Sécurisation Lan (Types D'attaques)

Sécurisation Lan
Résumer protection switch : 

   

 Stratégies de sécurité pour le switch:

// Port security

switchport port-security maximum 1 — switchport port-security violation shutdown — shutdown + switchport access vlan 999

//désactiver les ports inutiles

//vlan de management

//bannière et timeout

//désactiver CDP/LLDP sur les interface non trunk ou exposées

// DHCP Snooping

// désactiver dtp

//changer le vlan natif

interface vlan 99

//mots de passe chiffrés

//ssh

//dynamic arp inspection

//ip source guard

//802.1x 

 Résumer protection Routeur : 

 sécurité pour le routeur:

// Accès & authentification

//Désactivation des services inutiles

no service tcp-small-servers — no cdp enable — no ip http server — no ip proxy-arp — no ip directed-broadcast

//Sécurité des protocoles de routage

ip ospf authentication message-digest — ip authentication mode eigrp 1 md5 — passive-interface default — neighbor x.x.x.x password <clé>

//Hardening avancé 

   

   

 Lignes Routeur:  

   

 // Accès & authentification

! Mot de passe enable chiffré

enable secret <mdp>

service password-encryption

username admin privilege 15 secret <mdp>

! Génération clé RSA + SSH v2

crypto key generate rsa modulus 2048

ip ssh version 2

! Sécurisation lignes VTY (sécurisation connexion ssh)

line vty 0 4

 transport input ssh

 exec-timeout 5 0

 login local

 access-class ACL_ADMIN in

! Sécurisation console

line console 0

 exec-timeout 5 0

 login local

! Bannière légale

banner motd ^Acces autorise uniquement^

// Désactivation des services inutiles

no service tcp-small-servers

no service udp-small-servers

no service finger (Désactive le protocole Finger (port 79), qui permettait de lister les utilisateurs connectés sur le routeur)

! Services IP dangereux

no ip bootp server (Désactive le serveur BOOTP. Évite que le routeur réponde à des requêtes d'amorçage réseau non sollicitées)

no ip http server (Désactive l'interface web d'administration en HTTP (non chiffré))

no ip http secure-server (https)

no ip proxy-arp (Empêche le routeur de répondre aux requêtes ARP à la place d'autres machines. Réduit les risques de ARP spoofing)

no ip directed-broadcast (Bloque les broadcasts dirigés vers un sous-réseau)

no ip source-route (Désactive la possibilité pour un paquet IP de dicter son propre chemin dans le réseau)

! Désactiver CDP globalement

no cdp run (cache certaines configuration)

// acl

! Bloquer adresses RFC 1918 et bogons en entrée WAN

ip access-list extended ACL_ANTI_SPOOF

 deny ip 10.0.0.0 0.255.255.255 any

 deny ip 172.16.0.0 0.15.255.255 any

 deny ip 192.168.0.0 0.0.255.255 any

 deny ip 127.0.0.0 0.255.255.255 any

 permit ip any any

! Application sur interface WAN + uRPF

interface GigabitEthernet0/0

 ip access-group ACL_ANTI_SPOOF in

 ip verify unicast source reachable-via rx

 // Sécurité des protocoles de routage

! Authentification OSPF MD5

router ospf 1

 area 0 authentication message-digest

interface GigabitEthernet0/1

 ip ospf authentication message-digest

 ip ospf message-digest-key 1 md5 <clé>

! Interfaces passives par défaut

router ospf 1

 passive-interface default

 no passive-interface GigabitEthernet0/1

! Authentification EIGRP MD5

router eigrp 1

 ip authentication mode eigrp 1 md5

 ip authentication key-chain eigrp 1 <keychain> 

   

 Lignes  switch: 

   

 // Sécurité des VLANs

! Déclaration des VLANs

vlan 10

 name USERS

vlan 20

 name FINANCE

vlan 99

 name MANAGEMENT

vlan 999

 name BLACKHOLE

! Interface de management

interface vlan 99

 ip address 192.168.99.1 255.255.255.0

 no shutdown

! Sécurisation des trunks

switchport trunk native vlan 999

switchport trunk allowed vlan 10,20,99

// Sécurité des ports access

! Ports utilisateurs (Fa0/1 - 20)

interface range FastEthernet 0/1 - 20

 switchport mode access

 switchport access vlan 10

 switchport nonegotiate

 switchport port-security maximum 1 (Limite à une seule adresse MAC autorisée sur ce port. Si un deuxième équipement est branché)

 switchport port-security violation shutdown (Définit l'action en cas de violation : le port passe en mode err-disabled (shutdown automatique). Il faudra alors faire un shutdown puis no shutdown)

 

 switchport port-security (Active la sécurité de port sur l'interface. Sans cette ligne, les deux précédentes n'ont aucun effet)

 spanning-tree portfast

 spanning-tree bpduguard enable

 no cdp enable

 no shutdown

! Ports inutilisés → VLAN blackhole + shutdown

interface range FastEthernet 0/21 - 24

 switchport mode access

 switchport access vlan 999

 shutdown

//Protection L2 (DHCP / ARP / IP)

! DHCP Snooping

//plus pour les ports

ip dhcp snooping ou ip dhcp snooping trust

ip dhcp snooping limit rate 6

//plus pour les vlans

ip dhcp snooping vlan 10,20

no ip dhcp snooping information option

interface GigabitEthernet 0/1

 ip dhcp snooping trust

! Dynamic ARP Inspection (DAI)

ip arp inspection vlan 10,20

interface GigabitEthernet 0/1

 ip arp inspection trust

! IP Source Guard sur ports access

interface range FastEthernet 0/1 - 20

 ip verify source (port untrusted tel que pc ou visiteur etc..)

 //ou pour filtrage ip + mac (ip verify soyrce port-security)

// spanning-tree 

! PortFast + BPDU Guard globaux

spanning-tree portfast default (Active PortFast sur tous les ports d'accès du switch globalement.)

spanning-tree portfast bpduguard default