Sécurisation Lan (Types D'attaques)
Sécurisation Lan
Résumer protection switch :
Stratégies de sécurité pour le switch:
// Port security
switchport port-security maximum 1 — switchport port-security violation shutdown — shutdown + switchport access vlan 999
//désactiver les ports inutiles
//vlan de management
//bannière et timeout
//désactiver CDP/LLDP sur les interface non trunk ou exposées
// DHCP Snooping
// désactiver dtp
//changer le vlan natif
interface vlan 99
//mots de passe chiffrés
//ssh
//dynamic arp inspection
//ip source guard
//802.1x
Résumer protection Routeur :
sécurité pour le routeur:
// Accès & authentification
//Désactivation des services inutiles
no service tcp-small-servers — no cdp enable — no ip http server — no ip proxy-arp — no ip directed-broadcast
//Sécurité des protocoles de routage
ip ospf authentication message-digest — ip authentication mode eigrp 1 md5 — passive-interface default — neighbor x.x.x.x password <clé>
//Hardening avancé
Lignes Routeur:
// Accès & authentification
! Mot de passe enable chiffré
enable secret <mdp>
service password-encryption
username admin privilege 15 secret <mdp>
! Génération clé RSA + SSH v2
crypto key generate rsa modulus 2048
ip ssh version 2
! Sécurisation lignes VTY (sécurisation connexion ssh)
line vty 0 4
transport input ssh
exec-timeout 5 0
login local
access-class ACL_ADMIN in
! Sécurisation console
line console 0
exec-timeout 5 0
login local
! Bannière légale
banner motd ^Acces autorise uniquement^
// Désactivation des services inutiles
no service tcp-small-servers
no service udp-small-servers
no service finger (Désactive le protocole Finger (port 79), qui permettait de lister les utilisateurs connectés sur le routeur)
! Services IP dangereux
no ip bootp server (Désactive le serveur BOOTP. Évite que le routeur réponde à des requêtes d'amorçage réseau non sollicitées)
no ip http server (Désactive l'interface web d'administration en HTTP (non chiffré))
no ip http secure-server (https)
no ip proxy-arp (Empêche le routeur de répondre aux requêtes ARP à la place d'autres machines. Réduit les risques de ARP spoofing)
no ip directed-broadcast (Bloque les broadcasts dirigés vers un sous-réseau)
no ip source-route (Désactive la possibilité pour un paquet IP de dicter son propre chemin dans le réseau)
! Désactiver CDP globalement
no cdp run (cache certaines configuration)
// acl
! Bloquer adresses RFC 1918 et bogons en entrée WAN
ip access-list extended ACL_ANTI_SPOOF
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit ip any any
! Application sur interface WAN + uRPF
interface GigabitEthernet0/0
ip access-group ACL_ANTI_SPOOF in
ip verify unicast source reachable-via rx
// Sécurité des protocoles de routage
! Authentification OSPF MD5
router ospf 1
area 0 authentication message-digest
interface GigabitEthernet0/1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 <clé>
! Interfaces passives par défaut
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/1
! Authentification EIGRP MD5
router eigrp 1
ip authentication mode eigrp 1 md5
ip authentication key-chain eigrp 1 <keychain>
Lignes switch:
// Sécurité des VLANs
! Déclaration des VLANs
vlan 10
name USERS
vlan 20
name FINANCE
vlan 99
name MANAGEMENT
vlan 999
name BLACKHOLE
! Interface de management
interface vlan 99
ip address 192.168.99.1 255.255.255.0
no shutdown
! Sécurisation des trunks
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,99
// Sécurité des ports access
! Ports utilisateurs (Fa0/1 - 20)
interface range FastEthernet 0/1 - 20
switchport mode access
switchport access vlan 10
switchport nonegotiate
switchport port-security maximum 1 (Limite à une seule adresse MAC autorisée sur ce port. Si un deuxième équipement est branché)
switchport port-security violation shutdown (Définit l'action en cas de violation : le port passe en mode err-disabled (shutdown automatique). Il faudra alors faire un shutdown puis no shutdown)
switchport port-security (Active la sécurité de port sur l'interface. Sans cette ligne, les deux précédentes n'ont aucun effet)
spanning-tree portfast
spanning-tree bpduguard enable
no cdp enable
no shutdown
! Ports inutilisés → VLAN blackhole + shutdown
interface range FastEthernet 0/21 - 24
switchport mode access
switchport access vlan 999
shutdown
//Protection L2 (DHCP / ARP / IP)
! DHCP Snooping
//plus pour les ports
ip dhcp snooping ou ip dhcp snooping trust
ip dhcp snooping limit rate 6
//plus pour les vlans
ip dhcp snooping vlan 10,20
no ip dhcp snooping information option
interface GigabitEthernet 0/1
ip dhcp snooping trust
! Dynamic ARP Inspection (DAI)
ip arp inspection vlan 10,20
interface GigabitEthernet 0/1
ip arp inspection trust
! IP Source Guard sur ports access
interface range FastEthernet 0/1 - 20
ip verify source (port untrusted tel que pc ou visiteur etc..)
//ou pour filtrage ip + mac (ip verify soyrce port-security)
// spanning-tree
! PortFast + BPDU Guard globaux
spanning-tree portfast default (Active PortFast sur tous les ports d'accès du switch globalement.)
spanning-tree portfast bpduguard default