Discussion :

[ProjetWAN]

Bonjour a tous,

Je me permet de vous contacter pour savoir les différents configuration de sécurité qui peuvent être mis en place dans d'un switch.

Actuellement, j'ai mis le switch en mode "port sticky" et j'autorise 2 adresses MAC (car j'ai besoin uniquement de 2 pc)

Merci d'avance,

ProjetWAN

[elssar]

Salut,

Les mesures si dessous ne concerne que les SW de niveau 2.

1)Truquage élection du root STP.

2)Déplacement du VLAN natif et shutdown du VLAN 1, VLAN de Mana

3)Accès ssh au lieu d'un telnet

4)Désactiver CDP, DTP, VTP..

5)Lock l'accès SNMP

6)Faire attention aux storm

7)Eventuellement config DHCP snooping et DAP (Dynamic ARP Inspection).

Il y a éventuellement d'autre, mais ça me vient pas tout de suite dans la tête. Bien entendu, tout dépend de ton niveau de sécurité que tu souhaites mettre en place.

[ProjetWAN]

Salut et merci pour ta réponse.

En effet mon architecture relie deux sites distants avec accés a internet.

Je pence qu'il est intéressant de protéger le switch des eventuels attaque en provenance d'internet.

A tu des conseil à ce niveau la ?

Merci d'avance,

ProjetWAN

[elssar]

Je pense que tu n'as pas très bien compris. Ce n'est pas le rôle d'un SW de se prémunir des attaques venant du WAN. C'est au router passerelle, et au firewall de faire se boulot.

Par exemple ton MAC Sticky, n'est absolument pas une mesure de protection contre le WAN. Puisque il n'y a qu'une seule MAC que ton SW recevra du WAN, celle de ta passerelle juste avant lui.

[ProjetWAN]

Oui je comprends que c'est le routeur qui a une très grosse partie dans la sécurité.

Donc je préfère m’arrêter là pour les switch, c'est a dire les ports sécurité.

Néanmoins, je trouve que jouer avec "iptables" permet d'optimiser la sécurité.
Qu'en pence tu ?

J'aimerai aussi savoir, quel sont les protocoles qui peuvent être bloqué via iptables depuis internet.

Merci d'avance.

[ram-0000]

J'aimerai aussi savoir, quel sont les protocoles qui peuvent être bloqué via iptables depuis internet.

Tous (ou alors je n'ai pas compris la question)

[ProjetWAN]

Bonjour,

Je viens de me rappeler que IPtables ne peux pas être mis dans un routeur. Mais uniquement sur les Pc linux (me corriger si c'est faux).

Sinon j'ai mis du nat sur mes 2 routeurs, mais a part ça je ne voix pas d'autre éléments de sécurité.
Avez-vous des idée?

[ram-0000]

Un routeur est un équipement qui fait du ... routage. Il intervient au niveau 3 dans le modèle OSI.

Un PC Linux peut faire office de routeur et à ce moment on peut utiliser iptables pour le filtrage

Un routeur Cisco (ou autre marque) possède aussi l'équivalent d'iptables (les ACL)

Un firewall est aussi un routeur avec des fonctions avancées pour le filtrage

[elssar]

Bonjour,

Je viens de me rappeler que IPtables ne peux pas être mis dans un routeur. Mais uniquement sur les Pc linux (me corriger si c'est faux).

Sinon j'ai mis du nat sur mes 2 routeurs, mais a part ça je ne voix pas d'autre éléments de sécurité.
Avez-vous des idée?

Re bonjour, je te corrige sur ce point. Contrairement à ce que beaucoup de gens pensent, la NAPT (le type de NAT donc je suppose tu parles), n'élève quasiment pas ton niveau de sécurité. Attention donc à ce mythe, qui trop souvent dessert à tord IPv6.

Concernant les mesures de sécurité sur la couche 3, non ça ne s'arrête pas uniquement à des ACL/IPTABLES, il y en a pas mal d'autres
Mais la encore c'est difficile de cerner tes besoins. Tu peux très bien t'arrêter à des ACL. Comme tu peux aller beaucoup plus avec des solutions en sécurisant tes protocoles de routage (auth sur ospf par exemple), et l'artillerie lourde sur BGP.

[Invité]

Contrairement à ce que beaucoup de gens pensent, la NAPT (le type de NAT donc je suppose tu parles), n'élève quasiment pas ton niveau de sécurité. Attention donc à ce mythe, qui trop souvent dessert à tord IPv6.

+1

Le mythe vient en grande partie du fait que les points de translation et de sécu/filtrage d'un réseau sont dans la même appliance.

Et pour la petite histoire, je connais deux ou trois grosses infras "non RFC1918". Tous les utilisateurs (jusqu'aux imprimantes ) ont une adresse IP publique parce que l'entreprise en question a hérité de plusieurs blocs routables suite à des rachats. Pourquoi s'ensuisuiner avec des points de translation ?
Ces entreprises sont généralement des forteresses de sécurité et les admins sont naturellement conscients que chaque noeud du réseau est exposé. Mais avant de pouvoir pinguer une de ces adresses, l'ICMP doit traverser 3 parfois 4 niveaux de sécurité

Steph

[sevyc64]

Et pour la petite histoire, je connais deux ou trois grosses infras "non RFC1918". Tous les utilisateurs (jusqu'aux imprimantes ) ont une adresse IP publique parce que l'entreprise en question a hérité de plusieurs blocs routables suite à des rachats.

