La sécurité du réseau, c'est aussi dans les switchs !

2 min. lecture

Share

Sécuriser le Réseau Interne : Au-Delà du Simple Firewall

La sécurité du réseau interne va bien au-delà de la simple protection assurée par un pare-feu. Les commutateurs jouent un rôle crucial dans la gestion et la sécurité du réseau local. Voici un tour d’horizon des fonctionnalités souvent sous-utilisées de vos commutateurs, particulièrement ceux de Juniper, qui peuvent renforcer considérablement la sécurité de votre infrastructure.

Partage de Ports

Lors de nos audits, il n'est pas rare de découvrir des mini-hubs ou des commutateurs cachés permettant à des utilisateurs non autorisés de se connecter à votre réseau. Ces dispositifs peuvent être utilisés pour connecter des ordinateurs portables personnels, des prestataires ou même des consoles de jeux, exposant ainsi le réseau interne à des risques.

  • MAC Limiting : Cette fonctionnalité permet de définir le nombre maximum d'adresses MAC apprises sur un port. Par défaut, un port peut apprendre deux adresses MAC (par exemple, pour un téléphone VoIP et un poste de travail). Vous pouvez configurer ce nombre pour chaque port et spécifier les adresses MAC autorisées. Bien que cette solution puisse être fastidieuse à déployer et à maintenir, elle est efficace pour limiter les connexions non autorisées. Pour une gestion plus souple, envisagez l’utilisation d’une solution NAC (Network Access Control).
  • MAC Move Limiting : Cette fonctionnalité limite le nombre de déplacements d'une adresse MAC entre les ports. Si une adresse MAC, comme celle d'un téléphone fixe, se déplace entre les étages, cela peut indiquer un problème d'usurpation ou une tentative de contournement des contrôles de sécurité.

DHCP Snooping

Le DHCP Snooping protège contre les attaques telles que le DHCP spoofing et les configurations incorrectes, comme une VM Windows avec un serveur DHCP activé.

  • Configuration : Vous configurez le port du serveur DHCP comme "trusté" et les ports d'accès comme "non trustés". Le commutateur utilise cette configuration pour contrôler les réponses DHCP et autoriser uniquement celles provenant du port trusté.

Dynamic ARP Inspection (DAI)

Le Dynamic ARP Inspection (DAI) est un mécanisme de sécurité supplémentaire qui protège contre les attaques de type ARP spoofing, notamment le Man-In-The-Middle.

  • Fonctionnement : DAI s’appuie sur les informations fournies par le DHCP Snooping pour valider que chaque adresse MAC correspond à l’adresse IP obtenue via le serveur DHCP trusté. Cela permet de détecter et de prévenir les tentatives de falsification des tables ARP.

IP Source Guard

La fonction IP Source Guard renforce la sécurité au niveau de l'IP en vérifiant la correspondance entre le port source, l’adresse IP et l’adresse MAC pour chaque requête.

  • Validation : Basée sur les informations du DHCP Snooping, IP Source Guard assure que chaque adresse IP est associée correctement à une adresse MAC spécifique sur un port donné, empêchant ainsi les tentatives d’usurpation au niveau 3 du modèle OSI.

Pour Aller Plus Loin

Ces fonctionnalités sont essentielles pour sécuriser votre réseau interne en assurant un contrôle plus strict sur les périphériques connectés et les communications réseau. Elles permettent de prévenir les accès non autorisés, les attaques de type spoofing, et assurent une meilleure intégrité des communications réseau.

Pour plus de détails sur la mise en place et la configuration de ces fonctionnalités sur vos commutateurs Juniper, ou pour toute autre question relative à la sécurité du réseau, n’hésitez pas à nous contacter. Notre équipe est là pour vous aider à optimiser la sécurité de votre infrastructure réseau et à répondre à vos besoins spécifiques.

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés