Protection contre l’attaque d’inondation MAC

Dans une attaque d’inondation MAC typique, un commutateur est inondé de paquets, chacun contenant différentes adresses MAC source. L’intention est de consommer la mémoire limitée mise de côté dans le commutateur pour stocker la table de traduction d’adresses MAC vers des ports physiques.

Le résultat de cette attaque amène le commutateur à entrer dans un état appelé mode failopen, dans lequel tous les paquets entrants sont diffusés sur tous les ports (comme avec un concentrateur), au lieu de simplement descendre le port correct selon le fonctionnement normal. Un utilisateur malveillant pourrait alors utiliser un renifleur de paquets fonctionnant en mode promiscuité pour capturer des données sensibles provenant d’autres ordinateurs, qui ne seraient pas accessibles si le commutateur fonctionnait normalement.

Cisco vous donne la possibilité de configurer une protection contre cette attaque en limitant et/ou câblant certaines adresses MAC à un port dédié.

Comprendre l’attaque d’inondation de MAC
Supposons avoir un commutateur avec 3 PC: PC A, PC B et PC C; en situation normale, lorsque le PC A envoie un paquet au PC B, le PC C ne voit pas le paquet envoyé entre le PC A et le PC B.

 mac_learning

Ceci parce que les 3 PC sont connectés à un commutateur et NON à un concentrateur.

Sous l’attaque d’inondation MAC, le comportement du commutateur est différent. Pendant l’attaque d’inondation de MAC, l’attaquant (dans ce cas PC C) inonde le commutateur avec des paquets, chacun avec une adresse MAC source différente.

 mac_flooding_attack

Si la mémoire adressable de contenu (la mémoire où les adresses MAC sont stockées) est pleine, le commutateur fonctionne comme un concentrateur ; ainsi, si le PC A envoie un paquet au PC B, le paquet sera également reçu au PC C.

 mac_flooding_attack_2

Protection contre l’attaque d’inondation de MAC
Cisco a implémenté une fonctionnalité, appelée switchport port-security, pour se protéger contre ce type d’attaque. Vous pouvez utiliser la fonction de sécurité de port pour restreindre l’entrée à une interface en limitant et en identifiant les adresses MAC des stations autorisées à accéder au port.

Il existe trois types d’adresses MAC sécurisées:

  • Adresses MAC sécurisées statiques: Ceux-ci sont configurés manuellement à l’aide de la commande de configuration de l’interface mac-address de switchport port-security, stockée dans la table d’adresses et ajoutée à la configuration en cours d’exécution du commutateur.
  • Adresses MAC sécurisées dynamiques : Elles sont apprises dynamiquement, stockées uniquement dans la table d’adresses et supprimées lorsque le commutateur redémarre.
  • Adresses MAC sécurisées collantes : Elles peuvent être apprises dynamiquement ou configurées manuellement, stockées dans la table d’adresses et ajoutées à la configuration en cours d’exécution. Si ces adresses sont enregistrées dans le fichier de configuration, l’interface n’a pas besoin de les réapprendre dynamiquement lorsque le commutateur redémarre.

Rappelez-vous : Un port sécurisé peut avoir de 1 à 132 adresses sécurisées associées. Le nombre total d’adresses sécurisées disponibles sur le commutateur est de 1024.

Lorsque le nombre maximum d’adresses MAC sécurisées ont été ajoutées à la table d’adresses et qu’une station dont l’adresse MAC n’est pas dans la table d’adresses tente d’accéder à l’interface, une violation de sécurité se produit.

Le commutateur peut réagir à une violation de sécurité de trois manières différentes:

  • protection : Lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, les paquets avec des adresses source inconnues sont supprimés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou que vous augmentiez le nombre d’adresses maximum autorisées. Vous n’êtes pas informé qu’une violation de la sécurité s’est produite.
  • restreindre: Lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, les paquets avec des adresses source inconnues sont supprimés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou que vous augmentiez le nombre d’adresses maximales autorisées. Dans ce mode, vous êtes informé qu’une violation de la sécurité s’est produite. Plus précisément, un trap SNMP est envoyé, un message syslog est enregistré et le compteur de violations s’incrémente.
  • arrêt: Dans ce mode, une violation de la sécurité du port fait que l’interface devient immédiatement désactivée par erreur et éteint la LED du port. Il envoie également un trap SNMP, enregistre un message syslog et incrémente le compteur de violations. Lorsqu’un port sécurisé est dans l’état d’erreur désactivée, vous pouvez le sortir de cet état en entrant la commande de configuration globale errdisable recovery cause psecure-violation, ou vous pouvez le réactiver manuellement en entrant les commandes de configuration d’interface d’arrêt et d’absence d’arrêt. C’est le mode par défaut.

Exemple : Limite à dix adresses MAC, dont deux statiques (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), sur un porto FastEthernet 0/1. La violation requise est “restreinte”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

accès en mode switchport : La sécurité du port ne fonctionne que sur le port d’accès, alors définissez-la.
switchport port-security : Active la sécurité du port sur l’interface.
switchport port – security maximum 10 : Définit le nombre maximal d’adresses MAC sécurisées pour l’interface à 10.
switchport port – restriction de violation de sécurité: Il définit pour “restreindre” le mode de violation.
adresse mac de sécurité du port switchport aaaa.aaaa.aaaa : Définissez l’adresse MAC statique ; n’oubliez pas que si vous configurez moins d’adresses MAC sécurisées que le maximum, les adresses MAC restantes sont apprises dynamiquement.

Les commandes utiles pour afficher l’état et la configuration du contrôle du trafic sont:

  • afficher les interfaces switchport : Affiche l’état administratif et opérationnel de tous les ports de commutation (non routage) ou du port spécifié, y compris les paramètres de blocage et de protection des ports.
  • afficher le port – sécurité : Affiche les paramètres de sécurité du port pour le commutateur ou pour l’interface spécifiée, y compris le nombre maximal autorisé d’adresses MAC sécurisées pour chaque interface, le nombre d’adresses MAC sécurisées sur l’interface, le nombre de violations de sécurité survenues et le mode de violation.
  • afficher l’adresse de sécurité du port : Affiche toutes les adresses MAC sécurisées configurées sur toutes les interfaces de commutateur ou sur une interface spécifiée avec des informations de vieillissement pour chaque adresse.

Rappelez-vous: vous pouvez activer la sécurité des ports sur une interface uniquement si le port n’est pas configuré comme l’un de ceux-ci:

  • Ports de jonction : Si vous essayez d’activer la sécurité des ports sur un port de jonction, un message d’erreur s’affiche et la sécurité des ports n’est pas activée. Si vous essayez de changer le mode d’un port sécurisé en joncteur réseau, le mode de port n’est pas modifié.
  • Port dynamique : Un port en mode dynamique peut négocier avec son voisin pour devenir un port de jonction. Si vous essayez d’activer la sécurité des ports sur un port dynamique, un message d’erreur s’affiche et la sécurité des ports n’est pas activée. Si vous essayez de changer le mode d’un port sécurisé en mode dynamique, le mode de port n’est pas modifié.Port d’accès dynamique
  • : Si vous essayez d’activer la sécurité des ports sur un port d’accès dynamique (protocole de requête VLAN), un message d’erreur s’affiche et la sécurité des ports n’est pas activée. Si vous essayez de changer un port sécurisé en affectation VLAN dynamique, un message d’erreur s’affiche et la configuration du VLAN n’est pas modifiée.
  • Port EtherChannel : Avant d’activer la sécurité du port sur le port, vous devez d’abord le supprimer de l’EtherChannel. Si vous essayez d’activer la sécurité des ports sur un EtherChannel ou sur un port actif dans un EtherChannel, un message d’erreur s’affiche et la sécurité des ports n’est pas activée. Si vous activez la sécurité des ports sur un port non encore actif d’un EtherChannel, le port ne rejoint pas l’EtherChannel.Port 802.1X : Vous ne pouvez pas configurer un port 802.1X en tant que port sécurisé. Si vous essayez d’activer la sécurité des ports sur un port 802.1X, un message d’erreur s’affiche et la sécurité des ports n’est pas activée. Si vous essayez de remplacer un port sécurisé par un port 802.1X, un message d’erreur s’affiche et les paramètres 802.1X ne sont pas modifiés.
  • Port de destination de l’Analyseur de ports de commutation (SPAN) : Vous pouvez activer la sécurité des ports sur un port qui est un port de destination de SPAN ; cependant, la sécurité des ports est désactivée jusqu’à ce que le port soit supprimé en tant que destination de SPAN. Vous pouvez activer la sécurité des ports sur un port source SPAN.

Write a Comment

Votre adresse e-mail ne sera pas publiée.