interface en question). Le switch garde une trace de cette violation.

 

Restrict

Si une adresse MAC non autorisé se présente, le port va jeter TOUTES les trames reçu par cette adresse MAC. Il traitera toujours les trames possédant une adresse MAC autorisé. Le switch garde une trace de cette violation

 

Protect

Identique au mode « restrict » sauf que le switch ne garde pas la trace des violations de sécurité.

IL Y A EU UNE VIOLATION DE SECURITE !

Notre architecture du début ressemble donc à celle ci :

Note : Si un client possédant une adresse MAC autorisé prend la place du « Client 02 » , Le port Fa0/2 sera en état de fonctionner (Grâce au mode « restrict ») .

 

 

Configuration


 

Activation du « port-security »


Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport port-security

Une commande du style « switchport port-security violation restrict » ou autre n’active pas le « port-security » !

Seul la commande « switchport port-security l’active !!

 

Méthode d’apprentissage


 

2 méthodes pour faire apprendre les adresses MAC des postes à autorisé sur nos ports :

– Rentrer manuellement ses adresses MAC sur nos ports

 

Switch(config-if)#switchport port-security mac-address 0000.0000.0001
Switch(config-if)#switchport port-security mac-address 0000.0000.0002
Switch(config-if)#switchport port-security mac-address 0000.0000.0003
etc ..

 

– Retenir les premières adresses MAC qui se connecte à nos ports grâce au STICKY (traduction : lécher)

 

Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 10

10 adresses MAC vont être apprise par le Sticky.

 

Violation


 

Switch(config-if)#switchport port-security violation shutdown

ou

Switch(config-if)#switchport port-security violation restrict

ou

Switch(config-if)#switchport port-security violation protect

 

Vérifications


Switch#show port-security

Cette commande affiche l’état des ports utilisant le « port-security »

Switch#show interfaces status err-disabled

Cette commande nous montre les ports en mode « err-disable« .

Pour remettre un port « err-disable » en état de fonctionner, retirer l’équipement non autorisé du port puis faite :

Switch(config)#interface FastEthernet X/X     <<< Port concerné
Switch(config-if)#shutdown
Switch(config-if)#no shutdown

 

Faiblesse du port-security


 

Le port-security sécurise l’accès à notre réseau via l’adresse MAC.

Cette adresse MAC est changeable facilement …

Afin de prouver la faiblesse de cette sécurisation, mettons nous à la palce d’une personne malveillante.

Exemple :

 

 

Une personne malveillante veut se connecter à notre réseau. Il va donc devoir prendre la place de quelqu’un afin d’être sur que le port soit ouvert et d’être dans un Vlan fonctionnel.

Pour ce faire il va débrancher un client du réseau afin de faire un point-à-point avec ce dernier.

1– Grâce au logiciel Wireshark, il va apprendre l’adresse IP et l’adresse MAC du client.

2 – Il va s’attribuer l’adresse IP du client.

3 – Il va s’attribuer l’adresse MAC du client grâce au logiciel Technitium.

 

Il ne reste plus qu’à se connecter au réseau et le tour est joué !!

 

 

Conclusion


Le port-security est une méthode qui permet de sécurisé l’accès au réseau.

Ce n’est pas la meilleur, mais c’est mieux que rien !

Cette solution est facile à mettre en oeuvre. Un utilisateur lambda ne va pas se donner la peine de chercher une solution pour se connecter illégalement à votre réseau. Une personne mal intentionnée va prendre 5minutes pour s’y connecter.

Pour un réseau lambda , le port-security va suffir

Pour un réseau sensible , tournez vous vers le « Port-Based Authentication » << Lien vers l’article

En espérant que cet article vous as été utile !!

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

2 thoughts on “Port-security”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *