Configurer Port Security sur un routeur/switch Cisco

Configurer et depanner Port Security

L’examen d’aujourd’hui est un tourbillon de sujets qui incluent la sécurité des ports, les techniques d’atténuation des menaces sur les réseaux locaux et le renforcement des dispositifs.

NOTE : Les sujets de l’examen CCNA d’aujourd’hui ne sont pas couverts dans l’ordre.
Configuration de la sécurité des ports

Si vous savez quels périphériques doivent être câblés et connectés à des interfaces particulières sur un commutateur, vous pouvez utiliser la fonction Port Security pour restreindre cette interface afin que seuls les périphériques attendus puissent l’utiliser.

Cela réduit l’exposition à certains types d’attaques dans lesquelles l’attaquant connecte un ordinateur portable à la prise murale ou utilise le câble connecté à un autre périphérique terminal pour accéder au réseau.

Configuration de Port Security

La configuration de la sécurité des ports comporte plusieurs étapes. Fondamentalement, vous devez faire d’un port un port d’accès, ce qui signifie que le port ne fait pas de trunking VLAN.

Vous devez ensuite activer la sécurité des ports et configurer les adresses MAC (Media Access Control) des périphériques autorisés à utiliser ce port. La liste suivante décrit les étapes, y compris les commandes de configuration utilisées :

Étape 1. Configurez l’interface pour le mode d’accès statique (static access) à l’aide de la sous-commande d’interface switchport mode access.

Étape 2. Activez la sécurité des ports à l’aide de la sous-commande de l’interface switchport port-security .

Étape 3. (Facultatif) Remplacez le nombre (1 par exemple) maximum d’adresses MAC autorisées associées à l’interfacepar la sous-commande d’interface switchport port-security maximum number.

Étape 4. (Facultatif) Remplacez l’action par défaut en cas de violation de la sécurité (par exemple shutdown) à l’aide de la sous-commande de l’interface switchport port-security violation {protect | restrict | shutdown}.

Étape 5. (Facultatif) Prédéfinissez n’importe quelle(s) adresse(s) MAC source autorisée(s) pour cette interface à l’aide de la commande switchport port-security mac-address mac-address. Utilisez cette commande plusieurs fois pour définir plusieurs adresses MAC.

Étape 6. (Facultatif) Au lieu de l’étape 5, configurez l’interface pour apprendre dynamiquement et configurez les adresses MAC des hôtes actuellement connectés en saisissant la sous-commande de l’interface switchport port-security mac-address sticky.

Lorsqu’un périphérique non autorisé tente d’envoyer des trames à l’interface du commutateur, le commutateur peut émettre des messages d’information, supprimer des trames de ce périphérique, ou même supprimer des trames de tous les périphériques en fermant effectivement l’interface.

L’action exacte du port du commutateur dépend de l’option que vous configurez dans la commande de violation de la sécurité du port du commutateur. Le Tableau A énumère les actions que le commutateur prendra selon que vous configurez l’option protect, restrict, ou shutdown (par défaut).

Tableau A – Actions en cas de violation de Port Security

Option sur la commande switchport port-security violationprotectrestrictshutdown
Rejeter le trafic illégalOuiOuiOui
Envoie les messages de journalisation et SNMPNonOuiOui
Désactive l'interface, et rejetant tout le traficNonNonOui

L’exemple A montre une configuration de sécurité de port dans laquelle chaque interface d’accès est autorisée avec un maximum de trois adresses MAC. Si une quatrième adresse MAC est détectée, seul le trafic de l’appareil en cause est rejeté.

Si l’option de violation n’est pas explicitement configurée, le trafic pour les périphériques autorisés sur le port est également rejeté car le port serait fermé par défaut.

Exemple A – Exemple de configuration de Port Security

S1(config)# interface range fa 0/5 - fa 0/24
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport port-security
S1(config-if-range)# switchport port-security maximum 3
S1(config-if-range)# switchport port-security violation restrict
S1(config-if-range)# switchport port-security mac-address sticky

 

Pour vérifier la configuration de la sécurité des ports, utilisez la commande plus générale show port-security ou la commande plus spécifique show port-security interface number type. L’exemple B montre l’utilisation des deux commandes. Dans les exemples, notez qu’un seul périphérique est actuellement connecté à un port d’accès sur S1.

