Академический Документы
Профессиональный Документы
Культура Документы
-
Fonctions de Sécurité
de Couche 2
sur
Commutateurs de couche 3
à
configuration fixe
ccnp_cch 1
Sommaire
• Introduction
- Composants utilisés
- Produits liés
• Rappel
• Configuration
- Schéma du réseau
- Sécurité de port
- DHCP snooping
- Inspection ARP dynamique
- IP Source Guard
ccnp_cch 2
Introduction
Ce document décrit fournit un exemple de configuration pour quelques fonctionnalités
de sécurité de couche 2 telles que la sécurité de port, DHCP Snooping, l'inspection ARP
(Address Resolution Protocol) et IP Source Guard qui peuvent être implémentées sur
des commutateurs Cisco Catalyst de couche 3 à configuration fixe.
Composants utilisés
Les informations présentées dans de document sont basées sur le commutateur Cisco
Catalyst 3750 avec la version logicielle 12.2(25)SEC2.
Produits liés
Rappel
Les tables CAM (Content Addressable Memory) ont une taille limitée. Si beaucoup
d'informations sont entrées dans la table CAM avant que les précédentes expirent,
la table CAM se remplit à tel point que les nouvelles entrées ne peuvent plus être
acceptées. Typiquement, un intrus réseau inonde le commutateur avec un grand
nombre d'adresses MAC (Media Access Control) source invalides jusqu'à ce que la
table MAC soit remplie. Quand ceci se produit, le commutateur inonde les ports
avec le trafic entrant car il ne car il ne peut trouver le numéro de port pour cette
adresse source particulière dans la table CAM. Le commutateur à ce moment là agit
comme un hub. Si l'intrus ne maintient pas l'inondation avec des adresses MAC
source invalides, le commutateur fait expirer les anciennes entrées d'adresses MAC
de la table CAM et recommence à agir comme un commutateur. Le débordement de
de la table CAM inonde de trafic le VLAN local car l'intrus voit uniquement le trafic
du VLAN local auquel il est connecté.
ccnp_cch 3
interdite ou bloquer le port. La spécification d'adresses MAC sur un port n'est pas
une solution admissible dans un environnement de production. Une limite du nom-
bre d'adresses MAC sur un port est admissible. Une solution d'administration plus
évolutive est l'implémentation de la sécurité de port dynamique sur un commuta-
teur. Pour implémenter la sécurité de port dynamique, spécifiez un nombre maxi-
mum d'adresses MAC apprises.
Les attaques de spoofing d'adresse MAC (Medium Access Control) comprennent l'uti-
lisation de l'adresses MAC connue d'un autre host pour tenter de faire en sorte que
le commutateur cible achemine les trames destinées au host distant vers le réseau
de l'attaquant. Quand une trame unique est transmise vers l'adresse Ethernet sour-
ce de l'autre host, l'attaquant réseau écrase l'entrée de la table CAM ainsi le commu-
tateur achemine les paquets destinés au host vers le réseau de l'attaquant. Jusqu'à
ce que le host transmette du trafic, celui-ci ne recevra aucun trafic. Quand le host
transmet du trafic, l'entrée de la table CAM est réécrite une fois de plus revenant
ainsi au port original.
ARP est utilisé pour faire la correspondance entre une adresse IP et une adresse
MAC sur un segment local où les hosts résident sur le même sous-réseau. Normale-
ment un host transmet une requête ARP broadcast pour trouver l'adresse MAC d'un
autre host avec l'adresse IP de ce host et une réponse ARP est faite par le host dont
l'adresse IP correspond. Le host qui a fait la requête place la réponse dans le cache
ARP. Dans le protocole ARP une autre possibilité est donnée aux hosts de faire des
réponses ARP non-sollicitées. Ces réponses non-sollicitées sont appelées GARP ou
Gratuitous ARP. GARP peut être exploité de manière malicieuse par un attaquant
pour usurper une adresse IP sur un segment LAN. Cette attaque est typiquement
utilisée pour usurper l'identité entre deux hosts où tout le trafic de ou vers la passe-
relle par défaut par une attaque du type "man-in-the-middle".
