Objectifs de certification

CCNA R&S 200-125

  • 6.1 Configurer, vérifier et dépanner port security (Static, Dynamic, Sticky, Max MAC addresses, Violation actions, Err-disable recovery)

  • 2.7 Configurer, vérifier et dépanner les fonctionnalités STP optionnelles (PortFast, BPDU guard)

  • 6.2 Décrire les techniques d’atténuation des menaces sur la couche d’accès (802.1x, DHCP snooping, Nondefault native VLAN)

  • 6.6 Décrire la sécurité des périphériques par l’usage de AAA avec TACACS+ et RADIUS

IINS 100-105

  • 4.5 Procédures d’atténuation

    • 4.5.a Implémentation de la surveillance DHCP (DHCP snooping)
    • 4.5.b Mettre en oeuvre l’inspection ARP dynamique (Dynamic ARP Inspection, DAI)
    • 4.5.c Mettre en oeuvre port security
    • 4.5.d Décrire la protection BPDU guard, root guard, loop guard
    • 4.5.e Vérifier les procédures d’atténuation
  • 4.5 Procédures d’atténuation

    • 4.5.a Implémentation de la surveillance DHCP (DHCP snooping)
    • 4.5.b Mettre en oeuvre l’inspection ARP dynamique (Dynamic ARP Inspection, DAI)
    • 4.5.c Mettre en oeuvre port security
    • 4.5.d Décrire la protection BPDU guard, root guard, loop guard
    • 4.5.e Vérifier les procédures d’atténuation
  • 2.2 Concepts AAA

    • 2.2.a Décrire les technologies RADIUS et TACACS +
    • 2.2.b Configurer l’accès administrateur sur un routeur Cisco à l’aide de TACACS +
    • 2.2.c Vérifier la connectivité sur un routeur Cisco à un serveur TACACS +
    • 2.2.d Expliquer l’intégration d’Active Directory avec AAA
    • 2.2.e Décrire l’authentification et l’autorisation en utilisant ACS et ISE

CCNA 200-301

  • 5.7 Configurer les fonctionnalités de sécurité Layer 2 (DHCP snooping, dynamic ARP inspection, et port security)


Introduction à la sécurité dans le LAN

1. Introduction

On trouvera énormément de vulnérabilités intrinsèques dans le réseau LAN pour une raison simple : les administrateurs partent du principe de confiance. Tout accès au LAN est cédé aux utilisateurs par un contrat de confiance dont la limite est l’abus de la crédulité des solutions mises en place dans l’infrastructure.

On en pensera ce que l’on voudra toutefois cela ne nous empêche certainement pas de nous poser quelques questions sur le sujet. Quelle sont ces vulnérabilités que l’on peut rencontrer dans un LAN ? Quels sont les cibles et les attaques potentielles ? Et, enfin, quelles sont les bonnes pratiques et les remèdes à appliquer ?

2. Attaques

On trouvera quasiment toute la terminologie des attaques dans le domaine de la sécurité des infrastructures de réseaux locaux qui rompent les principes fondamentaux de confidentialité, d’intégrité et d’authentification : écoute, usurpation, déni de service (DoS), MitM (homme du milieu, Man-in-the Middle), …

Les vecteurs d’attaques sont des humains qui ont des accès autorisés ou non au réseau, mais aussi des logiciels malveillants pilotés automatiquement ou à distance. Dès qu’un accès au réseau local est compromis, la plupart du temps, la porte est ouverte sur les services du système d’information de l’organisation.

Si les attaques de déni de service (DoS) sont parmi les plus crapuleuses et les moins intéressantes, elles seraient néanmoins les plus visibles et les plus faciles à mettre en oeuvre avec peu de moyens de réaction du côté des défenseurs. Ces dernières sont donc aussi des menaces sur le LAN à prendre en compte.

3. Cibles

Toute technologie d’accès comme Ethernet ou Wi-Fi sur le LAN ou le WLAN (mais aussi les réseaux mobiles) sont touchés par cette problématique.

Au nombre des cibles, on peut citer particulièrement les commutateurs et les routeurs, ainsi que tout élément d’infrastructure mais aussi principalement les utilisateurs et leurs services sur le réseau.

