Module 7 Switch Security

PROBLEMATIQUE 1 Et si quelqu'un venait juste d'entrer dans votre bureau et branche un ordinateur portable sur une prise murale RJ45 vide? La première attaque que nous allons examiner est l'inondation des adresses MAC: MAC flooding. Il s'agit d'une attaque très simple (mais parfois dangereuse).

L'idée derrière le MAC flooding est de déborder la table d'adresses MAC du switch (également connue sous le nom de table CAM). Il existe des outils qui généreront des trames Ethernet avec de fausses adresses MAC sources et celles-ci seront envoyées sur l'interface. Le switch enregistrera ces adresses MAC alors qu’il n'a qu'une capacité limitée de stockage des adresses MAC. Une fois que la table CAM est pleinne, il ne pourra plus recevoir de nouvelles adresses MAC et par conséquent, il va inonder le trafic. L'attaquant peut exécuter Wireshark et essayer de capturer une partie du trafic d'appareils légitimes.

Les trois de pénalités (violations) QUELLE SOLUTION ? PORT SECURITY Les trois de pénalités (violations) Shutdown : le mode shutdown est le mode par défaut. Il supprime la trame envoyée, désactive l’interface (err-disabled) et en envoie un message SNMP. Protect : le mode protect supprime la trame mais garde l’interface active Restrict : le mode restrict supprime la trame, envoie un message SNMP et garde l’interface active

Configurations Avec mac address statique et violation shutdown Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security mac-address aa.bb.cc.dd.ee.ff Switch(config-if)#switchport port-security violation shutdown NB : Maximum 1 et violation shutdown par défaut Le nombre maximum de machines autorisées à se connecter sur un port de switch est 132 Avec adresse mac dynamique et violation shutdown Dans ce cas les n premieres machines qui vont envoyer des paquets sur ce port seront enregistrées. Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 3 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security violation shutdown IMPORTANT : la commande switchport port-security est très indispensable. C’est cette commande qui active le port-security.

Troubleshooting SwitchA#show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 … Le mode shutdown désactive et met l’interface en mode err-disabled. Pour réactiver l’interface: SwitchA(config)#interface fa0/1 SwitchA(config-if)#shutdown SwitchA(config-if)#no shutdown Pour réactiver automatiquement l’interface: SwitchA(config)#errdisable recovery cause psecure-violation SwitchA(config)#interface fa0/1 SwitchA(config-if)#switchport port-security aging time 10

PROBLEMATIQUE 2 Le port Security est agréable, mais fournit une sécurité limiter pour les raisons suivantes: Les adresses MAC sont très faciles à usurper (spoofing). Cela n'empêche pas quelqu'un d'apporter son routeur (sans fil) et de le connecter au port du switch. Un utilisateur peut apporter son propre routeur sans fil depuis son domicile et le connecter au switch afin qu'ils puissent partager Internet sans fil avec tous leurs collègues. Un point d'accès comme celui-ci est appelé un point d'accès non autorisé (rogue access point). Il est difficile à détecter car sur le switch, vous ne verrez qu'une seule adresse MAC.

QUELLE SOLUTION ? AAA AAA signifie: Authentication, Authorization et Accounting Authentification: vérifier l'identité de l'utilisateur, qui êtes-vous? Autorisation: que peut faire l'utilisateur? à quelles ressources peut-il accéder? Comptabilité: utilisé pour la facturation et l'audit.

L'idée derrière AAA est qu'un utilisateur doit s'authentifier avant d'avoir accès au réseau. L'interface fa0/1 sur Switch A sera bloquée et vous n'obtiendrez même pas d'adresse IP. La seule chose que l'utilisateur est autorisé à faire est d'envoyer ses informations d'identification qui seront transmises au serveur AAA. Si vos informations d'identification sont OK, le port sera débloqué et vous aurez accès au réseau.

Dans l'image ci-dessus, un utilisateur inconnu a branché un câble au commutateur. 802.1X est le protocole qui bloquera ou débloquera l'interface. Les transactions entre le client et le serveur d’authentification sont authentifiées à l'aide d’une clé partagée, qui n'est jamais envoyée au sein du réseau. En outre, tous les mots de passe utilisateur échangés entre le client et le serveur sont chiffrés. Ainsi, il est impossible pour un espion de déchiffrer un mot de passe utilisateur sur un réseau non sécurisé. Tout le trafic est abandonné à l'exception d'EAPoL (Extensible Authentication Protocol over LAN). EAP est ce que nous utilisons pour échanger des informations d'authentification. Une fois que l'utilisateur (Alice) s'est authentifié et que tout est OK, l'accès au réseau lui est accordé. Il existe deux types de serveurs d'authentification: RADIUS (Remote Authentication Dial In User Service): mise au point par IETF TACACS + (Terminal Access Controller Access-Control System): propriétaire cisco

RADIUS RADIUS a les caractéristiques suivantes: Le cahier des charges RADIUS est décrit dans RFC 2865 standard Utilise le protocole UDP à la couche transport Le numéro de port attribué à RADIUS est 1812. RADIUS chiffre uniquement le mot de passe dans le paquet de demande d'accès, du client au serveur. Le reste du paquet n'est pas chiffré. Les autres informations, telles que le nom d'utilisateur, les services autorisés et la traçabilité, ne sont pas chiffrées. RADIUS combine l'authentification et l'autorisation. Les paquets d'acceptation d'accès envoyés par le serveur RADIUS au client contiennent des informations d'autorisation. Ainsi, il est difficile de dissocier l'authentification et l'autorisation. Un serveur. Un client. Le serveur est lancé sur un ordinateur central, en général sur le site d'un client, alors que les clients sont configurés dans les serveurs d'accès commutés et peuvent être distribués dans tout un réseau. Cisco a incorporé le client RADIUS au Logiciel Cisco IOS Version 11.1 et plus tard et à d'autres logiciels de périphérique.

