📍 ANALOGIE SYSTÉMIQUE
Thème_central: "Le LAN comme une forteresse avec des portes secrètes et des traîtres à l'intérieur"
Métaphore: "Un château médiéval moderne"
Éléments_clés:
- 🏰 Remparts extérieurs: Pare-feu NGFW, Routeur VPN. Protègent des armées extérieures (Internet).
- 🚪 Portes d'entrée contrôlées: Pont-levis avec gardes (802.1X, AAA). Vérifie l'identité avant d'entrer.
- 🏘️ Quartiers séparés: Différents quartiers du château (VLANs) isolés par des murs.
- 🕵️ Traîtres et espions: Un serviteur corrompu (BYOD infecté) peut ouvrir une porte de service (attaque ARP).
- 📜 Annonces publiques non vérifiées: Les crieurs publics (CDP, ARP, DTP) diffusent des informations précieuses et non vérifiées.
- ⚔️ Usurpation d'identité: Un ennemi revêt l'armure d'un chevalier (usurpation MAC/IP).
Risque_analogique: "Le plus grand danger ne vient pas du siège extérieur, mais du complot intérieur qui exploite la confiance et les mécanismes internes non sécurisés du château."
🧠 MODÈLE MENTAL (Diagramme Flowchart)
flowchart TD
A[Sécurité LAN] --> B1[Menaces Internes
Hôte Compromis] A --> B2[Menaces Protocoles
Couche 2] A --> B3[Défenses Périphériques
& Authentification] B1 --> C1[Vecteurs: Email/Web
→ Malware/Phishing] B1 --> C2[Post-Compromission:
Mouvement latéral] B2 --> D1[Attaques Switch:
Table MAC, VLAN, STP] B2 --> D2[Attaques Protocoles:
ARP, DHCP, CDP] B3 --> E1[Appliances Cisco:
ESA, WSA, AMP] B3 --> E2[AAA & 802.1X
Contrôle d'accès] C1 --> F1[Mitigation: ESA/WSA] C2 --> F2[Mitigation: Segmentation
(VLANs), DAI, IPSG] D1 --> G1[Mitigation: Port Security,
BPDU Guard, DTP Hardening] D2 --> G2[Mitigation: DHCP Snooping,
DAI, Désactiver CDP] E1 --> H[Protection des Terminaux] E2 --> I[Authentification Forte] F1 & F2 & G1 & G2 & H & I --> J[LAN Sécurisé]
Hôte Compromis] A --> B2[Menaces Protocoles
Couche 2] A --> B3[Défenses Périphériques
& Authentification] B1 --> C1[Vecteurs: Email/Web
→ Malware/Phishing] B1 --> C2[Post-Compromission:
Mouvement latéral] B2 --> D1[Attaques Switch:
Table MAC, VLAN, STP] B2 --> D2[Attaques Protocoles:
ARP, DHCP, CDP] B3 --> E1[Appliances Cisco:
ESA, WSA, AMP] B3 --> E2[AAA & 802.1X
Contrôle d'accès] C1 --> F1[Mitigation: ESA/WSA] C2 --> F2[Mitigation: Segmentation
(VLANs), DAI, IPSG] D1 --> G1[Mitigation: Port Security,
BPDU Guard, DTP Hardening] D2 --> G2[Mitigation: DHCP Snooping,
DAI, Désactiver CDP] E1 --> H[Protection des Terminaux] E2 --> I[Authentification Forte] F1 & F2 & G1 & G2 & H & I --> J[LAN Sécurisé]
⚡ NOYAU DUR (Les lois Immuables)
! Loi #1 : La sécurité de la couche 2 est le fondement non-négociable.
Preuve/Pourquoi : Un attaquant avec un empoisonnement ARP réussi intercepte tout le trafic, même chiffré (HTTPS), car il contrôle le chemin L2.
Preuve/Pourquoi : Un attaquant avec un empoisonnement ARP réussi intercepte tout le trafic, même chiffré (HTTPS), car il contrôle le chemin L2.
! Loi #2 : L'ennemi est à l'intérieur.
Preuve/Pourquoi : 95% des attaques sur les réseaux d'entreprise résultent d'un phishing réussi, compromettant un point d'entrée interne.
Preuve/Pourquoi : 95% des attaques sur les réseaux d'entreprise résultent d'un phishing réussi, compromettant un point d'entrée interne.
! Loi #3 : Le "soft trust" par défaut tue.
Preuve/Pourquoi : Les protocoles conçus pour la facilité d'administration (CDP, DTP `dynamic desirable`, VLAN 1 natif) créent des vecteurs d'attaque majeurs s'ils ne sont pas durcis.
Preuve/Pourquoi : Les protocoles conçus pour la facilité d'administration (CDP, DTP `dynamic desirable`, VLAN 1 natif) créent des vecteurs d'attaque majeurs s'ils ne sont pas durcis.
! Loi #4 : L'échelle définit la défense.
Preuve/Pourquoi : La sécurité par mot de passe local sur 100 commutateurs n'est pas scalable ni sécurisée. Une architecture AAA centralisée (RADIUS/TACACS+) est obligatoire en entreprise.
Preuve/Pourquoi : La sécurité par mot de passe local sur 100 commutateurs n'est pas scalable ni sécurisée. Une architecture AAA centralisée (RADIUS/TACACS+) est obligatoire en entreprise.
! Loi #5 : La visibilité est la clé du contrôle.
Preuve/Pourquoi : Sans journalisation (Accounting AAA) et sans outils de surveillance (DHCP Snooping Binding Table, logs de sécurité), vous opérez à l'aveugle. Un incident est alors une question de "quand", pas de "si".
Preuve/Pourquoi : Sans journalisation (Accounting AAA) et sans outils de surveillance (DHCP Snooping Binding Table, logs de sécurité), vous opérez à l'aveugle. Un incident est alors une question de "quand", pas de "si".
## 🔐 PROFONDEUR SÉCURITÉ & MÉTIER
# 🚨 RISQUE PRINCIPAL
Risque Principal : Mouvement latéral et élévation de privilèges après compromission initiale.
→ Attaque Type : Attaque d'homme au milieu via ARP Spoofing + DHCP Spoofing
→ Détection :
→ Mitigation Immédiate :
Risque Principal : Mouvement latéral et élévation de privilèges après compromission initiale.
→ Attaque Type : Attaque d'homme au milieu via ARP Spoofing + DHCP Spoofing
→ Détection :
Switch# show mac address-table count | include Total→ Mitigation Immédiate :
Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 3 Switch(config-if)# switchport port-security violation restrict Switch(config-if)# ip dhcp snooping limit rate 10 Switch(config-if)# spanning-tree bpduguard enable→ Intégration Entreprise : SIEM (Splunk, QRadar) pour corréler logs syslog + logs AAA + alertes ESA. Ansible Playbook pour configuration cohérente. Policy Git pour versionnement.
## 📚 PROFONDEUR EXAMEN CCNA
? Détail Oublié #1 : "Le champ VID dans 802.1Q fait 12 bits, donc 4096 VLANs, mais les VLANs 0 et 4095 sont réservés. VLAN 1 est le VLAN par défaut et ne peut être supprimé."
? Piège Fréquent #2 : "Beaucoup pensent que 'switchport mode dynamic desirable' est identique à 'switchport mode trunk'. La différence est cruciale pour DTP. 'dynamic desirable' demande activement à devenir trunk, 'trunk' le force."
Question Type : Un administrateur configure
A. L'adresse MAC la plus ancienne est supprimée, la nouvelle est apprise
B. Le trafic du troisième périphérique est bloqué, mais le port reste actif
C. Le port est immédiatement désactivé (err-disabled)
D. Le commutateur génère un log message mais autorise la connexion
switchport port-security maximum 2 et switchport port-security violation shutdown. Deux périphériques sont connectés. Que se passe-t-il si un troisième périphérique tente de se connecter ?A. L'adresse MAC la plus ancienne est supprimée, la nouvelle est apprise
B. Le trafic du troisième périphérique est bloqué, mais le port reste actif
C. Le port est immédiatement désactivé (err-disabled)
D. Le commutateur génère un log message mais autorise la connexion
## ⚙️ LAB COMPLET : DE LA CONFIG À L'AUTOMATISATION
### Niveau 1 (CCNA) : Configuration Fondamentale
! 1. Configuration de base AAA pour l'authentification des administrateurs Switch(config)# aaa new-model Switch(config)# aaa authentication login default group tacacs+ local Switch(config)# aaa authorization exec default group tacacs+ local Switch(config)# aaa accounting exec default start-stop group tacacs+ Switch(config)# tacacs server TACACS-SERVER Switch(config-server-tacacs)# address ipv4 10.1.1.100 Switch(config-server-tacacs)# key S3cr3tK3y! ! 2. Activation de DHCP Snooping et DAI sur le VLAN 10 Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan 10 Switch(config)# ip arp inspection vlan 10 Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# ip dhcp snooping trust Switch(config-if)# ip arp inspection trust
### Niveau 2 (Production Sécurisée) : Hardening
! 1. Durcissement avancé des ports d'accès Switch(config)# interface range GigabitEthernet0/2-24 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# switchport nonegotiate ! DÉSACTIVE DTP Switch(config-if-range)# switchport port-security Switch(config-if-range)# switchport port-security maximum 3 Switch(config-if-range)# switchport port-security mac-address sticky Switch(config-if-range)# switchport port-security violation restrict Switch(config-if-range)# switchport port-security aging time 2 Switch(config-if-range)# switchport port-security aging type inactivity Switch(config-if-range)# ip dhcp snooping limit rate 15 Switch(config-if-range)# spanning-tree portfast Switch(config-if-range)# spanning-tree bpduguard enable
### Niveau 3 (Expert/Automatisation) : Script & Scale
# Script Python utilisant Netmiko pour auditer et durcir la sécurité des ports
from netmiko import ConnectHandler
import getpass
def harden_switch_access_ports(device):
"""Applique la configuration de sécurité sur tous les ports non-trunk."""
