Concepts et conguration de base de la commutation (S3/C2) Contr ole de lacc` es aux supports avec Ethernet Ethernet utilise la m ethode

CSMA/CD pour g erer lacc` es au support et les collisions. D etection de signal : Avant denvoyer un message, un p eriph erique ecoute la porteuse : Si aucun signal nest d etect e : le p eriph erique envoie son message. Si un signal est d etect e : le p eriph erique attend un certain temps avant dessayer ` a nouveau denvoyer son message. Acc` es multiple : Si deux p eriph eriques emettent en m eme temps, une collision peut se produire. D` es la d etection de collision, les deux p eriph eriques responsables de la collision envoient un signal de d etection. Ce signal demande ` a tous les p eriph eriques de cesser d emettre pendant un temps al eatoire algorithme dinterruption. Apr` es ce d elai, les p eriph eriques se remettent sur mode ecoute. An que les p eriph eriques se ne remettent pas ` a emettre en m eme temps, une p eriode de r e emission al eatoire est activ ee sur chaque p eriph erique.

Monodiusion, multidiusion et diusion Ethernet Il existe 3 types dadresses MAC : monodiusion multidiusion diusion Monodiusion : un p eriph erique envoie un message ` a un seul destinataire. Diusion : un p eriph erique envoie un message ` a tous les p eriph eriques du domaine de diusion. Ladresse IP destinataire ne contient que des 1 dans la partie h ote. Ladresse MAC correspondante comporte 48 bits ` a 1 donc FF-FF-FF-FF-FF-FF. Multidiusion : un p eriph erique envoie un message ` a un groupe de p eriph eriques (groupe de multidiusion). Rappel : les adresses de multidiusion vont de 224.0.0.0 ` a 239.255.255.255. Chaque adresse IP de multidiusion n ecessite une adresse MAC de multidiusion correspondante. Ainsi, les 6 premiers nombres hexad ecimaux sont 01-00-5E. Les 6 derniers nombres hexad ecimaux correspondent ` a 1er bit : 0 les 23 bits depuis la droite de ladresse IP de multidiusion

Concentrateurs et domaines de collisions Un r ep eteur est un dispositif r eseau de couche 1 qui retransmet un signal re cu depuis un segment sur le segment suivant. Il augmente la distance que les c ables Ethernet peuvent atteindre. Un concentrateur est un r ep eteur multiport. Il permet de connecter un plus grand nombre dh otes. Il retransmet un signal re cu depuis un port sur tous les autres ports. Lorsquune collision survient, celle-ci se propage sur une partie du r eseau appel e domaine de collisions. Les r ep eteurs et les concentrateurs propagent les collisions. Ils augmentent donc la taille du domaine de collisions. Latence : un signal met un certain temps ` a se propager le long du support. Ce d elai augmente la probabilit e de survenance de collisions.

M ethodes de transmission par commutateur Un commutateur peut transmettre des trames selon di erents modes : store and forward (stockage et retransmission) cut-through Un commutateur store and forward re coit la trame enti` ere, calcule le CRC et v erie la longueur de la trame. Si les deux sont corrects, le commutateur recherche ladresse de destination qui d etermine linterface de sortie, puis achemine la trame. Un commutateur cut-through achemine la trame avant quelle ne soit enti` erement re cue. Au minimum, ladresse de destination de la trame doit etre lue avant que celle-ci ne soit pas retransmise. Il existe deux variantes du mode cut-trough : fast-forward et fragment-free. La commutation fast-forward transmet le paquet imm ediatement apr` es la lecture de ladresse de destination et donc ore un temps de latence tr` es bas. Il sagit du mode cut-trough le plus fr equent. La commutation fragment-free stocke les 64 premiers bytes de la trame avant la retransmission. Comme la plupart des erreurs et collisions arrivent avant le 64` eme byte, cela permet de sassurer quaucune collision ne sest produite. Certains commutateurs sont congur es en mode cut-through par port. Une fois un seuil derreurs d enis atteint, le port automatiquement en mode store and forward. lorsque le nombre derreurs passe en dessous du seuil d eni, le port revient en mode cut-trough. Mise en m emoire tampon Le commutateur stocke la trame dans une m emoire tampon pendant une courte p eriode. Il existe deux types de m emoire tampon : ax ee sur les ports partag ee Une m emoire ax ee sur les ports : les trames sont stock ees dans des les dattente li ees ` a des ports entrants sp eciques. Une m emoire partag ee : toutes les trames sont stock ees dans une m emoire tampon commune ` a tous les ports du commutateur.

