TELECOMUNICATION ET RESEAUX AVANCES - SYNTHESE

Les 5 étapes du démarrage d'un commutateur

1. POST (ROM) ,

2. Bootloader

3. Initialisation bas niveau CPU

4. initialisation du système de fichiers flash

5. Localisation et initialisation de l’IOS par défaut

Une fois l’IOS chargé, la startup config est lancée, stockée dans la NVRAM

LED SYST

Indique l’alimentation du périphérique

LED SYST Orange

Indique que le commutateur est sous tension mais fonctionne anormalement

Alimentation redondante (RPS)

indique l’état du système RPS (vert = dispo, vert clignotant = connecté mais pas dispo car alimente autre périph. Orange = erreur ou veille. Orange clignotant = alimentation interne du switch en erreur et RPS a pris le relai.)

Etat du port (STAT)

indique la liaison établie (vert clignotant) ou non d’un port (orange = port bloqué pour éviter le bouclage)

Bidirectionnalité (DUPLX)

indique le mode sélectionné

Vitesse du port (SPEED)

Eteint = 10Mbit/s, Vert=100Mbit/s Vert clignotant = 1Gb/s

PoE

Power Over Ethernet

copy running-config startup-config

Remplace le fichier de startup (NVRAM) par la configuration active (RAM) pour la sauvegarder

Copy startup-config running-config

Charge la configuration sauvegardée (startup) dans la configuration active (running) sans effacer totalement ce qui est déjà en cours d'exécution

Attaque par inondation MAC (MAC Flooding)

Envoi massif de fausses adresses MAC pour saturer la table et forcer le commutateur en mode 'fail-open' pour sniffer le trafic

Usurpation DHCP (DHCP Spoofing)

Un pirate simule un serveur DHCP pour détourner le trafic des utilisateurs vers une fausse passerelle

Attaque CDP

Les informations des périphériques sont transmises non chiffrées et peuvent être récupérée pour une attaque DoS

Sécurisation des commutateurs

Désactivation des ports inutilisés

Activation du DHCP Snooping permettant de détecter les ports trust ou non (→ Limitation de la fréquence de requête DHCP pour les ports non fiables)

Mode de violation Shutdown

Mode par défaut; le port est désactivé, un message syslog est envoyé et le compteur de violation est incrémenté

Mode de violation Restrict

Le trafic non autorisé est bloqué, un message syslog est envoyé et le compteur de violation augmente

Mode de violation Protect

Le trafic non autorisé est bloqué sans envoi de message ni incrémentation du compteur de violation

Signature numérique

Empreinte (hash) d'un message chiffrée avec la clé privée de l'expéditeur pour garantir l'intégrité et l'authenticité

Authentification forte (2FA)

Combinaison de deux facteurs ou plus parmi ce que l'utilisateur sait (MDP), possède (OTP) ou est (biométrie)

Certificat EV

Offre le plus haut niveau de chiffrement et nécessite une vérification rigoureuse de l'identité de l'organisation

Certificat OV

NIveau intermédiaire de chiffrement; vérifie l’existence légale de l’organisation

Certificat DV

Niveau de chiffrement le plus bas: vérifie uniquement que le demandeur à le contrôle du domaine.

VLAN (Virtual Local Area Network)

Segmentation logique permettant de regrouper des équipements en domaines de diffusion indépendants de leur emplacement physique

Trunk

Liaison point-à-point transportant simultanément le trafic de plusieurs VLANs entre équipements réseau

Norme IEEE 802.1Q

Standard utilisé par les ports trunks pour permettre l'étiquetage des trames VLAN

VLAN natif

VLAN affecté aux ports trunks pour gérer le trafic non étiqueté; par défaut le VLAN 1

Champs de l'étiquette VLAN (4 octets)

TPID (Type), Priorité utilisateur (3 bits), CFI (1 bit) et VID (ID du VLAN sur 12 bits)

VLAN de gestion

Utilisé pour gérer le commutateur à distance via des protocoles comme telnet ou SSH. Par défaut, il est également souvent le VLAN 1.

VLAN VoIP

Dédié au trafic voix sur IP, il garantit la priorité et la qualité du service pour la voix sur le réseau.

Affecter un vlan pour une connexion

switchport mode access

switchport access vlan ID_VLAN

(switchport voice vlan ID_VLAN

mls qos trust cos)

DTP (Dynamic Trunking Protocol)

Protocole propriétaire Cisco permettant de négocier automatiquement la formation d'un lien trunk

Protocole VTP

Protocole de couche 2, qui propage les vlans du réseau

Serveur VTP

Mode par défaut; permet de créer, modifier et supprimer les VLANs pour tout le domaine VTP

VTP Transparent

Ne participe pas au domaine VTP mais transmet les annonces; ses configurations VLAN sont locales et stockées en NVRAM

Numéro de révision

Indique la version des informations VLAN distribuées. A chaque fois qu’une modif est effectué sur un serveur VTP, il augmente.

Annonces VTP

Msg échangés entre commutateurs pour synchroniser leurs config vlan à travers leur domaine Et cela toutes les 5 minutes et direct après une modification de configuratioin

Attaque d’usurpation // Switch spoofing

Faux commutateur → émulation 802.1Q et message DTP → formation d’un trunk accédant à tout le réseaux

Attaque double-tagging

Insertion d'une étiquette VLAN masquée pour qu'une trame soit redirigée vers un autre VLAN (vlan du pirate) après la première désencapsulation

DHCP Snooping

Sécurisation déterminant quels ports sont autorisés à répondre aux requêtes DHCP pour éviter les serveurs pirates

Sécurisation

• Modifier l’attribution des ports à un autre Vlan que le défaut 1

• Désactivation des ports inutilisé et les déplacer dans un vlan poubelle

• Séparer le trafic de gestion de celui des utilisateurs.

• Définir un vlan natif différent de 1 et de ceux des utilisateurs. Mais doit correspondre de chaque côté d’une liaison trunk

• Désactivation de la négociation automatique DTP et modification des modes des ports commutateurs.

Router-on-a-stick

Configuration de routage inter-VLAN utilisant une seule interface physique de routeur divisée en sous-interfaces

SVI (Switch Virtual Interface)

Interfaces virtuelles permettant aux commutateurs de couche 3 de réaliser le routage inter-VLAN

Indication LED SPEED

Éteinte = 10 Mbit

Show flash et Show version

Commandes utilisées pour vérifier la version de l'IOS, la mémoire disponible et le matériel

SDM (Switch Database Manager)

Outil de gestion des ressources internes sur les commutateurs Cisco, comme le modèle Catalyst 2960 (show dpm prefer)