Chapitre 2 : concepts
et configuration de
base de la
commutation
Routage et commutation
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 1
� Chapitre 2
2.0 Introduction
2.1 Configuration de commutateur de base
2.2 Sécurité du commutateur : gestion et implémentation
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 2
� Chapitre 2 : objectifs
Configurer les paramètres d'origine sur un commutateur Cisco
Configurer les ports de commutateur pour répondre à la
configuration réseau requise
Configurer l'interface virtuelle de gestion du commutateur
Décrire les attaques de sécurité de base dans un environnement
commuté
Décrire les meilleures pratiques en matière de sécurité dans un
environnement commuté
Configurer la fonction de sécurité des ports pour restreindre l'accès
au réseau
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 3
� Configuration de commutateur de base
Séquence d'amorçage de commutateur
1. POST
2. Exécutez le bootloader (chargeur de démarrage).
3. Ce programme se charge de l'initialisation de bas
niveau du processeur.
4. Il initialise le système de fichiers de la mémoire flash.
5. Il localise et charge dans la mémoire une image
logicielle du système d'exploitation IOS par défaut et
transfère le contrôle du commutateur à l'IOS.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 4
� Configuration de commutateur de base
Séquence d'amorçage de commutateur
Pour trouver une image IOS appropriée, le commutateur suit
cette procédure :
1. Il tente de démarrer automatiquement en utilisant les
informations de la variable d'environnement BOOT.
2. Si cette variable n'est pas définie, il cherche dans le
système de fichiers flash en le parcourant de haut en bas.
Il chargera et exécutera le premier fichier exécutable s'il le
peut.
3. Le système d'exploitation IOS initialise ensuite les
interfaces à l'aide des commandes Cisco IOS disponibles
dans le fichier de configuration, la configuration initiale, qui
est stockée dans la mémoire vive non volatile.
Remarque : la commande boot system peut être utilisée
pour définir la variable d'environnement BOOT.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 5
� Configuration de commutateur de base
Récupération après une panne système
Le programme d'amorçage peut également être utilisé
pour la gestion du commutateur si l'IOS ne peut pas être
chargé.
Il est accessible via une connexion console. Pour cela :
1. Connectez un PC par le câble de console au port de console du
commutateur. Débranchez le cordon d'alimentation du
commutateur.
2. Rebranchez le cordon d'alimentation sur le commutateur et
maintenez le bouton Mode enfoncé.
3. La LED système devient brièvement orange, puis verte.
Relâchez le bouton Mode.
L'invite switch:prompt du programme d'amorçage
s'affiche dans le logiciel d'émulation de terminal sur le PC.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 6
� Configuration de commutateur de base
Voyants LED de commutateur
Sur les commutateurs Cisco Catalyst, chaque port
possède des indicateurs d'état.
Par défaut, ces LED indiquent l'activité du port, mais
elles peuvent également fournir d'autres informations
sur le commutateur via le bouton Mode.
Les modes suivants sont disponibles sur les
commutateurs Cisco Catalyst 2960 :
LED système
LED système d'alimentation redondante (RPS)
LED statut port
LED bidirectionnel port
LED vitesse port
LED du mode PoE (Power over Ethernet)
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 7
� Configuration de commutateur de base
Voyants LED de commutateur
Modes du commutateur Cisco Catalyst 2960
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 8
�Configuration de commutateur de base
Préparation à la gestion de commutateur de base
La gestion à distance du commutateur Cisco implique que
celui-ci a été configuré pour accéder au réseau.
Une adresse IP et un masque de sous-réseau doivent être
configurés.
Si la gestion du commutateur s'effectue à partir d'un réseau
distant, il faut également configurer une passerelle par
défaut.
Les informations IP (adresse, masque de sous-réseau,
passerelle) doivent être attribuées à une interface virtuelle
(SVI) du commutateur.
Bien que ces paramètres IP permettent l'accès à distance au
commutateur et sa gestion, celui-ci ne pourra pour autant
acheminer les paquets de couche 3.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 9
� Configuration de commutateur de base
Préparation à la gestion de commutateur de base
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 10
� Configuration des ports de commutateur
Communication bidirectionnelle
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 11
� Configuration des ports de commutateur
Configuration des ports de commutateur au
niveau de la couche physique
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 12
� Configuration des ports de commutateur
Fonction auto-MDIX
Certains types de câble (droit ou croisé) étaient
nécessaires pour la connexion des périphériques.
La fonction auto-MDIX (Automatic Medium-Dependent
Interface Crossover) élimine ce problème.
Lorsque la fonction auto-MDIX est activée, l'interface
détecte automatiquement la connexion et la configure
de manière appropriée.
Lorsque la fonction auto-MDIX est utilisée sur une
interface, la vitesse et le mode bidirectionnel de
celle-ci doivent être réglés sur auto.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 13
� Configuration des ports de commutateur
Fonction auto-MDIX
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 14
� Configuration des ports de commutateur
Fonction auto-MDIX
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 15
� Configuration des ports de commutateur
Vérification de la configuration du port de
commutateur
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 16
� Accès à distance sécurisé
Fonctionnement de SSH
Secure Shell (SSH) est un protocole qui permet de se connecter
de manière sécurisée (connexion chiffrée) à un périphérique
distant via une ligne de commande (CLI).
SSH est généralement utilisé dans les systèmes basés sur UNIX.
Cisco IOS prend également en charge SSH.
Il faut disposer d'une version du logiciel IOS comprenant des
fonctions et des fonctionnalités chiffrées pour pouvoir utiliser SSH
sur les commutateurs Catalyst 2960.
En raison de la fiabilité de ses fonctions de chiffrement, SSH
devrait remplacer Telnet pour les connexions servant à la gestion.
SSH utilise le port TCP 22 par défaut et Telnet utilise le port TCP
23.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 17
� Accès à distance sécurisé
Fonctionnement de SSH
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 18
� Accès à distance sécurisé
Configuration de SSH
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 19
� Accès à distance sécurisé
Vérification de SSH
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 20
� Problèmes de sécurité dans les LAN
Inondation d'adresses MAC (MAC
flooding)
Les commutateurs remplissent automatiquement leurs
tables CAM en observant le trafic arrivant sur leurs ports.
Ils renvoient ensuite ce trafic sur tous les ports s'ils ne
trouvent pas l'adresse MAC de destination dans leur
table CAM.
Dans ce cas, le commutateur fait office de concentrateur.
Le trafic de monodiffusion est visible par tous les
périphériques connectés au commutateur.
Un pirate peut en profiter pour accéder au trafic
normalement contrôlé par le commutateur en utilisant un
PC pour envoyer un flot d'adresses MAC.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 21
� Problèmes de sécurité dans les LAN
Inondation d'adresses MAC
Il peut s'agir d'un programme conçu pour générer et
envoyer sur le port du commutateur des trames avec
des adresses MAC source fictives.
Lorsque ces trames parviennent au commutateur, celui-
ci ajoute les adresses MAC fictives dans sa table CAM
en spécifiant le port sur lequel elles sont arrivées.
La table CAM finit par être totalement surchargée.
Celle-ci n'a donc plus de place pour les périphériques
légitimes du réseau. Il devient alors impossible de
trouver leurs adresses MAC dans cette table.
Toutes les trames sont désormais envoyées à tous les
ports, ce qui permet au pirate d'accéder au trafic
destiné aux autres hôtes.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 22
� Problèmes de sécurité dans les LAN
Inondation d'adresses MAC
Un pirate inonde la table CAM d'entrées fictives
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 23
� Problèmes de sécurité dans les LAN
Inondation d'adresses MAC
Le commutateur fait maintenant office de concentrateur
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 24
� Problèmes de sécurité dans les LAN
Usurpation DHCP
DHCP est un protocole réseau utilisé pour attribuer
automatiquement les informations IP.
Il existe deux types d'attaques ciblant DHCP :
• Usurpation DHCP (ou DHCP spoofing)
• Insuffisance de ressources (ou DHCP starvation)
DHCP spoofing : Dans une usurpation DHCP, un faux
serveur DHCP est placé dans le réseau pour envoyer des
adresses DHCP aux clients.
DHCP starvation : L'attaque consiste à saturer un serveur
DHCP par épuisement des ressources (« starvation » en
anglais). L’attaque est souvent utilisée avant l’attaque
DHCP usurpation pour empêcher le serveur DHCP légitime
d'accéder au service.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 25
� Problèmes de sécurité dans les LAN
Usurpation DHCP
Attaque par usurpation DHCP
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 26
� Problèmes de sécurité dans les LAN
Utilisation du protocole CDP
CDP est un protocole propriétaire de couche 2
développé par Cisco. Il sert à détecter les autres
périphériques Cisco qui sont connectés directement.
Il est conçu pour permettre aux équipements de
configurer automatiquement leurs connexions.
Si un pirate écoute les messages CDP, il peut
apprendre des informations importantes telles que le
modèle de périphérique et la version du logiciel
exécuté.
Cisco recommande de désactiver le protocole CDP
quand il n'est pas utilisé.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 27
� Problèmes de sécurité dans les LAN
Utilisation de Telnet
Comme nous l'avons mentionné, le protocole Telnet
n'est pas fiable et devrait être remplacé par SSH.
Cependant, un pirate peut utiliser Telnet dans d'autres
attaques,
par exemple la récupération en force des mots de
passe et l'attaque DoS Telnet.
S'ils ne parviennent pas à se procurer les mots de
passe, les pirates tentent autant de combinaisons de
caractères que possible. C'est ce qu'on appelle la
récupération en force des mots de passe.
Telnet peut être utilisé pour tester sur le système le mot
de passe deviné.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 28
� Problèmes de sécurité dans les LAN
Utilisation de Telnet
Dans une attaque DoS Telnet, le pirate exploite une faille
d'un logiciel serveur Telnet exécuté sur le commutateur qui
rend le service Telnet indisponible.