commands = [
'interface range g0/1-48 , f0/1-48',
'switchport mode access',
'switchport nonegotiate',
'switchport port-security',
'switchport port-security maximum 3 violation restrict',
'switchport port-security mac-address sticky',
'spanning-tree bpduguard enable',
'ip dhcp snooping limit rate 10',
'exit',
'ip dhcp snooping',
'ip dhcp snooping vlan 10,20,99',
'interface range g0/49-50',
'ip dhcp snooping trust',
'ip arp inspection trust',
]
output = device.send_config_set(commands)
return output
if __name__ == "__main__":
password = getpass.getpass()
switch = {
'device_type': 'cisco_ios',
'host': '192.168.1.10',
'username': 'admin',
'password': password,
'secret': password,
}
connection = ConnectHandler(**switch)
connection.enable()
result = harden_switch_access_ports(connection)
print(result)
connection.disconnect()
→ Avantage : Applique une politique cohérente en quelques secondes sur des centaines de ports, élimine les erreurs de frappe, permet l'audit via Git.
🚨 SCÉNARIO DE DÉPANNAGE AVANCÉ
Symptôme Complexe : Les utilisateurs du VLAN 20 se plaignent d'intermittence Internet et de redirections vers de faux sites Google. Le monitoring SNMP montre une charge CPU légèrement élevée sur le commutateur d'accès SW-ACC-1.
Processus de Diagnostic (Arbre Décisionnel) :
1. Vérifier les logs du commutateur :
Si
Si
2. Suspecter un serveur DHCP Rogue :
3. Suspecter un empoisonnement ARP :
Sur un hôte client :
Sur le routeur :
1. Vérifier les logs du commutateur :
SW-ACC-1# show logging | include %DHCP_SNOOPING|%PORT_SECURITY|ERR_DISABLEDSi
%DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT → aller à 2Si
%PORT_SECURITY-2-PSECURE_VIOLATION → aller à 32. Suspecter un serveur DHCP Rogue :
SW-ACC-1# show ip dhcp snooping binding → vérifier si la passerelle apparaît sur un port non trustedSW-ACC-1# show ip dhcp snooping statistics → vérifier les paquets DHCP bloqués3. Suspecter un empoisonnement ARP :
Sur un hôte client :
arp -a → vérifier l'adresse MAC de la passerelleSur le routeur :
Router# show ip arp 192.168.20.1 → comparer avec l'adresse MAC réelle
Root Cause Probable : Attaque combinée DHCP Spoofing + ARP Poisoning. Un acteur de menace a connecté un serveur DHCP Rogue sur un port du VLAN 20.
Fix et Rollback :
! FIX : Identifier et désactiver le port du serveur rogue SW-ACC-1# show mac address-table addressSW-ACC-1(config)# interface GigabitEthernet0/15 SW-ACC-1(config-if)# shutdown SW-ACC-1(config-if)# description QUARANTINE_DHCP_ROGUE SW-ACC-1# clear ip arp inspection vlan 20 ! VÉRIFICATION SW-ACC-1# show ip dhcp snooping binding ! ROLLBACK (si erreur de diagnostic) SW-ACC-1(config)# interface GigabitEthernet0/15 SW-ACC-1(config-if)# no shutdown SW-ACC-1(config-if)# no description
🔗 CONNECTIONS SYSTÉMIQUES
← Module Précédent (VLANs) : Ce module sur la sécurité LAN part du principe que vous comprenez les VLANs, les trunks (802.1Q) et le spanning-tree. Il révèle comment ces concepts, s'ils sont mal configurés (VLAN natif sur un port d'accès, DTP actif), créent des vulnérabilités critiques (VLAN Hopping).
→ Module Suivant (ACLs, Sécurité Périmètre) : La maîtrise de ce module est pré-requis absolu. À quoi servent des ACLs sophistiquées sur un routeur si un attaquant interne a déjà effectué un saut de VLAN vers le segment de gestion et usurpe l'adresse IP de l'administrateur ?
🔄 Écosystème Réel : Interaction avec Cisco Identity Services Engine (ISE). ISE est le cerveau de la politique AAA. Il utilise les informations de 802.1X, MAB, et les résultats de posture pour attribuer dynamiquement un hôte à un VLAN spécifique via les commandes RADIUS.
