18 novembre 2014

La sécurité du réseau interne, ce n’est pas que le firewall!

Petit tour d’horizon des fonctionnalités souvent peu utilisées (à tord), sur vos commutateurs (de préférence Juniper):

Partage de ports:

Lors de nos audits, nous trouvons souvent des mini-hub/switch bien cachés qui permettent à l’utilisateur de connecter son laptop personnel, un prestataire, ou même une console de jeu dernière génération (sic), ayant donc l’accès au réseau local de l’entreprise.

Solution: le MAC limiting permet de définir le nombre maximal d’adresses MAC apprises sur un port.

Dans le cas standard, elles seront au nombre de 2 (téléphone VOIP et poste de travail).

Il est possible d’aller plus loin en spécifiant la/les @mac autorisées sur chaque port. Cette solution étant très fastidieuse à déployer et maintenir, on conseillera plutôt de s’orienter vers une solution NAC dans ce genre de scénario.

A noter qu’il est également possible d’utiliser le MAC move limiting pour pouvoir resteindre le nombre de déplacements d’une adresse MAC (si l’adresse MAC de mon téléphone fixe se déplace dans les étage, j’ai probablement un soucis d’usurpation).

 

DHCP Snooping:

Permet d’éviter les mauvaises surprises (par exemple, une VM windows avec le DHCP serveur activé), ainsi que les attaques de types « DHCP spoofing ».

Dans cette configuration, le port du serveur DHCP est explicitement « trusté », et les ports access automatiquement « untrust ».

Le switch à ainsi une intelligence des clients présents sur chaque port et leur légitimité par rapport au DHCP, et autorise les réponses DHCP uniquement en provenance du port trusté.

 

DAI:

En complément, le Dynamic ARP Inspection (DAI) permet d’éviter les attaques de type « arp spoofing », permettant notamment le Man-In-The-Middle.

Le DAI utilise le DHCP Snooping pour vérifier qu’une adresse MAC à bien obtenu son IP via le serveur DHCP trusté.

 

IP Source Guard:

Enfin, au niveau IP, la fonction IP Source Guard permet de valider le lien entre le port source, l’adresse IP et l’adresse MAC pour chaque requête, et évite ainsi toute usurpation au niveau 3. C’est la encore la base construite par le DHCP Snooping qui sers de référentiel.

 

Comme d’habitude, pour plus d’informations sur la mise en place et le fonctionnement, n’hésitez pas à nous contacter.

Partager :

Auteurs