Avec évidemment aucune autre utilité que de faire b**** l'admin réseau.

J'en ai connu aussi, qui ont hériter de brouettes de classes A du temps ou l'internet démocratisé n'existait pas. Ces mêmes boites qui, bien que n'ayant guère utilité que d'une partie de ces adresses ont refusé de restituer les autres malgré la pénurie d'IPv4 ces dernières années. Ces mêmes boites qui refusent l'implantation et bloque totalement l'utilisation d'IPv6 car leur structure est telle que ça serait trop de boulot de tout reconfigurer (faut pas déconner, le vendredi à 15h c'est we, pas une minute de plus sinon on se fait taper dessus par les syndicats).

[ram-0000]

J'ai aussi travaillé dans une boite comme cela avec une classe B complète et effectivement, même l'imprimante était en adresse publique (cela ne veut pas dire qu'elle était visible de l'extérieur). Même certains liens inter routeur (/31 donc) étaient des adresses publiques, ça fait classe (mais quel gâchis)

[sevyc64]

Quel gachis, oui, mais ça n'a pas servi de leçon, puisqu'avec Ipv6 on recommence.

Avec l'IPv6, généralement c'est un /64 qui est attribué au client final (perso, en tant que particulier, c'est ce que j'ai chez free, et si dans ma vie j'arrive à dépasser les 50 adresses utilisées, ça sera un miracle). Cela est très très proche de l'attribution de classes A ou B complètes à des firmes au début de l'IPv4.

Certes, il a bien plus de /64 en IPv6 que l'on ne pourra en consommer dans les 50 ans à venir.
Et encore, dans les années 70, quand l'IPv4 a été inventé, personne ne pouvait, à l'époque, conceptualiser que la totalité des adresses puissent potentiellement être utilisées un jour. 40 ans plus tard, la pénurie est bien réelle. Quand sera-t-il alors de l'IPv6 dans 50 ans, inventé, rappelons-le, il y a quand même maintenant plus de 15 ans et toujours pas réellement déployé à grande échelle tout au moins pour les clients finaux ?

[Invité]

Avec évidemment aucune autre utilité que de faire b**** l'admin réseau.

Je ne comprends pas cette remarque
Qu'est-ce que l'admin réseau vient faire dans l'histoire ?

Ces mêmes boites qui, bien que n'ayant guère utilité que d'une partie de ces adresses ont refusé de restituer les autres malgré la pénurie d'IPv4 ces dernières années. Ces mêmes boites qui refusent l'implantation et bloque totalement l'utilisation d'IPv6 car leur structure est telle que ça serait trop de boulot de tout reconfigurer (faut pas déconner, le vendredi à 15h c'est we, pas une minute de plus sinon on se fait taper dessus par les syndicats).

Ramassis d'âneries.

Primo, la rétrocession d'IPv4, ça ne se fait pas comme tu crois d'un claquement de doigts. Ca doit être minimum un bloc /23 parce les peering policies des ISP interdisent de router des préfixes plus petits que /24. L'objectif est de subnetter le moins possible. Pour éviter de transformer les blocs IP en gruyère et pour pouvoir réduire la taille de la table de routage de l'Internet en utilisant des CIDR. A te lire, la table de routage de l'Internet serait faite de hosts routes

Secondo, quand elssar évoquait le fait qu'IPv6 souffre du mythe "NAT=sécurité", ça n'a absolument rien à voir avec ce que tu écris. Le vrai problème, c'est que beaucoup de gestionnaires réseaux sous-entendent qu'il faut impérativement NATter pour avoir de la sécurité. Alors ils appliquent le mythe à IPv6. Ils veulent bien aller sur l'Internetv6, mais à la condition de passer par un point de translation. Ce qui est très stupide quand on a un /48 public.

Enfin, basé sur mon expérience personnelle, ces infras "non RFC1918" ont été parmi les premières à expérimenter l'IPv6 et le 4-to-6. Tout simplement parce que ces organisations ont très fortement capitalisé en terme de sécurité contrairement aux autres.

Quand sera-t-il alors de l'IPv6 dans 50 ans, inventé, rappelons-le, il y a quand même maintenant plus de 15 ans et toujours pas réellement déployé à grande échelle tout au moins pour les clients finaux ?

Ben voyons. Alors regardes ici :

http://www.cidr-report.org/v6/as2.0/

si IPv6 n'est pas déployé

Et pour preuve, tu as toi-même un /64 public. Tu attends qui pour utiliser IPv6 ?

Steph

[elssar]

Le constat est de toute manière assez simple, beaucoup d'admin réseaux ont tout simplement peur de passer sur de l'ipv6. Parce qu'ils ne le maitrisent pas, parce que ça demande des changements dans l'archi/infra etc..

C'est pour cette raison qu'on nous bassine avec des mythes dans le style du NAT=sécu donc ipv6=pas sécu. Il en est de même pour SLAAC, ou j'ai vu des gars être convaincu que c'était le seul moyen d’attribuer des IPv6 aux équipements.

Mais ces bêtises amènent aujourd'hui des absurdités comme les carrier grade nat(une succession de NAT). Ce n'est qu'un avis personnel mais ça ressemble à du bricolage, on essaie de faire tenir coute que coute l'IPV4.

Heureusement le tableau n'est pas tout noir, et de plus en plus de personnes commencent à y penser. Mais c'est je trouve encore trop long.