→ Module Suivant (ACLs, Sécurité Périmètre) : La maîtrise de ce module est pré-requis absolu. À quoi servent des ACLs sophistiquées sur un routeur si un attaquant interne a déjà effectué un saut de VLAN vers le segment de gestion et usurpe l'adresse IP de l'administrateur ?
🔄 Écosystème Réel : Interaction avec Cisco Identity Services Engine (ISE). ISE est le cerveau de la politique AAA. Il utilise les informations de 802.1X, MAB, et les résultats de posture pour attribuer dynamiquement un hôte à un VLAN spécifique via les commandes RADIUS.
❓ VALIDATION PAR EXERCICE MENTAL
Question de Concept : En utilisant l'analogie du château, expliquez pourquoi désactiver CDP (
→ Réponse : C'est comme interdire aux serviteurs de crier leur fonction et l'emplacement du trésor dans la cour. Un espion (acteur de menace) à l'intérieur des murs peut écouter ces annonces (CDP frames) pour savoir quelle version de logiciel le pont-levis (commutateur) utilise, et ainsi savoir quelle faiblesse (vulnérabilité CVE) exploiter.
no cdp run) sur les ports d'accès est une bonne pratique, même si cela enlève un outil de dépannage utile.→ Réponse : C'est comme interdire aux serviteurs de crier leur fonction et l'emplacement du trésor dans la cour. Un espion (acteur de menace) à l'intérieur des murs peut écouter ces annonces (CDP frames) pour savoir quelle version de logiciel le pont-levis (commutateur) utilise, et ainsi savoir quelle faiblesse (vulnérabilité CVE) exploiter.
Question de Piège : Quelle est la différence subtile entre
→ Réponse :
switchport mode dynamic auto et switchport mode dynamic desirable en termes de vulnérabilité DTP ?→ Réponse :
dynamic auto attendra une demande de trunk de l'autre côté. dynamic desirable demandera ACTIVEMENT à devenir un trunk. Si un hôte malicieux envoie des frames DTP de trunk, dynamic auto acceptera, créant un trunk non autorisé. Les DEUX sont dangereux sur un port d'accès.
Question de Crise : "Il est 3h du matin, votre NOC reçoit des alertes indiquant que 80% des ports d'accès sur le commutateur principal du bâtiment A sont en état
→ Réponse :
1. Première commande :
2. Première hypothèse : Boucle de couche 2 ou attaque STP/BPDU Flood
3. Plan d'action : 1) Isoler le port source, 2) Restaurer service temporairement, 3) Corriger cause (éducation ou sécurité)
err-disabled. Les utilisateurs du shift de nuit ne peuvent pas travailler. Quelle est votre première commande, votre première hypothèse, et votre plan d'action en 3 étapes ?"→ Réponse :
1. Première commande :
show interfaces status err-disabled2. Première hypothèse : Boucle de couche 2 ou attaque STP/BPDU Flood
3. Plan d'action : 1) Isoler le port source, 2) Restaurer service temporairement, 3) Corriger cause (éducation ou sécurité)
🧩 MICRO-KIT ESSENTIEL (SYNTHÈSE 1 PAGE A4)
🔹 Les 5 Lois Immuables
- Sécurise L2 d'abord, sinon L7 inutile
- L'attaquant est déjà à l'intérieur
- Désactive les "aides" par défaut
- Centralise l'authentification (AAA)
- Logue tout (Accounting)
🔹 6 Commandes CLI
show mac address-table count show ip dhcp snooping binding show port-security interface show interfaces status err-disabled show logging | include DHCP_SNOOPING aaa accounting exec default start-stop group tacacs+
🔹 3 Pièges CCNA
switchport mode access≠ DTP désactivé- DHCP Snooping nécessite ports
trusted violation protect= silence total
🔹 Mini-Modèle Mental
graph TD
A[Menace] --> B[Vecteur L2]
B --> C[Impact]
C --> D[Mitigation]
B1[Débordement Table MAC] --> C1[Écoute Trafic]
C1 --> D1[Port-Security]
B2[Usurpation ARP] --> C2[MiTM, Vol Creds]
C2 --> D2[DAI]
B3[VLAN Hopping] --> C3[Accès VLANs sensibles]
C3 --> D3[Désactiver DTP]
🔹 1 risque sécurité + mitigation : Attaque Man-in-the-Middle via ARP Spoofing + DHCP Spoofing → DHCP Snooping + DAI
🔹 1 équation mentale :
Sécurité LAN = (AAA + 802.1X) + (Port-Security + DHCP Snooping + DAI) + (DTP/CDP OFF)
Sécurité LAN = (AAA + 802.1X) + (Port-Security + DHCP Snooping + DAI) + (DTP/CDP OFF)