UITS

Union IT Services

CCNA Routing and Switching 200-125

Animé par : Khalid KATKOUT

5 – Infrastructure Security
 Infrastructure Security
Infrastructure Security : 11% :
• Port security
• DHCP Snooping
• ACL (Standard / Etendu / Named)
• Telnet / SSH
• AAA

Khalid KATKOUT CCNA R&S 200-125 3

 Infrastructure Security
Port Security : Introduction :
Le port security permet de filtrer et de restreindre le nombre d’adresse MAC autorisées à se
connecter sur le port d’un switch Cisco.
Pour activer cette fonction sur une interface, nous allons passer en mode config, puis
sélectionner notre interface, celle-ci devra impérativement être configurée en mode «
access » : Switch(config-if)#switchport port-security
Il y a deux méthodes, la première consiste à enregistrer manuellement l’adresse MAC
autorisée et la seconde consiste à prendre comme adresse MAC autorisée celle de l’hôte
qui va se connecter et envoyer une trame en premier à ce port du Switch Cisco.

Khalid KATKOUT CCNA R&S 200-125 4

 Infrastructure Security
Port Security : Sécurisation manuelle :
La sécurisation manuelle a pour sécuriser manuellement l’accès en définissant une adresse
MAC précise pour un port. Dans le but d’empêcher n’importe quel poste de travail de se
connecter.
Par défaut, il n’y a pas de sécurité, les postes de travail peuvent se connecter sur n’importe
quel port du Switch et communiquer entre eux.
Pour définir une adresse MAC précise pour un port on utilise la commande :
Switch(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx

Khalid KATKOUT CCNA R&S 200-125 5

 Infrastructure Security
Port Security : Sécurisation automatique :
Il est possible de sécuriser l’accès de manière automatique c'est-à-dire que l’on active le
« port-security » et c’est le premier hôte qui va se connecter et envoyer une trame qui va
en être en quelque sorte le propriétaire. Tout le temps qu’il n’y a pas de trame, l’adresse
MAC du PC connecté n’est pas enregistrée.
Pour sécuriser l’accès d’une manière automatique on tape la commande :
Switch(config-if)# switchport port-security mac-address sticky

Khalid KATKOUT CCNA R&S 200-125 6

 Infrastructure Security
Port Security : Réaction lors d’une violation d’une sécurité :
Lorsqu’un hôte non autorisé se connecte sur un port sécurisé, le switch se doit de réagir à
cette violation de la sécurité. Pour cela il utilise la commande « switchport port-security
violation Option » avec 3 options différentes, qui sont :
• La méthode « shutdown » : Elle désactive l’interface lorsque qu’il y a violation. Pour la
réactiver, il faut désactiver le port manuellement et le réactiver manuellement pour qu’il
redevienne actif. Pour cela, allez dans la configuration de l’interface et saisissez la
commande « shutdown » pour désactiver puis « no shutdown » pour activer l’interface.
• La méthode « protect » : Toutes les trames ayant des adresses MAC sources inconnues
sont bloquées et les autres autorisées.
• La méthode « restrict » : Alerte SNMP envoyée et le compteur de violation est
incrémenté.
Khalid KATKOUT CCNA R&S 200-125 7
 Infrastructure Security
Port Security : Augmenter le nombre des adresses MAC autorisées :
Par défaut, il est possible d’autoriser une seule adresse MAC sur chacun des ports.
Pour augmenter le nombre d’adresses sur un port on utilise la commande :
Switch(config-if)#switchport port-security maximum x
X correspond au nombre maximum d’adresses.

Khalid KATKOUT CCNA R&S 200-125 8

 Infrastructure Security
Port Security : Configuration : LAB-1 :

Khalid KATKOUT CCNA R&S 200-125 9

 Infrastructure Security
SSH : Introduction :
SSH (Secure SHELL) est un protocole de communication sécurisé. Il impose un échange des
clés de chiffrement en début de la connexion. Par la suite, tous les segments TCP sont
authentifiés et chiffrés. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait
l'utilisateur.
SSH a été conçu avec l'objectif de remplacer les différents protocoles non chiffrés
comme rlogin, telnet…
le protocole SSH utilise le port TCP 22.