Ce type d'attaque empêche l'administrateur d'accéder à
distance aux fonctions de gestion du commutateur.
Ce type d'attaque peut être combiné avec d'autres attaques
directes sur le réseau dans le cadre d'une tentative
coordonnée pour empêcher l'administrateur réseau
d'accéder à des périphériques principaux pendant une faille
de sécurité.
Les vulnérabilités du service Telnet qui autorisent les
attaques DoS sont généralement traitées au moyen de
correctifs de sécurité inclus dans les nouvelles versions
révisées du logiciel Cisco IOS.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 29
� Meilleures pratiques pour la sécurité
Les 10 meilleures pratiques
Rédigez une stratégie de sécurité pour l'organisation.
Arrêtez les services et les ports qui ne sont pas utilisés.
Utilisez des mots de passe forts et modifiez-les souvent.
Contrôlez l'accès physique aux périphériques.
Utilisez HTTPS plutôt que HTTP.
Effectuez régulièrement des sauvegardes.
Informez les employés sur les attaques par manipulation
psychologique (sensibilisation des utilisateurs).
Chiffrez les données sensibles et protégez-les avec un mot de
passe.
Mettez des pare-feu en place.
Faites en sorte que les logiciels soient toujours à jour.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 30
� Sécurité des ports de commutateur
Sécurisation des ports inutilisés
La désactivation des ports non utilisés est une mesure de sécurité
simple mais efficace.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 31
� Sécurité des ports de commutateur
Surveillance DHCP
La surveillance DHCP indique sur quels ports de commutateur
est’ il autorisé de recevoir une réponse suite aux requêtes
DHCP.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 32
� Sécurité des ports de commutateur
Sécurité des ports : fonctionnement
La sécurité des ports restreint le nombre
d'adresses MAC valides autorisées sur un port.
Les adresses MAC des périphériques légitimes peuvent
y accéder, mais les autres sont refusées.
Toute tentative supplémentaire pour se connecter avec
des adresses MAC inconnues constitue une violation
des règles de sécurité.
Les adresses MAC fiables peuvent être configurées de
différentes manières :
• Adresses MAC sécurisées statiques
• Adresses MAC sécurisées dynamiques
• Adresses MAC sécurisées rémanentes
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 33
� Sécurité des ports de commutateur
Sécurité des ports : modes de violation
IOS détecte une violation des règles de sécurité dans les deux cas
suivants :
• Le nombre maximal d'adresses MAC sécurisées a été ajouté
dans la table CAM et un appareil dont l'adresse MAC ne figure
pas dans cette table tente d'accéder à l'interface.
• Une adresse assimilée ou configurée dans une interface
sécurisée est visible sur une autre interface sécurisée dans le
même réseau local virtuel.
Il existe trois actions possibles à entreprendre en cas de violation :
• Protect
• Restrict
• Shutdown
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 34
� Sécurité des ports de commutateur
Sécurité des ports : configuration
Failles dans la sécurité dynamique des ports
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 35
� Sécurité des ports de commutateur
Sécurité des ports : configuration
Configuration de la sécurité des ports dynamiques
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 36
� Sécurité des ports de commutateur
Sécurité des ports : configuration
Configuration de la sécurité des ports rémanents
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 37
� Sécurité des ports de commutateur
Sécurité des ports : vérification
Vérification de la sécurité des ports rémanents
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 38
� Sécurité des ports de commutateur
Sécurité des ports : vérification
Vérification de la sécurité des ports rémanents –
configuration en cours
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 39
� Sécurité des ports de commutateur
Sécurité des ports : vérification
Vérification des adresses MAC sécurisées dans la
sécurité des ports
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 40
� Sécurité des ports de commutateur
Ports en état Error Disabled
Une violation des règles de sécurité des ports peut
provoquer une erreur du commutateur et engendrer l'état
« désactivé ».
Un port dans cet état est effectivement arrêté.
Le commutateur communiquera ces événements via les
messages de console
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 41
� Sécurité des ports de commutateur
Ports en état Error Disabled
La commande show interface permet également de
détecter un port de commutateur désactivé.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 42
� Sécurité des ports de commutateur
Ports en état Error Disabled
Il faut utiliser la commande d'interface shutdown/no
shutdown réactiver le port.
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 43
� Chapitre 2 : résumé
Thèmes abordés dans ce chapitre :
Séquence d'amorçage des commutateurs LAN Cisco
Modes des LED des commutateurs LAN Cisco
Comment accéder à distance à un commutateur LAN
Cisco et le gérer via une connexion sécurisée
Modes bidirectionnels des ports des commutateurs LAN
Cisco
Sécurité des ports, modes de violation et actions pour les
commutateurs LAN Cisco
Meilleures pratiques pour les réseaux commutés
Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 44
�Presentation_ID © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 45
