samedi 17 novembre 2007

Les mécanismes de sécurité mis en place sur un switch CISCO 3560

DHCP Snooping
La fonctionnalité DHCP snooping securise le reseau en filtrant les messages DHCP changés sur le LAN.
Elle constitue une parade aux attaques visant à prendre la place du serveur (DHCP Spoofing) ou à épuiser le pool mis en place.
Le switch contruit et maintient une table comportant les éléménts suivants : MAC address, IP address, lease time, binding type, VLAN number, and interface information

Pour l'activer :
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 100
cette commande permet d'indiquer le vlan concerné
Switch(config)# no ip dhcp snooping information option
dans ce cas on n'active pas les option étendues.

Au niveau d'un port limiter le nombre de paquets emis par seconde est possible.
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip dhcp snooping limit rate 100

Sécurisation des ports
Il est possible de restreindre le nombre d'adresses MAC possibles sur chacun des ports. Ce faisant on se protége des attaques par MAC flooding

Pour l'activer :

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 3
dans cette configuration 3 adresses sont possibles
En présence de VLAN il est possible de les répartir
Switch(config-if)#switchport port-security maximum 2 vlan 3
Switch(config-if)#switchport port-security maximum 1 vlan 4

Il est en outre possible de parametrer des durées
Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security aging static


Limiter les requettes ARP
Pour se prémunir d'un DOS (deni of service) il est recommander de limiter au niveau de chacun des ports les requettes ARP ansi que leurs réponses

Pour l'activer :

Switch(config)#ip arp inspection limit rate 70
Dans ce cas la valeur 70 correspond au nombre de paquets par seconde.

0 commentaires: