Un « commutateur » est un périphérique de liaison de données (couche 2) responsable de la réception, du traitement et de la transmission du trafic réseau en fonction des adresses MAC de destination. Les commutateurs modernes sont « intelligents » et gérables, soit à partir d'une console Web, soit d'une interface de ligne de commande (CLI). En raison du fait qu'ils séparent les domaines de collision, éliminent les collisions, fournissent une communication en duplex intégral et offrent de nombreux autres avantages à nos réseaux, les commutateurs ont remplacé les concentrateurs de manière appropriée.

Les commutateurs ont remplacé les concentrateurs

Un « concentrateur » est un périphérique de couche 1 qui fournit une connectivité aux périphériques, et rien de plus. Ils étaient souvent utilisés comme point de connexion central sur les anciennes topologies en étoile, mais les concepteurs de réseau optent généralement pour un commutateur à la place en raison de ses nombreux avantages.

Les réseaux locaux basés sur un concentrateur entraînaient de mauvaises performances car chaque périphérique connecté au concentrateur se trouvait dans un domaine de collision géant (et chaque interface de commutateur est un domaine de collision distinct). Cela signifiait également que chaque appareil connecté au hub devait partager la bande passante entre les autres appareils connectés au hub. Et, contrairement aux commutateurs, les concentrateurs ne pouvaient pas "apprendre" les adresses MAC des appareils connectés à ses interfaces car ils ne disposaient pas d'une table d'adresses MAC pour transférer intelligemment le trafic ou stocker les adresses matérielles.

Au lieu de cela, si un concentrateur devait recevoir des trames de données d'un périphérique connecté sur une interface, le concentrateur créerait une copie du trafic et le transmettrait à toutes ses interfaces vers les autres périphériques connectés. Seul l'appareil auquel le message était destiné traitera les données; cependant, cela ne change rien au fait que chaque appareil a reçu une copie de ces données. Cela prend beaucoup de bande passante précieuse, ce qui ralentit sérieusement le réseau.

De plus, le fait que chaque nœud voit le trafic des autres nœuds pose un risque de sécurité inhérent. Étant donné que les concentrateurs n'offrent aucune sécurité de port, il suffit de peu d'efforts à une personne non autorisée pour brancher un ordinateur portable sur l'une des interfaces du concentrateur et utiliser un logiciel de détection pour écouter les communications réseau. Les concentrateurs n'ont pas de filtrage d'adresse MAC ni de mode de violation, ce qui les rend nuls.

Les commutateurs éliminent les collisions et CSMA/CD

Tout en restant sur le sujet des hubs juste un instant de plus, les hubs n'empêchent pas non plus les collisions. Lorsque deux appareils sur un concentrateur transmettent une trame simultanément, une collision se produit. Ce n'est pas mauvais en soi sur les réseaux Ethernet semi-duplex , mais un trop grand nombre d'entre eux réduira les performances du réseau. Les réseaux Ethernet doivent donc s'appuyer sur un protocole appelé « Carrier Sense Multiple Access with Collision Detection (CSMA/CD) » afin d'éviter les collisions.

Dans CSMA/CD, un nœud détecte si le fil est occupé. Si un autre nœud transmet à ce moment-là, le nœud attendra quelques millisecondes et revérifiera le fil. Si le fil est libre, le nœud peut envoyer sa trame. Le fil est essentiellement le premier arrivé, premier servi, ce qui signifie que tous les nœuds ont un accès égal pour transmettre sur le fil tant qu'ils sentent qu'il est libre ; d'où le nom « Carrier Sense Multiple Access (CSMA) ». Cependant, si une collision se produit, le concentrateur envoie un signal qui avertit les cartes réseau. C'est là que le rôle de " Collision Detection (CD)» intervient. Lorsqu'une collision est détectée sur le câble, tous les nœuds arrêtent de transmettre et des algorithmes de « backoff » aléatoires déterminent combien de temps chaque nœud doit attendre en millisecondes avant de pouvoir retransmettre à nouveau. Le nœud avec le nombre aléatoire le plus bas pourra transmettre en premier, mais une fois les temporisateurs écoulés, tous les nœuds ont la même priorité pour retransmettre.