Khalid KATKOUT CCNA R&S 200-125 10

 Infrastructure Security
SSH : Versions :
SSH existe en deux versions
• Version 1 : Cette version souffrait néanmoins de problèmes de sécurité dans la
vérification de l'intégrité des données envoyées ou reçues, la rendant vulnérable à des
attaques actives.
• Version 2 : Cette version est beaucoup plus sûre au niveau cryptographique, et possède
en plus un protocole de transfert de fichiers complet, le SSH File Transfer Protocol.

Khalid KATKOUT CCNA R&S 200-125 11

 Infrastructure Security
SSH : Configuration : LAB-2 :

Khalid KATKOUT CCNA R&S 200-125 12

 Infrastructure Security
DHCP Snooping : Introduction :
Le DHCP Snooping est une technologie à implémenter sur un commutateur et qui permet
d'empêcher de brancher un serveur DHCP pirate (indésirable) sur un réseau.
Cette technologie consiste donc à filtrer les requêtes DHCP de type « DHCP OFFER » non
autorisées. Pour cela, tous les ports du commutateur doivent filtrer les requêtes DHCP à
l'exception du port correspondant à celui du serveur DHCP légitime du réseau.
En pratique, seul un ou plusieurs ports du commutateur seront autorisés à distribuer une
plage d'adresses IP, ce qui évite à un potentiel attaquant de brancher son propre serveur
DHCP sur l’un des autres ports du commutateur.

Khalid KATKOUT CCNA R&S 200-125 13

 Infrastructure Security
DHCP Snooping : Mise en place :
C’est très simple a mettre en place :
• Active le dhcp snoooping :
Sw(config)# ip dhcp snooping
• Définir sur quels VLAN le dhcp snooping s’appliquera :
Sw(config)# ip dhcp snooping vlan 3 15
• Active l’option 82 du protocole DHCP (l'option d'information d'agent de relais de DHCP, elle
permettre à un agent relais DHCP d'insérer des informations spécifiques à un circuit dans une
demande qui est transmise à un serveur DHCP) :
Sw(config)# ip dhcp snooping information option

Khalid KATKOUT CCNA R&S 200-125 14

 Infrastructure Security
DHCP Snooping : Mise en place :
• Rentrer dans la configuration de l’interface :
Sw(config)# interface fastethernet0/0
• Rendre cette interface comme interface de confiance :
Sw(config-if)# ip dhcp snooping trust
• Définir le nombre de requête max par seconde autorisé :
Sw(config-if)# ip dhcp snooping limit rate 50
• Vérification :
Swi#show ip dhcp snooping

Khalid KATKOUT CCNA R&S 200-125 15

 Infrastructure Security
DHCP Snooping : Configuration : LAB-3 :

Khalid KATKOUT CCNA R&S 200-125 16

 Infrastructure Security
AAA : Introduction :
AAA (Authentication, Authorization and Accounting) est un protocole qui permet de gérer :
• Authentication : Authentification consiste à déterminer si l’utilisateur ou l’équipement est
bien celui qu’il prêtant être, cela ce fait grâce à une authentification nom d’utilisateur/ mot
de passe, ou grâce à un certificat.
• Authorization : Autorisation consiste à déterminer les droits de l’utilisateur sur les
différentes ressources.
• Accounting or Auditing: Compte permet de garder des informations sur l’utilisation des
ressources par l’utilisateur.

Khalid KATKOUT CCNA R&S 200-125 17

 Infrastructure Security
AAA : Liste de protocoles AAA : Radius :
• RADIUS (Remote Authentication Dial-In User Service) est un protocole client-
serveur permettant de centraliser des données d'authentification.
• Le protocole Radius est basé sur de L’UDP sur les numéros de port 1645 ou 1812.
• Le protocole Radius est un protocole ouvert, il fonctionne donc sur différents
équipements.

Khalid KATKOUT CCNA R&S 200-125 18

 Infrastructure Security
AAA : Liste de protocoles AAA : Tacacs+ :
• TACACS+ (Terminal Access Controller Access-Control System Plus) est un protocole
permettant de fournir du contrôle d’accès pour les routeurs, les accès réseaux et autres
équipements réseaux grâce à un ou plusieurs serveurs centralisés.
• Le protocole Tacacs+ fonctionne en mode TCP sur le port 49, il s'agit d'un protocole
propriétaire Cisco.
• Le protocole Tacacs+ se caractérise par le chiffrement de l’ensemble du trafic
contrairement au protocole RADIUS qui ne protège que le champ « mot de passe ». RADIUS
est basé sur UDP et permet l'interopérabilité avec des équipements d'autres fournisseurs.