RADIUS « Lorsqu'un client est configuré pour utiliser RADIUS, tout utilisateur du client présente des informations d'authentification au client. Cela pourrait être avec une invite de connexion personnalisable, où l'utilisateur doit entrer leur nom d'utilisateur et leur mot de passe. L'utilisateur peut également utiliser un protocole de trame de liens tel que le protocole point à point (PPP), qui a des paquets d'authentification qui transportent ces informations. Une fois que le client a obtenu ces informations, il peut choisir de authentifier en utilisant RADIUS. Pour ce faire, le client crée un "Access- Request "contenant des attributs tels que le nom de l'utilisateur, mot de passe, l'ID du client et l'ID de port que l'utilisateur est accès. Lorsqu'un mot de passe est présent, il est masqué à l'aide d'une méthode basé sur l'algorithme RSA Message Digest MD5 [3]. » source RFC 2865

RADIUS Il existe différents types de serveurs RADIUS que vous pouvez utiliser, par exemple: Cisco ISE (logiciel serveur RADIUS et TACACS + de Cisco) Microsoft NPS (vous pouvez l'installer sur Windows Server 2008 à 2019). Freeradius (très puissant et gratuit) Intégré dans les périphériques réseau (le WLAN Controller de Cisco possède un logiciel de serveur RADIUS par exemple).

TACACS+ TACACS+ a les caractéristiques suivantes: Le cahier des charges TACACS est décrit dans RFC 1492 Propriétaire cisco Utilise le protocole TCP à la couche transport Le numéro de port attribué à TACACS est 49. TACACS+ chiffre le corps entier du paquet mais laisse un en-tête de norme TACACS+. TACACS+ utilise l'architecture AAA, qui sépare AAA. Ainsi, des solutions d'authentification distinctes existent et peuvent toujours utiliser TACACS+ pour l'autorisation et la gestion des comptes. Par exemple, avec TACACS+, il est possible d'utiliser l'authentification Kerberos et l'autorisation et la gestion des comptes TACACS+. Après que le NAS soit authentifié sur des serveurs Kerberos, il demande des informations d'autorisation depuis un serveur TACACS+ sans qu'une nouvelle authentification soit nécessaire. Le NAS informe le serveur TACACS+ qu'il s'est authentifié avec succès sur un serveur Kerberos, puis fournit les informations d'autorisation. Lors d'une session, si un contrôle d'autorisation supplémentaire est nécessaire, le serveur d'accès effectue le contrôle à l'aide d'un serveur TACACS+ pour déterminer si un utilisateur donné est autorisé ou non à utiliser une commande en particulier. Cela permet un plus grand contrôle des commandes pouvant être exécutées sur le serveur d'accès tout en étant découplées du mécanisme d'authentification.

Configuration sur le client (NAS) Activation de AAA : première chose à faire ()#aaa new-model Avertissement: La commande aaa new-model applique immédiatement l'authentification locale à toutes les lignes et interfaces (sauf la ligne line console 0). Si une session telnet est ouverte sur le routeur après avoir activé cette commande (ou si une connexion expire et doit se reconnecter), l'utilisateur doit être authentifié à l'aide de la base de données locale du routeur. Pour éviter d'être verrouillé du routeur, nous vous recommandons de définir un nom d'utilisateur et un mot de passe sur le serveur d'accès avant de démarrer la configuration AAA.

Spécification du serveur AAA externe Avant les ios 15.X ()#radius-server host 192.168.1.102 key radiuspass ()#tacacs-server host 192.168.1.102 key radiuspass Après les ios 15.X ()# radius server radiusserver ()# address ipv4 192.168.1.102 ()# key radiuspass ()# tacacs server tacacsserver ()# address ipv4 192.168.1.102 ()# key tacacspass Création de groupe AAA ()# aaa group server tacacs+ radiusgroup server name raduisserver

Configuration de l’authentification Login Authentication: Router(config)# aaa authentication login default group ISE-radius local Effet: tous les utilisateurs sont authentifiés à l'aide du serveur Radius (la première méthode). Si le serveur Radius ne répond pas, la base de données locale du routeur est utilisée (la deuxième méthode). Pour l'authentification locale, définissez le nom d'utilisateur et le mot de passe. Remarque: avec la commande « default » l'authentification de connexion est automatiquement appliquée pour toutes les connexions de connexion (telles que vty, console et aux). Router(config)# aaa authentication login default group ISE-radius Router(config)# aaa authentication login default group ISE-radius local enable Effet:???? Enable Authentication: Router(config)# aaa authentication enable default group radius enable

Configuration de l’autorisation Exec Authorization Router(config)# aaa authorization exec default group radius local Effet: Tous les utilisateurs qui souhaitent se connecter au serveur d'accès doivent être autorisés à l'aide de Radius (première méthode) ou de la base de données locale (deuxième méthode). Console Authorization Router(config)# aaa authorization console Effet:???? Network Authorization La commande aaa Authorization Network exécute l'autorisation pour toutes les demandes de service liées au réseau, telles que PPP, SLIP et ARAP. Cette section se concentre sur PPP, qui est le plus couramment utilisé. Router(config)# aaa authorization ppp default group radius local

Configuration de l’accounting Exec accounting Router(config)# aaa accounting exec default start-stop group radius local Effet: les informations sont envoyées au serveur AAA une fois le client authentifié et après la déconnexion à l'aide du mot-clé start stop. Router(config)# aaa accounting exec default stop group radius local Effet: Si les informations comptables doivent être envoyées uniquement après la déconnexion d'un client, utilisez le mot-clé stop et configurez la ligne suivante: