Le réseau local, le LAN comme on l’appelle communément, est constitué principalement de commutateurs et/ou de commutateurs multi-couches (L2/L3), et si il y a du Wi-fi, on trouvera des contrôleurs de points-d’accès et d’antennes WLAN qui offrent l’accès au réseau et à ses services pour les utilisateurs. Cette partie de l’infrastructure de communication est particulièrement délaissée en terme de sécurité et d’audit au profit de l’historique pare-feu qui, on le rappellera, filtre les flux de trafic qui le traverse. Il n’intervient que très peu au sein du réseau local, sauf sur les hôtes terminaux. Alors que celui-ci placé en bordure du réseau empêche toute intrusion directe de l’extérieur du LAN, il contrôle aussi le trafic sortant, notamment celui-ci des utilisateurs. Très bien, mais qu’en est-il de la confidentialité, de l’authentification et de l’intégrité des messages utilisateurs à partir du réseau local ?
Dans un premier temps, on tentera de prendre conscience de l’ampleur des menaces sur le réseau local et d’envisager les contre-mesures disponibles particulièrement sur le matériel Cisco Systems. Ensuite, on envisagera d’illustrer ces menaces dans un exercice de laboratoire uniquement prévu à cet effet. Enfin, on ne manquera pas de parler du sujet de l’authentification sur les ports d’accès filaire ou non comme IEEE 802.1X/EAP/Radius.
On apprendra aussi à mettre en place une mesure de sécurité de type “Port-Security” qui vise à limiter le nombre d’adresse MAC qui peuvent se connecter à un port de commutateur. Cette mesure permet de contrôler le trafic au plus bas niveau de la connectivité, au plus proche du trafic des utilisateurs. Réalisant un filtrage au plus bas niveau avec une souplesse de gestion limitée, la facilité “Port-Security” pourrait provoquer des effets indésirables de faux positifs. Elle ne se déploie donc pas à la légère quand bien même cette compétence est fortement vérifiée dans la certification Cisco CCNA.
Infrastructures LAN : Vulnérabilités, cibles, menaces, attaques et surtout contre-mesures. Quelle sont ces vulnérabilités que l’on peut rencontrer dans un LAN ? Quels sont les cibles et les attaques potentielles ? Et, enfin, quelles sont les bonnes pratiques et les remèdes à appliquer ?
Cette fonction Port-Security permet de contrôler les adresses MAC autorisées sur un port. En cas de violation, c’est-à-dire en cas d’adresses MAC non autorisées sur le port, une action est prise.
On trouvera ici un lab démonstration de la fonction port-security qui permet de contrôler les adresses MAC autorisées sur un port de commutateur Cisco.
Voici un exercice de lab pratique sur la sécurité dans le LAN.
Ce chapitre est une introduction pratique à la sécurité du protocole IPv6.
Les routeurs Cisco supportent des ACLs (RACLs) standards, étendues et nommées pour filtrer du trafic IPv4 et des ACLs étendues nommées pour filtrer du trafic IPv6. Les commutateurs Cisco de couche 2 (L2) supportent les listes d’accès appliquées aussi bien sur des ports L2 (PACLs) que sur les VLANs (VACLs).
Authentification des informations de routage