Contactez-nous

La sécurité du réseau, c'est aussi dans les switchs !

1 min. lecture

Share

La sécurité du réseau interne, ce n'est pas que le firewall! Petit tour d'horizon des fonctionnalités souvent peu utilisées (à tord), sur vos commutateurs (de préférence Juniper): Partage de ports: Lors de nos audits, nous trouvons souvent des mini-hub/switch bien cachés qui permettent à l'utilisateur de connecter son laptop personnel, un prestataire, ou même une console de jeu dernière génération (sic), ayant donc l'accès au réseau local de l'entreprise. Solution: le MAC limiting permet de définir le nombre maximal d'adresses MAC apprises sur un port. Dans le cas standard, elles seront au nombre de 2 (téléphone VOIP et poste de travail). Il est possible d'aller plus loin en spécifiant la/les @mac autorisées sur chaque port. Cette solution étant très fastidieuse à déployer et maintenir, on conseillera plutôt de s'orienter vers une solution NAC dans ce genre de scénario. A noter qu'il est également possible d'utiliser le MAC move limiting pour pouvoir resteindre le nombre de déplacements d'une adresse MAC (si l'adresse MAC de mon téléphone fixe se déplace dans les étage, j'ai probablement un soucis d'usurpation). DHCP Snooping: Permet d'éviter les mauvaises surprises (par exemple, une VM windows avec le DHCP serveur activé), ainsi que les attaques de types "DHCP spoofing". Dans cette configuration, le port du serveur DHCP est explicitement "trusté", et les ports access automatiquement "untrust". Le switch à ainsi une intelligence des clients présents sur chaque port et leur légitimité par rapport au DHCP, et autorise les réponses DHCP uniquement en provenance du port trusté. DAI: En complément, le Dynamic ARP Inspection (DAI) permet d'éviter les attaques de type "arp spoofing", permettant notamment le Man-In-The-Middle. Le DAI utilise le DHCP Snooping pour vérifier qu'une adresse MAC à bien obtenu son IP via le serveur DHCP trusté. IP Source Guard: Enfin, au niveau IP, la fonction IP Source Guard permet de valider le lien entre le port source, l'adresse IP et l'adresse MAC pour chaque requête, et évite ainsi toute usurpation au niveau 3. C'est la encore la base construite par le DHCP Snooping qui sers de référentiel. Comme d'habitude, pour plus d'informations sur la mise en place et le fonctionnement, n'hésitez pas à nous contacter.

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés

Placeholder for JO2024 ParisJO2024 Paris
Palo Alto Networks

Faites de votre télétravail une médaille d'or en sécurité avec Palo Alto Networks et Nomios durant les JO

Assurez votre télétravail pendant les JO avec Palo Alto Networks et Nomios

Romain Quinat
Placeholder for Romain QuinatRomain Quinat

Romain Quinat

2 min. lecture
Placeholder for Business man walking streetsBusiness man walking streets
Palo Alto Networks

Urgent : Expiration de certificats Palo Alto Networks le 7 avril

Les certificats racine et par défaut Palo Alto PAN-OS expirent le 7 Avril

2 min. lecture
Placeholder for Design sans titre 1Design sans titre 1
Zscaler

Comment faire du SASE en Chine avec Zscaler ?

Zscaler China Premium Access fournit un accès privilégié aux sites web internationaux, aux applications SaaS et à l'internet domestique en Chine sans investissements matériels coûteux ni difficultés de configuration.

6 min. lecture
Tous les articles