Sécurité des ports et Port Security
Définition
La sécurité des ports (Port Security) est une fonctionnalité des switches Cisco qui restreint les adresses MAC autorisées sur un port d'accès. Elle permet de limiter le nombre de MAC addresses apprises et de définir une action (violation mode) lorsqu'une adresse non autorisée est détectée.
Contexte
La certification CCST couvre Port Security comme premier mécanisme de sécurité de couche 2. C'est une défense contre le MAC flooding (attaque qui sature la table CAM pour forcer le switch à fonctionner en mode hub) et contre la connexion d'appareils non autorisés.
Détails techniques
Prérequis
Port Security ne fonctionne que sur les ports configurés en mode access (ou trunk statique). Il ne fonctionne pas en dynamic auto ou dynamic desirable.
Configuration de base
Switch(config)# interface GigabitEthernet 0/5
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# switchport port-security mac-address sticky
Paramètres
| Paramètre | Description | Valeur par défaut |
|---|---|---|
maximum |
Nombre max d'adresses MAC autorisées | 1 |
violation |
Action en cas de dépassement | shutdown |
mac-address |
Adresse MAC spécifique autorisée | — |
mac-address sticky |
Apprend dynamiquement et sauvegarde les MAC | Désactivé |
Modes de violation
| Mode | Trafic bloqué | Compteur violation | Alerte syslog/SNMP | Port désactivé |
|---|---|---|---|---|
| protect | Oui (drop silencieux) | Non | Non | Non |
| restrict | Oui | Oui | Oui | Non |
| shutdown | Oui | Oui | Oui | Oui (err-disabled) |
Méthodes d'apprentissage des MAC
| Méthode | Description |
|---|---|
| Statique | switchport port-security mac-address 00AA.BB11.2233 — MAC codée en dur |
| Dynamique | Le switch apprend les MAC automatiquement (perdu au reboot) |
| Sticky | Le switch apprend puis ajoute la MAC à la running-config (persistant si wr mem) |
Récupération d'un port en err-disabled
Si le mode est shutdown, le port passe en err-disabled à la première violation :
! Méthode manuelle
Switch(config)# interface GigabitEthernet 0/5
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
! Récupération automatique
Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval 300 ! 300 secondes
Vérification
Switch# show port-security interface GigabitEthernet 0/5
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Maximum MAC Addresses : 2
Total MAC Addresses : 1
Sticky MAC Addresses : 1
Last Source Address:Vlan : 00AA.BB11.2233:10
Security Violation Count : 3
Switch# show port-security address
Secure Mac Address Table
----------------------------------------------------------
Vlan Mac Address Type Ports
10 00AA.BB11.2233 SecureSticky Gi0/5
Exemple concret
Un switch d'accès dans un open space est configuré avec Port Security maximum 1 et sticky sur chaque port. Le PC de l'employé est la première MAC apprise et sauvegardée. Si quelqu'un branche un hub ou un switch non autorisé pour connecter un deuxième appareil, le port passe en restrict : le trafic supplémentaire est bloqué et une alerte syslog est envoyée au SIEM.