Ycharbi : Page créée avec « Category:cisco Les équipements ''Cisco'' permettent de réaliser un filtrage des adresses ''MAC'' traversant leurs ports de niveau deux. Le principe étant de n'autor... »

2020-12-28T17:39:37Z

Page créée avec « Category:cisco Les équipements ''Cisco'' permettent de réaliser un filtrage des adresses ''MAC'' traversant leurs ports de niveau deux. Le principe étant de n'autor... »

Nouvelle page

[[Category:cisco]]
Les équipements ''Cisco'' permettent de réaliser un filtrage des adresses ''MAC'' traversant leurs ports de niveau deux. Le principe étant de n'autoriser que certaines machines à se brancher à un commutateur ''Ethernet'' (et à en autoriser l'accès au réseau) en se basant sur une liste d'adresses physiques de cartes réseau. L'article de [https://www.it-connect.fr/securiser-son-switch-cisco-avec-port-security/ it-connect.fr] sur le sujet peut vous apporter des complément à ce document.

Trois modes de filtrage sont utilisables :
* statique
* dynamique
* collant

Chacun permet de définir trois types d'actions en cas de violation de sécurité :
* Protect : toutes les trames ayant des adresses ''MAC'' sources inconnues sont bloquées mails les autres restent autorisées
* Restrict : une alerte ''SNMP'' est émise et le compteur de violation est incrémenté
* Shutdown : désactive le port incriminé en cas de violation

Chaque commandes sera à renseigner dans la section d'une interface de niveau deux. L'état d'une interface concernant le filtrage ''MAC'' est visualisable via la commande :
show port-security interface <interface>

{{attention|Il est recommandé de n'utiliser cette fonction que sur des ports reliés à des équipements de terminaison. En effet, si vous filtrez des tronçons ''802.1Q'', vous aurez des chances certaines de violer vos règles car il est difficile (mais pas impossible en fonction du réseau) de dresser de façon exhaustive la liste des adresses physiques y transitant. Préférez réserver le filtrage ''MAC'' aux ports en mode ''access'' reliés à des utilisateurs finaux.}}

=Filtrage statique=
Le filtrage statique consiste à rentrer manuellement les adresses dans l’équipement. Cette méthode permet de définir à l’avance les machines autorisées à ce connecter au commutateur. Son inconvénient réside dans la pénibilité de renseigner les adresses à la main (sur plusieurs équipements cela peut représenter une charge de travail non négligeable).

switchport mode access
switchport port-security
switchport port-security mac-address XXXX.XXXX.XXXX
switchport port-security violation shutdown
switchport port-security maximum 1

=Filtrage dynamique=
Le filtrage dynamique consiste à laisser le commutateur ajouter lui même l’adresse ''MAC'' à sa table lors de la connexion du premier équipement. Lorsqu'elle est renseignée, celui-ci considère que toute autre adresse physique détecté, dans la limite du nombre définit (par défaut 1) viole la règle établie. Un filtrage dynamique ne peut conserver les adresses ''MAC'' recensées après un redémarrage. C’est pour cette raison que le filtrage collant lui sera généralement préféré.

switchport mode access
switchport mode access
switchport port-security
switchport port-security violation shutdown
switchport port-security maximum 1

=Filtrage collant=
Le filtrage collant (''sticky'') est identique au filtrage dynamique à ceci près qu’il rend possible l’enregistrement des adresses ''MAC'' référencées dans la configuration ''startup-config'' via la commande d'enregistrement standard (et donc la persistance au redémarrage).

switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security violation shutdown
switchport port-security maximum 1

=Lever un blocage=
Cette fonctionnalité étant généralement mise en place au plus proches des utilisateurs finaux, il n'est pas rare que ceux-ci s'amusent à débrancher les câbles afin d'insérer leurs équipements personnels dans le réseau. En fonction du type d'action définie dans votre règle, le port peut se retrouver bloquer même après rebranchement de l'équipement initial. Voici quelques méthodes pour débloquer un port.

==Supprimer la configuration==
La méthode la plus extrême consiste à supprimer toutes les lignes contenant <source lang="bash" inline>switchport port-security</source> dans l'interface incriminée et de la redémarrer (avec un <source lang="bash" inline>shutdown</source> suivit d'un <source lang="bash" inline>no shutdown</source>). N'oubliez pas de remettre votre configuration de sécurité à l'issue.

==Purger la violation==
Cette façon de faire est un plus propre et moins fastidieuse car elle ne nécessite pas de devoir supprimer et remettre une configuration en place.

clear port-security sticky interface <interface_bloquée>

Il faudra toutefois penser à éteindre/allumer l'interface via les commandes adéquates pour appliquer la purge.

==Réactivation automatique==
Il est possible de ne bloquer le port que pour une durée déterminée. Arrivée à échéance et seulement si la condition de fonctionnement normale a été restauré (sous couvert de re-déclencher le blocage pour la même durée), le port se débloquera de lui même et aucun redémarrage manuel de celui-ci ne sera nécessaire.

Dans le prompt ''configure terminal''
errdisable recovery cause psecure-violation
errdisable recovery interval <30-86400_secondes>

Filtrage mac - cisco - Historique des versions

Ycharbi : Page créée avec « Category:cisco Les équipements ''Cisco'' permettent de réaliser un filtrage des adresses ''MAC'' traversant leurs ports de niveau deux. Le principe étant de n'autor... »

Ycharbi : Page créée avec « Category:cisco Les équipements ''Cisco'' permettent de réaliser un filtrage des adresses ''MAC'' traversant leurs ports de niveau deux. Le principe étant de n'autor... »