Filtrage mac - cisco
Les équipements Cisco permettent de réaliser un filtrage des adresses MAC traversant leurs ports de niveau deux. Le principe étant de n'autoriser que certaines machines à se brancher à un commutateur Ethernet (et à en autoriser l'accès au réseau) en se basant sur une liste d'adresses physiques de cartes réseau. L'article de it-connect.fr sur le sujet peut vous apporter des complément à ce document.
Trois modes de filtrage sont utilisables :
- statique
- dynamique
- collant
Chacun permet de définir trois types d'actions en cas de violation de sécurité :
- Protect : toutes les trames ayant des adresses MAC sources inconnues sont bloquées mails les autres restent autorisées
- Restrict : une alerte SNMP est émise et le compteur de violation est incrémenté
- Shutdown : désactive le port incriminé en cas de violation
Chaque commandes sera à renseigner dans la section d'une interface de niveau deux. L'état d'une interface concernant le filtrage MAC est visualisable via la commande :
show port-security interface <interface>
ATTENTION
Il est recommandé de n'utiliser cette fonction que sur des ports reliés à des équipements de terminaison. En effet, si vous filtrez des tronçons 802.1Q, vous aurez des chances certaines de violer vos règles car il est difficile (mais pas impossible en fonction du réseau) de dresser de façon exhaustive la liste des adresses physiques y transitant. Préférez réserver le filtrage MAC aux ports en mode access reliés à des utilisateurs finaux.Filtrage statique
Le filtrage statique consiste à rentrer manuellement les adresses dans l’équipement. Cette méthode permet de définir à l’avance les machines autorisées à ce connecter au commutateur. Son inconvénient réside dans la pénibilité de renseigner les adresses à la main (sur plusieurs équipements cela peut représenter une charge de travail non négligeable).
switchport mode access switchport port-security switchport port-security mac-address XXXX.XXXX.XXXX switchport port-security violation shutdown switchport port-security maximum 1
Filtrage dynamique
Le filtrage dynamique consiste à laisser le commutateur ajouter lui même l’adresse MAC à sa table lors de la connexion du premier équipement. Lorsqu'elle est renseignée, celui-ci considère que toute autre adresse physique détecté, dans la limite du nombre définit (par défaut 1) viole la règle établie. Un filtrage dynamique ne peut conserver les adresses MAC recensées après un redémarrage. C’est pour cette raison que le filtrage collant lui sera généralement préféré.
switchport mode access switchport mode access switchport port-security switchport port-security violation shutdown switchport port-security maximum 1
Filtrage collant
Le filtrage collant (sticky) est identique au filtrage dynamique à ceci près qu’il rend possible l’enregistrement des adresses MAC référencées dans la configuration startup-config via la commande d'enregistrement standard (et donc la persistance au redémarrage).
switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation shutdown switchport port-security maximum 1
Lever un blocage
Cette fonctionnalité étant généralement mise en place au plus proches des utilisateurs finaux, il n'est pas rare que ceux-ci s'amusent à débrancher les câbles afin d'insérer leurs équipements personnels dans le réseau. En fonction du type d'action définie dans votre règle, le port peut se retrouver bloquer même après rebranchement de l'équipement initial. Voici quelques méthodes pour débloquer un port.
Supprimer la configuration
La méthode la plus extrême consiste à supprimer toutes les lignes contenant switchport port-security dans l'interface incriminée et de la redémarrer (avec un shutdown suivit d'un no shutdown). N'oubliez pas de remettre votre configuration de sécurité à l'issue.
Purger la violation
Cette façon de faire est un plus propre et moins fastidieuse car elle ne nécessite pas de devoir supprimer et remettre une configuration en place.
clear port-security sticky interface <interface_bloquée>
Il faudra toutefois penser à éteindre/allumer l'interface via les commandes adéquates pour appliquer la purge.
Réactivation automatique
Il est possible de ne bloquer le port que pour une durée déterminée. Arrivée à échéance et seulement si la condition de fonctionnement normale a été restauré (sous couvert de re-déclencher le blocage pour la même durée), le port se débloquera de lui même et aucun redémarrage manuel de celui-ci ne sera nécessaire.
Dans le prompt configure terminal
errdisable recovery cause psecure-violation errdisable recovery interval <30-86400_secondes>
