Cisco – Port security

Bonjour à tous,

Dans cet article nous allons présenter une fonctionnalité Cisco particulièrement utile pour sécuriser votre réseau : Le port security.

Le port security permet de filtrer et de restreindre le nombre d’adresse MAC autorisées à se connecter sur le port d’un switch Cisco.
Pour activer cette fonction sur une interface, nous allons passer en mode config, puis sélectionner notre interface. Celle-ci devra impérativement être configurée en mode « access ».

Activation du port security

conf t
int fastEthernet fa0/1
switchport mode access
switchport port-security

Le port security est activé sur l’interface 0/1.
Par defaut, un seule adresse MAC est autorisée à se connecter sur notre interface. Nous pouvons par exemple modifier cette restriction en accordant 5 adresses MAC différentes :

switchport port-security maximum 5

Violation

En cas de tentative de connexion d’un appareil non autorisé, nos avons le choix entre plusieurs types d’actions :

1. Éteindre le port

switchport port-security violation shutdown

2. Couper le trafic de l’adresse MAC non autorisée et laisser passer les trames de celles autorisées :

switchport port-security violation protect

3. Bloquer les trames avec inscription dans le syslog et envoi SNMP

switchport port-security violation restrict

Attribution des adresses MAC :

1. En mode Statique

La saisie des adresses MAC se fait manuellement:

switchport port-security mac-address XXXX.XXXX.XXXX

Pour la supprimer :

no switchport port-security mac-address XXXX.XXXX.XXXX

2. En mode Sticky

Le mode sticky va récupérer les adresses MAC des premiers appareils connectés. Une fois le nombre maximum de MAC enregistrées, l’interface n’acceptera plus d’adresses supplémentaires. Les adresses sont alors enregistrées automatiquement et attribuées à l’interface même si les appareils ne sont plus connectés.

switchport port-security mac-address sticky

Désactivation de l’apprentissage :

no switchport port-security mac-address sticky

3. Libération des adresses MAC

2 options s’offrent à vous pour configurer le temps de validité d’une adresse MAC.
Le mode absolute supprime les MAC après un temps déterminé
Le mode inactivity supprime les MAC après un temps d’inactivité déterminé.
Exemple après 3 heures d’inactivité :

switchport port-security aging time 180
switchport port-security aging type inactivity

Recovery

Vous pouvez spécifier une durée pendant laquelle le port va subir les actions provoquées par une violation. Après ce délai, le port va remonter automatiquement (Après 3mn dans l’exemple ci dessous).

errdisable recovery interval 180
errdisable recovery cause psecure-violation

Vérification du statut du port-security sur une interface

sh port-security int fa0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Protect
Aging Time                 : 3 mins
Aging Type                 : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 5
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address        : 0080.6478.9564
Security Violation Count   : 0

Suppression du port security

Utilisez les commandes suivantes :

No switchport port-security
No switchport port-security violation protect
No switchport port-security mac-address sticky

Attention, si le port a été désactivé vous devez saisir shutdown avant no shutdown pour le réactiver. Un « no shutdown » n’est pas suffisant.

(config-if)#shutdown
(config-if)#no shutdown

Voilà, ces quelques commandes vous permettront de sécuriser davantage le réseau de votre entreprise (ou de votre domicile si vous ne faites pas confiance à vos invités 😉

Classés dans :Cisco

Cet article a été écrit par admin