Dans la situation précédente, nous voyons que les réseaux Ethernet semi-duplex provoquent une congestion indésirable. En effet, dans une communication semi-duplex, le câble n'utilise qu'une seule paire de fils avec un signal numérique circulant dans les deux sens sur le fil. Les deux sont responsables de la transmission et de la réception, c'est pourquoi nous nous retrouvons avec des collisions.

Mais les commutateurs ne fonctionnent pas en semi-duplex, ils fonctionnent en duplex intégral. Étant donné que les ports de commutation fonctionnent en duplex intégral, nous éliminons les collisions et le besoin de CSMA/CD. Cela signifie que chaque port de commutateur est son propre domaine de collision qui fournit sa propre bande passante indépendante. La communication en duplex intégral utilise deux paires de fils en même temps au lieu d'une seule paire de fils. Une paire de fils est utilisée pour la transmission et l'autre paire pour la réception. Cela augmente la transmission du réseau et élimine complètement les collisions puisque les fils sont séparés.

Une chose à garder à l'esprit est que bien que la communication en duplex intégral soit dominante de nos jours, il est toujours nécessaire d'utiliser le mode semi-duplex dans certains cas. Si, par exemple, nous avons une carte réseau hôte uniquement capable de semi-duplex et qu'elle est connectée à un port de commutateur capable de full-duplex, le commutateur doit fonctionner en mode semi-duplex et CSMA/CD s'applique.

Fonctionnement des commutateurs : Apprentissage des adresses et décisions avancées

Un commutateur réseau utilise des «circuits intégrés spécifiques à l'application (ASIC)» pour créer et maintenir une «table d'adresses MAC». Cette table porte également d'autres noms, comme une table "Content Addressable Memory (CAM)", une table "filter" ou une table "forward". Ils sont tous la même chose.

Lorsqu'un commutateur s'allume pour la première fois et termine l'autotest de mise sous tension (POST), la table d'adresses MAC est vide. En regardant la figure ci-dessous, le commutateur dispose de 4 interfaces actives (Fa0/1-4) connectées à 4 hôtes différents, respectivement (AD). L'exécution de la commande show mac-address table révèle que la table d'adresses MAC ne contient actuellement aucune entrée.

(Table d'adresses MAC vide.png)

Une fois que les hôtes commencent à communiquer, le commutateur commence à ajouter des adresses matérielles à la table d'adresses MAC. Supposons, par exemple, que l'hôte A envoie une trame via l'interface Fa0/1 à l'hôte B. Le commutateur vérifiera l'adresse MAC source et de destination de la trame. Étant donné que l'adresse MAC de l'hôte A ne figure pas dans la table d'adresses MAC, le commutateur ajoutera son adresse matérielle à l'interface correspondante dans la table d'adresses MAC. Et, puisque l'adresse de destination n'est pas non plus dans la table d'adresses MAC, le commutateur inondera toutes les interfaces actives avec la trame, à l'exception du port d'où il provient (fa0/1). Ce processus est appelé « inondation unicast », et il se poursuivra jusqu'à ce que le commutateur complète sa table d'adresses MAC, comme indiqué ci-dessous.

(Table d'adresses MAC remplie)

L'inondation de monodiffusion traite temporairement ces trames de monodiffusion (un à un) comme des trames de diffusion, mais il est nécessaire de créer la table d'adresses MAC. Une fois que le tableau est complet, une communication biunivoque appropriée peut être établie et le commutateur transmettra les trames uniquement aux destinations prévues via l'interface de port de commutateur appropriée. Le processus ressemble à ceci :

(h5yvl)

Mais, ici réside un risque de sécurité inhérent aux commutateurs. L'inondation de monodiffusion cesse dès que le commutateur ajoute chaque adresse matérielle à sa table d'adresses MAC, n'est-ce pas ? Mais, lorsqu'un commutateur manque d'espace dans son cache de table d'adresses MAC, le commutateur recommence à inonder la monodiffusion. Les attaquants peuvent inonder un commutateur avec des requêtes ARP usurpées dans le but de remplir la table d'adresses MAC. Une fois que la table d'adresses MAC est remplie d'adresses MAC aléatoires, le commutateur est obligé d'inonder le trafic légitime pour inonder chaque port du commutateur car il n'a plus les entrées d'origine. Cela permet à l'attaquant d'intercepter le trafic destiné à d'autres destinations. C'est ce qu'on appelle une « attaque par inondation d'unidiffusion » ou « attaque par inondation d'adresse MAC »..” Cette attaque est utilisée pour obtenir des informations sensibles et les adresses MAC des autres nœuds connectés afin de réaliser des attaques MAC spoofing et MitM.

Étape 1. Attaque par inondation d'adresse MAC. Réimprimé de "Switching and Routing Vulnerabilities, par l'University of Maryland University College, 2012.

Étape 2. Attaque par inondation d'adresse MAC. Réimprimé de "Switching and Routing Vulnerabilities, par l'University of Maryland University College, 2012.

Heureusement, cela est facilement évitable sur les commutateurs Cisco Catalyst. Pour que ce type d'attaque se produise, l'attaquant devrait brancher son ordinateur à l'une des interfaces de commutation, ce qui est probablement peu probable étant donné que les commutateurs sont généralement verrouillés dans des armoires de réseau. En outre, les interfaces de commutation qui ne sont pas actives doivent être fermées pour empêcher tout accès non autorisé.

De même, il existe plusieurs commandes switchport port-security qui peuvent attribuer des adresses MAC à des interfaces de commutateur spécifiques. Cela signifie qu'un attaquant ne peut pas simplement débrancher un nœud et remplacer la connexion avec son ordinateur. Selon le mode de violation défini, le commutateur abandonne le trafic de l'attaquant, génère un message de journal, envoie une interruption SNMP et/ou arrête complètement l'interface.

Cependant, l'attribution d'adresses MAC à chaque interface serait fastidieuse. Il serait beaucoup plus logique d'utiliser la commande collante . Cette commande attribue automatiquement des adresses MAC statiques aux interfaces de commutation. Jetez un œil au terminal ci-dessous.

Commutateur de port collant

Ces commandes, émises en mode de configuration globale pour l'interface Fa0/1, attribuent les 2 premières adresses MAC entrant dans Fa0/1 en tant qu'adresses MAC statiques. Il définit également le mode de violation sur "shutdown", ce qui signifie que si une troisième adresse MAC inconnue se connecte à cette interface de commutateur spécifique, cette interface s'arrêtera, générera un message de journal et déclenchera une interruption SNMP.

Évitement de boucle

Les commutateurs sont souvent connectés ensemble pour fournir une connectivité et des liaisons redondantes. C'est bon pour la disponibilité, mais cela peut aussi provoquer involontairement une « boucle de pontage ». « Lorsque cela se produit, les tempêtes de diffusion peuvent se propager sur l'interréseau et inonder continuellement les supports réseau physiques du réseau.

(changer de diffusion storm.jpg)

IEEE 802.1w, également appelé « Rapid Spanning Tree Protocol (RSTP) », empêche efficacement que cela ne se produise. C'est le successeur de l'original IEEE 802.1d « Spanning Tree Protocol (STP) ». « Avec RSTP, le temps de convergence est beaucoup plus rapide. Sur un réseau compatible RSTP, les commutateurs communiquent entre eux afin de bloquer ou de transférer des ports spécifiques afin de permettre un flux de trafic approprié. De cette façon, si un commutateur détecte un changement, il peut agir en conséquence et éviter toute boucle. Ceci peut être accompli en utilisant la  commande spanning-tree portfast default en mode de configuration globale sur un commutateur Cisco Catalyst. Cela active RSTP sur tous les ports non agrégés, c'est-à-dire tous les ports d'accès.

Gestion intrabande des commutateurs

Les commutateurs intelligents peuvent être gérés via une console Web ou une interface de ligne de commande (CLI). Si le commutateur est livré avec une console Web, il doit avoir une adresse IP. Ces types de commutateurs sont généralement livrés avec une adresse IP par défaut ou celle-ci peut être attribuée dynamiquement via DHCP ou statiquement via manuellement. Lorsqu'il est connecté au même réseau local, l'administrateur n'a qu'à saisir l'adresse IP du commutateur dans un navigateur Web. Cela fera apparaître l'interface de la console Web du commutateur.

Changer de console Web

La console Web du commutateur illustrée ci-dessus permet à l'administrateur d'apporter des modifications au commutateur via une interface utilisateur facile à utiliser. À partir de là, l'administrateur peut modifier et activer/désactiver des paramètres spécifiques, tels que la sécurité des ports, QoS, SNMP, VLAN, jonction, etc. L'exemple précédent est un commutateur Netgear de couche 3 à 48 ports avec deux ports SFP+ 10 gigabits. En tant que commutateur multicouche, il contient des fonctionnalités de routage virtuel.

Cependant, tous les commutateurs Cisco ne sont pas livrés avec une console Web ; ils viennent avec un CLI. Tous les commutateurs Cisco sont livrés avec chaque interface activée et prête à l'emploi, mais en tant que périphérique de couche 2, ils ne sont pas livrés avec une adresse IP. Donc, si nous voulons gérer le commutateur, nous devons nous connecter au port de la console via un « câble console », également appelé câble « renversé ». C'est ce qu'on appelle un câble de renversement parce que les broches d'un côté du câble "roulent" simplement vers la disposition opposée de l'autre côté du câble. De nombreux commutateurs, comme le Cisco Catalyst 2960-S, sont désormais également équipés d'un port de console mini-USB.

console port.png

Les câbles inversés ont un connecteur série DB-9 à une extrémité et un connecteur RJ-45 à l'autre extrémité. Nous connectons le DB-9 à l'ordinateur portable et le RJ-45 au port de la console… Mais attendez, la plupart des ordinateurs modernes n'auront pas de connexions série, ils ont des ports USB. Par conséquent, nous devrons probablement utiliser un « adaptateur USB vers port série » pour établir la connexion au port de la console.

Une fois la connexion établie, nous pouvons exécuter un programme d'émulation de terminal, tel que PuTTY, pour établir une connexion série avec le commutateur. Notez les paramètres de la configuration PuTTY.

(Configuration de PuTTY 2.png)

Ces paramètres ne changent jamais. La vitesse (baud) est de 9600 bps, les bits de données sont 8, les bits d'arrêt sont 1, la parité est aucune et le contrôle de flux est XDN, XDFF. De là, nous pourrons nous connecter au port de la console.

Gestion à distance des commutateurs

Si nous ne sommes pas physiquement présents sur votre commutateur, vous pouvez attribuer une « adresse IP de gestion » à notre port de console pour la gestion à distance. Les commutateurs Cisco n'ont pas d'adresse IP par défaut car les interfaces de commutateur sont destinées à la couche 2 ; cependant, nous pouvons choisir l'un des VLAN sur le commutateur pour créer une « interface virtuelle commutée (SVI) ». Ci-dessous montre la sortie de la  commande show interface brief :

Encore une fois, nous ne pouvons configurer qu'une adresse IP de gestion sur l'interface VLAN 1 car une adresse IP ne peut pas être définie sur les interfaces FastEthernet de couche 2. Pour définir une adresse IP de gestion sur l'interface VLAN 1, utilisez la commande suivante.

L'adresse IP peut être n'importe quelle adresse d'hôte que nous souhaitons (mais assurez-vous que le masque de sous-réseau de l'adresse réseau est correct pour votre réseau). Nous devons également afficher l'interface virtuelle avec la  commande no shutdown . Nous devrions maintenant pouvoir envoyer un ping au commutateur. Nous pouvons également vérifier la nouvelle configuration en utilisant à nouveau la commande show interface brief.

Avec une adresse IP de gestion, nous n'avons pas besoin d'une connexion locale pour gérer le commutateur. Nous pouvons maintenant utiliser Telnet ou SSH. Telnet, par exemple, est un émulateur de terminal virtuel qui vous permettra de gérer à distance un appareil sans câble de console. Telnet peut être utilisé sur un commutateur Cisco Catalyst à l'aide de la commande telnet . Cependant, avant de pouvoir utiliser Telnet, le commutateur doit avoir défini le mot de passe «Virtual Terminal line (VTY)» sur le commutateur à l'aide de la commande line vty 0. Les commutateurs ont généralement 16 lignes VTY.

Nous pourrions techniquement contourner l'exigence de mot de passe Telnet en forçant le commutateur à autoriser les connexions Telnet sans mot de passe, mais ce n'est pas recommandé. Nous devrions maintenant être en mesure de Telnet dans le commutateur en utilisant la commande telnet 10.1.1.7 à partir du mode EXEC privilégié. Gardez à l'esprit que si nous établissons une connexion Telnet avec un commutateur, nous devons également connaître le secret d'activation pour pouvoir passer en mode privilégié et apporter des modifications à la configuration.

Commutateur de sécurité des ports

Nous ne voulons pas que n'importe qui ait accès à notre commutateur. Les commutateurs Cisco nous permettent de configurer 5 mots de passe différents, y compris console, auxiliaire, telnet/SSH/VTY (que je viens de couvrir pour Telnet), activer le mot de passe et activer le secret.

Les nouveaux appareils Cisco utilisent maintenant enable secret car il est de préférence «crypté» à l'aide d'une fonction de hachage forte. Le mot de passe d'activation, cependant, est stocké en clair, sauf s'il est utilisé conjointement avec la commande service password-encryption. Nous pouvons le voir si nous utilisons la commande show running-config. Vous pouvez utiliser le secret d'activation pour définir un mot de passe pour accéder à divers niveaux de privilège sur le commutateur.

Si nous voulons définir un mot de passe de console, nous pouvons utiliser la commande line console 0. Cela incitera tous les utilisateurs avec un mot de passe de connexion s'ils veulent accéder à la console.

La console de ligne ? La commande n'est pas nécessaire, elle est juste là pour montrer que puisque nous n'avons qu'un seul port console, nous ne pouvons choisir que la ligne console 0. L'application de la commande login à la fin signifie que le commutateur demandera une authentification pour toutes les connexions console.

Comme je l'ai mentionné précédemment, les interfaces des commutateurs Cisco Catalyst peuvent être protégées avec les commandes switchport port-security. Avant de pouvoir définir des options de sécurité de port switchport sur une interface de commutateur, l'interface doit être définie sur un port d'accès à l'aide de la commande switchport mode access. Nous pouvons également voir les options de sécurité switchport avec le  switchport port-security ? commander.

options de sécurité switchport.png

Ces commandes nous permettent d'attribuer des adresses MAC sécurisées et statiques à une interface. Ce type de filtrage d'adresses MAC empêche les personnes non autorisées de se connecter aux interfaces du commutateur. Il existe également un mode de violation qui s'accompagne de plusieurs actions en cas de violation de la sécurité du port switchport. L'action par défaut consiste à arrêter le port, à générer un message de journal, à envoyer une interruption SNMP et à incrémenter le compteur de violation de sécurité. Mais, il existe également d'autres actions parmi lesquelles choisir, telles que protéger  et restreindre . Par conséquent, si nous voulions attribuer à une interface une adresse mac statique avec un mode de violation restrict, cela ressemblerait à ceci :

exemple de sécurité switchport.png

Le mode de violation de restriction supprimera tout le trafic provenant d'une adresse MAC source inconnue jusqu'à ce que nous supprimions suffisamment d'adresses MAC sécurisées pour passer en dessous de la valeur maximale. Mais, tout comme le mode d'arrêt, il génère également un message de journal, une interruption SNMP et incrémente le compteur de violation de sécurité.

Conclusion

Les commutateurs sont invariablement très cool. Il y a tellement de sujets à couvrir qu'il est difficile de tous les aborder. Par exemple, les commutateurs ne sont pas toujours strictement des appareils de couche 2. Certains commutateurs sont à la fois de couche 2 et de couche 3, comme les commutateurs de la gamme Cisco Catalyst 3560. Ces commutateurs sont également capables de quelque chose appelé "Routage inter-vlan (IVR)".

En parlant de "VLAN", il s'agit d'une autre fonctionnalité puissante des commutateurs qui offre à la fois une meilleure gestion et une meilleure sécurité à nos réseaux. C'est un long sujet, je devrai donc le traiter dans un autre article. J'ai cependant couvert une petite introduction aux VLAN ici , mais ce ne sont que les principes fondamentaux, et si vous souhaitez une discussion plus sérieuse, je vous conseillerais d'attendre un futur article sur les VLAN.

https://thecybersecurityman.com/2018/07/18/an-intermediate-level-discussion-on-network-switches/