Commutateurs (switchs) Un commutateur est un dispositif r eseau de couche 2. Il permet de segmenter un LAN en plusieurs domaines de collisions distincts. Chaque port du commutateur repr esente un seul domaine de collisions. Lorsque tous les noeuds sont connect es directement au commutateur, celui assure : une bande passsante d edi ee sur tous les ports un environnement sans collision une transmission bidirectionnelle simultan ee

Fonctionnement dun commutateur Un commutateur eectue un r eacheminement s electif. Pour ce faire, le commutateur fait appel aux fonctions de base suivantes : lapprentissage lhorodatage linondation le r eacheminement s electif le ltrage

Commutations sym etrique et asym etrique Il existe deux types de commutation : sym etrique asym etrique Une commutation sym etrique ore la m eme bande passante pour tous les ports. Une commutation asym etrique ore une bande passante plus importante sur un port an d eviter un goulot d etranglement. Un commutateur fonctionne au niveau de la couche 2 du mod` ele OSI : il ltre en se basant uniquement sur les adresses MAC. Il existe egalement des commutateurs de couche 3 : il utilise aussi les adresses IP pour prendre ces d ecisions. Il peut eectuer des fonctions de routage. S equence damor cage dun commutateur Le commutateur charge le bootloader depuis la NVRAM. Le bootloader : initialise le CPU eectue le POST initialise le syst` eme de chiers ash charge lIOS dans la RAM. LIOS est ex ecut e` a laide du chier cong.text stock e dans la ash. Le bootloader permet dacc eder au switch si lIOS nest pas utilisable. Il permet, par linterm ediaire de la ligne de commande, dacc eder aux chiers stock es dans la ash. Cela permet, entre autres, de r ecup erer un mot de passe perdu. Nom du commutateur Il est important dattribuer un nom unique ` a un dispositif : Switch(cong)#hostname nomswitch

Mots de passe dun commutateur Les mots de passe ont pour but de limiter lacc` es au routeur. Il est possible de s ecuriser lacc` es au routeur sur les lignes de terminal virtuel (vty) la ligne console le mode privil egi e Le mot de passe console : Switch(cong)#line console 0 Switch(cong-line)#password cisco Switch(cong-line)#login Le mot de passe terminal : Un commutateur prend en charge g en eralement 16 lignes vty (num erot ees de 0 ` a 15). Ces lignes permettent dacc eder ` a distance avec telnet au commutateur. Switch(cong)#line vty 0 15 Switch(cong-line)#password cisco Switch(cong-line)#login Le mot de passe pour le mode privil egi e: Il existe deux commandes pour congurer un mot de passe pour le mode privil egi e: Switch(cong)#enable password cisco Switch(cong)#enable secret class Il est pr ef erable dutiliser enable secret car le mot de passe est crypt e. An que les mots de passe apparaissent sous forme crypt ee dans les chiers de conguration, on utilise la commande : Switch(cong)#service password-encryption

Conguration de linterface de gestion dun commutateur Les interfaces physiques dun switch ne poss` edent pas dadresses IP et sont actives par d efaut. Pour pouvoir g erer un switch ` a distance, il est n ecessaire de lui attribuer une adresse IP. Celle-ci est attribu ee sur linterface virtuelle vlan 1. Switch(cong)#interface vlan 1 Switch(cong-if)#ip address adresse IP masque sous-r eseau Switch(cong-if)#no shutdown Switch(cong-if)#exit Finalement,pour permettre au switch de communiquer en dehors du r eseau local, il est n ecessaire de lui attribuer une passerelle par d efaut. Switch(cong)#ip default-gateway adresse IP Switch(cong)#exit Gestion de base du commutateur Pour enregistrer la conguration en cours dans la conguration de d emarrage du commutateur : S1(cong)# copy running-cong startup-cong ou S1(cong)# copy system:running-cong ash:startup-cong Pour acher la table dadresses MAC (statiques et dynamiques) dun commutateur : S1# show mac-address-table

