La sécurité des réseaux est une préoccupation constante pour les entreprises et les particuliers. À mesure que l’interconnectivité des appareils continue de croître, garantir la sécurité de chaque point de connexion devient un aspect essentiel de la gestion du réseau. Parmi les différentes mesures de sécurité mises en œuvre sur les périphériques réseau, la sécurité des ports sur les commutateurs se distingue comme un élément clé pour empêcher tout accès non autorisé. Dans cet article, nous aborderons la sécurité des ports avec Port Security sur les appareils Cisco, expliquant ses fonctionnalités et détaillants comment elle peut être configurée.
C’est quoi Port Security ?
Port Security est une fonctionnalité des commutateurs Cisco qui permet à un administrateur de restreindre l’entrée sur une interface en limitant les adresses MAC des périphériques autorisés à accéder au port. Cela garantit que seuls les appareils connus et fiables peuvent se connecter à des parties particulières du réseau. En définissant un ensemble limité d’adresses MAC, tout périphérique malveillant ou non autorisé ne peut pas accéder au réseau via le port, améliorant ainsi grandement la sécurité.
Lorsque Port Security est activée sur un port de commutateur, le commutateur commence à garder une trace de toutes les adresses MAC connectées au port. Selon la configuration, il existe trois manières principales de fonctionner la sécurité des ports :
- Adresses MAC sécurisées statiques : celles-ci sont configurées manuellement sur un port et stockées dans la table d’adresses du commutateur.
- Adresses MAC sécurisées dynamiques : le commutateur apprend ces adresses à partir du trafic qui passe par le port. Ils sont stockés uniquement dans la table d’adresses et sont supprimés si le commutateur est redémarré.
- Adresses MAC Sticky Secure : Il s’agit d’une combinaison des méthodes ci-dessus. Le commutateur apprend les adresses MAC à partir des trames reçues sur le port et elles sont stockées dans la configuration en cours. Si le commutateur redémarre, ces adresses restent associées au port.
Lorsque le nombre d’adresses MAC atteint la limite maximale définie pour le port (qui peut être aussi basse que 1), tout nouveau périphérique essayant de se connecter via le port avec une adresse MAC différente sera confronté à l’une des 3 actions basées sur la configuration :
- Protect : supprime les paquets avec des adresses sources inconnues jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soient supprimées ou que le nombre d’adresses maximales autorisées soit augmenté. Aucune notification n’est envoyée.
- Restrict : supprime les paquets avec des adresses sources inconnues jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soient supprimées ou que le nombre d’adresses maximales autorisées soit augmenté. Une notification est envoyée.
- Shutdown : mets immédiatement l’interface dans l’état « errdisable » et envoie une notification.
Activer et configurer Port Security
Activer Port Security
Pour commencer, connectez vous sur le switch sur lequel vous voulez configurer Port Security en SSH, Telnet (pas sécurisé) ou en console.
Ensuite, passez en mode de configuration avec les deux commandes suivantes :
enable conf t
Ensuite, sélectionnez l’interface sur laquelle vous souhaitez configurer un Port Security, ici je choisis de configurer sur l’interface Fa0/1 pour l’exemple :
interface Fa0/1
Ensuite nous allons activer Port Security, mais avant il faut que notre interface ne soit plus en mode « dynamique » alors nous le passons en mode « Access » :
switchport mode access
Finalement nous pouvons maintenant activer Port Security sur notre interface :
switchport port-security
Configurer nombre maximal de MAC
Pour spécifier le nombre maximum d’adresses MAC possibles derrière un port, vous pouvez utiliser la commande suivante (ici je vais bloquer à 2 adresses MAC) :
switchport port-security maximum 2
Spécifier une adresse MAC
Si vous souhaitez définir manuellement une adresse MAC, utilisez la commande suivante en adaptant l’adresse :
switchport port-security mac-address 0050.0F25.723E
Récupérer automatiquement les adresses MAC
Il peut être intéressant de laisser vos switchs récupérer les adresses MAC de façon automatique. Ainsi le premier équipement qui se connectera au port de votre switch donnera son adresse MAC à celui-ci pour l’enregistrer. Attention à cette étape, il vous faudra garantir que les bons équipements se connectent sur les bons ports 😉. Pour ce faire voici la commande :
switchport port-security mac-address sticky
Changer l’action par défaut – Port Security
Par défaut, le switch passe en mode « shutdown» en cas de violation donc le port se mettra en mode « errdisable ». Si vous souhaitez modifier ceci voici la commande :
switchport port-security violation {protect | restrict | shutdown}
Surveiller vos Port Security
Pour finir, sachez que vous pouvez surveiller l’état et voir les adresses MAC associées à une interface à l’aide de la commande suivante :
show port-security interface fastethernet 0/1
Port Security est une fonctionnalité indispensable pour les administrateurs réseau souhaitant améliorer la sécurité de leur infrastructure. Il garantit que seuls les appareils autorisés accèdent au réseau, atténuant ainsi les risques liés aux appareils malveillants. En comprenant et en mettant en œuvre la sécurité des ports sur les appareils Cisco ou autre, vous pourrez augmenter la protection de vos ressources réseau 😎.
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :