Pour éviter que n’importe qui se connecte sur les ports d’un switchs, il est possible de faire un contrôle d’adresses MAC des machines connectées sur chaque port.
Idum |
Pour éviter que n’importe qui se connecte sur les ports d’un switchs, il est possible de faire un contrôle d’adresses MAC des machines connectées sur chaque port.
I) Activation de la sécurisation
II) Politique de sécurité
III) Statut du port-security
– Pour activer cette sécurité sur l’interface concernée :
Switch(config)# interface fastethernet 0/x
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
– Définition des adresses MAC autorisées sur un port :
Switch(config-if)# switchport port-security mac-address 0123.4567.1423.7890
Switch(config-if)# switchport port-security mac-address sticky
– Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre vous pouvez exécuter ces commandes :
Switch(config-if)# switchport port-security maximum {{nombre}}
Plusieurs politiques de sécurité peuvent être envisagées
– Soit on bloque définitivement le port lors d’une usurpation d’adresse MAC :
Switch(config-if)# switchport port-security violation shutdown
– Soit on bloque toutes les trames avec des adresses MAC non connues et on laisse passer les autres :
Switch(config-if)# switchport port-security violation protect
– Soit des messages dans le syslog sont envoyés via SNMP. De plus le compteur du nombre de violation est incrémenté :
Switch(config-if)# switchport port-security violation restrict
– Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité, tapez les commandes suivantes :
shutdown
no shutdown
– Pour visualiser la politique de sécurité d’une interface :
Switch# show port-security interface 0/x
– Pour visualiser les adresses MAC connues sur les ports :
Switch# show port-security address