Les protocoles de résolution d’adresse IP comme ARP et ND sont des cibles favorites et très vulnérables.

Pour empêcher des accès non-autorisés sur base d’adresses L2 de bas niveau comme des adresses MAC, la fonctionnalité Cisco port-security mac-address sticky au menu de la certification CCNA est une mesure intéressante, mais elle est aisée à dépasser alors que sa gestion reste une contrainte.

Si la menace sur ces protocles ARP et ND est prise au sérieux, on s’orientera plus volontiers vers des solutions comme DAI (Deep ARP Inspection) ou IPv6 First Hop Security (notamment avec RA Guard).

Mais il y a tellement de services à disposition sur le réseau et ils sont si crédules qu’il convient de rester attentif aux menaces sur les protocoles d’infrastructure comme DHCP, DNS, NTP, SNMP ou encore les protocoles de routage dynamique (EIGRP, OSPF) ou de redondance de passerelle (HSRP, VRRP). + consoles

Sur les commutateurs Cisco, on trouvera une série de protocoles L2 propriétaires ou IEEE 802.1 tels que 802.1.q, 802.1D, CDP, VTP, DTP, PaGP, LACP, etc. pour la plupart du temps activés par défaut et qui constitue autant de vulnérabilités intrinsèques à une configuration par défaut. Parmi beaucoup d’autres, activer bpduguard sur les ports Access et désactiver tout ce qui est inutile : CDP, VTP, DTP, les ports orphelins, etc. Selon les conseils de Cisco, on évitera à tout prix d’utiliser le VLAN 1.

4. IEEE 802.1X / EAP / Radius

Enfin si les moyens de l’organisation le permettent et sa la volonté y est, on mettra en oeuvre une solution qui authentifie les utilisateurs avant de leur donner un accès (filaire ou non) de couche (L2) au réseau avec 8021.X/EAP/RADIUS. Si le choix de l’organisation s’oriente vers des solutions qui intègrent la gestion du réseau filaire et sans-fil de manière transparente, celle-ci est certainement prête pour un tel type de déploiement par l’obligation du support du protocole de sécurité de réseau sans-fil de type “WPA/WPA2 Enterprise” respectant la norme IEEE 802.11i intégrant IEEE 8021.X/EAP/RADIUS.

  • PacketFence
  • Microsoft NAP
  • Cisco NAC
  • HP, Aruba, …

5. Contre-mesures

  • Sur les commutateurs du filtrage (port-security, vACLs), de la vérification protocolaire (bpduguard, dai, ipv6 fhs, dhcp snooping), et de bonne pratiques de configuration et de gestion.
  • Dans l’infrastructure, de l’IDS/IPS généraliste (snort, surricata) ou spécialisé (arp-watch, ndpmon, packetfence). Filtrage NTP et SNMP, Authentification NTP, authentification et chiffrement SNMP, authentification OSPF et EIGRP.
  • Sur les hôtes au minimum des solutions de chiffrement TLS : HTTPS/HSTS, VPN TLS, IMAPS, SSH, … et un must avec une solution IDS/IPS/AV intégrée au périphérique terminal de type “End-Point Security” ; bannir les protocoles qui passent en clair (HTTP, SMTP, POP3).
  • Sur les port d’accès des utilisateurs finaux IEEE 8021.X/EAP/RADIUS, IEEE 802.11i, communication VPN dans les réseaux tiers ou non-sécurisés.

Contre-mesure sur le LAN

Sur les commutateurs Cisco (ou autres) :

  • DAI (Deep ARP Inspection) + DHCP snooping
  • Port-Security
  • BPDU Guard

Solutions structurelles (ARP, 802.1X/RADIUS/EAP) :

  • arpwatch
  • OpenVAS
  • PacketFence
  • Microsoft NAP
  • Cisco NAC
  • HP, Aruba, …

Protocoles de Gestion et 802.1D :

  • STP : BPDU Guard et différentes protections Cisco.
  • VTP, DTP, CDP : à désactiver

Laisser un commentaire