Khalid KATKOUT CCNA R&S 200-125 19

 Infrastructure Security
AAA : Liste de protocoles AAA :
Chez CISCO, le modèle AAA est géré via un serveur ACS (Access Control Server). Il est
généralement implanté avec les services Microsoft AD-DS (Active Directory Domain
Services) afin d’avoir une base de donnée utilisateur commune à l’entreprise. En règle
générale un utilisateur local est tout de même créé sur les équipements réseau en cas de
perte de service des services d’annuaire ou du serveur ACS.
La solution CISCO ACS garantit l’exécution des politiques prescrites en donnant aux
administrateurs réseaux la possibilité de contrôler :
• les personnes qui peuvent ouvrir une session sur les équipements réseau,
• les privilèges attribués à chaque utilisateur sur les équipements réseau,
• les informations d’administration qui doivent être enregistrées pour des questions
d’audits de sécurité ou de facturation comptable,
• l’accès de chaque administrateur de configuration et les commandes de contrôle qu’il
peut utiliser
Khalid KATKOUT CCNA R&S 200-125 20
 Infrastructure Security
AAA : Configuration de Radius : LAB-4

Khalid KATKOUT CCNA R&S 200-125 21

 Infrastructure Security
AAA : Configuration de Tacacs+ : LAB-5

Khalid KATKOUT CCNA R&S 200-125 22

 Infrastructure Security
ACL : Introduction :
Une ACL (Access Control List) permet d’autoriser (permit) ou d’interdire (deny) des paquets,
que ce soit en entrée ou en sortie d’un routeur.
Il existe plusieurs types d’ACL parmi lesquelles :
• ACL standard.
• ACL étendue.
• ACL nommée.
• ACL réflexive.
• ACL dynamique.

Khalid KATKOUT CCNA R&S 200-125 23

 Infrastructure Security
ACL : Introduction :
Une ACL est identifiable par son numéro ou son nom :
• ACL Standard : de 1 à 99 et de 1300 à 1999
• ACL Étendue (Extended) : de 100 à 199 et de 2000 à 2699
• ACL Nommée (Named) : Soit Standard ou étendue (Avec un nom ou un numéro)

Khalid KATKOUT CCNA R&S 200-125 24

 Infrastructure Security
ACL : Introduction :
L’avantage principal des ACLs est donc de fournir une base de sécurité réseau en filtrant les
trafics traversant un routeur.
Le principal inconvénient est malheureusement un traitement supplémentaire à effectuer
pour chaque paquet entrant et/ou sortant du routeur.

Khalid KATKOUT CCNA R&S 200-125 25

 Infrastructure Security
ACL : ACL Standard :
• Permet d’analyser le trafic en fonction de l’adresse IP source
• Les ACLs standard sont appliqué et créé sur le routeur le plus proche possible à la
destination en raison de leur faible précision.
• Autorise ou bloque tous le trafic.

Khalid KATKOUT CCNA R&S 200-125 26

 Infrastructure Security
ACL : ACL Standard : LAB-6 :

Khalid KATKOUT CCNA R&S 200-125 27

 Infrastructure Security
ACL : ACL Étendue :
• Permet d’analyser le trafic en fonction de :
- Adresse IP source et Adresse IP destination
- Protocole (tcp, udp, icmp, …)
- Port source et Port destination
- Etc.
• Autorise ou bloque un ou plusieurs trafics.
• Les ACLs étendue sont appliqué et créé sur le routeur le plus proche possible à la source.

Khalid KATKOUT CCNA R&S 200-125 28

 Infrastructure Security
ACL : ACL Étendue : LAB-7 :

Khalid KATKOUT CCNA R&S 200-125 29

 Infrastructure Security
ACL : ACL Nommée : LAB-8 :

Khalid KATKOUT CCNA R&S 200-125 30

 Infrastructure Security

Révision Générale

Khalid KATKOUT CCNA R&S 200-125 31