You are using an unsupported browser. Please update your browser to the latest version on or before July 31, 2020.
close
You are viewing the article in preview mode. It is not live at the moment.
clear search
Accueil > Tech Hub > Principes fondamentaux de la sécurité des commutateurs réseau
Principes fondamentaux de la sécurité des commutateurs réseau
print icon

La protection d'un commutateur réseau ne nécessite pas de solutions complexes. En adoptant les bonnes pratiques de sécurité, les entreprises peuvent réduire considérablement le risque d'accès non autorisés et d'attaques réseau.


Network Switch security


Vous trouverez ci-dessous un résumé des principales pratiques permettant de protéger un commutateur réseau et de maintenir un environnement réseau sécurisé.

 

Désactivez les ports inutilisés – Les ports constituent des points d'entrée courants pour les attaques. Désactivez les ports du commutateur qui ne sont pas utilisés actuellement afin d'empêcher quiconque de brancher un appareil non autorisé.

 

Activez la sécurité des ports – Limitez les appareils autorisés à se connecter à chaque port du commutateur. Cela protège contre les appareils non autorisés et les attaques par inondation MAC.

 

Utilisez l'authentification 802.1X – Exigez que les appareils ou les utilisateurs vérifient leur identité avant d'accéder au réseau. Cela limite les accès non autorisés, même en cas de proximité physique.


Sécurisez l'accès à la gestion – Pour empêcher une prise de contrôle non autorisée, assurez-vous que vos outils de gestion (CLI, interface Web, SNMP) sont protégés:

  • Utilisez le chiffrement: Utilisez uniquement HTTPS et SSH (désactivez HTTP et Telnet).
  • Restreignez l'accès: Limitez l'accès à des VLAN de gestion ou à des adresses IP spécifiques.
  • Renforcez les mots de passe: Mettez en place et renouvelez régulièrement des mots de passe complexes. Cryptez votre connexion et limitez les personnes autorisées à se connecter pour empêcher les attaquants de récupérer vos identifiants.

Créez un VLAN dédié à la gestion – Séparez le trafic de gestion du trafic utilisateur standard afin de sécuriser l'accès administratif. Cela empêche les attaquants d'accéder facilement à la configuration du commutateur.

 

Activez le DHCP Snooping – Permettez au commutateur d'identifier les serveurs DHCP de confiance et de bloquer ceux qui ne sont pas autorisés. Cela protège votre réseau en marquant les ports de confiance pour les serveurs et les liaisons montantes autorisés, tout en bloquant automatiquement les réponses DHCP malveillantes provenant de ports non fiables.

 

Utilisez l'inspection ARP dynamique (DAI) – La DAI agit comme une deuxième couche de défense qui empêche l'« usurpation d'identité » sur le réseau local.

  • Il utilise la base de données créée par le DHCP Snooping pour recouper l'adresse MAC et l'adresse IP de chaque appareil.
  • Si un pirate tente de tromper d'autres ordinateurs pour qu'ils lui envoient des données (usurpation ARP), le DAI détecte que les informations d'identification de l'appareil ne correspondent pas à celles de la base de données et bloque le trafic.

Activez IP Source Guard (IPSG) – Assurez-vous que les appareils n'utilisent que les adresses IP qui leur ont été attribuées. IPSG agit comme un point de contrôle numérique qui vérifie les « informations d'identification » de chaque paquet de données, n'autorisant le passage du trafic que si la combinaison spécifique de l'adresse IP, de l'adresse MAC et du port physique correspond à une liste pré-approuvée. Ce processus de validation rigoureux empêche les utilisateurs malveillants de « usurper » l'identité d'autres appareils.

 

Segmentez le réseau à l'aide de VLAN – Divisez le réseau en groupes plus petits pour améliorer la sécurité et le contrôle. La segmentation par VLAN fonctionne comme l'ajout de cloisons et de serrures à un bureau ouvert.

  • Pour une protection maximale, les VLAN privés agissent comme des cabines isolées qui empêchent les appareils de communiquer avec leurs voisins, tandis qu'un pare-feu surveille tout le trafic entre ces zones. Cela permet de confiner les menaces dans une seule zone et d'empêcher qu'un seul appareil infecté ne compromette l'ensemble de l'entreprise.

Sécurisez le protocole Spanning Tree (STP) – Le STP agit comme un régulateur de trafic qui empêche les données de rester bloquées dans des boucles sans fin.

  • Pour empêcher des appareils non autorisés de détourner ce système afin d'intercepter ou de perturber votre trafic, utilisez des verrous numériques tels que Root Guard et BPDU Guard afin de garantir que seuls les commutateurs autorisés gardent le contrôle.
  • En ajoutant des outils tels que BPDU Filter et Loop Guard, vous créez un système d'alarme qui empêche des intrus ou des erreurs accidentelles de prendre le contrôle du « cerveau » de votre réseau.

Désactivez les services et protocoles inutilisés – Désactivez les fonctionnalités inutiles susceptibles de créer des vulnérabilités. Considérez votre commutateur comme un bâtiment sécurisé ; chaque fonctionnalité active est une fenêtre ouverte.

  • Renforcez vos défenses en fermant les points d'entrée inutiles, tels que les outils de découverte en arrière-plan (LLDP/CDP) sur les ports utilisateurs et les trunks VLAN superflus.
  • Supprimez les anciens protocoles de routage et passez au protocole sécurisé SNMPv3 pour réduire votre « surface d'attaque ».

Surveillez les journaux et utilisez des serveurs syslog – Examinez régulièrement l'activité du réseau pour détecter tout comportement inhabituel.

  • Surveillez votre réseau en permanence en activant les alertes automatisées. En activant les journaux d'activité pour les failles de sécurité, les tentatives de connexion et les erreurs système, votre commutateur peut vous avertir immédiatement de tout comportement suspect. Cette « trace numérique » vous permet de repérer et de contrer les menaces à un stade précoce.

Mettez à jour le micrologiciel et sauvegarder les configurations – Veillez à ce que le logiciel des commutateurs soit à jour et conservez des sauvegardes des paramètres de configuration.

  • Installez régulièrement les mises à jour logicielles afin de corriger les failles cachées.
  • Conservez des sauvegardes cryptées de vos paramètres pour garantir une reprise rapide en cas d'urgence. L'utilisation de systèmes automatisés pour enregistrer ces versions élimine le risque d'erreur humaine.

Sécurisez physiquement les commutateurs réseau – Placez les commutateurs dans des pièces ou des armoires verrouillées pour empêcher tout accès physique non autorisé.

  • Utilisez des badges de sécurité ou des serrures biométriques pour garantir que seul le personnel autorisé puisse accéder à l'équipement.
  • Sécurisez les ports de console physiques pour empêcher quiconque de contourner vos défenses numériques. La sécurité physique est essentielle, car un accès physique peut permettre à un intrus de contourner toutes les autres protections de la couche réseau.

Le respect de ces bonnes pratiques permet de garantir que les commutateurs réseau restent sécurisés, fiables et capables de prendre en charge un réseau résilient.


En savoir plus:


Guide sur les commutateurs réseau et leur montage
Comprendre l'Alimentation par Ethernet (PoE) dans les commutateurs de réseau

Cet article a-t-il été utile ?
0 sur 0 a trouvé ceci utile

Contactez-nous 
Appelez-nous  Accédez à notre liste de numéros d'assistance internationale
Reddit  Rejoignez et abonnez-vous à notre communauté officielle Reddit
Chatez avec nous  Nous sommes à votre disposition pour répondre à toutes vos questions
close button
Linksys
NowSupport
icône de défilement vers le haut