Quand une réponse ARP est subtilisée, un attaquant peut faire apparaître son sys-
tème comme la destination pour le transmetteur. La réponse ARP fait que le trans-
metteur stocke l'adresse MAC du système réseau attaquant dans son cache ARP.
Cette adresse MAC est également stockée par le commutateur dans sa table CAM.
De cette manière, l'attaquant réseau a inséré l'adresse MAC de son système dans la
table CAM du commutateur et dans le cache ARP de l'émetteur. Ceci permet à l'atta-
quant réseau d'intercepter les trames destinées au host dont il a usurpé l'adresse.
Des timers de maintien dans le menu de configuration interface peuvent être utilisés
pour tempérer les attaques d'usurpation d'adresse ARP en fixant la durée pendant
laquelle une entrée ARP reste dans le cache. Toutefois les timers de maintien par
eux-mêmes sont insuffisants. La modification du temps d'expiration du cache ARP
sur tous les systèmes d'extrémité est requise comme pour les entrées ARP statiques.
ccnp_cch 4
Une autre solution qui peut être utilisée pour tempérer les diverses exploitations ma-
licieuses basées sur ARP est d'utiliser la surveillance DHCP ainsi que l'inspection
ARP dynamique. Ces fonctionnalités des commutateurs Catalyst valident les paquets
ARP dans un réseau et permettent d'intercepter, de logguer et d'ignorer les paquets
ARP avec des liens adresses MAC et adresses IP invalides.
La surveillance DHCP filtre les messages DHCP de confiance pour fournir la sécurité.
Par la suite ces messages sont utilisés pour construire et maintenir une table de sur-
veillance DHCP. La surveillance DHCP considère que les messages DHCP qui sont
issus de ports utilisateurs qui ne sont pas des ports de serveurs DHCP sont non fia-
bles. Du point de vue de la surveillance DHCP, ces ports utilisateurs non fiables ne
doivent pas transmettre de réponse de type serveur DHCP telles que DHCPOFFER,
DHCPACK ou DHCPNAK. La table de liens de surveillance DHCP les informations
d'adresses MAC, d'adresses IP , de durée de bail, de type de bail, de numéro de Vlan
et d'interface qui correspondent aux interfaces locales non fiables d'un commutateur.
La table de liens de surveillance DHCP ne contient aucune information sur les hosts
connectés avec des interfaces fiables. Une interface non fiable est une interface con-
figurée pour recevoir des messages venant de l'extérieur du réseau ou d'un pare-feu.
Une interface fiable ou de confiance est une interface configurée pour recevoir des
messages issus de l'intérieur du réseau. La table de liens de surveillance DHCP peut
contenir des liens d'adresses MAC dynamiques et statiques et des adresses IP.
L'inspection ARP dynamique détermine la validité d'un paquet ARP sur la base de
liens adresse MAC avec adresse IP valides stockés dans la base de données de sur-
veillance DHCP. De plus l'inspection ARP dynamique peut valider des paquets ARP
sur la base de listes d'accès utilisateur configurables. Ceci permet l'inspection de
paquets ARP pour des hosts qui utilisent des adresses IP statiques. L'inspection ARP
dynamique autorise l'utilisation de listes de contrôle d'accès par port et Vlan (PACL)
pour limiter les paquets ARP pour des adresses IP spécifiques vers des adresses MAC
spécifiques.
D'autres fonctionnalités des commutateurs Catalyst, telle que IP source guard, peu-
vent fournir une défense supplémentaire contre des attaques telles que l'épuisement
d'adresses IP et l'usurpation IP. Similaire à la surveillance DHCP, IP source guard
est validé sur les ports de couche 2 non fiables. Tout le trafic IP est initialement blo-
qué sauf pour les paquets DHCP capturés par le processus de surveillance DHCP.
Une fois qu'un client a reçu une adresse IP valide du serveur DHCP, une PACL est
appliquée à ce port. Cela restreint le trafic du client Ip à ces adresses IP configurées
dans le lien. Tout trafic IP avec des adresses source différentes de celles présentes
dans les liens sont filtrées.
Configuration
Dans cette section sont présentées les informations nécessaires pour la configuration
des fonctionnalités de sécurité Port Security, surveillance DHCP, Inspection ARP dyna-
mique et IP source Guard.
Port Security
DHCP Snooping
Dynamic ARP Inspection
IP Source Guard
Schéma du réseau
PC1 PC2
Fa1/0/1 Fa1/0/3
Non Fiable
Client
PC3 10.0.0.3/8
ccnp_cch 6
Port Security
Vous pouvez utiliser la fonctionnalité "Port security" pour limiter et identifier les adres-
ses MAC des stations autorisées à accéder au port. Ceci restreint l'entrée sur une in-
terface. Quand vous affectez une adresse MAC sécurisée à un port sécurisé, ce port
n'achemine pas les trames avec des adresses source en dehors du groupe d'adresses
prédéfini. Si vous limitez le nombre d'adresse MAC sécurisée à une seule et que vous
affectez une seule adresses MAC sécurisée, la station attachée à ce port est assurée
d'avoir la totalité de la bande passante de ce port. Si un port est configuré comme port
sécurisé et que le nombre maximum d'adresses MAC sécurisées est atteint et que
l'adresse MAC d'une station qui tente d'accéder au port est différente des adresses
source sécurisées identifiées une violation de sécurité se produit. Ainsi si une station
avec une adresse MAC sécurisée configurée ou apprise sur un port sécurisé tente d'ac-
céder à un autre port sécurisé , une violation de sécurité est renseignée. Par défaut le
port se bloque quand le nombre maximum d'adresses MAC sécurisées est dépassé.
Note: Quand un commutateur Catalyst 3750 rejoint une pile, le nouveau commutateur
reçoit les adresses. Toutes les adresses dynamiques sécurisées sont téléchargées par
le nouveau membre de la pile à partir des autres membres de la pile.
Ici la configuration indique que la fonctionnalité de sécurité port est configurée sur
l'interface FastEhternet1/0/2. Par défaut, le nombre maximum d'adresses MAC sécu-
risées pour l'interface est un. Vous pouvez entrez la commande show port-security
interface pour vérifier la sécurité de port sur une interface.
Port Security
Cat3750#show port−security interface fastEthernet 1/0/2
Port Security : Disabled
Port Status : Secure−down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
Cat3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cat3750(config)#interface fastEthernet 1/0/2
Cat3750(config−if)#switchport port−security
Command rejected: FastEthernet1/0/2 is a dynamic port.
!−−− Port security peut être configuré uniquement sur des ports
!--- d'accès statiques ou des ports
ccnp_cch 7
Cat3750(config−if)#switchport mode access
Cat3750(config−if)#switchport port−security
Cat3750#
ccnp_cch 8
Cat3750#show port−security interface fastEthernet 1/0/2
Port Security : Enabled
Port Status : Secure−shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0011.8565.4B75:1
Security Violation Count : 1
DHCP Snooping
La surveillance DHCP agit comme un pare-feu entre des hosts non fiables et des ser-
veurs DHCP. Vous utilisez la surveillance DHCP pour faire la différence entre les inter-
faces non fiables connectées à des utilisateurs et des interfaces fiables connectées à
des serveurs DHCP ou à un autre commutateur. Quand un commutateur reçoit un pa-
quet sur une interface non fiable et l'interface appartient à un VLAN qui a la surveillan-
ce DHCP validée, le commutateur compare l'adresse source MAC et le l'adresse "hard-
ware" du client DHCP. Si l'adresse correspond (cas normal), le commutateur achemine
le paquet. Si les adresses ne correspondent pas le commutateur élimine le paquet. Le
commutateur élimine un paquet DHCP quand une de ces situations se produit:
Un paquet issu d'un serveur DHCP tel que DHCPOFFER, DHCACK, DHCPNAK ou
DHCPLEASEQUERY est reçu de l'extérieur du réseau ou d'un pare-feu.