Conguration SSH SSH (Secure Shell) fournit une communication s ecuris ee pour congurer des p eriph eriques ` a distance. Cependant, tous les IOS ne prennent pas en charge SSH. Dans ce cas, il est n ecessaire dutiliser Telnet. Etape 1 : On congure un nom dh ote et un domaine h ote : Switch(cong)# hostname S1 S1(cong)# ip domain-name mydomain.com Etape 2 : On cr ee un nom dutilisateur et un mot de passe : S1(cong)# aaa new-model S1(cong)# username admin secret class Etape 3 : On active le serveur SSH sur le switch et on g en` ere une paire de cl es RSA : S1(cong)# crypto key generate rsa Remarque : Pour supprimer les cl es RSA : S1(cong)# crypto key zeroize rsa Etape 4 : Pour permettre uniquement les connexions SSH : S1(cong)# line vty 0 15 S1(cong-line)# transport input ssh Pour permettre les connexions telnet et SSH : S1(cong-line)# transport input all Pour voir les connexions : S1# show ssh

R ecup eration de mot de passe du commutateur Eteignez le switch. Rallumez-le en maintenant enfonc e le bouton MODE jusqu` a ce que la LED de linterface fa 0/1 s eteigne. Le prompt suivant sache alors : switch : Entrez les commandes suivantes : ash init load helper Renommez alors le chier de conguration : rename ash:cong.text ash:cong.text.old Amorcez le syst` eme : boot A la question : Continue with the conguration dialog ? , r epondez n egativement. Entrez en mode enable (sans mot de passe). Renommez le chier de conguration dapr` es son nom dorigine : rename ash:cong.text.old ash:cong.text Copiez le chier de conguration dans la m emoire : copy ash:cong.text system:running-cong Changez le mot de passe. Sauvegardez le chier de conguration : copy running-cong startup-cong Rechargez le commutateur : reload

Menaces fr equentes en termes de s ecurit e Les attaques les plus fr equentes sur les commutateurs sont : inondation dadresses MAC attaques par mystication attaques CDP attaques Telnet attaque de mot de passe en force

Linondation dadresses MAC : submerge la table dadresses MAC avec de fausses adresses. Lorsque celle-ci est satur ee, le commutateur fonctionne comme un hub et diuse toutes les trames sur tous les ports. Une personne malveillante peut voir alors les trames transmises vers lh ote quil souhaite attaquer. Lattaque par mystication : Premi` ere m ethode : Un p eriph erique pirate se fait passer pour un serveur DHCP et fournit dans sa r eponse ` a une requ ete DHCP sa prore adresse comme adresse de passerelle. Il transmet ` a son tour les trames ` a destination voulue et de ce fait peut passer compl` etement inaper cu. Seconde m ethode : Un p eriph erique pirate demande en permanence des adresses IP aupr` es dun v eritable serveur DHCP. Tous les baux sont alors allou es et les v eritables clients ne peuvent plus obtenir une adresse DHCP. Pour parer ` a de telles attaques, on utilise la surveillance DHCP qui d etermine les ports du commutateur qui sont en mesure de r epondre ` a des requ etes DHCP avec la commande ip dhcp snooping. Lattaque CDP : CDP est un protocole propri etaire cisco qui d etecte tous les p eriph eriques voisins ; il est activ e par d efaut. Il donne des informations sur le p eriph eriques tels que lad. IP, lIOS, la plateforme etc. Il est donc pr ef erable de d esactiver le protocole CDP. Telnet est un protocole non crypt e ; il est donc pr ef erable dutiliser SSH. Lattaque de mot de passe en force : un pirate commence par utiliser des mots de passe courants, puis des combinaisons de caract` eres pour tenter de deviner un mot de passe et eectuer une connexion sur le commutateur. Il est donc important davoir un mot de passe fort et de le modier r eguli` erement.

10

Conguration de la s ecurit e des ports Un commutateur dont les ports ne sont pas s ecuris es permet ` a un pirate de rassembler des informations ou de mener des attaques sur le r eseau. La s ecurisation passe par la limitation du nombre dadresses MAC utilis ees sur un port. Lorsque ce nombre maximal dadresses MAC s ecuris ees est atteint, une violation de s ecurit e se produit. Il existe plusieurs fa cons de congurer la s ecurit e des ports sur un commutateur : adresses MAC s ecuris ees statiques adresses MAC s ecuris ees dynamiques adresses MAC s ecuris ees r emanentes Une adresse MAC s ecuris ee statique est congur ee manuellement ` a laide de la commande de conguration dinterface : S1(cong)# interface fa0/15 S1(cong-if)# switchport mode access S1(cong-if)# switchport port-security S1(cong-if)# switchport port-security mac-addressad. MAC S1(cong-if)# end Ladresse MAC est alors stock ee dans la table dadresses MAC et est ajout ee dans le running-cong. Une adresse MAC s ecuris ee dynamique est r ecup er ee dynamiquement et stock ee uniquement dans la table dadresses MAC. Ladresse est supprim ee au red emarrage du switch. S1(cong)# interface fa0/15 S1(cong-if)# switchport mode access S1(cong-if)# switchport port-security S1(cong-if)# end

Adresse MAC s ecuris ee r emanente Une adresse MAC s ecuris ee r emanente est apprise dynamiquement, puis enregistr ee dans le running-cong. S1(cong)# interface fa0/15 S1(cong-if)# switchport mode access S1(cong-if)# switchport port-security S1(cong-if)# switchport port-security maximum 10 S1(cong-if)# switchport port-security sticky S1(cong-if)# end De plus les adresses MAC s ecuris ees r emanentes pr esentes les caract eristiques suivantes : lutilisation de la commande switchport port-security sticky convertit toutes les adresses MAC utilis ees sur le port, y compris r etroactivement et les ajoute toute dans le running-cong. lutilisation de la commande no switchport port-security sticky eace les adresses MAC s ecuris ees r emanentes du running-cong mais les garde dans la table dadresses MAC.

11

12

Modes de violation de s ecurit e On consid` ere quil y a violation de s ecurit e lorsque lune des situations suivantes se pr esente : le nombre maximal dadresses MAC s ecuris es est atteint et une nouvelle adresse MAC tente dacc eder ` a linterface. une adresse MAC statique ou dynamique associ ee ` a une interface tente dacc eder ` a une autre interface dans le m eme r eseau. Il existe trois modes de violation congurable sur une interface : protect restrict violation protect : le nombre dadresses MAC s ecuris ees atteint la limite autoris ee sur le port et une nouvelle adresse MAC tente denvoyer des trames : celles-ci sont ignor ees. Aucun message de notication nest envoy e. restrict : le nombre dadresses MAC s ecuris ees atteint la limite autoris ee sur le port et une nouvelle adresse MAC tente denvoyer des trames : celles-ci sont ignor ees. Un message syslog est envoy e. shutdown : le nombre dadresses MAC s ecuris ees atteint la limite autoris ee sur le port et une nouvelle adresse MAC tente denvoyer des trames. Le port est imm ediatement d esactiv e et un message syslog est envoy e. Le port peut etre r eactiv e manuellement avec la commande no shutdown. Par d efaut, les param` etres de la s ecurit e des ports sont les suivants : s ecurit e des ports : d esactiv ee nombre maximal dadresses MAC s ecuris ees : 1 mode de violation : shutdown apprentissage des adresses r emanentes : d esactiv e

V erication de la s ecurit e des ports Pour v erier les param` etres de s ecurit e des ports : S1# show port-security [interface fa0/15 ] Pour v erier les adresses MAC s ecuris ees : S1# show port-security address [interface fa0/15 ]

D esactivation des ports inutilis es Une m ethode simple pour s ecuriser un commutateur est de d esactiver les ports inutilis es avec la commande shudown. Pour les IOS plus r ecents, il est possible de d esactiver plusieurs ports en m eme temps avec la commande : S1(cong) # interface range fa 0/2 - 8 S1(cong-if)# shutdown

13

14