Filtrage mac - cisco

De Wiki doc

Révision datée du 28 décembre 2020 à 18:39 par Ycharbi (discussion | contributions) (Page créée avec « Category:cisco Les équipements ''Cisco'' permettent de réaliser un filtrage des adresses ''MAC'' traversant leurs ports de niveau deux. Le principe étant de n'autor... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

Les équipements Cisco permettent de réaliser un filtrage des adresses MAC traversant leurs ports de niveau deux. Le principe étant de n'autoriser que certaines machines à se brancher à un commutateur Ethernet (et à en autoriser l'accès au réseau) en se basant sur une liste d'adresses physiques de cartes réseau. L'article de it-connect.fr sur le sujet peut vous apporter des complément à ce document.

Trois modes de filtrage sont utilisables :

  • statique
  • dynamique
  • collant


Chacun permet de définir trois types d'actions en cas de violation de sécurité :

  • Protect : toutes les trames ayant des adresses MAC sources inconnues sont bloquées mails les autres restent autorisées
  • Restrict : une alerte SNMP est émise et le compteur de violation est incrémenté
  • Shutdown : désactive le port incriminé en cas de violation


Chaque commandes sera à renseigner dans la section d'une interface de niveau deux. L'état d'une interface concernant le filtrage MAC est visualisable via la commande :

show port-security interface <interface>

ATTENTION

Il est recommandé de n'utiliser cette fonction que sur des ports reliés à des équipements de terminaison. En effet, si vous filtrez des tronçons 802.1Q, vous aurez des chances certaines de violer vos règles car il est difficile (mais pas impossible en fonction du réseau) de dresser de façon exhaustive la liste des adresses physiques y transitant. Préférez réserver le filtrage MAC aux ports en mode access reliés à des utilisateurs finaux.

Filtrage statique

Le filtrage statique consiste à rentrer manuellement les adresses dans l’équipement. Cette méthode permet de définir à l’avance les machines autorisées à ce connecter au commutateur. Son inconvénient réside dans la pénibilité de renseigner les adresses à la main (sur plusieurs équipements cela peut représenter une charge de travail non négligeable).

switchport mode access
switchport port-security
switchport port-security mac-address XXXX.XXXX.XXXX
switchport port-security violation shutdown
switchport port-security maximum 1

Filtrage dynamique

Le filtrage dynamique consiste à laisser le commutateur ajouter lui même l’adresse MAC à sa table lors de la connexion du premier équipement. Lorsqu'elle est renseignée, celui-ci considère que toute autre adresse physique détecté, dans la limite du nombre définit (par défaut 1) viole la règle établie. Un filtrage dynamique ne peut conserver les adresses MAC recensées après un redémarrage. C’est pour cette raison que le filtrage collant lui sera généralement préféré.

switchport mode access
switchport mode access
switchport port-security
switchport port-security violation shutdown
switchport port-security maximum 1

Filtrage collant

Le filtrage collant (sticky) est identique au filtrage dynamique à ceci près qu’il rend possible l’enregistrement des adresses MAC référencées dans la configuration startup-config via la commande d'enregistrement standard (et donc la persistance au redémarrage).

switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security violation shutdown
switchport port-security maximum 1

Lever un blocage

Cette fonctionnalité étant généralement mise en place au plus proches des utilisateurs finaux, il n'est pas rare que ceux-ci s'amusent à débrancher les câbles afin d'insérer leurs équipements personnels dans le réseau. En fonction du type d'action définie dans votre règle, le port peut se retrouver bloquer même après rebranchement de l'équipement initial. Voici quelques méthodes pour débloquer un port.

Supprimer la configuration

La méthode la plus extrême consiste à supprimer toutes les lignes contenant switchport port-security dans l'interface incriminée et de la redémarrer (avec un shutdown suivit d'un no shutdown). N'oubliez pas de remettre votre configuration de sécurité à l'issue.

Purger la violation

Cette façon de faire est un plus propre et moins fastidieuse car elle ne nécessite pas de devoir supprimer et remettre une configuration en place.

clear port-security sticky interface <interface_bloquée>

Il faudra toutefois penser à éteindre/allumer l'interface via les commandes adéquates pour appliquer la purge.

Réactivation automatique

Il est possible de ne bloquer le port que pour une durée déterminée. Arrivée à échéance et seulement si la condition de fonctionnement normale a été restauré (sous couvert de re-déclencher le blocage pour la même durée), le port se débloquera de lui même et aucun redémarrage manuel de celui-ci ne sera nécessaire.

Dans le prompt configure terminal

errdisable recovery cause psecure-violation
errdisable recovery interval <30-86400_secondes>