Port Security

Sécuriser les interfaces de vos switchs CISCO avec Port security

La sécurité des réseaux est une préoccupation constante pour les entreprises et les particuliers. À mesure que l’interconnectivité des appareils continue de croître, garantir la sécurité de chaque point de connexion devient un aspect essentiel de la gestion du réseau. Parmi les différentes mesures de sécurité mises en œuvre sur les périphériques réseau, la sécurité des ports sur les commutateurs se distingue comme un élément clé pour empêcher tout accès non autorisé. Dans cet article, nous aborderons la sécurité des ports avec Port Security sur les appareils Cisco, expliquant ses fonctionnalités et détaillants comment elle peut être configurée.

C’est quoi Port Security ?

Port Security est une fonctionnalité des commutateurs Cisco qui permet à un administrateur de restreindre l’entrée sur une interface en limitant les adresses MAC des périphériques autorisés à accéder au port. Cela garantit que seuls les appareils connus et fiables peuvent se connecter à des parties particulières du réseau. En définissant un ensemble limité d’adresses MAC, tout périphérique malveillant ou non autorisé ne peut pas accéder au réseau via le port, améliorant ainsi grandement la sécurité.

Lorsque Port Security est activée sur un port de commutateur, le commutateur commence à garder une trace de toutes les adresses MAC connectées au port. Selon la configuration, il existe trois manières principales de fonctionner la sécurité des ports :

  • Adresses MAC sécurisées statiques : celles-ci sont configurées manuellement sur un port et stockées dans la table d’adresses du commutateur.
  • Adresses MAC sécurisées dynamiques : le commutateur apprend ces adresses à partir du trafic qui passe par le port. Ils sont stockés uniquement dans la table d’adresses et sont supprimés si le commutateur est redémarré.
  • Adresses MAC Sticky Secure : Il s’agit d’une combinaison des méthodes ci-dessus. Le commutateur apprend les adresses MAC à partir des trames reçues sur le port et elles sont stockées dans la configuration en cours. Si le commutateur redémarre, ces adresses restent associées au port.

Lorsque le nombre d’adresses MAC atteint la limite maximale définie pour le port (qui peut être aussi basse que 1), tout nouveau périphérique essayant de se connecter via le port avec une adresse MAC différente sera confronté à l’une des 3 actions basées sur la configuration :

  • Protect : supprime les paquets avec des adresses sources inconnues jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soient supprimées ou que le nombre d’adresses maximales autorisées soit augmenté. Aucune notification n’est envoyée.
  • Restrict : supprime les paquets avec des adresses sources inconnues jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soient supprimées ou que le nombre d’adresses maximales autorisées soit augmenté. Une notification est envoyée.
  • Shutdown : mets immédiatement l’interface dans l’état « errdisable » et envoie une notification.

Activer et configurer Port Security

Activer Port Security

Pour commencer, connectez vous sur le switch sur lequel vous voulez configurer Port Security en SSH, Telnet (pas sécurisé) ou en console.

Connection au switch

Ensuite, passez en mode de configuration avec les deux commandes suivantes :

enable
conf t
enable + conf t

Ensuite, sélectionnez l’interface sur laquelle vous souhaitez configurer un Port Security, ici je choisis de configurer sur l’interface Fa0/1 pour l’exemple :

interface Fa0/1
interface Fa0/1

Ensuite nous allons activer Port Security, mais avant il faut que notre interface ne soit plus en mode « dynamique » alors nous le passons en mode « Access » :

switchport mode access
switchport mode access

Finalement nous pouvons maintenant activer Port Security sur notre interface :

switchport port-security
switchport port-security

Configurer nombre maximal de MAC

Pour spécifier le nombre maximum d’adresses MAC possibles derrière un port, vous pouvez utiliser la commande suivante (ici je vais bloquer à 2 adresses MAC) :

switchport port-security maximum 2
switchport port-security maximum 2

Spécifier une adresse MAC

Si vous souhaitez définir manuellement une adresse MAC, utilisez la commande suivante en adaptant l’adresse :

switchport port-security mac-address 0050.0F25.723E
switchport port-security mac-address 0050.0F25.723E

Récupérer automatiquement les adresses MAC

Il peut être intéressant de laisser vos switchs récupérer les adresses MAC de façon automatique. Ainsi le premier équipement qui se connectera au port de votre switch donnera son adresse MAC à celui-ci pour l’enregistrer. Attention à cette étape, il vous faudra garantir que les bons équipements se connectent sur les bons ports 😉. Pour ce faire voici la commande :

switchport port-security mac-address sticky
switchport port-security mac-address sticky

Changer l’action par défaut – Port Security

Par défaut, le switch passe en mode « shutdown» en cas de violation donc le port se mettra en mode « errdisable ». Si vous souhaitez modifier ceci voici la commande :

switchport port-security violation {protect | restrict | shutdown}
witchport port-security violation {protect | restrict | shutdown}

Surveiller vos Port Security

Pour finir, sachez que vous pouvez surveiller l’état et voir les adresses MAC associées à une interface à l’aide de la commande suivante :

show port-security interface fastethernet 0/1
show port-security interface fastethernet 0/1

Port Security est une fonctionnalité indispensable pour les administrateurs réseau souhaitant améliorer la sécurité de leur infrastructure. Il garantit que seuls les appareils autorisés accèdent au réseau, atténuant ainsi les risques liés aux appareils malveillants. En comprenant et en mettant en œuvre la sécurité des ports sur les appareils Cisco ou autre, vous pourrez augmenter la protection de vos ressources réseau 😎.

Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :

Faire un don : https://www.paypal.com/donate/?hosted_button_id=DJBF7C54L273C

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Retour en haut