Sécuriser les ports non utilisés d’un switch

Il arrive régulièrement que des ports d’un switch ne soient pas utilisés et qu’en plus on ne souhaite pas qu’ils le soient. Afin d’empêcher toute mauvaise utilisation de ceux-ci, voici quelques petites choses à mettre en place…

Quels sont les risques classiques ?

  • Le Packet sniffing (récupérer lesdonnées qui transitent).
  • Les attaques de type DoS (Déni de service) par flood ou autre.
  • Perturbation du réseau par des dispositifs fantômes. (par exemple un utilisateur qui a la « bonne » idée de connecter un hub au réseau histoire de se créer une nouvelle connexion).

Comment sécuriser les ports inutilisés ?

  • Définir ces ports comme ports d’accès afin d’empêcher toute négociation de trunk.
    switch(config)# interface fastethernet 0/10
    switch(config-if)# switchport mode access
    switch(config-if)# exit
  • Placer les ports concernés dans un vlan isolé, de sorte que même si quelqu’un les utilise aucun traffic ne pourra être envoyé vers le reste du réseau et surtout qu’aucun traffic du réseau n’y passe.
    switch(config)# vlan 999
    switch(config-vlan)# exit
    switch(config-if)# switchport access vlan 999
    switch(config-if)# exit
  • Fermer les ports par un simple « shutdown ».

Le principal est de sortir ces ports du VLAN 1 qui est par défaut le VLAN natif d’un switch ce qui implique que toute la communication entre les appareils y passe. Il est d’ailleurs vivement conseillé d’en faire de même pour tous les ports du switch.