Sécurité dans le LAN

Le réseau local, le LAN comme on l’appelle communément, est constitué principalement de commutateurs et/ou de commutateurs multi-couches (L2/L3), et si il y a du Wi-fi, on trouvera des contrôleurs de points-d’accès et d’antennes WLAN qui offrent l’accès au réseau et à ses services pour les utilisateurs. Cette partie de l’infrastructure de communication est particulièrement délaissée en terme de sécurité et d’audit au profit de l’historique pare-feu qui, on le rappellera, filtre les flux de trafic qui le traverse. Il n’intervient que très peu au sein du réseau local, sauf sur les hôtes terminaux. Alors que celui-ci placé en bordure du réseau empêche toute intrusion directe de l’extérieur du LAN, il contrôle aussi le trafic sortant, notamment celui-ci des utilisateurs. Très bien, mais qu’en est-il de la confidentialité, de l’authentification et de l’intégrité des messages utilisateurs à partir du réseau local ?

Dans un premier temps, on tentera de prendre conscience de l’ampleur des menaces sur le réseau local et d’envisager les contre-mesures disponibles particulièrement sur le matériel Cisco Systems. Ensuite, on envisagera d’illustrer ces menaces dans un exercice de laboratoire uniquement prévu à cet effet. Enfin, on ne manquera pas de parler du sujet de l’authentification sur les ports d’accès filaire ou non comme IEEE 802.1X/EAP/Radius.

On apprendra aussi à mettre en place une mesure de sécurité de type “Port-Security” qui vise à limiter le nombre d’adresse MAC qui peuvent se connecter à un port de commutateur. Cette mesure permet de contrôler le trafic au plus bas niveau de la connectivité, au plus proche du trafic des utilisateurs. Réalisant un filtrage au plus bas niveau avec une souplesse de gestion limitée, la facilité “Port-Security” pourrait provoquer des effets indésirables de faux positifs. Elle ne se déploie donc pas à la légère quand bien même cette compétence est fortement vérifiée dans la certification Cisco CCNA.

Introduction à la sécurité dans le LAN

18 minutes de lecture

Infrastructures LAN : Vulnérabilités, cibles, menaces, attaques et surtout contre-mesures. Quelle sont ces vulnérabilités que l’on peut rencontrer dans un LAN ? Quels sont les cibles et les attaques potentielles ? Et, enfin, quelles sont les bonnes pratiques et les remèdes à appliquer ?

Port ACLs (PACLs) et VLAN ACLs (VACLs)

11 minutes de lecture

Les routeurs Cisco supportent des ACLs (RACLs) standards, étendues et nommées pour filtrer du trafic IPv4 et des ACLs étendues nommées pour filtrer du trafic IPv6. Les commutateurs Cisco de couche 2 (L2) supportent les listes d’accès appliquées aussi bien sur des ports L2 (PACLs) que sur les VLANs (VACLs).