Sécurité du plan de transfert - Sécurité de couche 2

9 0 2 0

Sécurité du plan de transfert - Sécurité de couche 2

L’objectif de la protection de sécurité pour la connexion administrateur (plan de gestion) et la CPU (plan de contrôle) est d’assurer le bon acheminement du trafic au niveau du plan de transfert. Le trafic des couches 2 et 3 ne peut être transféré avec succès que lorsque les entrées de transfert du commutateur sont correctes. La table de transfert de couche 2 est la table d'adresses MAC. Le commutateur recherche les interfaces sortantes pour les paquets dans la table d'adresses MAC. Si aucune entrée n'est trouvée, les paquets sont diffusés. La tempête de diffusion est un problème courant sur les réseaux de couche 2. Comment assurer la sécurité de la table de transfert et supprimer la tempête de diffusion est un défi pour la sécurité de couche 2. Les sections suivantes décrivent la sécurité de couche 2 dans les deux aspects.

1.1 Comment assurer la sécurité de la table de transfert

Le commutateur fournit différentes méthodes pour assurer la sécurité de la table de transfert dans différents scénarios. Par exemple, la prévention des battements MAC et la sécurité des ports peuvent assurer la sécurité de la table d'adresses MAC en liant les adresses MAC aux ports. La surveillance DHCP enregistre les informations d'authentification DHCP des utilisateurs pour assurer un accès sécurisé aux utilisateurs dynamiques.

1.1.1 Prévention de battement d'adresse MAC

Une interface commence à saisir une adresse MAC une fois qu'un paquet est reçu. Lorsqu'un commutateur apprend une entrée d'adresse MAC d'un utilisateur autorisé à partir d'une interface et reçoit un paquet d'attaque d'une autre interface, les entrées d'adresse MAC ne peuvent pas être apprises correctement et le transfert de couche 2 est anormal.

La figure 1-1 illustre un scénario typique. Un utilisateur non autorisé envoie un paquet au commutateur en utilisant l'adresse de passerelle comme adresse MAC source dans le paquet. L'interface sortante correspondant aux MAC1 passe de IF1 à IF2. Lorsque les hôtes des utilisateurs envoient des paquets à la passerelle, l'interface sortante IF2 incorrecte est trouvée dans la table des adresses MAC. Par conséquent, les paquets utilisateur ne peuvent pas être transmis à la passerelle, ce qui entraîne une erreur lors du transfert de couche 2.

Figure 1-1 Prévention du battement d'adresse MAC

20170331152326180001.png

 

Les commutateurs de la série S proposent deux méthodes pour empêcher le flapping des adresses MAC:

Ø   Configurer les entrées d'adresses MAC statiques: associez manuellement l'adresse MAC de la passerelle aux interfaces, de sorte que l'adresse MAC de la passerelle ne disparaisse pas Si l'adresse MAC de la passerelle est inconnue ou non corrigée, cette méthode ne convient pas. La configuration sur le commutateur série S est la suivante:

[SwitchA] mac-address static 3-3-3 gigabitethernet 0/0/10 vlan 4   // Supposons que l'adresse MAC de la passerelle soit 3-3-3 et que l'interface soit GE0 / 0/10. Liez l'interface à l'adresse MAC du domaine de diffusion du VLAN 4.

Ø   Configurer la priorité d'apprentissage de l'adresse MAC: Augmentez la priorité d'apprentissage de l'adresse MAC de IF1 pour qu'elle soit supérieure à celle de IF2. Lorsque IF2 reçoit un paquet avec l'adresse MAC source MAC1, il n'apprend pas l'entrée de l'adresse MAC. Dans cette situation, le battement d'adresse MAC ne se produira pas. La configuration sur le commutateur série S est la suivante:

[SwitchA] interface gigabitethernet 0/0/10   // Interface connectée à la passerelle

[SwitchA-GigabitEthernet0/0/10mac-learning priority 3   // Définit la priorité d’apprentissage de l’adresse MAC de l’interface sur la valeur maximale 3.

Remarque: Certains modèles de commutateurs de la série S ne prennent pas en charge la configuration de la priorité d’apprentissage des adresses MAC. Pour ces modèles, vous pouvez configurer l'usurpation d'adresse MAC pour définir l'interface de passerelle en tant qu'interface sécurisée. Cela peut également empêcher le flapping des adresses MAC. La configuration est la suivante:

[SwitchA] mac-spoofing-defend enable   // Activer le spoofing MAC globalement.

[SwitchA] interface gigabitethernet 0/0/10   // Interface connectée à la passerelle .

[SwitchA-GigabitEthernet0/0/10] mac-spoofing-defend enable   // Configurez l'interface en tant qu'interface sécurisée.

1.1.2 Sécurité portuaire

La sécurité des ports est une fonctionnalité qui assure la sécurité de la table de transfert. Une fois la sécurité du port activée, l'adresse MAC apprise sur l'interface est convertie en une entrée MAC sécurisée. Ainsi, l'adresse MAC est liée à l'interface. L'utilisateur avec cette adresse MAC peut accéder uniquement via l'interface liée.

La sécurité des ports peut limiter le nombre d'entrées d'adresses MAC sur une interface pour contrôler le nombre d'utilisateurs ayant accès.Autrement dit, seuls les utilisateurs ayant déjà accédé au commutateur peuvent se connecter. Cela peut également empêcher le débordement de la table d'adresses MAC provoqué par les entrées d'adresse MAC en trou noir.

Cependant, la sécurité du port ne peut pas vérifier la validité des utilisateurs. Autrement dit, les utilisateurs non autorisés peuvent également se connecter uniquement s’ils accèdent au commutateur plus tôt.

Figure 1-2 Scénario d'application de sécurité de port

20170331152327224002.png

 

Sur le réseau d’une entreprise illustré à la figure 1-2 , l’administrateur doit empêcher les utilisateurs non autorisés d’envoyer les paquets avec des adresses MAC source variables et les empêcher d’utiliser des adresses MAC forgées pour accéder au réseau. Par conséquent, l'administrateur exige que seuls trois utilisateurs se connectent à une seule interface, qui ne peut accéder qu'aux interfaces fixes.

Pour mettre en œuvre les politiques de sécurité, vous pouvez configurer la sécurité du port sur le commutateur GE0 / 0 / GE0. Lorsque des utilisateurs non autorisés souhaitent accéder à cette interface, une alarme est signalée. La configuration sur le commutateur série S est la suivante:

[SwitchA] interface gigabitethernet 0/0/1

[SwitchA-GigabitEthernet0/0/1] port-security enable   // Activer la sécurité du port sur l'interface.

[SwitchA-GigabitEthernet0/0/1] port-security max-mac-num 3   // Définissez le nombre maximal d'adresses MAC liées à une interface sur 3. Une fois la sécurité du port activée, une seule adresse MAC peut être liée à une interface par défaut.

[SwitchA-GigabitEthernet0/0/1] port-security mac-address sticky   // Activer le MAC collant. Après le redémarrage du commutateur avec la configuration sauvegardée, la liaison de l'interface et de l'adresse MAC existe toujours.

Remarque: lorsque le nombre d'entrées MAC sécurisées converties par la sécurité du port atteint la limite supérieure, la sécurité du port entreprend des actions punitives si des utilisateurs non autorisés souhaitent accéder au commutateur. Le commutateur prend en charge trois actions de punition.

action

La description

protéger

Supprimez les paquets dont les adresses MAC sources ne sont pas incluses dans la table des adresses MAC.

restreindre

Supprimez les paquets dont les adresses MAC sources ne sont pas incluses dans la table des adresses MAC et signalez une alarme pour avertir l'administrateur. C'est l'action par défaut.

fermer

Arrêtez l'interface. L'interface ne peut être récupérée que manuellement.

 

1.1.3 DHCP Snooping

La surveillance DHCP assure la sécurité du protocole DHCP. Il garantit que les clients DHCP peuvent obtenir des adresses IP du serveur DHCP approprié et empêche les attaques DHCP.

Pour comprendre comment la surveillance par le DHCP empêche les attaques DHCP, DHCP est un concept clé.

Sur un réseau IPv4, les adresses IP sont attribuées aux clients utilisant DHCP dans le modèle client / serveur. Le client DHCP envoie une demande au serveur DHCP, lequel renvoie les informations d'adresse IP au client, notamment l'adresse IP, la passerelle par défaut et le serveur DNS.

Figure 1-3 Mise en réseau DHCP

20170331152328421003.png

 

Dans la figure 1-3 , un réseau DHCP contient deux rôles:

l    Client DHCP: obtient une adresse IP à l'aide de DHCP. Par exemple, le téléphone IP et le PC sont des clients.

l    Serveur DHCP: attribue des adresses IP aux clients DHCP.

Selon le modèle client / serveur de DHCP, les utilisateurs non autorisés peuvent lancer les types d'attaques suivants.

Figure 1-4 Attaques DHCP typiques

20170331152329456004.png

 

Type d'attaque

Mécanisme

Bogus serveur DHCP attaque

Un utilisateur non autorisé se présente comme le serveur DHCP pour attribuer une adresse IP incorrecte au client. Le client ne parvient pas à accéder au réseau.

Bogus DHCP paquet attaque

Un utilisateur autorisé envoie un paquet de requête DHCP au serveur pour demander le renouvellement de l'adresse IP. Un utilisateur non autorisé se présente comme un utilisateur autorisé à envoyer en continu au serveur des paquets de requête DHCP, demandant le renouvellement de l'adresse IP. Par conséquent, les adresses IP expirées ne peuvent pas être récupérées et les nouveaux utilisateurs autorisés ne peuvent pas obtenir d'adresses IP.

Un utilisateur autorisé envoie un paquet de libération DHCP au serveur afin de demander la libération de l'adresse IP. L'utilisateur non autorisé se présente comme un utilisateur autorisé à envoyer des paquets de libération DHCP au serveur. En conséquence, les utilisateurs autorisés sont obligés de se déconnecter.

Attaque par inondation DHCP

Un utilisateur non autorisé envoie un grand nombre de paquets DHCP en peu de temps. Le serveur DHCP ne peut pas gérer les paquets valides et n'attribue pas les adresses IP aux clients.

Attaque DoS du serveur DHCP

Un utilisateur non autorisé demande de manière malveillante des adresses IP. Toutes les adresses IP du serveur DHCP sont épuisées et le serveur ne peut pas attribuer d'adresses IP à des utilisateurs autorisés.

Le serveur DHCP vérifie les adresses MAC des clients en fonction du champ Adresse matérielle du client (CHADDR) dans les paquets de requête DHCP. L'utilisateur non autorisé envoie les paquets DHCP avec les champs variables CHADDR au serveur. Toutes les adresses IP du serveur DHCP sont épuisées et le serveur ne peut pas attribuer d'adresses IP à des utilisateurs autorisés.

 

La surveillance DHCP peut se défendre contre ces types d’attaques. En général, la surveillance DHCP est configurée sur le commutateur d'accès.

Type d'attaque

La défense

Bogus serveur DHCP attaque

L'interface connectée au commutateur du commutateur d'accès au serveur DHCP est configurée en tant qu'interface sécurisée. Seule l'interface de confiance peut recevoir et transférer des paquets DHCP.

Bogus DHCP paquet attaque

Lorsque le serveur DHCP attribue des adresses IP à des clients, la table de liaison de surveillance DHCP est générée en fonction des paquets DHCP. la table de liaison enregistre les adresses MAC, les adresses IP, la durée du bail, l'ID de VLAN et les informations d'interface. Ensuite, le serveur vérifie les paquets DHCP et les entrées de liaison et supprime les paquets non valides.

Attaque par inondation DHCP

Le débit des paquets DHCP envoyés à la CPU est limité.

Attaque DoS du serveur DHCP

Le nombre d'entrées de liaison de surveillance DHCP étant limité, le nombre d'utilisateurs d'accès est également limité. Lorsque le nombre d'utilisateurs atteint la valeur spécifiée, aucun utilisateur ne peut obtenir d'adresse IP via cette interface.

Le périphérique vérifie la cohérence entre l'adresse MAC dans l'en-tête du paquet de requête DHCP et le champ CHADDR dans le champ de données du paquet DHCP. S'ils sont incohérents, l'appareil abandonne le paquet.

 

Voici un exemple de configuration de la surveillance DHCP.

Figure 1-5 Réseau de surveillance DHCP

20170331152329387005.png

 

Dans la figure 1-5 , le client DHCP 1 et le client DHCP 2 demandent des adresses IP via le commutateur A depuis le serveur DHCP.Configurez la surveillance DHCP sur le commutateur A pour empêcher les attaques suivantes:

l    Bogus serveur DHCP attaque

l    Bogus DHCP paquet attaque

l    Attaque par inondation DHCP

l    Attaque DoS du serveur DHCP

 

La configuration sur le commutateur série S est la suivante:

1.          Activer la surveillance DHCP globalement et sur l'interface.

[SwitchA] dhcp enable   //Enable DHCP globally.

[SwitchA] dhcp snooping enable

[SwitchA] interface gigabitethernet 0/0/1

[SwitchA-GigabitEthernet0/0/1] dhcp snooping enable

[SwitchA-GigabitEthernet0/0/1] quit

[SwitchA] interface gigabitethernet 0/0/2

[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable

[SwitchA-GigabitEthernet0/0/2] quit

2          Configurez l'interface connectée au serveur DHCP en tant qu'interface sécurisée pour éviter les attaques de serveur DHCP factices.

[SwitchA] interface gigabitethernet 0/0/10

[SwitchA-GigabitEthernet0/0/10] dhcp snooping enable

[SwitchA-GigabitEthernet0/0/10] dhcp snooping trusted

[SwitchA-GigabitEthernet0/0/10] quit

3          Configurez la vérification de paquet DHCP par rapport à la table de liaison pour empêcher les attaques de paquet DHCP erronées.

[SwitchA] dhcp enable

[SwitchA] dhcp snooping check dhcp-request enable vlan 10   // Configurez le contrôle d'utilisateur dans le VLAN 10.

4          Définissez le nombre maximal de paquets DHCP envoyés au processeur pour empêcher les attaques par inondation DHCP.

[SwitchA] dhcp snooping check dhcp-rate enable   // Activer la vérification du débit des paquets DHCP envoyés à la CPU.

[SwitchA] dhcp snooping check dhcp-rate 90   // Définissez le nombre maximal de paquets DHCP pouvant être traités par seconde à 90.

5          Définissez le nombre maximal d'entrées de liaison de surveillance DHCP et activez le contrôle de cohérence de l'adresse MAC source dans l'en-tête du paquet de requête DHCP et le champ CHADDR afin d'éviter les attaques par déni de service sur le serveur DHCP.

[SwitchA] dhcp snooping max-user-number 2 vlan 10   // Définissez le nombre maximum d'utilisateurs d'accès dans le VLAN 10 à 2.

[SwitchA] dhcp snooping check dhcp-chaddr enable vlan 10

1.2 Comment supprimer la tempête de diffusion

Quelle est la tempête de diffusion?

Il y a trop de paquets de diffusion, de multidiffusion inconnue et de monodiffusion inconnue sur le réseau ou une boucle se produit sur le réseau.

Pourquoi une tempête de diffusion se produit-elle?

Le transfert de couche 2 est implémenté en fonction de la table d'adresses MAC. Si aucune interface sortante correspondant à l'adresse MAC d'un paquet n'est trouvée dans la table des adresses MAC, le paquet est transmis à toutes les interfaces du VLAN, ce qui provoque une tempête de diffusion.

Comment la tempête de diffusion est-elle supprimée?

La clé pour supprimer la tempête de diffusion consiste à rechercher les interfaces sortantes pour les paquets. Ensuite, les paquets sont transférés unicast. En application réelle, la tempête de diffusion ne peut pas être complètement résolue en raison de la limitation de la spécification d'adresse MAC et du transfert de couche 2. Nous ne pouvons que minimiser l'impact de la tempête de diffusion.

Le commutateur propose deux méthodes: 1. Supprimez le trafic en fonction de différentes dimensions. 2. Bloquez le port ou modifiez le statut de l'interface en erreur.

1.2.1 Suppression du trafic

La suppression du trafic peut être réalisée en trois dimensions.

Une fonction

La description

Limiter le taux de trafic en fonction de l'interface

Supprimez trois types de paquets dans le sens entrant d'une interface, en pourcentage, pps ou bps.

Limiter le taux de trafic basé sur le VLAN

Supprimez trois types de paquets dans la direction entrante dans un VLAN, en bps.

Bloquer le trafic en fonction de l'interface

Bloquez trois types de paquets dans la direction sortante d’une interface.

 

Voici un scénario et une configuration typiques.

Figure 1-6 Suppression du trafic

20170331152330574006.png

 

Dans la figure 1-6 , le commutateur A est un commutateur d'agrégation. Les utilisateurs des réseaux VLAN 10 et VLAN 20 accèdent au commutateur via GE0 / 0/1. Les utilisateurs du VLAN 30 accèdent au réseau via GE0 / 0/2. Seul un utilisateur fixe accède au réseau via GE0 / 0/3. Cet utilisateur a besoin d'une sécurité élevée et ne souhaite pas recevoir de paquets broadcast, multicast inconnu ou unicast inconnu.

Feuille de route de configuration

l    Les utilisateurs connectés à GE0 / 0/1 appartiennent à différents VLAN. Configurez la suppression du trafic en fonction du VLAN.

l    Les utilisateurs connectés à GE0 / 0/2 appartiennent au même VLAN. Configurez la suppression du trafic pour cette interface.

l    L'utilisateur connecté à GE0 / 0/3 nécessite une sécurité élevée. Bloquez les paquets broadcast, multicast inconnu et unicast inconnu sur cette interface.

Procédure

1.          Limitez le débit des paquets broadcast, multicast inconnu et unicast inconnu dans chaque VLAN.

[SwitchA] qos car qoscar1 cir 1000   // Configurez le profil QoS et réglez le CIR sur 1000 kbit / s.

[SwitchA] vlan 10

[SwitchA-vlan10] broadcast-suppression qoscar1   // Appliquez le profil QoS à la vue VLAN et définissez le CIR pour les paquets de diffusion sur 1000 kbit / s.

[SwitchA-vlan10] multicast-suppression qoscar1   // Appliquez le profil QoS à la vue VLAN et définissez le CIR pour les paquets de multidiffusion inconnus sur 1 000 kbit / s.

[SwitchA-vlan10] unicast-suppression qoscar1   // Appliquez le profil QoS à la vue VLAN et définissez le CIR pour les paquets de monodiffusion inconnus sur 1 000 kbit / s.

Remarque

l   Si le partage de mot-clé est spécifié lorsque le profil QoS est appliqué au VLAN, le CIR total pour les paquets de diffusion, multidiffusion inconnue et monodiffusion inconnue est de 1 000 kbit / s.

l   La configuration précédente s'applique aux commutateurs modulaires. Pour les commutateurs fixes, définissez la limite du taux de suppression dans le VLAN (le profil QoS n'est pas requis).

2          Limitez le débit des paquets broadcast, multicast inconnu et unicast inconnu sur une interface.

[SwitchA] interface gigabitethernet 0/0/2

[SwitchA-GigabitEthernet0/0/2] broadcast-suppression 5   // Définissez le débit de diffusion sur 5% de la bande passante de l'interface.

[SwitchA-GigabitEthernet0/0/2] multicast-suppression 5   // Définissez le taux de multidiffusion inconnu sur 5% de la bande passante de l'interface.

[SwitchA-GigabitEthernet0/0/2] unicast-suppression 5   // Définissez le taux de monodiffusion inconnue sur 5% de la bande passante de l'interface.

Remarque

La suppression du trafic en fonction de l'interface peut être configurée en trois modes: pourcentage, pps et bps. Les configurations des deux autres modes sont les suivantes:

broadcast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

multicast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

unicast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

3          Bloquez les paquets broadcast, multicast inconnu et unicast inconnu en fonction de l'interface.

[SwitchA] interface gigabitethernet 0/0/3

[SwitchA-GigabitEthernet0/0/3] broadcast-suppression block outbound   // Bloquer les paquets de diffusion.

[SwitchA-GigabitEthernet0/0/3] multicast-suppression block outbound   // Bloque les paquets de multidiffusion inconnus.

[SwitchA-GigabitEthernet0/0/3] unicast-suppression block outbound   // Bloque les paquets de monodiffusion inconnus.

1.2.2 Contrôle des tempêtes

En plus de limiter le débit de diffusion, de multidiffusion inconnue et de paquets de monodiffusion inconnus, le contrôle des tempêtes peut également prendre des mesures punitives sur l'interface lorsque le débit dépasse le seuil.

l    Bloquer le port

Si le débit moyen de tout type de paquets au cours d'une période de contrôle dépasse le seuil supérieur, l'interface est bloquée.

Si le débit moyen des paquets au cours d'une période de contrôle tombe en dessous du seuil inférieur, l'interface est débloquée.

l    Changer l'état de l'interface en erreur

Si le débit moyen de tout type de paquets au cours d'une période de contrôle dépasse le seuil supérieur, l'état de l'interface est remplacé par erreur.

Par défaut, l'interface d'erreur en panne ne sera pas automatiquement récupérée. Vous devez exécuter la commande restart pour le récupérer manuellement.

Si le délai de récupération automatique est défini avant qu'une interface ne passe à l'état d'erreur après sa correction, l'interface peut être automatiquement restaurée une fois le délai expiré.

Configuration

[SwitchA] error-down auto-recovery cause storm-control interval 20   //Définissez le temps de récupération automatique sur 20 s. Une interface sera récupérée 20 s après que son état soit modifié en erreur par contrôle de tempête.

[SwitchA] interface gigabitethernet 0/0/5

[SwitchA-GigabitEthernet0/0/5] storm-control broadcast min-rate 1000 max-rate 2000   // Définit le seuil de punition pour les paquets de diffusion.

[SwitchA-GigabitEthernet0/0/5] storm-control action error-down   // Définit l'action de punition sur erreur.

[SwitchA-GigabitEthernet0/0/5] quit

[SwitchA] interface gigabitethernet 0/0/6

[SwitchA-GigabitEthernet0/0/6] storm-control multicast min-rate percent 5 max-rate percent  20   // Définit le seuil de punition pour les paquets de multidiffusion inconnus.

[SwitchA-GigabitEthernet0/0/6] storm-control action block    // Définit l'action de punition à bloquer.

 

Cet article décrit la protection de sécurité sur les réseaux de couche 2 pris en charge par les commutateurs de la série S. Dans le prochain article, nous aborderons la protection de la sécurité sur les réseaux de couche 3.

Problèmes de sécurité - Problème 1: Vue Holistique de Sécurité
Problèmes de sécurité - Problème 2: Sécurité du plan de gestion
Problèmes de sécurité - Problème 3: Sécurité du plan de contrôle
Problèmes de sécurité - Problème 4 Sécurité du plan de transfert - Sécurité de couche 2
Problèmes de sécurité - Numéro 5 Sécurité du plan de transfert - Sécurité de couche 3


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page