Introduction
Le plus souvent, on peut constater que les mesures de sécurité déployées au sein des entreprises protègent les éléments de la couche 3 (Network) à la couche 7 (Application). Notamment grâce l'utilisation de firewall, IPS ou IDS, cependant la couche 2 possède bien des vulnérabilités. Dans ce chapitre dédier à la sécurisation du niveau 2, nous allons voir les différentes attaques réseaux qu'il est possible de faire, comment se prémunir, ainsi que la configuration des équipements réseaux pour se protéger des attaques.
La sécurité niveau 2 des réseaux LAN
Comme dit précédemment, un soin particulier est apporté sur la protection des attaques extérieures grâce au équipement en bordure du réseau (comme les firewall) et les attaques internes sont rarement contrôlées. En effet, si le niveau 2 ne possède aucune sécurité, alors il est facile (pour une menace qui se trouve à l'intérieur des locaux d'une entreprise) de brancher un PC sur le réseau LAN afin de détourner tout le trafic pour soit capturer les paquets et les analyser soit provoquer un DoS.
Catégorie des attaques
Les catégories d'attaques qui visent à compromettre la couche 2 des réseau LAN sont décrites ci-dessous et sont expliquées plus en détail dans les chapitres suivant.
| Catégorie | Description |
|---|---|
| MAC Table Attacks | Inclu les attaques d'innondation des tables MAC. |
| VLAN Attacks | Inclu les attaques VLAN hopping et VLAN double-tagging. Il comprend aussi les attaques entre les appareils d'un même VLAN. |
| DHCP Attacks | Comprend les attaques DHCP starvation et DHCP spoofing. |
| ARP Attacks | Comprend les attaques ARP spoofing et ARP poisoning. |
| Spoofing Attacks | Comprend les attaques MAC address et IP address spoofing |
| STP Attacks | Comprend les attaques de manipulsation du protocol Spanning Tree Protocol |
Solution Cisco pour contrer les attaques
| IP Source Guard (IPSG) | Protège des attaques contre le spoofing d'adresse MAC et IP |
| Dynamic ARP Inspection (DAI) | Protège des attaques contre le spoofing d'adresse MAC et d'enpoisonemment ARP |
| DHCP Snooping | Protège des attaques contre les attaques DHCP |
| Port Security | Protège des attaques contre de table MAC et de DHCP starvation. |