Exemple B – Exemples de commande de vérification de Port Security

S1# show port-security
Secure Port 	MaxSecureAddr 	CurrentAddr 	SecurityViolation 	Security Action
    (Count) 	(Count) 	(Count)
Fa0/5 		3 		1 		0 			Restrict
Fa0/6 		3 		0		0 			Restrict
Fa0/7 		3 		0		0 			Restrict
Fa0/8 		3 		0		0 			Restrict
Fa0/9 		3 		0		0 			Restrict
Fa0/10 		3 		0		0 			Restrict
Fa0/11 		3 		0		0 			Restrict
Fa0/12 		3 		0		0 			Restrict
Fa0/13 		3 		0		0 			Restrict
Fa0/14 		3 		0		0 			Restrict
Fa0/15 		3 		0		0 			Restrict
Fa0/16 		3 		0		0 			Restrict
Fa0/17 		3 		0		0 			Restrict
Fa0/18 		3 		0		0 			Restrict
Fa0/19 		3 		0		0 			Restrict
Fa0/20 		3 		0		0 			Restrict
Fa0/21 		3 		0		0 			Restrict
Fa0/22 		3 		0		0 			Restrict
Fa0/23 		3 		0		0 			Restrict
Fa0/24 		3 		0		0 			Restrict
Total Addresses in System (excluding one mac per port) 		: 0
Max Addresses limit in System (excluding one mac per port) 	: 8320

S1# show port-security interface fastethernet 0/5
Port Security 			: Enabled
Port Status 			: Secure-down
Violation Mode 			: Restrict
Aging Time 			: 0 mins
Aging Type 			: Absolute
SecureStatic Address Aging 	: Disabled
Maximum MAC Addresses 		: 3
Total MAC Addresses 		: 1
Configured MAC Addresses 	: 0
Sticky MAC Addresses 		: 1
Last Source Address:Vlan 	: 0014.22dd.37a3:1
Security Violation Count 	: 0

 

Restauration d’un port après une violation de Port Security

Lorsque la sécurité de port est activée sur une interface, l’action par défaut en cas de violation est de fermer le port. Une violation de la sécurité peut se produire de deux façons:

  • Le nombre maximum d’adresses MAC sécurisées a été ajouté à la table d’adresses de cette interface et une station dont l’adresse MAC ne figure pas dans la table d’adresses tente d’y accéder.
  • Une adresse apprise ou configurée sur une interface sécurisée est vue sur une autre interface sécurisée dans le même VLAN.

Lorsqu’une violation se produit, un message Syslog est envoyé à la console indiquant que l’interface est maintenant dans l’état err-disable. Les messages de la console comprennent le numéro de port et l’adresse MAC à l’origine de la violation, comme l’exemple C le montre.

Exemple C – Vérification et restauration des violations de Port Security

S1#
Sep 20 06:44:54.966: %PM-4-ERR_DISABLE: psecure-violation error detected on
  Fa0/18,
  putting Fa0/18 in err-disable state
Sep 20 06:44:54.966: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
  occurred, caused by MAC address 000c.292b.4c75 on port FastEthernet0/18.
Sep 20 06:44:55.973: %LINEPROTO-5-PPDOWN: Line protocol on Interface
FastEthernet0/18, changed state to down
Sep 20 06:44:56.971: %LINK-3-UPDOWN: Interface FastEthernet0/18, changed state to
  down
!The two following commands can be used to verify the port status.

S1# show interface fa0/18 status
Port 	Name 	Status 		Vlan 	Duplex 	Speed 	Type
Fa0/18 		err-disabled 	5 	auto 	auto 	10/100BaseTX

S1# show port-security interface fastethernet 0/18
Port Security 			: Enabled
Port Status 			: Secure-shutdown
Violation Mode 			: Shutdown
Aging Time 			: 0 mins
Aging Type 			: Absolute
SecureStatic Address Aging 	: Disabled
Maximum MAC Addresses 		: 1
Total MAC Addresses 		: 0
Configured MAC Addresses 	: 0
Sticky MAC Addresses 		: 0
Last Source Address:Vlan 	: 000c.292b.4c75:1
Security Violation Count 	: 1
!To restore a port, manually shut it down and

S1(config)# interface FastEthernet 0/18
S1(config-if)# shutdown
Sep 20 06:57:28.532: %LINK-5-CHANGED: Interface FastEthernet0/18, changed state to
  administratively down
S1(config-if)# no shutdown
Sep 20 06:57:48.186: %LINK-3-UPDOWN: Interface FastEthernet0/18, changed state to
  up
Sep 20 06:57:49.193: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/18, changed state to up

Vous pouvez utiliser les commandes show interface type number status ou show port-security interface type number pour vérifier l’état actuel du port. Pour restaurer le port, vous devez d’abord arrêter manuellement l’interface, puis la réactiver, comme dans l’exemple C.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here


CAPTCHA Image
Reload Image