AccueilCCNAPort-Security : Protège les ports de ton switch Cisco 🛡️

Port-Security : Protège les ports de ton switch Cisco 🛡️

Salut ! On conti­nue notre explo­ra­tion de la sĂ©cu­ri­tĂ© rĂ©seau. Aujourd’hui, on des­cend d’un Ă©tage pour par­ler de la sĂ©cu­ri­tĂ© au niveau des ports de ton switch : le Port-Secu­ri­ty.

Ima­gine un intrus qui arrive dans tes bureaux, branche son PC sur une prise rĂ©seau murale libre et accède ins­tan­ta­né­ment Ă  ton ser­veur de fichiers… Pas ter­rible, n’est-ce pas ? Le Port-Secu­ri­ty est lĂ  pour empê­cher ça en limi­tant l’accès Ă  un port uni­que­ment aux adresses MAC auto­ri­sĂ©es. C’est une brique de base indis­pen­sable pour ton CCNA. On voit com­ment ça marche ? đź”’

Table des Matières

  • Qu’est-ce que le Port-Security ?
  • Les types d’apprentissage des adresses MAC
  • Les modes de vio­la­tion : Que faire en cas d’intrusion ?
  • Confi­gu­ra­tion Ă©tape par Ă©tape
  • VĂ©ri­fi­ca­tion et Troubleshooting
  • Conclu­sion

Qu’est-ce que le Port-Security ?

Le Port-Secu­ri­ty est une fonc­tion­na­li­tĂ© de couche 2 qui per­met de spé­ci­fier quelles adresses MAC sont auto­ri­sĂ©es Ă  envoyer du tra­fic sur un port spé­ci­fique du switch. Si une adresse MAC non auto­ri­sĂ©e tente de se connec­ter, le switch peut rĂ©agir de plu­sieurs manières (blo­quer le tra­fic, envoyer une alerte ou car­ré­ment cou­per le port).

Les types d’apprentissage des adresses MAC

Il existe trois façons pour le switch de connaĂ®tre les adresses MAC autorisĂ©es :

  • Sta­tique : Tu tapes manuel­le­ment l’adresse MAC dans la config. C’est très sĂ»r mais pĂ©nible Ă  gĂ©rer.
  • Dyna­mique : Le switch apprend la pre­mière adresse MAC qui se pré­sente. Elle est sto­ckĂ©e en RAM et dis­pa­raĂ®t si le switch redĂ©marre.
  • Sti­cky (Col­lante) : Ma pré­fé­rĂ©e ! Le switch apprend dyna­mi­que­ment l’adresse et l’ajoute auto­ma­ti­que­ment Ă  la run­ning-config. Si tu sau­ve­gardes, elle devient permanente. đź“Ś

Les modes de violation : Que faire en cas d’intrusion ?

Si une adresse MAC incon­nue branche son câble, tu as trois choix :

  1. Pro­tect : Le switch jette les paquets de l’intrus. Pas d’alerte, pas de log.
  2. Res­trict : Le switch jette les paquets ET incré­mente un comp­teur de vio­la­tion, en envoyant une noti­fi­ca­tion SNMP ou un mes­sage Syslog.
  3. Shut­down (par dĂ©faut) : Le port passe immé­dia­te­ment en mode error-disabled. Il s’éteint com­plè­te­ment (LED rouge). Il fau­dra un shutdown / no shutdown manuel pour le rĂ©activer. đźš¨

Configuration Ă©tape par Ă©tape

Atten­tion : le Port-Secu­ri­ty ne fonc­tionne que sur des ports en mode access (pas de trunk !).

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation shutdown

Vérification et Troubleshooting

Pour vĂ©ri­fier que tout roule, uti­lise cette com­mande magique :

Switch# show port-security interface FastEthernet 0/1

Si ton port est en err-disabled, c’est que quelqu’un a ten­tĂ© de tricher !

Conclusion

Le Port-Secu­ri­ty est ta pre­mière ligne de dĂ©fense phy­sique. C’est simple Ă  mettre en place et redou­ta­ble­ment effi­cace pour Ă©vi­ter les bran­che­ments sau­vages dans tes baies de bras­sage. Pour le CCNA, maî­trise bien le mode Sti­cky et les dif­fé­rences entre les modes de vio­la­tion ! 🛠️

Bonnes rĂ©vi­sions et Ă  bien­tĂ´t pour la suite ! đź’Ş

Les plus populaires