Securing Switch Access 16

Port security

Catalyst offre la caractéristique de contrôler les ports en se basant sur l’adresse mac.
Activer le port security

Switchport port-security
Par défaut, seul un adresse mac.
L’apprentissage des adresses mac est automatique sticky.
Changer le nombre maximum d’adresses mac

Switchport port-security maximum max
Définir statiquement l’adresse mac autorisé

Switchport port-security mac-address mac-adress
Définir le type d’action en cas de violation

Switchport port-security violation (shutdown / restricted /protect)
Shut – extinction du port
Restrict – envoi msg syslog or snmp
Protect – Drop des paquets qui viol la règle.
Voir le status port security d’un port

Show port-security interface gigabitethernet 0/1
Voir les interfaces en err-disabled

Show interfaces status err-disabled

Authentification basé sur les ports

Combinaison entre port security et AAA.
Basé sur 802.1X
Pour une authentification port based le switch et le pc doivent supporter l’authentification 802.1x, utilisant le extensible authentication protocol over lan (EAPOL).
802.1x configuration

Authentification port basé peut être effectué sur 1 ou plusieurs server radius.
Seul Radius est supporté pour 802.1x
Etapes de configuration

1- Activer AAA sur le switch
2- Définir le server radius externe
3- Définir la méthode d’authenfication
4- Activer 802.1x sur le switch
5- Configurer les ports pour utiliser 802.1x
6- Autoriser plusieurs hôtes sur le switch
Activer AAA sur le switch
Aaa new-model

Définir le server radius externe
Radius-server host (hostname / ip) key string
Définir la méthode d’authenfication Aaa authentication dot1x default group radius
Activer 802.1x sur le switch
Dot1x systel-auth-control
Configurer les ports pour utiliser 802.1x
En conf if :
Dot1x port-control (force-authorized / force-unauthorized / auto)

force-authorized
Le port est oblige d’authorizer les connections clients. Aucune authentification