Un paquet est reçu sur une interface non fiable et l'adresse MAC source et l'adresse
"hardware" du client DHCP ne correspondent pas.
Un agent relais DHCP achemine un paquet DHCP qui contient une adresse IP agent
relais qui n'est pas 0.0.0.0 ou l'agent relais achemine un paquet qui contient l'option
82 vers un port non fiable.
Note: Pour que la surveillance DHCP fonctionne correctement, tous les serveurs DHCP
doivent être connectés au commutateurs par des interface fiables ou de confiance.
Note: Dans une pile de commutateurs avec des commutateurs Catalyst 3750, la sur-
veillance DHCP est gérée par le maître de la pile. Quand un nouveau commutateur re-
joint la pile, le commutateur reçoit l'information de configuration de surveillance DHCP
du maître de la pile. Quand un membre quitte la pile, tous les liens de surveillance
DHCP associés à ce commutateur expirent.
ccnp_cch 9
Note: Pour s'assurer que la durée de bail dans la base de données est fiable, Cisco re-
commande que vous validiez et configuriez NTP. Si NTP est configuré, le commutateur
écrit les modifications de lien dans le fichier des liens uniquement lorsque l'horloge
système est synchronisée avec NTP.
L'action des serveurs DHCP non autorisés peut être bloquée par la fonctionnalité de
surveillance DHCP (DHCP Snooping). La commande ip dhcp snooping est entrée pour
valider DHCP globalement sur le commutateur. Quand ils sont configurés avec DHCP
snooping, tous les ports dans un VLAN sont non fiables pour des réponses DHCP. Ici
seule l'interface FastEthernet 1/0/3 connectée au serveur DHCP est configurée comme
fiable ou de confiance.
DHCP Snooping
Cat3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cat3750(config)#ip dhcp snooping
!−−− DHCP snooping n'est pas actif tant qu'il n'est pas validé sur
!--- un VLAN.
ccnp_cch 10
Cat3750#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
−−−−−−−−−−−−−−−−−− −−−−−−−−−−−−−−− −−−−−−−−−− −−−−−−−−−−−−− −−−− −−−−−−−−−−−−−−--
00:11:85:A5:7B:F5 10.0.0.2 86391 dhcp−snooping 1 FastEtheret1/0/1
00:11:85:8D:9A:F9 10.0.0.3 86313 dhcp−snooping 1 FastEtheret1/0/2
Total number of bindings: 2
!−−− Affiche les entrées des liens pour la surveillance DHCP pour le commutateur.
Cat3750#
!−−− Le(s) serveur(s) DHCP connectés à des ports non fiables ne pourront pas
!---- affecter d'adresse IP aux clients.
L'inspection ARP dynamique est une fonctionnalité qui valide les paquets ARP dans
un réseau. L'inspection ARP dynamique intercepte, loggue et élimine les paquets ARP
avec des liens IP - Adresse MAC non valides. Cette capacité protège le réseau contre
certaines attaques de type "man-in-the-middle".
Inspection ARP dynamique assure que seules les requêtes et les réponses ARP valides
sont relayées. Le commutateur réalise ces actions:
Intercepte toutes les requêtes et réponses ARP sur les ports non fiable
Vérifie que chacun de ces paquets interceptés ait un lien IP vers Adresse MAC vali-
de avant de mettre à jour le cache ARP local ou avant d'acheminer le paquet vers la
destination appropriée.
Elimine les paquets ARP invalides
L'inspection ARP dynamique détermine la validité des paquets ARP sur la base de liens
stockés dans la base de données de la surveillance DHCP (DHCP Snooping). Cette ba-
se de données est construite par la surveillance DHCP si DHCP snooping a été validé
sur le commutateur et sur les VLANs. Si le paquet ARP est reçu sur une interface de
confiance ou fiable, le commutateur achemine le paquet sans aucune vérification. Sur
les interfaces non fiables le commutateur achemine le paquet uniquement si celui-ci
est valide.
