Le danger d’avoir des ports LAN non protégés, découvrez comment y remédier
De nos jours, dans les maisons neuves, toutes les pièces de la maison intègrent une prise réseau RJ-45, pour nous connecter facilement à Internet. Au niveau de l’entreprise, différentes prises réseau RJ-45 sont également généralement installées pour les travailleurs, les clients ou les invités. Si nous exposons les ports Ethernet pour que tout le monde puisse se connecter, nous ne serons pas protégés contre un grand nombre d’attaques sur les réseaux de données. Aujourd’hui, dans RedesZone, nous allons parler des risques et de la façon de configurer votre réseau pour les résoudre.
Un réseau filaire sera toujours beaucoup plus sécurisé qu’un réseau Wi-Fi, simplement parce qu’il nécessite un accès physique, et avec le Wi-Fi, vous pouvez être à des dizaines de mètres du point d’accès et pouvoir vous connecter sans problème. Mais il ne faut pas penser que les réseaux LAN filaires sont à l’abri de tous les types d’attaques, car la vérité est que nous oublions un gros problème : la protection des ports Ethernet , à la fois ceux que nous utilisons actuellement et ceux qui ne sont pas utilisés. .
Quels risques pouvons-nous courir si nous laissons les ports Ethernet exposés sans protection ?
Le principal risque est que n’importe qui puisse se connecter à ce port. Imaginez que dans un hôpital nous soyons un patient, ou simplement un visiteur, et que nous nous connections à un port RJ-45 dans la salle d’attente. Cela pourrait nous faire accéder directement à votre réseau LAN, puis, selon la façon dont ils ont configuré ce port, nous pouvons accéder à d’autres ordinateurs sur le réseau local, et même au réseau d’administration si vous n’avez aucune mesure de sécurité.
Il est essentiel que les prises réseau RJ-45 soient situées aux bons endroits, et non par exemple, dans une salle d’attente, ou au milieu d’un couloir où n’importe qui pourrait vous connecter. Souvent, les entreprises procèdent à des réformes et ne se souviennent pas de modifier ou d’annuler les anciens ports Ethernet qui ne seront plus utilisés ou qui sont laissés dans des endroits qui n’ont pas besoin d’être connectés. Tout intrus, voire un travailleur ou un client, peut profiter de cette vulnérabilité physique pour attaquer ou voler les données de l’entreprise.
Une fois à l’intérieur du réseau local, nous pourrions mener un grand nombre d’attaques sur les réseaux de données, telles que l’usurpation d’identité ARP, le montage d’un escroc DHCP, le détournement de DNS, l’analyse de ports avec Nmap pour exploiter ultérieurement les vulnérabilités de différents services, etc.
Comment protéger les ports Ethernet exposés
Si, en raison de l’infrastructure du réseau, il est nécessaire que ces prises Ethernet existent pour connecter différents équipements à certaines occasions, ce que nous devons faire, c’est protéger ces ports de manière adéquate.
Désactivez les ports sur le commutateur ou utilisez un programme de réveil
Comme première option, si nous passons beaucoup de temps sans utiliser ces ports Ethernet exposés, il est préférable de désactiver le port du commutateur , en désactivant simplement ledit port afin que personne ne puisse se connecter. Une autre option est que si nous ne nous connectons qu’à un certain moment, il existe des commutateurs qui nous permettent de programmer l’activation et la désactivation des ports selon un calendrier que nous définissons, de cette manière, nous réduirons le temps d’exposition . En faisant cela, nous obtenons que peu importe combien ils se connectent physiquement au port, ils n’ont pas de connexion réseau. Si votre routeur ou commutateur ne permet pas cette option, vous pouvez également déconnecter physiquement le câble de votre commutateur ou routeur, bien que cela ne soit pas l’option idéale dans les entreprises.
Créez un VLAN spécifique et inutilisé, appliquez-le sur ces ports comme accès
Une autre solution très efficace si nous ne sommes pas intéressés à désactiver le port, mais que nous voulons que si quelqu’un s’y connecte il ne puisse pas communiquer, est de créer un VLAN spécifique pour ces ports , de configurer les ports en mode accès avec ce VLAN spécifique, et ce spécifique Le VLAN l’isole et ne l’utilise pas au niveau L3. Avec cela, nous obtenons que quiconque se connecte pense qu’il a une connexion, ce qu’il aura, mais il n’aura aucun accès à notre réseau et nous le gardons donc en sécurité. Pour que vous compreniez, lors de la création d’un VLAN, c’est comme si nous créions un autre réseau filaire au sein de notre réseau, qui ne peut pas être vu avec les autres réseaux, et donc, il est invisible et indépendant pour les autres réseaux.
LAN privé et configurer les ports comme isolés
Une autre possibilité que nous avons en ce qui concerne les VLAN, est la possibilité de configurer des VLAN privés. Seuls les commutateurs L2 + haut de gamme et les commutateurs L3 ont cette option. Cette fonctionnalité basée sur les VLAN, va nous permettre de créer des VLAN spécifiques pour isoler tous les clients les uns des autres de manière entièrement automatique, en créant simplement le VLAN de type «VLAN Isolé». De cette façon, si un appareil s’y connecte, il n’aura pas de communication avec d’autres appareils au sein de ce même VLAN isolé, bien qu’il ait une communication avec le port Promiscous, vous devez donc le protéger de manière adéquate.
Dans RedesZone, nous avons analysé certains commutateurs L3 dotés de cette fonction de sécurité importante, tels que, par exemple, les commutateurs D-Link DGS-3130 , ainsi que le D-Link DGS-3630 .
Port-Sécurité
Si notre switch est administrable, nous sommes sûrs qu’il disposera de l’option Port-Security, cette option inconnue de beaucoup d’utilisateurs, est une option logicielle qui nous permet d’activer la sécurité des ports sur le switch. Si nous l’utilisons, nous aurons en règle générale les options suivantes que nous pouvons configurer :
- Activer la sécurité : Avec cette option nous activons la sécurité du port, par défaut elle est toujours désactivée.
- MAC Address Identifier : Cette option est utilisée pour saisir l’adresse MAC qui aura accès à ce port exclusivement, ou pour que le commutateur apprenne le MAC dynamiquement et l’enregistre dans la base de données des MAC autorisés. Si vous allez utiliser le mode sitcky parce que votre réseau est très vaste et que vous ne voulez pas entrer MAC par MAC dans le commutateur, vous devez contrôler l’environnement physique de manière à ce qu’aucun équipement ne soit reconnu.
- Quantité MAC : Cette option nous permet de vous dire combien d’adresses MAC pourront se connecter à ce port, en règle générale, normalement une plage entre 1 et 128 adresses MAC est autorisée pour un seul port. Un exemple utile de ceci serait : nous avons une pièce où différentes personnes d’une équipe peuvent s’asseoir où elles veulent, nous avons une prise réseau RJ-45, et nous connectons un commutateur ingérable, nous pouvons activer le nombre maximum d’équipes qu’ils peuvent use, c’est-à-dire En d’autres termes, s’il y a dix personnes utilisant dix ordinateurs, nous entrerons une valeur maximale de dix (plus le MAC du commutateur connecté), afin que personne d’autre ne puisse se connecter à l’exception des personnes de l’équipe.
- Violation de sécurité : Cette option permet de spécifier ce que le commutateur doit faire au cas où quelqu’un connecte un ordinateur à une bouche réseau et que cet ordinateur n’est pas autorisé par son adresse MAC à être utilisé. Si cela se produit, cela nous permet de configurer le commutateur pour qu’il agisse normalement de trois manières différentes :
- Mode de protection : cette option bloque le trafic vers cette adresse MAC inconnue, c’est-à-dire qu’elle rejette tout le trafic produit par l’équipement. Dans ce mode, l’administrateur n’est pas averti du problème ou de la tentative d’intrusion.
- Mode restriction : Le mode « restriction » agit de la même manière que le mode précédent, c’est-à-dire en bloquant le trafic généré par l’adresse MAC non autorisée, mais, en plus, il envoie une alerte utilisant le protocole SNMP à l’administrateur, en plus d’enregistrer dans le journal du commutateur.
- Mode d’arrêt : Ce que fait ce mode, c’est que, s’il détecte qu’une adresse MAC se connecte au port et n’est pas autorisée, le port est automatiquement désactivé pour des raisons de sécurité. Cette option est très intéressante, car selon la configuration du switch, elle obligerait l’administrateur à lever le port manuellement, donc oui ou oui il saura ce qui s’est passé.
Authentification à l’aide de 802.1X
Enfin, une autre mesure de sécurité que nous pouvons adopter au niveau du câblage LAN est que tous les clients connectés doivent s’authentifier devant un serveur RADIUS, en utilisant le protocole 802.1X que de nombreux commutateurs gérables intègrent. Bien que ce protocole ne crypte pas la communication Ethernet, il nous permettra de demander une authentification supplémentaire à ces ports Ethernet, si un ordinateur essaie de se connecter et ne saisit pas correctement les identifiants d’accès, il se verra simplement refuser l’accès au réseau, nous allons donc protége toi.
La grande majorité des fabricants dans leurs commutateurs haut de gamme intègrent toutes ces mesures de sécurité, car elles sont aujourd’hui totalement fondamentales. Nous vous recommandons d’accéder à notre section d’ analyse des commutateurs , où vous pouvez trouver un grand nombre de modèles analysés et voir en détail toutes les fonctions de sécurité.
Comme vous l’avez vu, il est essentiel de prendre les mesures de sécurité nécessaires pour protéger notre réseau filaire, car bien qu’un accès physique soit nécessaire, à de nombreuses reprises, il existe des ports Ethernet exposés auxquels tout le monde peut se connecter. Grâce aux mesures de sécurité intégrées dans les commutateurs gérables, nous serons en mesure d’atténuer le fait que quelqu’un ne soit pas autorisé à se connecter au réseau local de l’entreprise.