Prévenir la mise en place de switchs pirates sur un réseau avec IP Phones

En fait, on interdit à d’éventuels autres IP Phones ou ordinateurs de se connecter sur le port d’un switch protégé, pour cela on se base sur la reconnaissance de l’adresse mac.

Exemple avec un switch cisco 29xx

Principe cette sécurisation peut être obtenue en fixant les adresses mac des équipements légitimes et en interdisant les ports laissés disponibles sur le switch.

Interdire les ports laissés libre se fait simplement en mettant les ports en question shutdown, il suffit, quand on installe des équipements supplémentaires de passer la commande no shutdown

Pour réduire l’accés d’un port switch aux deux équipements standards (ip phone et ordinateur) on utilise l’option sticky utilisée de cette manière:

int gi 1/0/1

switchport mode access

switchport access vlan 12

switchport voice vlan 10

switchport port-security

switchport port-security maximum 3

switchport port-security mac-address sticky

en option, on peut choisir :

switchport port-security violation option

- protect: jete les paquets en provenance des adresses non apprises

- restrict: envoi un trap snmp à la console opérateur

- shutdown: shutdown le port du swich (on peut le re-autorisé par shut / no shut )

La première fois qu’un téléphone et qu’un ordinateur vont se connecter sur le port du switch (l’ordinateur est reliè au port switch de l’IP Phone) le switch va récupérer 3 adresses IP :

- une pour le port interne “data” du téléphone (le vlan access)

- une pour le port interne “voix” du téléphone (le vlan voice)

- une pour l’ordinateur connecté au téléphone

Si le switch est éteint, il gardera ces informations.

Pour supprimer les adresses apprises (cas d’un changement de IP Phone ou d’ordinateur) il faut suivre la procédure suivante :

Disable sticky pour une interface

int nom_interface

no switchport port-security mac-address sticky

Efface toutes les adresses sur l’interface

clear port-security dynamic address interface nom_interface

Re-enable sticky pour une interface

int nom_interface

switchport port-security mac-address sticky nom_interface

  • LinkedIn
  • MySpace
  • Viadeo
  • Yahoo Bookmarks
  • Facebook
  • Ping
  • Twitter
  • Blogger Post
  • Windows Live Favorites
  • Jamespot
  • Technorati Favorites
  • Yoolink
  • Google Bookmarks
  • Share/Save/Bookmark
This entry was posted in Sécurité and tagged , , , , , . Bookmark the permalink.

Comments are closed.