Dans des environnements sans DHCP, l'inspection ARP dynamique peut valider les pa-
quets ARP à l'aide d'ACLs ARP configurées pour les hosts configurés avec des adresses
IP statiques. Vous pouvez entrer la commande arp access-list en mode de configura-
tion global pour définir une ACL ARP. Les ACLs ARP ont priorité sur les entrées de la
base de données des liens de surveillance DHCP. Le commutateur utilise des ACLs
uniquement si vous entrez la commande ip arp inspection filter vlan en mode de
configuration global pour configurer les ACLs. Le commutateur compare d'abord les
paquets ARP aux ACLs ARP configurées par l'utilisateur. Si l'ACL ARP rejette le paquet
le commutateur rejette également le paquet même si un lien valide existe dans la base
de données de liens remplie par la surveillance DHCP.
La commande de configuration globale ip arp inspection vlan est entrée pour valider
l'inspection ARP dynamique basée sur le VLAN. Ici seule l'interface FastEthernet 1/0/3
ccnp_cch 11
connectée au serveur DHCP est configurée comme fiable ou de confiance avec la com-
mande ip arp inspection trust. La surveillance DHCP doit être validée pour autoriser
les paquets ARP qui ont des addresses IP affectées dynamiquement.
Cat3750#
IP source Guard
IP Source guard est une fonctionnalité de sécurité qui filtre le trafic sur la base des
liens de la base de données de surveillance DHCP et de liens adresse IP source confi-
gurés manuellement pour restreindre le trafic IP sur des interfaces de couche 2. Vous
pouvez utiliser IP source guard pour éviter les attaques provoquées par un host qui
tente d'utiliser l'adresse IP de son voisin. IP source guard empêche l'usurpation des
adresses IP/MAC .
Vous pouvez valider IP source guard quand la surveillance DHCP est validée sur une
interface non fiable. Après que IP source guard ait été validé sur une interface, le com-
mutateur bloque tout le trafic IP reçu sur l'interface excepté les paquets DHCP auto-
risés par la surveillance DHCP. Une ACL de port est appliquée à l'interface. L'ACL de
port autorise le trafic IP avec une adresse IP source présente dans la base de données
de liens et rejette tout autre trafic.
ccnp_cch 12
La table de liens IP source a des liens qui sont appris par la surveillance DHCP ou qui
sont configurés manuellement (liens IP source statiques). Une entrée dans cette table
a une adresse IP, son adresse MAC associée et son numéro de VLAN associé. Le com-
mutateur utilise la table de liens IP source uniquement quand IP source guard est va-
lidé.
Vous pouvez configurer IP source guard avec filtrage de l'adresse IP source ou avec le
filtrage de l'adresse IP et de l'adresse MAC. Quand IP source guard est validé avec ces
options le trafic IP est filtré sur la base de l'adresse IP source. Le commutateur ache-
mine le trafic IP source quand l'adresse IP source correspond à une entrée de la base
de données des liens de surveillance DHCP ou de la table des liens IP source. Quand
IP source guard est validé avec ces options, le trafic IP est filtré sur la base des adres-
ses IP et MAC. Le commutateur achemine le trafic uniquement lorsque l'adresse IP
source et l'adresse MAC correspondent à une entrée dans la table de liens IP source.
Note: IP source guard est supporté uniquement sur les ports de couche 2 qui sont les
ports d'accès et les ports trunk.
Ici IP source guard avec le filtrage IP source est configuré sur l'interface FastEthernet
1/0/1 avec la commande ip verify source. Quand IP source guard avec le filtrage IP
est validé sur un VLAN, la surveillance DHCP doit être validé sur le VLAN auquel ap-
partient l'interface. Entrez la commande show ip verify source pour vérifier la configu-
ration de IP source guard sur le commutateur.
IP Source Guard
Cat3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cat3750(config)#ip dhcp snooping
Cat3750(config)#ip dhcp snooping vlan 1
Cat3750#
ccnp_cch 13