Sécurité Des Réseaux Locaux Virtuels (Vlan) - Oracle Sun Blade X3-2B Guide De Sécurité

Utilisez les fonctions d'authentification, d'autorisation et de comptabilisation pour l'accès
■
local et à distance à un commutateur.
Modifiez chaque mot de passe sur des commutateurs réseau susceptibles de comprendre
■
plusieurs comptes utilisateur et mots de passe par défaut.
Gérez les commutateurs out-of-band (séparés du trafic de données). Si la gestion out-of-
■
band n'est pas réalisable, il convient de dédier un numéro de réseau local virtuel (VLAN)
distinct à la gestion in-band.
Utilisez la fonctionnalité de mise en miroir des ports du commutateur réseau pour l'accès
■
au système de détection des intrusions (IDS).
Conservez un fichier de configuration de commutateur hors ligne et réservez-en l'accès
■
aux administrateurs autorisés. Le fichier de configuration doit contenir des commentaires
descriptifs pour chaque paramètre.
Implémentez la sécurité des ports pour limiter l'accès en fonction d'adresses MAC.
■
Désactivez la jonction automatique sur tous les ports.
Utilisez ces fonctions si elles sont disponibles sur votre commutateur :
■
■
■
■
Sécurité des réseaux locaux virtuels (VLAN)
Si vous configurez un réseau local virtuel, sachez que les VLAN partagent de la bande passante
sur un réseau et nécessitent des mesures de sécurité supplémentaires.
Séparez les clusters de systèmes sensibles du reste du réseau lorsque vous utilisez des
■
VLAN. Vous réduisez ainsi le risque de voir des utilisateurs accéder à des informations sur
ces clients et serveurs.
Attribuez un numéro VLAN natif unique aux ports de jonction.
■
Limitez les VLAN pouvant être transférés via une jonction à ceux pour qui cela est
■
strictement nécessaire.
Si possible, désactivez le protocole VTP (VLAN Trunking Protocol). Autrement,
■
définissez les paramètres suivants pour ce protocole : domaine de gestion, mot de passe et
nettoyage. Définissez ensuite VTP sur le mode transparent.
Dans la mesure du possible, utilisez des configurations de VLAN statiques.
■
La fonction MAC Locking implique la liaison d'une adresse MAC (Media Access
Control) d'un ou de plusieurs périphériques connectés à un port physique sur un
commutateur. Si vous verrouillez un port de commutateur avec une adresse MAC
particulière, les superutilisateurs ne peuvent pas créer de portes dérobées sur le réseau
avec des points d'accès non autorisés.
La fonction MAC Lockout empêche une adresse MAC spécifiée de se connecter à un
commutateur.
La fonction MAC Learning utilise les informations sur les connexions directes de
chaque port de commutateur de sorte que le commutateur réseau puisse configurer la
sécurité en fonction des connexions en cours.
Sécurité des réseaux locaux virtuels (VLAN)
Planification d'un environnement sécurisé 15