2.2 - Chiffrez Vos Équipement Déseau
2.2 - Chiffrez Vos Équipement Déseau
2.2 - Chiffrez Vos Équipement Déseau
Dans ce chapitre, vous apprendrez à utiliser les fonctions de sécurité des équipements
réseau pour sécuriser le réseau interne et appliquer de la défense en profondeur. En
effet, les experts se concentrent souvent sur la sécurité périmétrique, en oubliant qu'il
est indispensable de se protéger aussi d'un poste interne qui serait compromis !
Vous pourrez tester les configurations présentées avec un émulateur de type GNS3. Les
commandes que je vous propose sont celles d'équipements Cisco, mais les mêmes
fonctions sont présentes chez les principaux constructeurs.
Je vous propose d’améliorer la sécurité de votre réseau interne en :
En matière d'architecture, nous allons donc créer des VLAN différents pour des
composants n'ayant pas le même niveau de sensibilité, pour différencier par exemples
:
Switch#vlan database
Switch(vlan)#vlan 10
VLAN 10 added:
Name: VLAN0010
Switch(vlan)#vlan 20
VLAN 20 added:
Name: VLAN0020
Switch(vlan)#vlan 30
VLAN 30 added:
Name: VLAN0030
Afin de rendre la gestion plus explicite, vous pouvez définir un nom au VLAN :
Switch(vlan)#vlan 10 name CLIENTS
VLAN 10 modified:
Name: CLIENTS
Switch(vlan)#exit
APPLY completed.
Exiting....
Dans notre exemple, le poste de travail est connecté au port 0, le
poste d'admin au port 1 et le serveur interne au port 2. Vous devrez assigner le VLAN
correspondant de la manière suivante :
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fa1/0
Switch(config)#interface fa1/1
Switch(config-if)#interface fa1/2
Switch(config-if)#
Switch(config-if)#end
Switch#
witch#show vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- ---------------------------
----
1 default active Fa1/3, Fa1/4, Fa1/5, Fa1/6
Fa1/7, Fa1/8, Fa1/9, Fa1/10
Fa1/11, Fa1/12, Fa1/13, Fa1/14
Fa1/15
10 CLIENTS active Fa1/0
20 ADMIN active Fa1/1
30 SERVEURS active Fa1/2
Certaines interfaces seront configurées en mode trunk, ce qui permet d'y
véhiculer plusieurs VLANs :
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fa1/15
Switch(config-if)#end
Switch#
PVLAN
Pour restreindre encore le cloisonnement, vous pouvez mettre en place des private
VLAN ou PVLAN. Cela permet d'assurer un cloisonnement supplémentaire au sein
d'un même sous-réseau logique.
Par exemple, vous pourrez ainsi séparer les postes de travail les uns des autres. En
effet, ils sont rarement besoin de communiquer entre eux, car lorsqu'ils veulent
échanger des données, ils le font au travers d'un serveur !
les ports primaires sur lesquelles seront connectés les systèmes pouvant être
joints depuis les ports secondaires. Il peut s'agir d'un serveur de fichier ou d'un
proxy Web ;
les ports secondaires sur lesquels sont branchés des systèmes qui ne pourront
communiquer qu'avec les systèmes connectés à des ports primaires. Les ports
secondaires isolés se distinguent des ports secondaires communauté : pour ces
derniers, si plusieurs systèmes sont connectés à un même port, ils peuvent
communiquer entre eux.
Les ports promiscuous peuvent communiquer avec tous les systèmes des ports
primaires ou secondaires. Il s'agit typiquement du port sur lequel sera branché le
pare-feu qui filtre les flux échangés entre les différents VLANS.
La configuration se fait de la manière suivante :
Switch(config)# vlan <primary_vlan_id>
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# exit
Port-security
Lorsqu'un attaquant a accès au réseau interne, il peut faire des attaques au niveau
ARP, en particulier pour usurper un adresse MAC, détourner le trafic à destination du
routeur par défaut ou du serveur DNS.
Il peut aussi tout simplement falsifier un grand nombre de réponses ARP afin de saturer
les switchs (leur table CAM) et les faire se comporter comme des Hub. Cela permet de
capturer l'ensemble du trafic réseau et lorsqu'elles ne sont pas chiffrées, des données
d'authentification.
Dans tous les cas, pensez que des situations non malveillantes nécessiteront de mettre à
jour la configuration, par exemple en cas de remplacement d'une carte réseau
défectueuse !
Plusieurs actions sont possibles lors d'une violation du port-security : la désactivation
de l'interface, la restriction du trafic à l'adresse MAC connue ou encore l'envoi
d'une alerte SNMP.
Pour éviter cela, il suffit d'activer le DHCP Snooping en indiquant sur le switch quel est
le port où les réponses DHCP sont légitimes :
Switch#conf t
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
Switch(config)#interface Fa1/5
Switch(config-if)#ip dhcp snooping trust
En complément du DHCP Snooping, l'activation du DAI (Dynamic ARP
Inspection) permet au switch d'inspecter l'ensemble du trafic ARP, le confronter
avec une base de référence construite à partir du DHCP Snooping, pour ne laisser passer
que les réponses ARP légitimes.
En résumé
Pour sécuriser vos équipements réseau, il y a 4 moyens : les VLAN, le PVLAN,
le port-security et DHCP Snooping et DAI.
VLAN et PVLAN permettent de renforcer vos cloisonnement interne.
Les attaques ARP peuvent être limité en en activant le port-security.
La fonction de DHCP Snooping permet d’empêcher les réponses DHCP pirates.